Informações sobre objetos persistentes em uma floresta de Windows Server Active Directory
Este artigo fornece algumas informações sobre objetos persistentes em uma floresta Windows Server Active Directory.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 910205
Resumo
Este artigo contém informações sobre objetos persistentes em uma floresta do Active Directory. Especificamente, o artigo descreve os eventos que indicam a presença de objetos persistentes, as causas de objetos persistentes e os métodos que você pode usar para remover objetos persistentes.
INTRODUÇÃO
Objetos persistentes podem ocorrer se um controlador de domínio não se replicar por um intervalo de tempo maior que o tempo de vida da lápide (TSL). Em seguida, o controlador de domínio se reconecta à topologia de replicação. Objetos excluídos do serviço de diretório do Active Directory quando o controlador de domínio está offline podem permanecer no controlador de domínio como objetos persistentes. Este artigo contém informações detalhadas sobre os eventos que indicam a presença de objetos persistentes, as causas de objetos persistentes e os métodos que você pode usar para remover objetos persistentes.
Mais informações
Tempo de vida da lápide e replicação de exclusões
Quando um objeto é excluído, o Active Directory replica a exclusão como um objeto tombstone. Um objeto tombstone consiste em um pequeno subconjunto dos atributos do objeto excluído. Ao replicar esse objeto de entrada, outros controladores de domínio no domínio e na floresta recebem informações sobre a exclusão. A lápide é mantida no Active Directory por um período especificado. Esse período especificado é chamado de TSL. No final do TSL, o objeto tombstone é excluído permanentemente.
O valor padrão do TSL depende da versão do sistema operacional que está em execução no primeiro controlador de domínio instalado em uma floresta. A tabela a seguir indica os valores TSL padrão para diferentes sistemas operacionais Windows.
| Primeiro controlador de domínio na raiz da floresta | Tempo de vida padrão da lápide |
|---|---|
| Windows 2000 | 60 dias |
| Windows Server 2003 | 60 dias |
| Windows Server 2003 com Service Pack 1 | 180 dias |
Observação
O valor TSL existente não é alterado quando um controlador de domínio é atualizado para o Windows Server 2003 com o Service Pack 1 (SP1). O valor TSL existente é mantido até que você o altere manualmente.
Depois que a lápide for excluída permanentemente, a exclusão do objeto não poderá mais ser replicada. O TSL define quanto tempo os controladores de domínio na floresta retêm informações sobre um objeto excluído. O TSL também define o tempo durante o qual todos os parceiros de replicação direta e transitiva do controlador de domínio de origem devem receber uma exclusão exclusiva.
Como ocorrem objetos persistentes
Quando um controlador de domínio é desconectado por um período maior que o TSL, um ou mais objetos excluídos do Active Directory em todos os outros controladores de domínio podem permanecer no controlador de domínio desconectado. Esses objetos são chamados de objetos persistentes. Como o controlador de domínio está offline durante o tempo em que a lápide está viva, o controlador de domínio nunca recebe a replicação da lápide.
Quando esse controlador de domínio é reconectado à topologia de replicação, ele atua como um parceiro de replicação de origem que tem um objeto que seu parceiro de destino não tem.
Problemas de replicação ocorrem quando o objeto no controlador de domínio de origem é atualizado. Nesse caso, quando o parceiro de destino tenta replicar a atualização de entrada, o controlador de domínio de destino responde de duas maneiras:
Se o controlador de domínio de destino tiver a Consistência de Replicação Estrita habilitada, o controlador reconhecerá que não pode atualizar o objeto. O controlador interrompe localmente a replicação de entrada da partição de diretório do controlador de domínio de origem.
Se o controlador de domínio de destino tiver a Consistência de Replicação Estrita desabilitada, o controlador solicitará o réplica completo do objeto atualizado. Nesse caso, o objeto é reintroduzido no diretório.
Causas de desconexões longas
As seguintes condições podem causar desconexões longas:
Um controlador de domínio é desconectado da rede e é colocado no armazenamento.
O envio de um controlador de domínio pré-encenado para sua localização remota leva mais tempo do que um TSL.
As conexões WAN (rede de ampla área) não estão disponíveis por longos períodos. Por exemplo, um controlador de domínio a bordo de um navio de cruzeiro pode não ser capaz de replicar porque o navio está no mar por mais tempo do que o TSL.
O evento relatado é um falso positivo porque um administrador encurtou o TSL para forçar a coleta de lixo de objetos excluídos.
O evento relatado é um falso positivo porque o relógio do sistema na origem ou no controlador de domínio de destino está incorretamente avançado ou revertido. Distorções de relógio são mais comuns após uma reinicialização do sistema. As distorções de relógio podem ocorrer pelos seguintes motivos:
Há um problema com a bateria do relógio do sistema ou com a placa-mãe.
A fonte de tempo de um computador está configurada incorretamente. Ele inclui um servidor de origem temporal configurado usando o Serviço de Tempo do Windows (W32Time), usando um servidor de tempo de terceiros ou usando roteadores de rede.
Um administrador avança ou reverte o relógio do sistema para estender a vida útil de um backup de estado do sistema ou acelerar a coleta de lixo de objetos excluídos. Verifique se o relógio do sistema reflete o tempo real. Além disso, verifique se os logs de eventos não contêm eventos inválidos do futuro ou do passado.
Indicações de que um controlador de domínio tem objetos persistentes
Um controlador de domínio desatualizado pode armazenar objetos persistentes sem qualquer efeito perceptível quando as seguintes condições são verdadeiras:
- Um administrador, um aplicativo ou um serviço não atualiza o objeto persistente.
- Um administrador, um aplicativo ou um serviço não tenta criar um objeto que tenha o mesmo nome no domínio.
- Um administrador, um aplicativo ou um serviço não tenta criar um objeto usando o mesmo nome de entidade de usuário (UPN) na floresta.
Mesmo quando não há nenhum efeito perceptível, a presença de objetos persistentes pode causar problemas. Esses problemas provavelmente ocorrerão se um objeto persistente for uma entidade de segurança.
Eventos que indicam que objetos persistentes podem estar presentes na floresta
| ID do Evento | Descrição geral |
|---|---|
| 1862 | O controlador de domínio local não recebeu recentemente informações de replicação de vários controladores de domínio (intersite). |
| 1863 | O controlador de domínio local não recebeu recentemente informações de replicação de vários controladores de domínio (intersite). |
| 1864 | O controlador de domínio local não recebeu recentemente informações de replicação de vários controladores de domínio (resumo). |
| 1311 | O KCC (Verificador de Consistência de Conhecimento) não foi capaz de criar uma topologia de árvore de abrangência. |
| 2042 | Já faz muito tempo que esse servidor foi replicado pela última vez com o servidor de origem nomeado. |
Eventos que indicam que objetos persistentes estão presentes na floresta
| ID do Evento | Descrição geral |
|---|---|
| 1084 | Não há nenhum objeto desse tipo no servidor. |
| 1388 | Esse sistema de destino recebeu uma atualização para um objeto que deveria estar presente localmente, mas não estava. |
| 1311 | Outro controlador de domínio replicou um objeto não presente neste controlador de domínio. |
Observação
Objetos persistentes não estão presentes em controladores de domínio que registram a ID do evento 1988. O controlador de domínio de origem contém o objeto persistente.
Erros de repadmin que indicam que objetos persistentes estão presentes na floresta
| ID do Evento | Descrição geral |
|---|---|
| 8240 | Não há nenhum objeto desse tipo no servidor. |
| 8606 | Atributos insuficientes foram dados para criar um objeto. |
Outras indicações de que objetos persistentes estão presentes na floresta
Uma conta de usuário ou grupo que foi excluída permanece na GAL (lista de endereços global) em servidores que estão executando Microsoft Exchange Server. Portanto, embora o nome da conta apareça no GAL, ocorrem erros quando os usuários tentam enviar mensagens de email.
