Informations sur les objets en attente dans une forêt Windows Server Active Directory

Les objets en attente peuvent se produire si un contrôleur de domaine ne réplique pas pour un intervalle de temps est plus longue que la durée de vie de désactivation (TSL). Le contrôleur de domaine se reconnecte ensuite à la topologie de réplication. Les objets qui sont supprimés à partir du service d'annuaire Active Directory lorsque le contrôleur de domaine est en mode hors connexion peuvent rester sur le contrôleur de domaine en tant qu'objets en attente. Cet article contient des informations détaillées sur les événements qui indiquent la présence d'objets en attente, les causes des objets en attente et les méthodes que vous pouvez utiliser pour supprimer des objets en attente.

Durée de vie de désactivation et la réplication des suppressions

Lorsqu'un objet est supprimé, Active Directory réplique la suppression sous la forme d'un objet tombstone. Un objet de désactivation se compose d'un petit sous-ensemble des attributs de l'objet supprimé. En entrant-répliquant cet objet, autres contrôleurs de domaine dans le domaine et de la forêt reçoivent des informations sur la suppression. L'objet tombstone est conservé dans Active Directory pour une période spécifiée. Cette période spécifiée est appelée le TSL. À la fin de la TSL, l'objet désactivé (tombstone) est définitivement supprimé.

La valeur par défaut de la TSL dépend de la version du système d'exploitation qui s'exécute sur le premier contrôleur de domaine est installé dans une forêt. Le tableau suivant indique les valeurs TSL par défaut pour différents systèmes d'exploitation Windows. Remarque La valeur TSL existante ne change pas lorsqu'un contrôleur de domaine est mis à niveau vers Windows Server 2003 avec Service Pack 1 (SP1). La valeur TSL existante est conservée jusqu'à ce que vous modifiez manuellement.

Une fois que l'objet tombstone est définitivement supprimé, la suppression de l'objet peut plus être répliquée. Le TSL définit combien de temps conservent des informations sur un objet supprimé par les contrôleurs de domaine de la forêt. Le TSL définit également le temps pendant lequel tous les partenaires de réplication directs et transitifs du contrôleur de domaine d'origine doivent recevoir une suppression unique.

Comment se produisent à des objets en attente

Lorsqu'un contrôleur de domaine est déconnecté pour une période plus longue que la TSL, un ou plusieurs objets sont supprimés à partir d'Active Directory sur tous les autres contrôleurs de domaine peuvent rester sur le contrôleur de domaine déconnecté. Ces objets sont appelés objets en attente. Étant donné que le contrôleur de domaine est hors connexion pendant la durée de l'objet tombstone est actif, le contrôleur de domaine reçoit jamais la réplication de l'objet tombstone.

Lorsque ce contrôleur de domaine est reconnecté à la topologie de réplication, il agit comme un partenaire de réplication source possède un objet qui n'a pas de son partenaire de destination.

Problèmes de réplication se produisent lorsque l'objet sur le contrôleur de domaine source est mis à jour. Dans ce cas, lorsque le partenaire de destination essaie de trafic entrant-réplication de la mise à jour, le contrôleur de domaine de destination répond d'une des deux manières :

• Si le contrôleur de domaine de destination a strict cohérence de réplication activée, le contrôleur reconnaît qu'il ne peut pas mettre à jour l'objet. Le contrôleur localement cesse de réplication entrante de la partition d'annuaire à partir du contrôleur de domaine source.
• Si le contrôleur de domaine de destination a strict cohérence de réplication désactivée, le contrôleur de demande du réplica complet de l'objet mis à jour. Dans ce cas, l'objet est réintroduit dans le répertoire.

