Informations sur les objets en attente dans une forêt Windows Server Active Directory

Traductions disponibles Traductions disponibles
Numéro d'article: 910205 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article contient des informations sur les objets en attente dans un dans une forêt basée sur Microsoft Windows 2000 ou dans une forêt Windows Server 2003. Plus précisément, cet article décrit les événements qui indiquent la présence d'objets en attente, les causes des objets en attente et les méthodes que vous pouvez utiliser pour supprimer des objets en attente.

INTRODUCTION

Les objets en attente peuvent se produire si un contrôleur de domaine ne réplique pas pour un intervalle de temps est plus longue que la durée de vie de désactivation (TSL). Le contrôleur de domaine se reconnecte ensuite à la topologie de réplication. Les objets qui sont supprimés à partir du service d'annuaire Active Directory lorsque le contrôleur de domaine est en mode hors connexion peuvent rester sur le contrôleur de domaine en tant qu'objets en attente. Cet article contient des informations détaillées sur les événements qui indiquent la présence d'objets en attente, les causes des objets en attente et les méthodes que vous pouvez utiliser pour supprimer des objets en attente.

Plus d'informations

Durée de vie de désactivation et la réplication des suppressions

Lorsqu'un objet est supprimé, Active Directory réplique la suppression sous la forme d'un objet tombstone. Un objet de désactivation se compose d'un petit sous-ensemble des attributs de l'objet supprimé. En entrant-répliquant cet objet, autres contrôleurs de domaine dans le domaine et de la forêt reçoivent des informations sur la suppression. L'objet tombstone est conservé dans Active Directory pour une période spécifiée. Cette période spécifiée est appelée le TSL. À la fin de la TSL, l'objet désactivé (tombstone) est définitivement supprimé.

La valeur par défaut de la TSL dépend de la version du système d'exploitation qui s'exécute sur le premier contrôleur de domaine est installé dans une forêt. Le tableau suivant indique les valeurs TSL par défaut pour différents systèmes d'exploitation Windows.
Réduire ce tableauAgrandir ce tableau
Premier contrôleur de domaine racine de forêtDurée de vie de désactivation par défaut
Windows 200060 jours
Windows Server 200360 jours
Windows Server 2003 avec Service Pack 1180 jours
Remarque La valeur TSL existante ne change pas lorsqu'un contrôleur de domaine est mis à niveau vers Windows Server 2003 avec Service Pack 1 (SP1). La valeur TSL existante est conservée jusqu'à ce que vous modifiez manuellement.

Une fois que l'objet tombstone est définitivement supprimé, la suppression de l'objet peut plus être répliquée. Le TSL définit combien de temps conservent des informations sur un objet supprimé par les contrôleurs de domaine de la forêt. Le TSL définit également le temps pendant lequel tous les partenaires de réplication directs et transitifs du contrôleur de domaine d'origine doivent recevoir une suppression unique.

Comment se produisent à des objets en attente

Lorsqu'un contrôleur de domaine est déconnecté pour une période plus longue que la TSL, un ou plusieurs objets sont supprimés à partir d'Active Directory sur tous les autres contrôleurs de domaine peuvent rester sur le contrôleur de domaine déconnecté. Ces objets sont appelés objets en attente. Étant donné que le contrôleur de domaine est hors connexion pendant la durée de l'objet tombstone est actif, le contrôleur de domaine reçoit jamais la réplication de l'objet tombstone.

Lorsque ce contrôleur de domaine est reconnecté à la topologie de réplication, il agit comme un partenaire de réplication source possède un objet qui n'a pas de son partenaire de destination.

Problèmes de réplication se produisent lorsque l'objet sur le contrôleur de domaine source est mis à jour. Dans ce cas, lorsque le partenaire de destination essaie de trafic entrant-réplication de la mise à jour, le contrôleur de domaine de destination répond d'une des deux manières :
  • Si le contrôleur de domaine de destination a strict cohérence de réplication activée, le contrôleur reconnaît qu'il ne peut pas mettre à jour l'objet. Le contrôleur localement cesse de réplication entrante de la partition d'annuaire à partir du contrôleur de domaine source.
  • Si le contrôleur de domaine de destination a strict cohérence de réplication désactivée, le contrôleur de demande du réplica complet de l'objet mis à jour. Dans ce cas, l'objet est réintroduit dans le répertoire.

Causes de déconnexions longues

Les conditions suivantes peuvent provoquer des déconnexions longues :
  • Un contrôleur de domaine est déconnecté du réseau et est placé dans le stockage.
  • L'expédition d'un contrôleur de domaine prédéfinis à son emplacement à distance prend plue d'un TSL.
  • Connexions réseau (WAN) ne sont pas disponibles pendant de longues périodes. Par exemple, un contrôleur de domaine intégré un navire croisière peut être Impossible de répliquer car la livraison est en mer plus longtemps que le TSL.
  • L'événement signalé est une fausse alerte car un administrateur raccourcie TSL pour forcer le garbage collection d'objets supprimés.
  • L'événement signalé est une fausse alerte car l'horloge système sur la source ou sur le contrôleur de domaine de destination est incorrectement avancée ou annulée. Horloge skews sont les plus courantes après un redémarrage du système. Horloge skews peuvent se produire pour les raisons suivantes :
    • Il existe un problème avec la batterie de l'horloge système ou de la carte mère.
    • La source de temps pour un ordinateur n'est pas configurée correctement. Cela inclut un serveur de source de temps est configuré à l'aide du service de temps Windows (W32Time), à l'aide d'un serveur de temps tierce partie ou à l'aide de routeurs de réseau.
    • Un administrateur avance ou annule l'horloge système pour étendre la durée de vie d'une sauvegarde de l'état du système ou pour accélérer l'opération garbage collection d'objets supprimés. Veillez à ce que l'horloge système reflète le temps réel. En outre, assurez-vous que les journaux des événements ne contiennent pas d'événements non valides dans le futur ou dans le passé.

Indications qu'un contrôleur de domaine possède des objets en attente

Un contrôleur de domaine obsolète peut stocker des objets en attente sans effet notable lorsque les conditions suivantes sont remplies :
  • Un administrateur, une application ou un service ne met pas à jour l'objet en attente.
  • Un administrateur, une application ou un service n'essaie pas de créer un objet qui a le même nom dans le domaine.
  • Un administrateur, une application ou un service n'essaie pas de créer un objet en utilisant le même nom utilisateur principal (UPN, User Principal Name) dans la forêt.
Même s'il n'y a aucun effet notable, la présence d'objets en attente peut entraîner des problèmes. Ces problèmes sont susceptibles de se produire si un objet en attente est une entité de sécurité.

Événements indiquant que des objets en attente peuvent être présent dans la forêt

Réduire ce tableauAgrandir ce tableau
ID d'événementDescription générale
1862Le contrôleur de domaine local n'a pas récemment reçu des informations de réplication à partir de plusieurs contrôleurs de domaine (inter-sites).
1863Le contrôleur de domaine local n'a pas récemment reçu des informations de réplication à partir de plusieurs contrôleurs de domaine (inter-sites).
1864Le contrôleur de domaine local n'a pas récemment reçu des informations de réplication à partir de plusieurs contrôleurs de domaine (résumés).
1311Le vérificateur de cohérence des connaissances (KCC, Knowledge Consistency CHECKER) n'a pas pu créer une topologie d'arborescence maximale.
2042Il est trop longue depuis ce serveur dernière répliqué avec le serveur source nommé.
Pour plus d'informations sur l'événement ID 2042 et pour plus d'informations sur la façon de résoudre les problèmes de réplication Active Directory, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet2.microsoft.com/WindowsServer/en/Library/4f504103-1a16-41e1-853a-c68b77bf3f7e1033.mspx

Événements indiquant que des objets en attente sont présents dans la forêt

Réduire ce tableauAgrandir ce tableau
ID d'événementDescription générale
1084Il n'y a aucun objet sur le serveur.
1388Ce système de destination a reçu une mise à jour pour un objet qui aurait dû être présent localement mais n'a pas été.
1311Un autre contrôleur de domaine répliqué un objet n'est pas présent sur ce contrôleur de domaine.
Remarque Les objets en attente ne sont pas présents sur les contrôleurs de domaine qui ouvrent une session d'événement ID 1988. Le contrôleur de domaine source contient l'objet en attente.

Erreurs de repadmin qui indiquent que des objets en attente sont présents dans la forêt

Réduire ce tableauAgrandir ce tableau
ID d'événementDescription générale
(8240)Il n'y a aucun objet sur le serveur.
8606Attributs insuffisantes a été spécifiés pour créer un objet.

