Informations sur les objets persistants dans une forêt Windows Server Active Directory
Cet article fournit des informations sur les objets persistants dans une forêt Windows Server Active Directory.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 910205
Résumé
Cet article contient des informations sur les objets persistants dans une forêt Active Directory. Plus précisément, l’article décrit les événements qui indiquent la présence d’objets persistants, les causes des objets persistants et les méthodes que vous pouvez utiliser pour supprimer les objets persistants.
INTRODUCTION
Des objets persistants peuvent se produire si un contrôleur de domaine ne se réplique pas pendant un intervalle de temps qui est plus long que la durée de vie de la pierre tombstone (TSL). Le contrôleur de domaine se reconnecte ensuite à la topologie de réplication. Les objets supprimés du service d’annuaire Active Directory lorsque le contrôleur de domaine est hors connexion peuvent rester sur le contrôleur de domaine en tant qu’objets persistants. Cet article contient des informations détaillées sur les événements qui indiquent la présence d’objets persistants, les causes des objets persistants et les méthodes que vous pouvez utiliser pour supprimer des objets persistants.
Plus d’informations
Durée de vie de tombstone et réplication des suppressions
Lorsqu’un objet est supprimé, Active Directory réplique la suppression en tant qu’objet tombstone. Un objet tombstone se compose d’un petit sous-ensemble des attributs de l’objet supprimé. En répliquant cet objet, d’autres contrôleurs de domaine dans le domaine et dans la forêt reçoivent des informations sur la suppression. La pierre tombstone est conservée dans Active Directory pendant une période spécifiée. Cette période spécifiée est appelée TSL. À la fin du TSL, l’objet tombstone est définitivement supprimé.
La valeur par défaut du TSL dépend de la version du système d’exploitation qui s’exécute sur le premier contrôleur de domaine installé dans une forêt. Le tableau suivant indique les valeurs TSL par défaut pour différents systèmes d’exploitation Windows.
| Premier contrôleur de domaine à la racine de forêt | Durée de vie des pierres tombstone par défaut |
|---|---|
| Windows 2000 | 60 jours |
| Windows Server 2003 | 60 jours |
| Windows Server 2003 avec Service Pack 1 | 180 jours |
Remarque
La valeur TSL existante ne change pas lorsqu’un contrôleur de domaine est mis à niveau vers Windows Server 2003 avec Service Pack 1 (SP1). La valeur TSL existante est conservée jusqu’à ce que vous la modifiiez manuellement.
Une fois la pierre tombstone définitivement supprimée, la suppression de l’objet ne peut plus être répliquée. La TSL définit la durée pendant laquelle les contrôleurs de domaine dans la forêt conservent les informations relatives à un objet supprimé. Le TSL définit également la durée pendant laquelle tous les partenaires de réplication directe et transitive du contrôleur de domaine d’origine doivent recevoir une suppression unique.
Comment les objets persistants se produisent
Lorsqu’un contrôleur de domaine est déconnecté pendant une période plus longue que la TSL, un ou plusieurs objets supprimés d’Active Directory sur tous les autres contrôleurs de domaine peuvent rester sur le contrôleur de domaine déconnecté. Ces objets sont appelés objets persistants. Étant donné que le contrôleur de domaine est hors connexion pendant la durée de vie de la pierre tombstone, le contrôleur de domaine ne reçoit jamais la réplication de la pierre tombstone.
Lorsque ce contrôleur de domaine est reconnecté à la topologie de réplication, il agit comme un partenaire de réplication source qui a un objet que son partenaire de destination n’a pas.
Des problèmes de réplication se produisent lorsque l’objet sur le contrôleur de domaine source est mis à jour. Dans ce cas, lorsque le partenaire de destination tente de répliquer la mise à jour entrante, le contrôleur de domaine de destination répond de l’une des deux manières suivantes :
Si la cohérence de réplication stricte est activée pour le contrôleur de domaine de destination, le contrôleur reconnaît qu’il ne peut pas mettre à jour l’objet. Le contrôleur arrête localement la réplication entrante de la partition d’annuaire à partir du contrôleur de domaine source.
Si la cohérence de réplication stricte est désactivée pour le contrôleur de domaine de destination, le contrôleur demande la réplica complète de l’objet mis à jour. Dans ce cas, l’objet est réintroduit dans le répertoire.
Causes des déconnexions longues
Les conditions suivantes peuvent entraîner de longues déconnexions :
Un contrôleur de domaine est déconnecté du réseau et est placé dans le stockage.