Causes de déconnexions longues

Les conditions suivantes peuvent provoquer des déconnexions longues :

• Un contrôleur de domaine est déconnecté du réseau et est placé dans le stockage.
• L'expédition d'un contrôleur de domaine prédéfinis à son emplacement à distance prend plue d'un TSL.
• Connexions réseau (WAN) ne sont pas disponibles pendant de longues périodes. Par exemple, un contrôleur de domaine intégré un navire croisière peut être Impossible de répliquer car la livraison est en mer plus longtemps que le TSL.
• L'événement signalé est une fausse alerte car un administrateur raccourcie TSL pour forcer le garbage collection d'objets supprimés.
• L'événement signalé est une fausse alerte car l'horloge système sur la source ou sur le contrôleur de domaine de destination est incorrectement avancée ou annulée. Horloge skews sont les plus courantes après un redémarrage du système. Horloge skews peuvent se produire pour les raisons suivantes :
  • Il existe un problème avec la batterie de l'horloge système ou de la carte mère.
  • La source de temps pour un ordinateur n'est pas configurée correctement. Cela inclut un serveur de source de temps est configuré à l'aide du service de temps Windows (W32Time), à l'aide d'un serveur de temps tierce partie ou à l'aide de routeurs de réseau.
  • Un administrateur avance ou annule l'horloge système pour étendre la durée de vie d'une sauvegarde de l'état du système ou pour accélérer l'opération garbage collection d'objets supprimés. Veillez à ce que l'horloge système reflète le temps réel. En outre, assurez-vous que les journaux des événements ne contiennent pas d'événements non valides dans le futur ou dans le passé.

Indications qu'un contrôleur de domaine possède des objets en attente

Un contrôleur de domaine obsolète peut stocker des objets en attente sans effet notable lorsque les conditions suivantes sont remplies :

• Un administrateur, une application ou un service ne met pas à jour l'objet en attente.
• Un administrateur, une application ou un service n'essaie pas de créer un objet qui a le même nom dans le domaine.
• Un administrateur, une application ou un service n'essaie pas de créer un objet en utilisant le même nom utilisateur principal (UPN, User Principal Name) dans la forêt.

Même s'il n'y a aucun effet notable, la présence d'objets en attente peut entraîner des problèmes. Ces problèmes sont susceptibles de se produire si un objet en attente est une entité de sécurité.

Événements indiquant que des objets en attente peuvent être présent dans la forêt

Pour plus d'informations sur l'événement ID 2042 et pour plus d'informations sur la façon de résoudre les problèmes de réplication Active Directory, reportez-vous au site Web de Microsoft à l'adresse suivante :

Événements indiquant que des objets en attente sont présents dans la forêt

Remarque Les objets en attente ne sont pas présents sur les contrôleurs de domaine qui ouvrent une session d'événement ID 1988. Le contrôleur de domaine source contient l'objet en attente.

Erreurs de repadmin qui indiquent que des objets en attente sont présents dans la forêt

Autres indications que des objets en attente sont présents dans la forêt

• Un compte d'utilisateur ou de groupe qui a été supprimé reste dans la liste d'adresses globale (GAL, Global Address List) sur les serveurs qui exécutent Microsoft Exchange Server. Par conséquent, bien que le nom du compte apparaît dans la liste d'adresses globale, des erreurs se produisent lorsque les utilisateurs essaient d'envoyer des messages électroniques.
• Plusieurs copies d'un objet apparaissent dans le sélecteur d'objet ou dans la liste d'adresses globale pour un objet qui doit être unique dans la forêt. Vous voyez parfois des objets dupliqués qui ont changé de noms. Ces objets en double entraînent une confusion sur les recherches de répertoire. Par exemple, si le nom unique relatif de deux objets ne peut pas être résolu, résolution des conflits ajoute *CNF:GUID pour le nom. Dans cet exemple, * représente un caractère réservé, CNF est une constante qui indique une résolution de conflit et GUID représente la valeur de l'attribut objectGUID.
• Messages électroniques ne sont pas remis à un utilisateur dont le compte Active Directory semble être en cours. Une fois un serveur de catalogue global ou contrôleur de domaine obsolète est reconnecté, les deux instances de l'objet utilisateur apparaissent dans le catalogue global. Dans la mesure où les deux objets ont la même adresse de messagerie, il est impossible de remettre les messages électroniques.
• Un groupe universel qui n'existe plus continue à apparaître dans un jeton d'accès utilisateur. Bien que le groupe n'existe plus, si un compte d'utilisateur a toujours le groupe dans son jeton de sécurité, l'utilisateur peut avoir accès à une ressource destinée à être indisponible à cet utilisateur.
• Impossible de créer un nouvel objet ou une boîte aux lettres Exchange. Mais vous ne voyez pas l'objet dans Active Directory. Un message d'erreur signale que l'objet existe déjà.
• Recherches qui utilisent des attributs d'un objet existant peuvent trouver incorrectement plusieurs copies d'un objet du même nom. Un objet a été supprimé du domaine. Mais cet objet reste dans un serveur de catalogue global isolé.

