レプリケーション障害が発生すると、多くのリンクが定義されている Active Directory オブジェクトを削除します。

適用対象: Windows Server 2012 R2 StandardWindows Server 2012 StandardWindows Server 2012 Standard

概要


この資料では、多くの転送リンクが含まれている Active Directory オブジェクトを削除するときに発生する問題について説明します。いくつかの一般的な例を挙げます。
  • グループ メンバーシップ (member 属性)
  • (Ms の PKI の AccountCredentials 属性) は、ユーザーの資格情報の移動
  • 読み取り専用ドメイン コント ローラー (RODC) には、ユーザーのリンク (mds revealedusers 属性) が公開されています。

問題の表示を開始するリンクの数は、50,000 程度可能性があります。1 つのオブジェクトのリンクのいくつかの数百万があります。

この資料に記載されているレジストリ キーは、ドメイン コント ローラー (Dc) にのみ適用する必要がありますと、「現象」に記載されている問題が発生しているライトウェイト ディレクトリ サービス (LDS) サーバーです。この問題は、Windows Server 2012 の、Windows Server 2012 R2、および Windows Server 2016 の Dc で発生する可能性があります。ここで指定されている推奨事項に従えば、することで、Active Directory レプリケーションのパフォーマンスが低下するが、このような大規模なオブジェクトの削除を正しく処理の信頼性を高めます。

現象


多くの転送リンクが含まれている Active Directory オブジェクトを削除すると、レプリケーション エラーがあります。多数のメンバーシップの設定を持つグループを削除するなど、降格し、RODC コンピューター アカウントが RODC に公開される自分のパスワードを持つユーザー アカウントへのリンクを削除します。

次の条件とは、このソリューションは、問題に適用される重要な指標です。
 
  • フォレストの機能レベルは Windows Server 2003 またはそれ以降のバージョンの Windows Server では、リンク値レプリケーションを使用します。
  • イベント 2094 (レプリケーションの遅延) は、同じを参照しているオブジェクトを削除を何回かに発生します。
  • 同じ削除されたオブジェクトを参照する 2094 イベントのログ記録の終了時間近くで 1083 と 1955 (書き込みの競合) のイベントが記録されます。
  • 影響を受けるドメイン コント ローラー (DC) は、バージョン ストアがなくなることも報告ことがあります (イベント ID 623)。バージョン ストアの消費は常にこのシナリオでは発生しません。バージョン ストアの消費の危険性を高めるその他の要因には、高度なクエリなどの長時間実行している他の操作と同様に、ローカルおよびレプリケートされた場合は、Active Directory のオブジェクトへの変更の率が高いが含まれます。
  • 8409、エラーのエラーのため、active Directory のレプリケーションが失敗した場合「データベース エラーが発生しました」、またはその他のイベントは、次の表に記載されている関連するステータス コードを引用します。
    16 進数 10 進数 シンボル わかりやすい
    000020D9 8409 ERROR_DS_DATABASE_ERROR データベース エラーが発生しました
Active Directory のごみ箱を有効にすると、レプリケーション エラーが発生 60 ~ 180 日間 (削除されたオブジェクトの有効期間) は、オブジェクトが削除された後。オブジェクトが削除された状態から再利用の状態に遷移するときに問題が発生します。

イベント ログ エントリ

問題が発生した場合、次のイベントが記録されます。

Log Name:      Directory ServiceSource:        Microsoft-Windows-ActiveDirectory_DomainServiceEvent ID:      2094Task Category: ReplicationLevel:         WarningKeywords:      ClassicDescription: Performance warning: replication was delayed while applying changes to the following object. If this message occurs frequently, it indicates that the replication is occurring slowly and that the server may have difficulty keeping up with changes. Object DN: <object name>Object GUID: <object GUID>Partition DN: DC=contoso,DC=comServer: xxxx-xxxx-xxxx-xxxx-xxxxxxx._msdcs.contoso.comElapsed Time (secs): 11User Action A common reason for seeing this delay is that this object is especially large, either in the size of its values, or in the number of values. You should first consider whether the application can be changed to reduce the amount of data stored on the object, or the number of values.  If this is a large group or distribution list, you might consider raising the forest functional level to Windows Server 2003 or greater, since this will enable replication to work more efficiently. You should evaluate whether the server platform provides sufficient performance in terms of memory and processing power. Finally, you may want to consider tuning the Active Directory Domain Services database by moving the database and logs to separate disk partitions.If you wish to change the warning limit, the registry key is included below. A value of zero will disable the check. Additional Data Warning Limit (secs): 10Limit Registry Key: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximum wait for update object (secs) Log Name:      Directory ServiceSource:        Microsoft-Windows-ActiveDirectory_DomainServiceEvent ID:      1083Task Category: ReplicationLevel:         WarningKeywords:      ClassicDescription:Active Directory Domain Services could not update the following object with changes received from the directory service at the following network address because Active Directory Domain Services was busy processing information. Object: <object name> Network address: xxxxx-xxxx-xxxx-xxxx-xxxxxxx._msdcs.contoso.com This operation will be tried again later.Log Name:      Directory ServiceSource:        Microsoft-Windows-ActiveDirectory_DomainServiceEvent ID:      1955Task Category: ReplicationLevel:         InformationKeywords:      ClassicUser:          ANONYMOUS LOGONDescription: Active Directory Domain Services encountered a write conflict when applying replicated changes to the following object. Object: <object name>Time in seconds: 48 Event log entries preceding this entry will indicate whether or not the update was accepted. A write conflict can be caused by simultaneous changes to the same object or simultaneous changes to other objects that have attributes referencing this object. This commonly occurs when the object represents a large group with many members, and the functional level of the forest is set to Windows 2000. This conflict triggered additional retries of the update. If the system appears slow, it could be because replication of these changes is occurring. User Action Use smaller groups for this operation or raise the forest functional level to Windows Server 2003.