Autres indications que des objets en attente sont présents dans la forêt

  • Un compte d'utilisateur ou de groupe qui a été supprimé reste dans la liste d'adresses globale (GAL, Global Address List) sur les serveurs qui exécutent Microsoft Exchange Server. Par conséquent, bien que le nom du compte apparaît dans la liste d'adresses globale, des erreurs se produisent lorsque les utilisateurs essaient d'envoyer des messages électroniques.
  • Plusieurs copies d'un objet apparaissent dans le sélecteur d'objet ou dans la liste d'adresses globale pour un objet qui doit être unique dans la forêt. Vous voyez parfois des objets dupliqués qui ont changé de noms. Ces objets en double entraînent une confusion sur les recherches de répertoire. Par exemple, si le nom unique relatif de deux objets ne peut pas être résolu, résolution des conflits ajoute *CNF:GUID pour le nom. Dans cet exemple, * représente un caractère réservé, CNF est une constante qui indique une résolution de conflit et GUID représente la valeur de l'attribut objectGUID.
  • Messages électroniques ne sont pas remis à un utilisateur dont le compte Active Directory semble être en cours. Une fois un serveur de catalogue global ou contrôleur de domaine obsolète est reconnecté, les deux instances de l'objet utilisateur apparaissent dans le catalogue global. Dans la mesure où les deux objets ont la même adresse de messagerie, il est impossible de remettre les messages électroniques.
  • Un groupe universel qui n'existe plus continue à apparaître dans un jeton d'accès utilisateur. Bien que le groupe n'existe plus, si un compte d'utilisateur a toujours le groupe dans son jeton de sécurité, l'utilisateur peut avoir accès à une ressource destinée à être indisponible à cet utilisateur.
  • Impossible de créer un nouvel objet ou une boîte aux lettres Exchange. Mais vous ne voyez pas l'objet dans Active Directory. Un message d'erreur signale que l'objet existe déjà.
  • Recherches qui utilisent des attributs d'un objet existant peuvent trouver incorrectement plusieurs copies d'un objet du même nom. Un objet a été supprimé du domaine. Mais cet objet reste dans un serveur de catalogue global isolé.
Si une tentative est faite pour mettre à jour d'un objet en attente qui réside dans une partition d'annuaire accessible en écriture, les événements sont enregistrés sur le contrôleur de domaine de destination. Toutefois, si la seule version d'un objet en attente est dans une partition d'annuaire en lecture seule sur un serveur de catalogue global, l'objet ne peut pas être mis à jour. Par conséquent, ce type d'événement n'est pas déclenché.

Suppression des objets en attente à partir de la forêt

Forêts Windows 2000

Pour plus d'informations sur la façon de supprimer des objets en attente dans un domaine Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
314282Les objets en attente peuvent rester une fois que vous remettez un serveur de catalogue global obsolète en ligne

Windows Server 2003 de forêts

Pour plus d'informations sur la façon de supprimer des objets en attente à partir de forêts Windows Server 2003, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet2.microsoft.com/WindowsServer/en/Library/77dbd146-f265-4d64-bdac-605ecbf1035f1033.mspx
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
892777Outils de support de Windows Server 2003 Service Pack 1

Prévention des objets en attente

Voici des méthodes que vous pouvez utiliser pour empêcher des objets en attente.

Méthode 1: Activer l'entrée de Registre de cohérence de réplication Strict

Vous pouvez activer l'entrée de Registre de cohérence de réplication strict afin que les objets suspects sont mis en quarantaine. Puis, les administrateurs peuvent supprimer ces objets avant qu'ils se propagent dans toute la forêt.

Si un objet accessible en écriture en attente se trouve dans votre environnement, et une tentative est faite pour mettre à jour de l'objet, la valeur dans l'entrée de Registre de cohérence de réplication Strict détermine si la réplication se déroule ou s'il est arrêté. L'entrée de Registre de cohérence de réplication strict se trouve dans la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Le type de données pour cette entrée est REG_DWORD. Si vous affectez la valeur 1, l'entrée est activée. Réplication entrante de la partition du répertoire spécifié à partir de la source est arrêtée sur la destination. Si vous affectez la valeur 0, l'entrée est désactivée. La destination demande l'objet complet à partir du contrôleur de domaine source. L'objet en attente est réactivée dans l'annuaire sous la forme d'un nouvel objet.

La valeur par défaut pour l'entrée de Registre de cohérence de réplication Strict est déterminée par les conditions sous lesquelles le contrôleur de domaine a été installé dans la forêt.

Remarque Augmentation du niveau fonctionnel du domaine ou de la forêt ne modifie pas le paramètre de la cohérence de réplication sur n'importe quel contrôleur de domaine.

