Informações sobre objetos remanescentes em uma floresta do Active Directory do Windows Server

Objetos remanescentes podem ocorrer se um controlador de domínio não replica para um intervalo de tempo maior que a vida útil para desativação (TSL). O controlador de domínio depois reconecta a topologia de replicação. Objetos são excluídos do serviço de diretório do Active Directory quando o controlador de domínio está offline podem permanecer no controlador de domínio como objetos remanescentes. Este artigo contém informações detalhadas sobre eventos que indiquem a presença de objetos remanescentes, causas de objetos remanescentes e métodos que você pode usar para remover objetos remanescentes.

Vida útil de desativação e replicação de exclusões

Quando um objeto é excluído, o Active Directory replica a exclusão como um objeto marcado para exclusão. Um objeto marcado para exclusão consiste em um pequeno subconjunto de atributos de objeto excluído. Replicando de entrada-este objeto, outros controladores de domínio no domínio e da floresta recebem informações sobre a exclusão. Marca para exclusão é mantida no Active Directory para um período especificado. Este período especificado é chamado de TSL. No final da TSL, objeto marcado para exclusão é excluído permanentemente.

O valor padrão do TSL depende da versão do sistema operacional que está executando no primeiro controlador de domínio instalado em uma floresta. A tabela a seguir indica os valores TSL padrão para diferentes sistemas operacionais Windows. Observação Não altera o valor TSL existente quando um controlador de domínio é atualizado para Windows Server 2003 com Service Pack 1 (SP1). O valor TSL existente é mantido até que você o altere manualmente.

Após a marca para exclusão é permanentemente excluída, a exclusão de objeto não pode ser replicada. O TSL define quanto tempo os controladores de domínio na floresta mantém informações sobre um objeto excluído. O TSL também define o tempo durante o qual todos os parceiros de duplicação direto e transitivas de controlador de domínio de origem devem receber uma exclusão exclusiva.

Como objetos remanescentes ocorrerem

Quando um controlador de domínio é desconectado durante um período maior que o TSL, um ou mais objetos excluídos do Active Directory em todos os controladores de domínio podem permanecer no controlador de domínio desconectado. Esses objetos são chamados objetos remanescentes. Porque o controlador de domínio está offline durante o tempo que a marca para exclusão está ativa, o controlador de domínio nunca recebe a duplicação da marca para exclusão.

Quando este controlador de domínio é reconectado à topologia de replicação, ele atua como um parceiro de replicação de origem que tem um objeto que não tenha o seu parceiro de destino.

Problemas de replicação ocorrerem quando o objeto no controlador de domínio de origem é atualizado. Nesse caso, quando o parceiro de destino tenta de entrada-replicar a atualização, o controlador de domínio de destino responde de duas maneiras:

• Se o controlador de domínio de destino tiver Strict consistência de replicação ativado, o controlador reconhece que não pode atualizar o objeto. O controlador localmente pára de duplicação de entrada da partição de diretório do controlador de domínio de origem.
• Se o controlador de domínio de destino tiver Strict consistência de replicação desativado, o controlador solicitações da réplica completa do objeto atualizado. Nesse caso, o objeto é reintroduzido no diretório.

Causas de desconexões longos

As seguintes condições podem causar desconexões longos:

• Um controlador de domínio é desconectado da rede e é colocado no armazenamento.
• A remessa de um controlador de domínio pré-testada para seu local remoto leva mais de um TSL.
• Conexões de WAN (rede) de longa distância não estão disponíveis por longos períodos. Por exemplo, um controlador de domínio integrada um navio cruzeiro pode não conseguir replicar porque a remessa é no mar por mais do TSL.
• O evento relatado é um falso positivo porque um administrador reduzida TSL para forçar a coleta de lixo de objetos excluídos.
• O evento relatado é um falso positivo porque o relógio do sistema na origem ou no controlador de domínio de destino incorretamente avançado ou revertido. Relógio skews são mais comuns seguindo uma reinicialização do sistema. Relógio skews podem ocorrer pelos seguintes motivos:
  • Há um problema com a bateria de relógio do sistema ou com a placa-mãe.
  • A fonte de tempo para um computador está configurada incorretamente. Isso inclui um servidor de origem de tempo configurado usando o serviço de tempo do Windows (W32Time) usando um servidor de tempo de terceiros ou usando roteadores de rede.
  • Um administrador avanços ou reverte o relógio do sistema para estender a vida útil de um backup de estado do sistema ou para acelerar a coleta de lixo de objetos excluídos. Certifique-se de que o relógio do sistema reflete o tempo real. Além disso, certifique-se de que os logs de eventos não contêm eventos inválidos do futuro ou do passado.