Si une tentative est faite pour mettre à jour d'un objet en attente qui réside dans une partition d'annuaire accessible en écriture, les événements sont enregistrés sur le contrôleur de domaine de destination. Toutefois, si la seule version d'un objet en attente est dans une partition d'annuaire en lecture seule sur un serveur de catalogue global, l'objet ne peut pas être mis à jour. Par conséquent, ce type d'événement n'est pas déclenché.

Suppression des objets en attente à partir de la forêt

Forêts Windows 2000

Pour plus d'informations sur la façon de supprimer des objets en attente dans un domaine Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :

Windows Server 2003 de forêts

Pour plus d'informations sur la façon de supprimer des objets en attente à partir de forêts Windows Server 2003, reportez-vous au site Web de Microsoft à l'adresse suivante :Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :

Prévention des objets en attente

Voici des méthodes que vous pouvez utiliser pour empêcher des objets en attente.

Méthode 1: Activer l'entrée de Registre de cohérence de réplication Strict

Vous pouvez activer l'entrée de Registre de cohérence de réplication strict afin que les objets suspects sont mis en quarantaine. Puis, les administrateurs peuvent supprimer ces objets avant qu'ils se propagent dans toute la forêt.

Si un objet accessible en écriture en attente se trouve dans votre environnement, et une tentative est faite pour mettre à jour de l'objet, la valeur dans l'entrée de Registre de cohérence de réplication Strict détermine si la réplication se déroule ou s'il est arrêté. L'entrée de Registre de cohérence de réplication strict se trouve dans la sous-clé de Registre suivante : Le type de données pour cette entrée est REG_DWORD. Si vous affectez la valeur 1, l'entrée est activée. Réplication entrante de la partition du répertoire spécifié à partir de la source est arrêtée sur la destination. Si vous affectez la valeur 0, l'entrée est désactivée. La destination demande l'objet complet à partir du contrôleur de domaine source. L'objet en attente est réactivée dans l'annuaire sous la forme d'un nouvel objet.

La valeur par défaut pour l'entrée de Registre de cohérence de réplication Strict est déterminée par les conditions sous lesquelles le contrôleur de domaine a été installé dans la forêt.

Remarque Augmentation du niveau fonctionnel du domaine ou de la forêt ne modifie pas le paramètre de la cohérence de réplication sur n'importe quel contrôleur de domaine.

Par défaut, la valeur de l'entrée de Registre de cohérence de réplication strict sur les contrôleurs de domaine sont installés dans une forêt est 1 (activé) si les conditions suivantes sont remplies :

• La version de Windows Server 2003 de Winnt32.exe est utilisée pour mettre à niveau un contrôleur de domaine principal (PDC, Primary Domain Controller) Windows NT 4.0 vers Windows Server 2003. Cet ordinateur crée le domaine racine de la forêt d'une nouvelle forêt.
• Active Directory est installé sur un serveur qui exécute Windows Server 2003. Cet ordinateur crée le domaine racine de la forêt d'une nouvelle forêt.

Par défaut, la valeur de l'entrée de Registre de cohérence de réplication strict sur les contrôleurs de domaine est 0 (désactivé) si les conditions suivantes sont remplies :

• Un contrôleur de domaine Windows 2000 est mis à niveau vers Windows Server 2003.
• Active Directory est installé sur un serveur membre Windows Server 2003 dans une forêt Windows 2000.