L’expédition d’un contrôleur de domaine prédéfini à son emplacement distant prend plus de temps qu’un TSL.
Les connexions de réseau étendu (WAN) ne sont pas disponibles pendant de longues périodes. Par exemple, un contrôleur de domaine à bord d’un navire de croisière peut ne pas être en mesure de répliquer, car le navire est en mer pendant plus longtemps que le TSL.
L’événement signalé est un faux positif, car un administrateur a raccourci le TSL pour forcer le garbage collection des objets supprimés.
L’événement signalé est un faux positif, car l’horloge système sur la source ou sur le contrôleur de domaine de destination est incorrectement avancée ou restaurée. Les asymétries d’horloge sont les plus courantes après un redémarrage du système. Des asymétries d’horloge peuvent se produire pour les raisons suivantes :
Il y a un problème avec la batterie de l’horloge système ou avec la carte mère.
La source de temps d’un ordinateur n’est pas configurée de manière incorrecte. Il inclut un serveur source de temps configuré à l’aide du service de temps Windows (W32Time), à l’aide d’un serveur de temps tiers ou à l’aide de routeurs réseau.
Un administrateur avance ou restaure l’horloge système pour prolonger la durée de vie d’une sauvegarde de l’état du système ou accélérer le garbage collection des objets supprimés. Assurez-vous que l’horloge système reflète l’heure réelle. Assurez-vous également que les journaux des événements ne contiennent pas d’événements non valides du futur ou du passé.
Indications indiquant qu’un contrôleur de domaine a des objets persistants
Un contrôleur de domaine obsolète peut stocker des objets persistants sans effet notable lorsque les conditions suivantes sont remplies :
- Un administrateur, une application ou un service ne met pas à jour l’objet persistant.
- Un administrateur, une application ou un service n’essaie pas de créer un objet portant le même nom dans le domaine.
- Un administrateur, une application ou un service n’essaie pas de créer un objet en utilisant le même nom d’utilisateur principal (UPN) dans la forêt.
Même en l’absence d’effet notable, la présence d’objets persistants peut entraîner des problèmes. Ces problèmes sont plus susceptibles de se produire si un objet persistant est un principal de sécurité.
Événements qui indiquent que des objets persistants peuvent être présents dans la forêt
| ID d’événement | Description générale |
|---|---|
| 1862 | Le contrôleur de domaine local n’a pas reçu récemment d’informations de réplication de plusieurs contrôleurs de domaine (intersite). |
| 1863 | Le contrôleur de domaine local n’a pas reçu récemment d’informations de réplication de plusieurs contrôleurs de domaine (intersite). |
| 1864 | Le contrôleur de domaine local n’a pas reçu récemment d’informations de réplication de plusieurs contrôleurs de domaine (résumé). |
| 1311 | Le vérificateur de cohérence des connaissances (KCC) n’a pas été en mesure de créer une topologie d’arborescence couvrante. |
| 2042 | Cela fait trop longtemps que ce serveur a été répliqué pour la dernière fois avec le serveur source nommé. |
Événements qui indiquent que des objets persistants sont présents dans la forêt
| ID d’événement | Description générale |
|---|---|
| 1084 | Il n’existe aucun objet de ce type sur le serveur. |
| 1388 | Ce système de destination a reçu une mise à jour pour un objet qui aurait dû être présent localement, mais qui ne l’était pas. |
| 1311 | Un autre contrôleur de domaine a répliqué un objet qui n’est pas présent sur ce contrôleur de domaine. |
Remarque
Les objets persistants ne sont pas présents sur les contrôleurs de domaine qui enregistrent l’ID d’événement 1988. Le contrôleur de domaine source contient l’objet persistant.
Erreurs repadmin qui indiquent que des objets persistants sont présents dans la forêt
| ID d’événement | Description générale |
|---|---|
| 8240 | Il n’existe aucun objet de ce type sur le serveur. |
| 8606 | Des attributs insuffisants ont été attribués pour créer un objet. |
Autres indications indiquant que les objets persistants sont présents dans la forêt
Un compte d’utilisateur ou de groupe qui a été supprimé reste dans la liste d’adresses globale sur les serveurs qui exécutent Microsoft Exchange Server. Par conséquent, bien que le nom du compte apparaisse dans la liste d’adresses, des erreurs se produisent lorsque les utilisateurs tentent d’envoyer des messages électroniques.