Indicações de que um controlador de domínio possui objetos lingering

Um controlador de domínio desatualizados pode armazenar objetos remanescentes sem qualquer efeito perceptível quando as seguintes condições forem verdadeiras:

• Um administrador, um aplicativo ou um serviço não atualiza o objeto remanescentes.
• Um administrador, um aplicativo ou um serviço não tenta criar um objeto que tem o mesmo nome no domínio.
• Um administrador, um aplicativo ou um serviço não tenta criar um objeto usando o mesmo nome principal de usuário (UPN) na floresta.

Mesmo quando não houver nenhum efeito perceptível, a presença de objetos remanescentes pode causar problemas. Esses problemas são mais prováveis de ocorrer se um objeto remanescentes é uma entidade de segurança.

Eventos que indicam que objetos remanescentes podem estar presente na floresta

Para obter mais informações sobre eventos ID 2042 e informações sobre como solucionar problemas de replicação do Active Directory, visite o seguinte site:

Eventos que indicam que objetos remanescentes estão presentes na floresta

Observação Objetos remanescentes não estão presentes em controladores de domínio que o log de evento ID 1988. O controlador de domínio de origem contém o objeto remanescentes.

Erros de Repadmin indicam objetos remanescentes estão presentes na floresta

Outras indicações objetos remanescentes estão presentes na floresta

• Uma conta de usuário ou grupo que foi excluída permanece na lista de endereços global (GAL) em servidores executam o Microsoft Exchange Server. Portanto, embora o nome de conta aparece na GAL, erros ocorrem quando usuários tentam enviar mensagens de email.
• Várias cópias de um objeto aparecem no selecionador de objeto ou na GAL para um objeto que deve ser exclusivo na floresta. Às vezes você ver objetos duplicados foram alterados nomes. Esses objetos duplicados causam confusão em pesquisas de diretório. Por exemplo, se o nome distinto relativo de dois objetos não pode ser resolvido, resolução de conflito acrescenta *CNF:GUID para o nome. Neste exemplo, * representa um caractere reservado CNF é uma constante que indica uma resolução de conflito e GUID representa o valor de atributo objectGUID.
• Mensagens de email não são entregues a um usuário cuja conta Active Directory parece ser atual. Depois que um controlador de domínio desatualizados ou servidor de catálogo global é reconectado, ambas as instâncias do objeto de usuário aparecem no catálogo global. Como os dois objetos têm o mesmo endereço de email, mensagens de email não podem ser entregue.
• Um grupo universal não existe mais continua a aparecer no token de acesso do usuário. Embora o grupo não existe mais, se uma conta de usuário ainda tem o grupo em seu token de segurança, o usuário pode ter acesso a um recurso que você pretende ser indisponível para que o usuário.
• Um novo objeto ou a caixa de correio do Exchange não pode ser criada. Mas você não vir o objeto no Active Directory. Uma mensagem de erro informa que o objeto já existe.
• Pesquisas usam atributos de um objeto existente incorretamente podem encontrar várias cópias de um objeto do mesmo nome. Um objeto foi excluído do domínio. Mas esse objeto permanece em um servidor de catálogo global isolado.

Se for feita uma tentativa de atualizar um objeto remanescentes que reside em uma partição de diretório gravável, eventos são registrados no controlador de domínio de destino. No entanto, se for a única versão de um objeto remanescentes em uma partição de diretório somente leitura em um servidor de catálogo global, o objeto não pode ser atualizado. Portanto, esse tipo de evento não é acionado.

Removendo objetos remanescentes da floresta

Florestas com Windows 2000

Para obter mais informações sobre como remover objetos remanescentes em um domínio baseado no Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:

Windows Server 2003 com base em florestas

Para obter informações sobre como remover objetos remanescentes de florestas baseadas no Windows Server 2003, visite o seguinte site:Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:

Objetos remanescentes impedindo

A seguir é métodos que você pode usar para impedir que objetos remanescentes.

Método 1: Ativar entrada de registro Strict consistência de replicação

Você pode ativar a entrada de registro Strict consistência de replicação para que objetos suspeitos estão em quarentena. Em seguida, administrações podem remover esses objetos antes de eles espalham em toda a floresta.

Se um objeto remanescentes gravável está localizado em seu ambiente, e é feita uma tentativa de atualizar o objeto, o valor na entrada do Registro Strict consistência de replicação determina se a replicação continua ou é interrompido. Entrada de registro Strict consistência de replicação está localizada na seguinte subchave do Registro: O tipo de dados para essa entrada é REG_DWORD. Se você definir o valor como 1, a entrada está habilitada. Duplicação de entrada da partição de diretório especificado da fonte está parada no destino. Se você definir o valor como 0, a entrada é desativada. O destino solicitações objeto completo do controlador de domínio de origem. O objeto remanescentes é reativado no diretório como um novo objeto.

O valor padrão para entrada do Registro Strict consistência de replicação é determinado por condições em que foi instalado o controlador de domínio na floresta.

Observação Aumentar nível funcional do domínio ou floresta não altera a configuração de consistência de replicação em qualquer controlador de domínio.

Por padrão, o valor da entrada do Registro Strict consistência de duplicação nos controladores de domínio instalado em uma floresta é 1 (ativado) se as seguintes condições forem verdadeiras:

• A versão do Windows Server 2003 do Winnt32.exe é usada para atualizar um controlador de domínio primário (PDC) do Windows NT 4.0 para Windows Server 2003. Este computador cria o domínio raiz da floresta de uma nova floresta.
• O Active Directory é instalado em um servidor executando o Windows Server 2003. Este computador cria o domínio raiz da floresta de uma nova floresta.

Por padrão, o valor da entrada do Registro Strict consistência de duplicação em controladores de domínio é 0 (desativado) se as seguintes condições forem verdadeiras:

• Um controlador de domínio com Windows 2000 é atualizado para Windows Server 2003.
• O Active Directory é instalado em um servidor membro com base no Windows Server 2003 em uma floresta com Windows 2000.

Se você tiver um controlador de domínio executando o Windows Server 2003 com SP1, não é necessário modificar o registro para definir o valor da entrada do Registro Strict consistência de replicação. Em vez disso, você pode usar a ferramenta Repadmin.exe para definir esse valor para um controlador de domínio na floresta ou para todos os controladores de domínio na floresta.

Para obter mais informações sobre como usar o Repadmin.exe para definir Strict consistência de replicação, visite o seguinte site:

Método 2: Monitor replicação usando um comando de linha de comando

Para monitorar a replicação usando o comando repadmin /showrepl, siga estas etapas:

1. Clique em Iniciar, clique em Executar, digite cmd e clique em OK.
2. Digite repadmin /showrepl * /csv > showrepl.csv, e pressione ENTER.
3. No Microsoft Excel, abra o Showrepl.csv arquivo.
4. Selecione a coluna A + RPC e a coluna de SMTP.
5. No menu Editar, clique em Excluir.
6. Selecione a linha que está imediatamente sob os cabeçalhos de coluna.
7. No menu janela, clique em Congelar o painel.
8. Selecione a planilha completa.
9. No menu dados, aponte para Filtrar e clique em AutoFiltro.
10. No título da coluna Last êxito, clique na seta para baixo e clique em Classificação crescente.
11. No título da coluna src DC, clique na seta para baixo e clique em Personalizar.
12. Na caixa de diálogo Personalizar AutoFiltro, clique em não contém.
13. Na caixa à direita do não contém, digite del.
    
    Observação Esta etapa impede que os controladores de domínio excluído apareça nos resultados.
14. No título da coluna Last falha, clique na seta para baixo e clique em Personalizar.
15. Na caixa de diálogo Personalizar AutoFiltro, clique em não é igual.
16. Na caixa à direita do não é igual a, digite 0.
17. Resolva as falhas de replicação que são exibidas.

Método 3: Remover controladores de domínio

Você pode remover falhas controladores de domínio da floresta antes da TSL expira.

Método 4: Aumentar o TSL

Windows 2000 Server

Aumente TSL para 180 dias, usando a ferramenta ADSIEdit. Para fazer isso, execute essas etapas:

1. Na ferramenta ADSIEdit, expanda Configuration DomainControllerName, CN = Configuration, DC = ForestRootDomain, expanda CN = Serviços, expanda CN = Windows NT, clique com o botão direito do mouse CN = Directory Service e clique em Propriedades.
2. Clique na guia atributo.
3. Na lista Selecione propriedades para exibir, clique em opcional.
4. Na lista Selecione uma propriedade para exibir, clique em TombstoneLifetime.
5. Na caixa Edit Attribute, digite 180, clique em Definir e clique em OK.

Windows Server 2003

Aumente TSL para 180 dias, usando a ferramenta ADSIEdit. Para fazer isso, execute essas etapas:

1. Na ferramenta ADSIEdit, expanda Configuration DomainControllerName, CN = Configuration, DC = ForestRootDomain, expanda CN = Serviços, expanda CN = Windows NT, clique com o botão direito do mouse CN = Directory Service e clique em Propriedades.
2. Clique na guia Attribute Editor.
3. Na lista de atributo, clique em TombstoneLifetime e clique em Editar.
4. Na caixa valor, digite 180 e clique em OK.