Si vous avez un contrôleur de domaine qui exécute Windows Server 2003 avec SP1, il est inutile de modifier le Registre pour définir la valeur de l'entrée de Registre de cohérence de réplication strict. Au lieu de cela, vous pouvez utiliser l'outil Repadmin.exe pour définir cette valeur pour un contrôleur de domaine dans la forêt ou pour tous les contrôleurs de domaine dans la forêt.

Pour plus d'informations sur l'utilisation de Repadmin.exe pour définir la cohérence de réplication Strict, reportez-vous au site Web de Microsoft à l'adresse suivante :

Méthode 2: Moniteur de réplication à l'aide d'une commande de ligne de commande

Pour surveiller la réplication à l'aide de la commande repadmin /showrepl, procédez comme suit :

1. Cliquez sur Démarrer, sur exécuter, tapez cmd et cliquez sur OK.
2. Tapez repadmin /showrepl * /csv > showrepl.csv, puis appuyez sur entrée.
3. Dans Microsoft Excel, ouvrez le showrepl.csv fichier.
4. Sélectionnez la colonne A + RPC et la colonne de SMTP.
5. Dans le menu Edition, cliquez sur Supprimer.
6. Sélectionnez la ligne qui se trouve immédiatement sous les en-têtes de colonne.
7. Dans le menu fenêtre, cliquez sur Figer un volet.
8. Sélectionnez la feuille de calcul complète.
9. Dans le menu données, pointez sur Filtrer, puis cliquez sur Filtre automatique.
10. Sur l'en-tête de la colonne Dernière réussite, cliquez sur la flèche vers le bas, puis cliquez sur Trier dans l'ordre croissant.
11. Sur l'en-tête de la colonne src contrôleur de domaine, cliquez sur la flèche vers le bas, puis cliquez sur personnalisé.
12. Dans la boîte de dialogue Filtre automatique personnalisé, cliquez sur ne contient pas.
13. Dans la zone à droite du ne contient pas, tapez del.
    
    Remarque Cette étape empêche les contrôleurs de domaine supprimé dans les résultats.
14. Sur l'en-tête de la colonne Échec dernière, cliquez sur la flèche vers le bas, puis cliquez sur personnalisé.
15. Dans la boîte de dialogue Filtre automatique personnalisé, cliquez sur ne correspondent pas.
16. Dans la zone à droite du n'est pas égale à, tapez 0.
17. Résoudre les échecs de réplication qui sont affichés.

Méthode 3: Supprimer des contrôleurs de domaine

Vous pouvez supprimer les défaillances de contrôleurs de domaine à partir de la forêt avant expiration de la TSL.

Méthode 4: Augmenter la TSL

Windows 2000 Server

Augmentez la TSL à 180 jours à l'aide de l'outil Adsiedit. Pour ce faire, procédez comme suit :

1. Dans l'outil ADSIEdit, développez successivement configuration DomainControllerName, CN = Configuration, DC = ForestRootDomain, développez CN = Services, développez CN = Windows NT, cliquez avec le bouton droit sur CN = Directory Service, puis cliquez sur Propriétés.
2. Cliquez sur l'onglet attribut.
3. Dans la liste Select which properties to view, cliquez sur facultatif.
4. Dans la liste Sélectionnez une propriété à afficher, cliquez sur durée de vie de désactivation.
5. Dans la boîte de dialogue Modifier l'attribut, tapez 180, cliquez sur définir, puis cliquez sur OK.

Windows Server 2003

Augmentez la TSL à 180 jours à l'aide de l'outil Adsiedit. Pour ce faire, procédez comme suit :

1. Dans l'outil ADSIEdit, développez successivement configuration DomainControllerName, CN = Configuration, DC = ForestRootDomain, développez CN = Services, développez CN = Windows NT, cliquez avec le bouton droit sur CN = Directory Service, puis cliquez sur Propriétés.
2. Cliquez sur l'onglet Attribute Editor.
3. Dans la liste attribut, cliquez sur durée de vie de désactivation, puis cliquez sur Modifier.
4. Dans la zone valeur, tapez 180, puis cliquez sur OK.