Par défaut, la valeur de l'entrée de Registre de cohérence de réplication strict sur les contrôleurs de domaine sont installés dans une forêt est 1 (activé) si les conditions suivantes sont remplies :
  • La version de Windows Server 2003 de Winnt32.exe est utilisée pour mettre à niveau un contrôleur de domaine principal (PDC, Primary Domain Controller) Windows NT 4.0 vers Windows Server 2003. Cet ordinateur crée le domaine racine de la forêt d'une nouvelle forêt.
  • Active Directory est installé sur un serveur qui exécute Windows Server 2003. Cet ordinateur crée le domaine racine de la forêt d'une nouvelle forêt.
Par défaut, la valeur de l'entrée de Registre de cohérence de réplication strict sur les contrôleurs de domaine est 0 (désactivé) si les conditions suivantes sont remplies :
  • Un contrôleur de domaine Windows 2000 est mis à niveau vers Windows Server 2003.
  • Active Directory est installé sur un serveur membre Windows Server 2003 dans une forêt Windows 2000.
Si vous avez un contrôleur de domaine qui exécute Windows Server 2003 avec SP1, il est inutile de modifier le Registre pour définir la valeur de l'entrée de Registre de cohérence de réplication strict. Au lieu de cela, vous pouvez utiliser l'outil Repadmin.exe pour définir cette valeur pour un contrôleur de domaine dans la forêt ou pour tous les contrôleurs de domaine dans la forêt.

Pour plus d'informations sur l'utilisation de Repadmin.exe pour définir la cohérence de réplication Strict, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://technet.microsoft.com/en-us/library/cc780362(WS.10).aspx

Méthode 2: Moniteur de réplication à l'aide d'une commande de ligne de commande

Pour surveiller la réplication à l'aide de la commande repadmin /showrepl, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez cmd et cliquez sur OK.
  2. Tapez repadmin /showrepl * /csv > showrepl.csv, puis appuyez sur entrée.
  3. Dans Microsoft Excel, ouvrez le showrepl.csv fichier.
  4. Sélectionnez la colonne A + RPC et la colonne de SMTP.
  5. Dans le menu Edition, cliquez sur Supprimer.
  6. Sélectionnez la ligne qui se trouve immédiatement sous les en-têtes de colonne.
  7. Dans le menu fenêtre, cliquez sur Figer un volet.
  8. Sélectionnez la feuille de calcul complète.
  9. Dans le menu données, pointez sur Filtrer, puis cliquez sur Filtre automatique.
  10. Sur l'en-tête de la colonne Dernière réussite, cliquez sur la flèche vers le bas, puis cliquez sur Trier dans l'ordre croissant.
  11. Sur l'en-tête de la colonne src contrôleur de domaine, cliquez sur la flèche vers le bas, puis cliquez sur personnalisé.
  12. Dans la boîte de dialogue Filtre automatique personnalisé, cliquez sur ne contient pas.
  13. Dans la zone à droite du ne contient pas, tapez del.

    Remarque Cette étape empêche les contrôleurs de domaine supprimé dans les résultats.
  14. Sur l'en-tête de la colonne Échec dernière, cliquez sur la flèche vers le bas, puis cliquez sur personnalisé.
  15. Dans la boîte de dialogue Filtre automatique personnalisé, cliquez sur ne correspondent pas.
  16. Dans la zone à droite du n'est pas égale à, tapez 0.
  17. Résoudre les échecs de réplication qui sont affichés.

Méthode 3: Supprimer des contrôleurs de domaine

Vous pouvez supprimer les défaillances de contrôleurs de domaine à partir de la forêt avant expiration de la TSL.

Méthode 4: Augmenter la TSL

Windows 2000 Server

Augmentez la TSL à 180 jours à l'aide de l'outil Adsiedit. Pour ce faire, procédez comme suit :
  1. Dans l'outil ADSIEdit, développez successivement configuration DomainControllerName, CN = Configuration, DC = ForestRootDomain, développez CN = Services, développez CN = Windows NT, cliquez avec le bouton droit sur CN = Directory Service, puis cliquez sur Propriétés.
  2. Cliquez sur l'onglet attribut.
  3. Dans la liste Select which properties to view, cliquez sur facultatif.
  4. Dans la liste Sélectionnez une propriété à afficher, cliquez sur durée de vie de désactivation.
  5. Dans la boîte de dialogue Modifier l'attribut, tapez 180, cliquez sur définir, puis cliquez sur OK.
Windows Server 2003

Augmentez la TSL à 180 jours à l'aide de l'outil Adsiedit. Pour ce faire, procédez comme suit :
  1. Dans l'outil ADSIEdit, développez successivement configuration DomainControllerName, CN = Configuration, DC = ForestRootDomain, développez CN = Services, développez CN = Windows NT, cliquez avec le bouton droit sur CN = Directory Service, puis cliquez sur Propriétés.
  2. Cliquez sur l'onglet Attribute Editor.
  3. Dans la liste attribut, cliquez sur durée de vie de désactivation, puis cliquez sur Modifier.
  4. Dans la zone valeur, tapez 180, puis cliquez sur OK.

Propriétés

Numéro d'article: 910205 - Dernière mise à jour: lundi 16 avril 2007 - Version: 1.7
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 Service Pack 2
Mots-clés : 
kbmt kbhowto kbinfo kbexpertiseadvanced kbwinservds kbactivedirectory KB910205 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 910205
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com