Várias cópias de um objeto aparecem no seletor de objeto ou no GAL para um objeto que deve ser exclusivo na floresta. Às vezes, você vê objetos duplicados que mudaram de nome. Esses objetos duplicados causam confusão em pesquisas de diretório. Por exemplo, se o nome distinto relativo de dois objetos não puder ser resolvido, a resolução de conflitos acrescenta CNF:GUID ao nome. Neste exemplo,
*representa um caractere reservado, CNF é uma constante que indica uma resolução de conflito e GUID representa o valor do atributo objectGUID.As mensagens de email não são entregues a um usuário cuja conta do Active Directory parece estar atual. Depois que um controlador de domínio desatualizado ou servidor de catálogo global é reconectado, ambas as instâncias do objeto de usuário aparecem no catálogo global. Como ambos os objetos têm o mesmo endereço de email, as mensagens de email não podem ser entregues.
Um grupo universal que não existe mais continua a aparecer no token de acesso de um usuário. Embora o grupo não exista mais, se uma conta de usuário ainda tiver o grupo em seu token de segurança, o usuário poderá ter acesso a um recurso que você pretendia não estar disponível para esse usuário.
Um novo objeto ou caixa de correio do Exchange não pode ser criado. Mas você não vê o objeto no Active Directory. Uma mensagem de erro informa que o objeto já existe.
Pesquisas que usam atributos de um objeto existente podem localizar incorretamente várias cópias de um objeto de mesmo nome. Um objeto foi excluído do domínio. Mas esse objeto permanece em um servidor de catálogo global isolado.
Se for feita uma tentativa de atualizar um objeto persistente que reside em uma partição de diretório gravável, os eventos serão registrados no controlador de domínio de destino. No entanto, se a única versão de um objeto persistente estiver em uma partição de diretório somente leitura em um servidor de catálogo global, o objeto não poderá ser atualizado. Portanto, esse tipo de evento não é disparado.
Removendo objetos persistentes da floresta
Florestas baseadas no Windows 2000
Para obter mais informações sobre como remover objetos persistentes em um domínio baseado no Windows 2000, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
314282 Objetos persistentes podem permanecer depois que você colocar um servidor de catálogo global desatualizado novamente online
Florestas baseadas no Windows Server 2003
Para obter mais informações, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
892777 Ferramentas de Suporte do Service Pack 1 do Windows Server 2003
Prevenção de objetos persistentes
A seguir estão os métodos que você pode usar para evitar objetos persistentes.
Método 1: habilitar a entrada do registro de consistência de replicação estrita
Você pode habilitar a entrada do Registro de Consistência de Replicação Estrita para que objetos suspeitos sejam colocados em quarentena. Em seguida, as administrações podem remover esses objetos antes de se espalharem pela floresta.
Se um objeto persistente gravável estiver localizado em seu ambiente e for feita uma tentativa de atualizar o objeto, o valor na entrada do Registro de Consistência de Replicação Estrita determinará se a replicação prossegue ou será interrompida. A entrada do Registro de Consistência de Replicação Estrita está localizada na subchave do registro a seguir: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
O tipo de dados dessa entrada é REG_DWORD. Se você definir o valor como 1, a entrada estará habilitada. A replicação de entrada da partição de diretório especificada da origem é interrompida no destino. Se você definir o valor como 0, a entrada será desabilitada. O destino solicita o objeto completo do controlador de domínio de origem. O objeto persistente é revivido no diretório como um novo objeto.
O valor padrão para a entrada do Registro de Consistência de Replicação Estrita é determinado pelas condições sob as quais o controlador de domínio foi instalado na floresta.
Observação
Elevar o nível funcional do domínio ou da floresta não altera a configuração de consistência de replicação em nenhum controlador de domínio.
Por padrão, o valor da entrada do Registro de Consistência de Replicação Estrita em controladores de domínio instalados em uma floresta será 1 (habilitado) se as seguintes condições forem verdadeiras:
- A versão do Windows Server 2003 do Winnt32.exe é usada para atualizar um PDC (controlador de domínio primário) Windows NT 4.0 para o Windows Server 2003. Este computador cria o domínio raiz da floresta de uma nova floresta.
- O Active Directory está instalado em um servidor que está executando o Windows Server 2003. Este computador cria o domínio raiz da floresta de uma nova floresta.
Por padrão, o valor da entrada do Registro de Consistência de Replicação Estrita em controladores de domínio será 0 (desabilitado) se as seguintes condições forem verdadeiras:
- Um controlador de domínio baseado no Windows 2000 é atualizado para o Windows Server 2003.
- O Active Directory está instalado em um servidor membro baseado no Windows Server 2003 em uma floresta baseada no Windows 2000.
Se você tiver um controlador de domínio que esteja executando o Windows Server 2003 com o SP1, não precisará modificar o registro para definir o valor da entrada do registro de Consistência de Replicação Estrita. Em vez disso, você pode usar a ferramenta Repadmin.exe para definir esse valor para um controlador de domínio na floresta ou para todos os controladores de domínio na floresta.
Para obter mais informações sobre como usar Repadmin.exe para definir a Consistência de Replicação Estrita, visite o seguinte site da Microsoft:
https://technet.microsoft.com/library/cc780362(WS.10).aspx
Método 2: monitorar a replicação usando um comando de linha de comando
Para monitorar a replicação usando o repadmin /showrepl comando, siga estas etapas:
Clique em Iniciar e em Executar, digite cmd e clique em OK.
Digite
repadmin /showrepl * /csv >showrepl.csve pressione ENTER.No Microsoft Excel, abra o arquivo Showrepl.csv.
Selecione a coluna A + RPC e a coluna SMTP .
No menu Editar, clique em Excluir.
Selecione a linha que está imediatamente sob os cabeçalhos de coluna.
No menu Windows , clique em Congelar Painel.
Selecione a planilha completa.
No menu Dados , aponte para Filtrar e clique em Filtro Automático.
No título da coluna Last Success , clique na seta para baixo e clique em Classificar Ascendente.
No título da coluna src DC , clique na seta para baixo e clique em Personalizado.
Na caixa de diálogo AutoFilter Personalizado , clique em não conter.
Na caixa à direita do não contém, digite del.
Observação
Essa etapa impede que controladores de domínio excluídos apareçam nos resultados.
No título da coluna Última Falha , clique na seta para baixo e clique em Personalizado.
Na caixa de diálogo AutoFilter Personalizado , clique em não é igual.
Na caixa à direita do não é igual, digite 0.
Resolva as falhas de replicação exibidas.
Método 3: remover controladores de domínio
Você pode remover controladores de domínio com falha da floresta antes que o TSL expire.
Método 4: Aumentar o TSL
Windows 2000 Server
Aumente o TSL para 180 dias usando a ferramenta Adsiedit. Para fazer isso, siga estas etapas:
- Na ferramenta Adsiedit, expandaConfiguration DomainControllerName, expanda CN=Configuration, DC=ForestRootDomain, expanda CN=Services, expanda CN=Windows NT, clique com o botão direito do mouse em CN=Directory Service e clique em Propriedades.
- Clique na guia Atributo .
- Na lista Selecionar quais propriedades exibir , clique em Opcional.
- Na lista Selecionar uma propriedade para exibir , clique em TombstoneLifetime.
- Na caixa Editar Atributo, digite 180, clique em Definir e clique em OK. Windows Server 2003
Aumente o TSL para 180 dias usando a ferramenta Adsiedit. Para fazer isso, siga estas etapas:
- Na ferramenta Adsiedit, expandaConfiguration DomainControllerName, expanda CN=Configuration, DC=ForestRootDomain, expanda CN=Services, expanda CN=Windows NT, clique com o botão direito do mouse em CN=Directory Service e clique em Propriedades.
- Clique na guia Atributo Editor.
- Na lista Atributo , clique em TombstoneLifetime e clique em Editar.
- Na caixa Valor , digite 180 e clique em OK.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, recomendamos coletar as informações seguindo as etapas mencionadas em Coletar informações usando problemas de replicação do TSS para Active Directory.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários