Informazioni sugli oggetti persistenti in una foresta Windows Server Active Directory
Questo articolo fornisce alcune informazioni sugli oggetti persistenti in una foresta Windows Server Active Directory.
Si applica a: Windows Server 2012 R2
Numero KB originale: 910205
Riepilogo
Questo articolo contiene informazioni sugli oggetti persistenti in una foresta di Active Directory. In particolare, l'articolo descrive gli eventi che indicano la presenza di oggetti persistenti, le cause degli oggetti persistenti e i metodi che è possibile usare per rimuovere oggetti persistenti.
INTRODUZIONE
Gli oggetti persistenti possono verificarsi se un controller di dominio non viene replicato per un intervallo di tempo più lungo della durata della rimozione definitiva (TSL). Il controller di dominio si riconnette quindi alla topologia di replica. Gli oggetti eliminati dal servizio directory Active Directory quando il controller di dominio è offline possono rimanere nel controller di dominio come oggetti persistenti. Questo articolo contiene informazioni dettagliate sugli eventi che indicano la presenza di oggetti persistenti, le cause degli oggetti persistenti e i metodi che è possibile usare per rimuovere gli oggetti persistenti.
Ulteriori informazioni
Durata della rimozione definitiva e replica delle eliminazioni
Quando un oggetto viene eliminato, Active Directory replica l'eliminazione come oggetto di rimozione definitiva. Un oggetto di rimozione definitiva è costituito da un piccolo subset degli attributi dell'oggetto eliminato. Eseguendo la replica in ingresso di questo oggetto, altri controller di dominio nel dominio e nella foresta ricevono informazioni sull'eliminazione. La rimozione definitiva viene mantenuta in Active Directory per un periodo specificato. Questo periodo specificato è denominato TSL. Alla fine del TSL, l'oggetto di rimozione definitiva viene eliminato definitivamente.
Il valore predefinito di TSL dipende dalla versione del sistema operativo in esecuzione nel primo controller di dominio installato in una foresta. La tabella seguente indica i valori TSL predefiniti per sistemi operativi Windows diversi.
| Primo controller di dominio nella radice della foresta | Durata di rimozione definitiva predefinita |
|---|---|
| Windows 2000 | 60 giorni |
| Windows Server 2003 | 60 giorni |
| Windows Server 2003 con Service Pack 1 | 180 giorni |
Nota
Il valore TSL esistente non cambia quando un controller di dominio viene aggiornato a Windows Server 2003 con Service Pack 1 (SP1). Il valore TSL esistente viene mantenuto fino a quando non viene modificato manualmente.
Dopo l'eliminazione definitiva della rimozione definitiva, l'eliminazione dell'oggetto non può più essere replicata. TSL definisce per quanto tempo i controller di dominio nella foresta mantengono le informazioni su un oggetto eliminato. Il TSL definisce anche il tempo durante il quale tutti i partner di replica diretta e transitiva del controller di dominio di origine devono ricevere un'eliminazione univoca.
Come si verificano oggetti persistenti
Quando un controller di dominio viene disconnesso per un periodo più lungo del TSL, uno o più oggetti eliminati da Active Directory in tutti gli altri controller di dominio possono rimanere nel controller di dominio disconnesso. Tali oggetti sono chiamati oggetti persistenti. Poiché il controller di dominio è offline durante il tempo in cui la rimozione definitiva è attiva, il controller di dominio non riceve mai la replica della rimozione definitiva.
Quando questo controller di dominio viene riconnesso alla topologia di replica, funge da partner di replica di origine con un oggetto che il partner di destinazione non ha.
I problemi di replica si verificano quando l'oggetto nel controller di dominio di origine viene aggiornato. In questo caso, quando il partner di destinazione tenta di replicare l'aggiornamento in ingresso, il controller di dominio di destinazione risponde in uno dei due modi seguenti:
Se per il controller di dominio di destinazione è abilitata la coerenza della replica strict, il controller riconosce di non poter aggiornare l'oggetto. Il controller arresta in locale la replica in ingresso della partizione di directory dal controller di dominio di origine.
Se per il controller di dominio di destinazione è disabilitata la coerenza della replica strict, il controller richiede la replica completa dell'oggetto aggiornato. In questo caso, l'oggetto viene reintrodotto nella directory.
Cause di disconnessioni lunghe
Le condizioni seguenti possono causare disconnessioni lunghe:
Un controller di dominio viene disconnesso dalla rete e viene inserito nell'archiviazione.
La spedizione di un controller di dominio pre-staging alla sua posizione remota richiede più tempo di un TSL.
Le connessioni WAN (Wide Area Network) non sono disponibili per lunghi periodi. Ad esempio, un controller di dominio a bordo di una nave da crociera potrebbe non essere in grado di eseguire la replica perché la nave è in mare più a lungo del TSL.
L'evento segnalato è un falso positivo perché un amministratore ha abbreviato TSL per forzare la Garbage Collection degli oggetti eliminati.
L'evento segnalato è un falso positivo perché l'orologio di sistema nell'origine o nel controller di dominio di destinazione è in modo errato avanzato o sottoposto a rollback. Le asimmetrie dell'orologio sono più comuni dopo un riavvio del sistema. Le asimmetrie dell'orologio possono verificarsi per i motivi seguenti:
C'è un problema con la batteria dell'orologio di sistema o con la scheda madre.
L'origine ora per un computer è configurata in modo non corretto. Include un server di origine ora configurato usando il servizio Ora di Windows (W32Time), un server ora di terze parti o router di rete.
Un amministratore avanza o esegue il rollback dell'orologio di sistema per estendere la durata utile di un backup dello stato del sistema o per accelerare la Garbage Collection degli oggetti eliminati. Assicurarsi che l'orologio di sistema rifletta l'ora effettiva. Assicurarsi inoltre che i log eventi non contengano eventi non validi del futuro o del passato.
Indicazioni che un controller di dominio ha oggetti persistenti
Un controller di dominio obsoleto può archiviare oggetti persistenti senza alcun effetto evidente quando si verificano le condizioni seguenti:
- Un amministratore, un'applicazione o un servizio non aggiorna l'oggetto persistente.
- Un amministratore, un'applicazione o un servizio non tenta di creare un oggetto con lo stesso nome nel dominio.
- Un amministratore, un'applicazione o un servizio non tenta di creare un oggetto usando lo stesso nome dell'entità utente (UPN) nella foresta.
Anche quando non c'è alcun effetto evidente, la presenza di oggetti persistenti può causare problemi. È molto probabile che questi problemi si verifichino se un oggetto persistente è un'entità di sicurezza.
Eventi che indicano che gli oggetti persistenti possono essere presenti nella foresta
| ID evento | Descrizione generale |
|---|---|
| 1862 | Il controller di dominio locale non ha ricevuto di recente informazioni sulla replica da diversi controller di dominio (tra siti). |
| 1863 | Il controller di dominio locale non ha ricevuto di recente informazioni sulla replica da diversi controller di dominio (tra siti). |
| 1864 | Il controller di dominio locale non ha ricevuto di recente informazioni sulla replica da diversi controller di dominio (riepilogo). |
| 1311 | Knowledge Consistency Checker (KCC) non è stato in grado di compilare una topologia di albero con estensione. |
| 2042 | È trascorso troppo tempo dall'ultima replica di questo server con il server di origine denominato. |
Eventi che indicano che gli oggetti persistenti sono presenti nella foresta
| ID evento | Descrizione generale |
|---|---|
| 1084 | Non esiste alcun oggetto di questo tipo nel server. |
| 1388 | Questo sistema di destinazione ha ricevuto un aggiornamento per un oggetto che avrebbe dovuto essere presente in locale ma non lo era. |
| 1311 | Un altro controller di dominio ha replicato un oggetto non presente in questo controller di dominio. |
Nota
Gli oggetti persistenti non sono presenti nei controller di dominio che registrano l'ID evento 1988. Il controller di dominio di origine contiene l'oggetto persistente.
Errori repadmin che indicano che gli oggetti persistenti sono presenti nella foresta
| ID evento | Descrizione generale |
|---|---|
| 8240 | Non esiste alcun oggetto di questo tipo nel server. |
| 8606 | Attributi insufficienti per creare un oggetto. |
Altre indicazioni che gli oggetti persistenti sono presenti nella foresta
Un account utente o di gruppo eliminato rimane nell'elenco indirizzi globale nei server che eseguono Microsoft Exchange Server. Pertanto, anche se il nome dell'account viene visualizzato nell'elenco indirizzi globale, si verificano errori quando gli utenti provano a inviare messaggi di posta elettronica.
Più copie di un oggetto vengono visualizzate nella selezione oggetti o nell'elenco indirizzi globale per un oggetto che deve essere univoco nella foresta. A volte vengono visualizzati oggetti duplicati che hanno modificato i nomi. Questi oggetti duplicati causano confusione nelle ricerche nella directory. Ad esempio, se il nome distinto relativo di due oggetti non può essere risolto, la risoluzione dei conflitti aggiunge CNF:GUID al nome. In questo esempio rappresenta
*un carattere riservato, CNF è una costante che indica una risoluzione dei conflitti e GUID rappresenta il valore dell'attributo objectGUID.I messaggi di posta elettronica non vengono recapitati a un utente il cui account Active Directory sembra essere corrente. Dopo la riconnessione di un controller di dominio obsoleto o di un server di catalogo globale, entrambe le istanze dell'oggetto utente vengono visualizzate nel catalogo globale. Poiché entrambi gli oggetti hanno lo stesso indirizzo di posta elettronica, i messaggi di posta elettronica non possono essere recapitati.
Un gruppo universale che non esiste più continua a comparire nel token di accesso di un utente. Anche se il gruppo non esiste più, se un account utente ha ancora il gruppo nel token di sicurezza, l'utente può avere accesso a una risorsa che si intende non disponibile per tale utente.
Non è possibile creare un nuovo oggetto o una cassetta postale di Exchange. Ma l'oggetto non viene visualizzato in Active Directory. Un messaggio di errore segnala che l'oggetto esiste già.
Le ricerche che usano attributi di un oggetto esistente potrebbero trovare erroneamente più copie di un oggetto con lo stesso nome. Un oggetto è stato eliminato dal dominio. Tale oggetto rimane tuttavia in un server di catalogo globale isolato.
Se si tenta di aggiornare un oggetto persistente che risiede in una partizione di directory scrivibile, gli eventi vengono registrati nel controller di dominio di destinazione. Tuttavia, se l'unica versione di un oggetto persistente si trova in una partizione di directory di sola lettura in un server di catalogo globale, l'oggetto non può essere aggiornato. Pertanto, questo tipo di evento non viene attivato.
Rimozione di oggetti persistenti dalla foresta
Foreste basate su Windows 2000
Per altre informazioni su come rimuovere oggetti persistenti in un dominio basato su Windows 2000, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
314282 gli oggetti persistenti possono rimanere dopo aver riportato online un server di catalogo globale non aggiornato
Foreste basate su Windows Server 2003
Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
strumenti di supporto di 892777 Windows Server 2003 Service Pack 1
Impedire oggetti persistenti
Di seguito sono riportati i metodi che è possibile usare per impedire oggetti persistenti.
Metodo 1: abilitare la voce strict replication consistency del Registro di sistema
È possibile abilitare la voce strict replication consistency del Registro di sistema in modo che gli oggetti sospetti vengano messi in quarantena. Le amministrazioni possono quindi rimuovere questi oggetti prima che si diffondano nella foresta.
Se nell'ambiente si trova un oggetto persistente scrivibile e viene effettuato un tentativo di aggiornamento dell'oggetto, il valore nella voce strict replication consistency del Registro di sistema determina se la replica continua o viene arrestata. La voce strict replication consistency del Registro di sistema si trova nella sottochiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Il tipo di dati per questa voce è REG_DWORD. Se si imposta il valore su 1, la voce viene abilitata. La replica in ingresso della partizione di directory specificata dall'origine viene arrestata nella destinazione. Se si imposta il valore su 0, la voce viene disabilitata. La destinazione richiede l'oggetto completo al controller di dominio di origine. L'oggetto persistente viene ripristinato nella directory come nuovo oggetto.
Il valore predefinito per la voce strict replication consistency del Registro di sistema è determinato dalle condizioni in cui il controller di dominio è stato installato nella foresta.
Nota
L'aumento del livello funzionale del dominio o della foresta non modifica l'impostazione di coerenza della replica in alcun controller di dominio.
Per impostazione predefinita, il valore della voce del Registro di sistema Strict Replication Consistency nei controller di dominio installati in una foresta è 1 (abilitato) se si verificano le condizioni seguenti:
- La versione di Windows Server 2003 di Winnt32.exe viene usata per aggiornare un controller di dominio primario di Windows NT 4.0 a Windows Server 2003. Questo computer crea il dominio radice della foresta di una nuova foresta.
- Active Directory viene installato in un server che esegue Windows Server 2003. Questo computer crea il dominio radice della foresta di una nuova foresta.
Per impostazione predefinita, il valore della voce del Registro di sistema Strict Replication Consistency nei controller di dominio è 0 (disabilitato) se si verificano le condizioni seguenti:
- Un controller di dominio basato su Windows 2000 viene aggiornato a Windows Server 2003.
- Active Directory viene installato in un server membro basato su Windows Server 2003 in una foresta basata su Windows 2000.
Se si dispone di un controller di dominio che esegue Windows Server 2003 con SP1, non è necessario modificare il Registro di sistema per impostare il valore della voce strict replication consistency del Registro di sistema. È invece possibile usare lo strumento Repadmin.exe per impostare questo valore per un controller di dominio nella foresta o per tutti i controller di dominio nella foresta.
Per altre informazioni su come usare Repadmin.exe per impostare la coerenza della replica rigorosa, visitare il sito Web Microsoft seguente:
https://technet.microsoft.com/library/cc780362(WS.10).aspx
Metodo 2: Monitorare la replica usando un comando della riga di comando
Per monitorare la replica usando il repadmin /showrepl comando , seguire questa procedura:
Fare clic su Start, selezionare Esegui, digitare cmd e fare clic su OK.
Digitare
repadmin /showrepl * /csv >showrepl.csv, quindi premere INVIO.In Microsoft Excel aprire il file Showrepl.csv.
Selezionare la colonna A + RPC e la colonna SMTP .
Scegliere Elimina dal menu Modifica .
Selezionare la riga immediatamente sotto le intestazioni di colonna.
Scegliere Blocca riquadro dal menu Windows.
Selezionare il foglio di calcolo completo.
Scegliere Filtro dal menu Dati e quindi fare clic su Filtro automatico.
Nell'intestazione della colonna Ultimo esito positivo fare clic sulla freccia giù e quindi su Ordina crescente.
Nell'intestazione della colonna del controller di dominio src fare clic sulla freccia giù e quindi su Personalizzato.
Nella finestra di dialogo Filtro automatico personalizzato fare clic su Non contiene.
Nella casella a destra di non contiene, digitare del.
Nota
Questo passaggio impedisce la visualizzazione dei controller di dominio eliminati nei risultati.
Nell'intestazione della colonna Ultimo errore fare clic sulla freccia giù e quindi su Personalizzato.
Nella finestra di dialogo Filtro automatico personalizzato fare clic su Non uguale.
Nella casella a destra di non è uguale, digitare 0.
Risolvere gli errori di replica visualizzati.
Metodo 3: Rimuovere i controller di dominio
È possibile rimuovere i controller di dominio con esito negativo dalla foresta prima della scadenza del TSL.
Metodo 4: Aumentare il TSL
Windows 2000 Server
Aumentare il TSL a 180 giorni usando lo strumento Adsiedit. Per effettuare questa operazione, seguire questi passaggi:
- Nello strumento Adsiedit espandere ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, fare clic con il pulsante destro del mouse su CN=Directory Service e quindi scegliere Proprietà.
- Fare clic sulla scheda Attributo .
- Nell'elenco Selezionare le proprietà da visualizzare fare clic su Facoltativo.
- Nell'elenco Selezionare una proprietà da visualizzare fare clic su TombstoneLifetime.
- Nella casella Modifica attributo digitare 180, fare clic su Imposta e quindi fare clic su OK. Windows Server 2003
Aumentare il TSL a 180 giorni usando lo strumento Adsiedit. Per effettuare questa operazione, seguire questi passaggi:
- Nello strumento Adsiedit espandere ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, fare clic con il pulsante destro del mouse su CN=Directory Service e quindi scegliere Proprietà.
- Fare clic sulla scheda Attributo Editor.
- Nell'elenco Attributo fare clic su TombstoneLifetime e quindi su Modifica.
- Nella casella Valore digitare 180 e quindi fare clic su OK.
Raccolta dei dati
Se è necessaria l'assistenza del supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per