Plusieurs copies d’un objet apparaissent dans le sélecteur d’objets ou dans la liste d’adresses pour un objet qui doit être unique dans la forêt. Vous voyez parfois des objets en double qui ont changé de nom. Ces objets en double provoquent une confusion dans les recherches de répertoires. Par exemple, si le nom unique relatif de deux objets ne peut pas être résolu, la résolution de conflit ajoute CNF :GUID au nom. Dans cet exemple,
*représente un caractère réservé, CNF est une constante qui indique une résolution de conflit et GUID représente la valeur de l’attribut objectGUID.Les messages électroniques ne sont pas remis à un utilisateur dont le compte Active Directory semble être à jour. Après la reconnexion d’un contrôleur de domaine ou d’un serveur de catalogue global obsolète, les deux instances de l’objet utilisateur apparaissent dans le catalogue global. Étant donné que les deux objets ont la même adresse de messagerie, les messages électroniques ne peuvent pas être remis.
Un groupe universel qui n’existe plus continue à apparaître dans le jeton d’accès d’un utilisateur. Bien que le groupe n’existe plus, si un compte d’utilisateur a toujours le groupe dans son jeton de sécurité, l’utilisateur peut avoir accès à une ressource que vous aviez l’intention d’être indisponible pour cet utilisateur.
Impossible de créer un objet ou une boîte aux lettres Exchange. Mais vous ne voyez pas l’objet dans Active Directory. Un message d’erreur indique que l’objet existe déjà.
Les recherches qui utilisent les attributs d’un objet existant peuvent trouver à tort plusieurs copies d’un objet du même nom. Un objet a été supprimé du domaine. Mais cet objet reste dans un serveur de catalogue global isolé.
Si une tentative de mise à jour d’un objet persistant qui réside dans une partition de répertoire accessible en écriture est effectuée, les événements sont enregistrés sur le contrôleur de domaine de destination. Toutefois, si la seule version d’un objet persistant se trouve dans une partition de répertoire en lecture seule sur un serveur de catalogue global, l’objet ne peut pas être mis à jour. Par conséquent, ce type d’événement n’est pas déclenché.
Suppression d’objets persistants de la forêt
Forêts windows 2000
Pour plus d’informations sur la suppression d’objets persistants dans un domaine Windows 2000, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
314282 objets persistants peuvent rester après la remise en ligne d’un serveur de catalogue global obsolète
Forêts Windows Server 2003
Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
892777 Outils de support Windows Server 2003 Service Pack 1
Prévention des objets persistants
Voici les méthodes que vous pouvez utiliser pour empêcher les objets persistants.
Méthode 1 : Activer l’entrée de Registre Cohérence de réplication stricte
Vous pouvez activer l’entrée de Registre Cohérence de réplication stricte afin que les objets suspects soient mis en quarantaine. Ensuite, les administrations peuvent supprimer ces objets avant qu’ils ne se propagent dans la forêt.
Si un objet persistant accessible en écriture se trouve dans votre environnement et qu’une tentative de mise à jour de l’objet est effectuée, la valeur de l’entrée de Registre Cohérence de réplication stricte détermine si la réplication se poursuit ou est arrêtée. L’entrée de Registre Cohérence de réplication stricte se trouve dans la sous-clé de Registre suivante : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Le type de données de cette entrée est REG_DWORD. Si vous définissez la valeur sur 1, l’entrée est activée. La réplication entrante de la partition de répertoire spécifiée à partir de la source est arrêtée sur la destination. Si vous définissez la valeur sur 0, l’entrée est désactivée. La destination demande l’objet complet au contrôleur de domaine source. L’objet persistant est réactivé dans le répertoire en tant que nouvel objet.
La valeur par défaut de l’entrée de Registre Cohérence de réplication stricte est déterminée par les conditions dans lesquelles le contrôleur de domaine a été installé dans la forêt.
Remarque
L’élévation du niveau fonctionnel du domaine ou de la forêt ne modifie pas le paramètre de cohérence de réplication sur un contrôleur de domaine.
Par défaut, la valeur de l’entrée de Registre Cohérence de réplication stricte sur les contrôleurs de domaine installés dans une forêt est 1 (activé) si les conditions suivantes sont remplies :
- La version Windows Server 2003 de Winnt32.exe est utilisée pour mettre à niveau un contrôleur de domaine principal (PDC) Windows NT 4.0 vers Windows Server 2003. Cet ordinateur crée le domaine racine de forêt d’une nouvelle forêt.