詳細


既定では、前方と後方リンクの数が非常に大規模な Active Directory オブジェクトを削除すると、10,000 のリンクが同時に削除されます。この間、他のスレッドがこれらのリンクのターゲット オブジェクトを更新する場合、リンクの削除トランザクションのオブジェクトは再利用されるまで中断されます。この中断には、全体の削除トランザクションの完了に時間がかかる可能性があります。この間、他のレプリケーション ・ タスクはこの時間のかかるタスクでに保持されます。たとえば、パスワード、グループ メンバーシップの更新は、フォレスト全体で進行しない場合もあります。

この更新プログラムは、保留中は、管理者が書き込みの競合およびトランザクションの失敗イベントが表示されます。また、追加のオブジェクトは、レプリケーションによって処理されます、ますます多くのバージョン ストアが割り当てられます削除トランザクションが完了するまで、保留中の大規模なトランザクションが、割り当てられたバージョン ストアを解放しないためです。これは、バージョン ストア エラーやレプリケーションの警告イベントに発生することができます。

注:
 
  • ガベージ コレクションは、グループ メンバーシップのリンクの削除の処理には関係ありません。
  • TSL の減少は、リンクの削除を高速化の有効なメソッドではありません。
  • リンク処理のバッチ サイズを従来の値は、Windows Server 2008 R2 より前に、のバージョンでは 1,000 個です。それ以降のバージョンでは、ごみ箱を有効にしたフォレストに復元のパフォーマンスを向上させるために 10,000 にバッチ サイズが増加します。
  • リンク処理のバッチ サイズパラメーターの値を確認してください。既定以外の場合は、既定または 1,000、100 であっても 10 なども小さい値に値を設定します。

    小さい値の減少バージョン ストアの使用率あたり 1 つの実行時間の合計を減らすを削除するオブジェクトの数を減らしてを削除することによっては、トランザクションを削除します。バージョン ストアを減らすことの正の側効果があり、書き込みの競合するときの時間帯には、ディレクトリ内のグループ メンバーシップを正確に反映するために必要な時間が長くなります。

Active Directory サービスは、次のレジストリ キーを確認します。

AD DS: の

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Links プロセスのバッチ サイズ
AD LDS。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ < adam インスタンス > \Parameters\Links プロセスのバッチ サイズ
種類: DWORD

最小値: 1000

最大値: 10000

この値は、一度に 1 つを処理するための分割不可能なリンクの数として 10,000 の既定値をオーバーライドします。NTDS または LDS インスタンス サービスを再起動するか、コンピューターを再起動して設定を有効にする必要はありません。

各分割不可能な操作の後は、対応するバージョン ストアが解放されます。バージョン ストアは、同じオブジェクトの処理を続行する次の分割不可能な操作中にのみ再取得します。きわめて高度で、リンクのバッチ サイズを小さくすることについて再考するがあります。ESE バージョン ストアの増加と組み合わせることができます。おそらくバージョン ストアが増加したことの理由ですることができますを増やすかバージョン保存の詳細な程度のリンク処理のバッチ サイズ値が低下しません。

詳細については以下の資料を参照してください。

回避策


この問題を回避するのには 10,000 より低いリンク処理のバッチ サイズの値を設定します。これには、オブジェクト アクセスの衝突が発生する可能性が低くなります。これにより、ラージ オブジェクトの削除のレプリケーション ・ プロセスの信頼性を高めます。また、それでは、全体のトランザクションを完了する時間が長くなります。これによりバージョン ストアの不足を避けることもできます。

関連情報


詳細については以下の資料を参照してください。