- Active Directory est installé sur un serveur qui exécute Windows Server 2003. Cet ordinateur crée le domaine racine de forêt d’une nouvelle forêt.
Par défaut, la valeur de l’entrée de Registre Cohérence de réplication stricte sur les contrôleurs de domaine est 0 (désactivée) si les conditions suivantes sont remplies :
- Un contrôleur de domaine Windows 2000 est mis à niveau vers Windows Server 2003.
- Active Directory est installé sur un serveur membre Windows Server 2003 dans une forêt Windows 2000.
Si vous disposez d’un contrôleur de domaine exécutant Windows Server 2003 avec SP1, vous n’avez pas besoin de modifier le Registre pour définir la valeur de l’entrée de Registre Cohérence de réplication stricte. Au lieu de cela, vous pouvez utiliser l’outil Repadmin.exe pour définir cette valeur pour un contrôleur de domaine dans la forêt ou pour tous les contrôleurs de domaine de la forêt.
Pour plus d’informations sur l’utilisation de Repadmin.exe pour définir la cohérence de réplication stricte, visitez le site web Microsoft suivant :
https://technet.microsoft.com/library/cc780362(WS.10).aspx
Méthode 2 : Surveiller la réplication à l’aide d’une commande de ligne de commande
Pour surveiller la réplication à l’aide de la repadmin /showrepl commande , procédez comme suit :
Cliquez sur Démarrer, puis sur Exécuter, tapez cmd, puis cliquez sur OK.
Tapez
repadmin /showrepl * /csv >showrepl.csv, puis appuyez sur ENTRÉE.Dans Microsoft Excel, ouvrez le fichier Showrepl.csv.
Sélectionnez la colonne A + RPC et la colonne SMTP .
Dans le menu Edition, cliquez sur Supprimer.
Sélectionnez la ligne qui se trouve immédiatement sous les en-têtes de colonne.
Dans le menu Windows , cliquez sur Figer le volet.
Sélectionnez la feuille de calcul complète.
Dans le menu Données , pointez sur Filtrer, puis cliquez sur Filtre automatique.
Dans le titre de la colonne Dernier succès , cliquez sur la flèche vers le bas, puis sur Trier l’ordre croissant.
Dans l’en-tête de la colonne src DC , cliquez sur la flèche vers le bas, puis cliquez sur Personnalisé.
Dans la boîte de dialogue Filtre automatique personnalisé , cliquez sur ne contient pas.
Dans la zone à droite de ne contient pas, tapez del.
Remarque
Cette étape empêche les contrôleurs de domaine supprimés d’apparaître dans les résultats.
Dans l’en-tête de la colonne Dernier échec , cliquez sur la flèche vers le bas, puis sur Personnalisé.
Dans la boîte de dialogue Filtre automatique personnalisé , cliquez sur n’est pas égal.
Dans la zone à droite de n’est pas égal, tapez 0.
Résolvez les échecs de réplication affichés.
Méthode 3 : Supprimer les contrôleurs de domaine
Vous pouvez supprimer les contrôleurs de domaine défaillants de la forêt avant l’expiration du TSL.
Méthode 4 : Augmenter la TSL
Windows 2000 Server
Augmentez le TSL à 180 jours à l’aide de l’outil Adsiedit. Pour ce faire, procédez comme suit :
- Dans l’outil Adsiedit, développez ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, cliquez avec le bouton droit sur CN=Directory Service, puis cliquez sur Propriétés.
- Cliquez sur l’onglet Attribut .
- Dans la liste Sélectionner les propriétés à afficher , cliquez sur Facultatif.
- Dans la liste Sélectionner une propriété à afficher , cliquez sur TombstoneLifetime.
- Dans la zone Modifier l’attribut , tapez 180, cliquez sur Définir, puis sur OK. Windows Server 2003
Augmentez le TSL à 180 jours à l’aide de l’outil Adsiedit. Pour ce faire, procédez comme suit :
- Dans l’outil Adsiedit, développez ConfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, cliquez avec le bouton droit sur CN=Directory Service, puis cliquez sur Propriétés.
- Cliquez sur l’onglet Rédacteur Attribut.
- Dans la liste Attribut , cliquez sur TombstoneLifetime, puis sur Modifier.
- Dans la zone Valeur , tapez 180, puis cliquez sur OK.
Collecte de données
Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour