Ошибка репликации Active Directory 8606: недостаточно атрибутов для создания объекта

Эта статья содержит сведения об устранении ошибки репликации Active Directory 8606: недостаточно атрибутов для создания объекта.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2028495

Сводка

В этой статье описаны симптомы и причины проблемы, из-за которой репликация Active Directory не удалась и возникает ошибка 8606: "Для создания объекта было предоставлено недостаточно атрибутов. Этот объект может не существовать, так как он, возможно, был удален. В этой статье также описывается решение этой проблемы.

Симптомы

Симптом 1

DCDIAG сообщает, что сбой теста репликации Active Directory с ошибкой 8606: "Для создания объекта было предоставлено недостаточно атрибутов".

Начальный тест: репликация
[Проверка репликации, <Конечный контроллер домена>] Не удалось выполнить недавнюю попытку репликации:
От <исходного контроллера домена> к целевому контроллеру <домена>
Контекст именования: <путь DN раздела каталога>
Репликация вызвала ошибку (8606):
Для создания объекта было предоставлено недостаточно атрибутов. Этот объект может не существовать, так как он был удален и уже собран мусор
Сбой произошел в <дату><>
Последний успех произошел в <дату><>

Симптом 2

Входящая репликация, активируемая командой "Реплицировать сейчас" в оснастке "Сайты и службы Active Directory" DSSITE. MSC не работает и выдает ошибку "Для создания объекта было предоставлено недостаточно атрибутов". Если щелкнуть правой кнопкой мыши объект подключения из исходного контроллера домена и выбрать команду Реплицировать сейчас, репликация не будет выполнена и выдается следующая ошибка: "Доступ запрещен". Кроме того, появляется следующее сообщение об ошибке:

Текст заголовка диалогового окна: "Реплицировать сейчас"
Текст сообщения диалогового окна. При попытке синхронизировать контекст <именования %active directory partition name%> из исходного> контроллера домена контроллера <домена в целевой> контроллер домена контроллера <домена домена произошла следующая ошибка:

Для создания объекта было предоставлено недостаточно атрибутов. Этот объект может не существовать, так как он был удален и уже собран мусор.

Операция не будет продолжена

Симптом 3

Различные командыrepadmin.exe завершаются ошибкой 8606. Эти команды включают, но не ограничиваются следующими:

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

Симптом 4

Событие 1988 регистрируется вскоре после возникновения одного из следующих событий:

• Развертывается первый контроллер домена в лесу.
• Выполняется любое обновление частичного набора атрибутов.

Симптом 5

Событие репликации NTDS 1988 может быть зарегистрировано в журнале событий службы каталогов контроллеров домена, которые пытаются реплицировать Active Directory для входящего трафика.

Тип: Ошибка
Источник: репликация NTDS
Категория: Репликация
Идентификатор события: 1988
Пользователь: NT AUTHORITY\ANONYMOUS LOGON
Компьютер: <имя узла контроллера домена, который зарегистрировал событие, то есть целевой контроллер домена при попытке репликации.>
Описание. Локальный контроллер домена попытался реплицировать следующий объект из следующего исходного контроллера домена. Этот объект отсутствует на локальном контроллере домена, так как он, возможно, был удален и уже собран мусор.
Исходный контроллер домена:
<полное GUIDED CNAME исходного контроллера домена>
Объекта:
<Путь DN к динамическому объекту в исходном контроллере домена>
Идентификатор GUID объекта:
<идентификатор GUID объекта в исходном контроллере домена копии Active Directory>

Причина

Ошибка 8606 регистрируется при выполнении следующих условий:

• Исходный контроллер домена отправляет обновление объекту (а не исходному созданию объекта), который уже был создан, удален, а затем освобожден путем сборки мусора из копии Active Directory целевого контроллера домена.
• Контроллер домена назначения настроен для выполнения в строгой согласованности репликации.

Если бы контроллер домена назначения был настроен для использования слабой согласованности репликации, объект был бы "реанимирован" в копии каталога конечного контроллера домена. Конкретные варианты, которые могут вызвать ошибку, описаны в разделе "Дополнительные сведения" 8606. Однако ошибка вызвана одним из следующих причин:

• Постоянно задерживающийся объект, удаление которого потребует вмешательства администратора.
• Временный затяжной объект, который будет исправлять себя, когда исходный контроллер домена выполняет следующую очистку сборки мусора. Введение первого контроллера домена в существующем лесу и обновление частичного набора атрибутов являются известными причинами этого условия.
• Объект, который был отменен или восстановлен на пороге истечения срока существования надгробия.

При устранении ошибок 8606 следует учитывать следующие моменты:

• Хотя ошибка 8606 регистрируется на целевом контроллере домена, объект проблемы, блокирующий репликацию, находится на исходном контроллере домена. Кроме того, исходный контроллер домена или партнер транзитивной репликации исходного контроллера домена потенциально не реплицировал входящие сведения о количестве дней существования удаленного надгробия в днях.

• Затяжные объекты могут существовать при следующих обстоятельствах:

  • Как "живые" объекты, как объекты CNF или объекты, изуродованные конфликтом "живые", или как объекты CNF или объекты, изуродованные конфликтом в контейнере удаленных объектов исходного контроллера домена
  • В любой секции каталога, кроме раздела схемы. Затяжные объекты чаще всего встречаются в доменных секциях только для чтения в GCs. Затяжные объекты также могут существовать в записываемых разделах домена, а также в секции конфигурации. Секция схемы не поддерживает удаление.
  • В любом классе объектов (пользователи, компьютеры, группы и записи DNS являются наиболее распространенными).

• Не забудьте найти потенциально затяжные объекты по идентификатору GUID объекта и пути DN, чтобы можно было найти объекты независимо от их раздела узла и родительского контейнера. При поиске по objectguid также будут находиться объекты, которые находятся в контейнере удаленных объектов без использования элемента управления LDAP удаленных объектов.

• Событие NTDS Replication 1988 идентифицирует только текущий объект на исходном контроллере домена, который блокирует входящую репликацию контроллером домена назначения строгого режима. Скорее всего, за объектом , на который ссылается событие 1988, которое также задерживается, есть дополнительные объекты.

• Наличие задержившихся объектов на исходном контроллере домена предотвращает или блокирует контроллеры домена назначения строгого режима от реплицируемых входящего реплицирования "хороших" изменений, которые существуют за задерживающимся объектом в очереди репликации.

• Из-за того, что контроллеры домена по отдельности удаляют объекты из удаленных контейнеров объектов (управляющая программа сборки мусора выполняется каждые 12 часов с момента последнего запуска каждого контроллера домена), объекты, вызывающие ошибки 8606 на контроллерах домена назначения, могут быть удалены при следующем выполнении очистки сборки мусора. Задерживающиеся объекты в этом классе являются временными и должны удаляться не более чем через 12 часов с момента начала проблемы.

• Задерживающийся объект, о который идет речь, скорее всего, был намеренно удален администратором или приложением. Учитывайте это в плане решения и остерегайтесь повторного анимирования объектов, особенно субъектов безопасности, которые были намеренно удалены. Разрешение

Разрешение

1. Определите текущее значение параметра TombStoneLifeTime для всего леса.

   repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime  
   

   См. раздел "Время существования и репликация удалений" в следующей статье базы знаний Майкрософт:
   910205 Сведения о затяжных объектах в лесу Windows Server Active Directory.

2. Для каждого контроллера домена назначения, который регистрирует ошибку 8606, отфильтруйте журнал событий службы каталогов в событии репликации NTDS 1988.

3. Соберите метаданные для каждого уникального объекта, который цитируется в событии репликации NTDS 1988. Из каждого события 1988, зарегистрированного на целевом контроллере домена, который ссылается на новый объект, заполните следующую таблицу:

   Путь объекта DN	Идентификатор GUID объекта	Исходный контроллер домена	Раздел узла	В режиме реального времени или удаления?	LastKnownParent	Значение IsDeleted

   Столбцы с 1 по 5 этой таблицы можно заполнить путем чтения значений непосредственно из полей в событиях репликации NTDS 1988, которые регистрируются в журналах событий службы каталогов конечных контроллеров домена, которые регистрируют событие 1988 или состояние репликации 8606.

   Метки даты для столбцов LastKnownParent и IsDeleted можно определить, выполнив repadmin /showobjmeta и указав ссылку на objectguid объекта, который цитируется в событии репликации NTDS 1988. Для этого используйте следующий синтаксис:

   repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"
   

   Метка даты для LastKnownParent определяет дату удаления объекта. Метка даты для IsDeleted указывает, когда объект был в последний раз удален или реанимирован. Номер версии указывает, было ли последнее изменение удален или реанимирован объект. Значение IsDeleteted, равное 1, представляет собой начальное удаление. Нечетные значения больше 1 указывают на повторную анимацию после по крайней мере одного удаления. Например, значение isDeleted 2 представляет объект, который был удален (версия 1), а затем отменен или реанимирован (версия 2). Более поздние четные значения для IsDeleted представляют более поздние реанимации или отмены отмены объекта.

4. Выберите соответствующее действие на основе метаданных объекта, указанных в событии 1988 года.

   Ошибка 8606 / событие репликации NTDS 1988 чаще всего возникает из-за долгосрочных сбоев репликации, которые не позволяют контроллерам домена реплицировать входящий репликация знаний обо всех исходящих удалениях в лесу. Это приводит к затяжке объектов на одном или нескольких исходных контроллерах домена.

   Просмотрите метаданные для объекта, который указан в таблице, созданной на шаге 4 раздела "Разрешение".

   Если объект в событии 1988 является либо ((динамическим на исходном контроллере домена), но (удален на контроллере домена назначения дольше, чем срок действия надгробия)), см. статьи Удаление Lingering Objects и ". Объекты в этом условии должны быть удалены администратором вручную.

   Удаленные объекты могли быть преждевременно удалены из контейнера удаленных объектов, если системное время на целевом контроллере домена перескочило вперед. Ознакомьтесь с разделом "Проверка переходов времени".

   Если объект, который цитируется в событии 1988 года, существует в контейнере удаленных объектов исходного контроллера домена и дата его удаления находится прямо на пороге истечения срока существования надгробия таким образом, что объект был освобожден путем сборки мусора одним или несколькими контроллерами домена назначения и будет восстановлен сборкой мусора в следующем интервале сборки мусора на исходных контроллерах домена (т. е. затяжные объекты являются временными), у вас есть выбор. Дождитесь следующего выполнения сборки мусора, чтобы удалить объект, или вручную активируйте сборку мусора на исходном контроллере домена. См. раздел Запуск сборки мусора вручную. Это условие может быть вызвано введением первого контроллера домена или любым изменением в наборе частичных атрибутов.

   Если repadmin /showobjmeta выходные данные для объекта, который цитируется в событии 1988 года, имеют значение LastKnownParent 1, это означает, что объект был удален , и значение IsDeleted , равное 2 или какое-либо другое четное значение, и эта метка даты для IsDeleted находится на пороге времени существования надгробия в дни, отличное от метки дат для LastKnownParent. затем объект был удален, а затем отменен или восстановлен, пока он был еще жив на исходном контроллере домена, но уже был извлечен из-за сборки мусора контроллерами домена назначения при ошибке 8606 / событие 1988. См. реанимации на пороге окончания срока действия TSL

Удаление задерживающихся объектов

Хотя существует множество методов удаления затяжных объектов, обычно используются три основных средства: repadmin.exe, Lingering Object Liquidator (LoL) и repldiag.

Ликвидатор затяжных объектов (LoL)

Самый простой способ очистки Lingering Objects — использовать loL. Средство LoL было разработано для автоматизации процесса очистки леса Active Directory. Средство основано на графическом интерфейсе пользователя и может сканировать текущий лес Active Directory, а также обнаруживать и очищать затяжные объекты. Это средство доступно в Центре загрузки Майкрософт.

Repadmin

Следующие две команды в repadmin.exe могут удалять задержившиеся объекты из секций каталогов:

• repadmin /removelingeringobjects
• repadmin /rehost

Команду repadmin /removelingeringobjects можно использовать для удаления затяжных объектов из записываемых и доступных только для чтения разделов каталогов на исходных контроллерах домена. Используется следующий синтаксис:

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

Где:
<> Dest_DSA_LIST — это имя контроллера домена, содержащего затяжные объекты (например, исходный контроллер домена, который указывается в событии NTDS Replication 1988).

<Исходный ИДЕНТИФИКАТОР DSA> — это имя контроллера домена, в котором размещена доступная для записи копия раздела каталога, содержащая объекты, к которым контроллер домена в <Dest_DSA_LIST> имеет сетевое подключение. Контроллер домена, который требуется очистить (первый контроллер домена, указанный в команде), должен иметь возможность подключаться напрямую к порту 389 на контроллере домена, где размещена доступная для записи копия раздела каталога (указанная в команде секунда).

<NC> — это путь DN к секции каталога, которая, как предполагается, содержит затяжные объекты, например секцию, указанную в событии 1988.

Команду repadmin /rehost можно использовать для удаления контроллеров домена с затяжными объектами, на которых размещается доступная только для чтения копия раздела каталога домена из контроллеров домена. Используется следующий синтаксис:

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

Где:
DSA — это имя контроллера домена, в котором размещается раздел каталога домена только для чтения для нелокального домена. Например, сборка мусора в root.contoso.com может повторно разместить свою копию child.contoso.com только для чтения, но не может повторно разместить root.contoso.com.

<Контекст> именования — это путь DN к секции каталога домена, доступной только для чтения, которая находится в глобальном каталоге.

<Хороший исходный адрес> DSA — это имя контроллера домена, в котором размещена записываемая копия контекста <>именования. Контроллер домена должен быть доступен по сети для компьютера DSA.

Если затяжной объект, сообщаемый в событии 1988 года, не удаляется repadmin, оцените, был ли объект на исходном контроллере домена создан в зазоре USN или объекты, исходные контроллером домена, не существуют в векторе актуальности исходного контроллера домена.

Repldiag

Запустите следующую лабораторию TechNet по запросу для интерактивной практики устранения этой и других ошибок репликации AD:

В лаборатории вы используете repadmin и repldiag.exe для удаления затяжных объектов.
Устранение ошибок репликации Active Directory
В этом задании вы изучите этапы устранения неполадок, анализа и реализации распространенных ошибок репликации Active Directory. Вы будете использовать сочетание ADREPLSTATUS, repadmin.exeи других средств для устранения неполадок в пяти контроллерах домена, трехдомной среде. Ошибки репликации AD, возникающие в лаборатории: -2146893022, 1256, 1908, 8453 и 8606".

Ежедневный мониторинг работоспособности репликации Active Directory

Если ошибка 8606 / Событие 1988 вызвана тем, что контроллер домена не смог реплицировать изменения Active Directory за последнее число дней существования, убедитесь, что работоспособность репликации Active Directory отслеживается изо дня в день. Работоспособность репликации можно отслеживать с помощью выделенного приложения мониторинга или путем просмотра выходных данных одного недорогого, но эффективного варианта выполнения repadmin /showrepl * /csv команды в приложении электронной таблицы, например Microsoft Excel. (См. раздел "Метод 2. Мониторинг репликации с помощью командной строки" статьи базы знаний Майкрософт 910205).

Контроллеры домена, которые не реплицировались входящего трафика в течение 50 % времени существования надгробия в днях, должны быть помещены в список watch, который получает приоритетное внимание администратора для обеспечения работоспособности репликации. Контроллеры домена, которые не могут быть сделаны для успешной репликации, должны быть понижены принудительно, если они не реплицировались в пределах 90 процентов TSL.

Сбои репликации, которые появляются на целевом контроллере домена, могут быть вызваны контроллером домена назначения, исходным контроллером домена или базовой инфраструктурой сети и DNS.

Проверка скачков времени

Чтобы определить, произошло ли скачок времени, проверка метки даты в журналах событий и диагностики (Просмотр событий, repadmin /showrepsжурналах netlogon, отчетах dcdiag) на контроллерах домена назначения, которые регистрируют события ошибки 8606 / репликации NTDS 1988 для следующих событий:

• Метки дат, предшествующие выпуску операционной системы (например, метки дат из CY 2003 для ОС, выпущенной в CY 2008);
• Метки дат, предшествующие установке операционной системы в лесу
• Метки дат в будущем
• Отсутствие событий, регистрированных в заданном диапазоне дат

служба поддержки Майкрософт команды видели системное время на рабочих контроллерах домена неправильно часы, дни, недели, годы и даже десятки лет в прошлом и будущем. Если системное время было признано неточным, следует исправить его, а затем попытаться определить, почему произошло скачок времени и что можно сделать, чтобы предотвратить неточное время вперед или просто исправить неудачное время. Возможные вопросы:

• Настроен ли корневой PDC леса с помощью внешнего источника времени?
• Доступны ли в сети справочные источники времени в сети и разрешены ли в DNS?
• Была ли служба времени Майкрософт или сторонней службы времени запущена и находилась в состоянии без ошибок?
• Настроены ли компьютеры ролей контроллера домена для использования иерархии NT5DS для исходного времени?
• Была ли 884776 защита от отката времени, описанная в статье базы знаний Майкрософт?
• Имеют ли системные часы хорошие батареи и точное время в BIOS на контроллерах домена на виртуальных хост-компьютерах?
• Настроены ли виртуальные узлы и гостевые компьютеры для исходного времени в соответствии с рекомендациями производителя размещения?
  В статье базы знаний Майкрософт 884776 описаны инструкции по защите контроллеров домена от "прослушивания" недопустимых примеров времени. Дополнительные сведения о MaxPosPhaseCorrection и MaxNegPhaseCorrection см. в записи блога W32Time Службы времени Windows.

Проверьте наличие затяжных объектов с помощью repadmin /removelingeringobjects /advisorymode, а затем удалите их по мере необходимости.

При необходимости расслабьтесь на "Разрешить репликацию с дивергентным и поврежденным партнером".

Запуск сборки мусора вручную

Существует несколько вариантов запуска сборки мусора вручную на определенном контроллере домена:

Запустите repadmin /setattr "" "" "" doGarbageCollection add 1"

Запустите LDIFDE /s <server> /i /f dogarbage.ldif, где dobarbage.ldif содержит текст:

Dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

Реанимации на пороге истечения срока действия TSL

Чтобы это условие существовало, следует сообщить, что объект "не найден" на целевом контроллере домена, repadmin /showobject "<GUID=object guid for object in 1988 event>" но является динамическим на исходном контроллере домена и является удаленным или неразрешенным объектом.

Проверка ключевых полей на repadmin /showobjmeta исходном контроллере домена должна сообщить, что верно следующее: LastKnownParent имеет значение 1, а его метка даты находится на пороге TSL дней в прошлом. Метка даты указывает дату удаления объекта.

IsDeleted имеет номер версии 2 (или другое четное значение), где версия 1 определяет исходное удаление, а версия 2 — восстановление или реанимацию. Метка даты для isDeleted=2 должна быть ~ TSL число дней позже даты последнего изменения для LastKnownParent.

Оцените, должен ли рассматриваемый объект оставаться динамическим или удаленным объектом. Если LastKnownParent имеет значение 1, объект или кто-то удалил его. Если это не было случайное удаление, скорее всего, объект должен быть удален из любых исходных контроллеров домена, имеющих динамическую копию объекта.

Если объект должен существовать во всех репликах, доступны следующие параметры:

• Включите свободную репликацию на контроллерах домена назначения строгого режима, у которых нет объекта .
• Принудительное понижение уровня контроллеров домена, которые уже собрали мусор для объекта.
• Удалите объект и создайте его повторно.

Дополнительная информация

Запустите следующую лабораторию TechNet по запросу для интерактивной практики устранения этой и других ошибок репликации AD:

Устранение ошибок репликации Active Directory
В этом задании вы изучите этапы устранения неполадок, анализа и реализации распространенных ошибок репликации Active Directory. Вы будете использовать сочетание ADREPLSTATUS, repadmin.exeи других средств для устранения неполадок в пяти контроллерах домена, трехдомной среде. Ошибки репликации AD, возникающие в лаборатории: -2146893022, 1256, 1908, 8453 и 8606".

Причины затяжных объектов

Причина 1. Исходный контроллер домена отправляет обновления объектам, которые уже были извлечены сборкой мусора на целевом контроллере домена, так как исходный контроллер домена находился в автономном режиме или произошел сбой репликации для TSL затраченное количество дней.

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования надгробия = 60 дней. Строгая репликация включена на обоих контроллерах домена. DC2 испытывает сбой системной платы. Между тем DC1 делает исходящие удаления для устаревших групп безопасности ежедневно в течение следующих 90 дней. После работы в автономном режиме в течение 90 дней DC2 получает замену системной платы, включает в себя питание, а затем инициирует изменение DACL или SACL для всех учетных записей пользователей , прежде чем он входящий реплицирует знания о исходящих удалениях из DC1. DC1 регистрирует ошибки 8606 для групп безопасности обновлений, которые очищаются в DC1 в течение первых 30 дней, когда DC2 находился в автономном режиме.

Причина 2. Исходный контроллер домена отправляет обновления объектам по истечении срока действия TSL, которые уже были освобождены сборкой мусора контроллером домена строгого режима назначения.

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования надгробия = 60 дней. Строгая репликация включена на обоих контроллерах домена. DC1 и DC2 реплицируются каждые 24 часа. DC1 выполняется ежедневно. DC1 обновлен на месте. Это помеет новый атрибут для всех объектов в конфигурации и записываемых секциях домена. Сюда входят объекты, которые в настоящее время находятся в контейнере удаленных объектов. Некоторые из них были удалены 60 дней назад и в настоящее время находятся на пороге истечения срока действия надгробия. DC2 возвращает некоторые объекты с помощью сборки мусора, которые были удалены TSL несколько дней назад до открытия расписания репликации с DC2. Ошибка 8606 регистрируется до тех пор, пока DC1 не овладит блокирующие объекты путем сборки мусора.

Любые обновления в разделяемом наборе атрибутов могут привести к временным затяжным объектам, которые будут очищаться после того, как исходные контроллеры домена собирают удаленные объекты мусора по истечении срока действия TSL (например, добавление первого контроллера домена W2K8 R2 в существующий лес).

Причина 3. Скачок времени на целевом контроллере домена преждевременно ускоряет сборку мусора удаленных объектов на целевом контроллере домена.

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования надгробия = 60 дней. Строгая репликация включена на обоих контроллерах домена. DC1 и DC2 реплицируются каждые 24 часа. DC1 выполняет ежедневное удаление. Источник эталонного времени, используемый DC1 (но не DC2), выполняется на 2039 календарный год. Это приводит к тому, что DC2 также использует системное время в CY2039. Это приводит к преждевременному удалению dc1 объектов, которые были удалены сегодня из контейнера удаленных объектов. В то же время dc2 инициирует изменения атрибутов пользователей, компьютеров и групп, которые живут в DC2, но удаляются и теперь преждевременно собирают мусор в DC1. DC1 зановит в журнал ошибку 8606, когда следующий входящий реплицирует изменения для преждевременных удаленных объектов.

Причина 4. Объект реанимируется по истечении срока действия TSL

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования надгробия = 60 дней. Строгая репликация включена на обоих контроллерах домена. DC1 и DC2 реплицируются каждые 24 часа. DC1 выполняет ежедневное удаление. Подразделение, содержащее пользователей, компьютеры и группы, случайно удаляется. Резервная копия состояния системы, созданная на этапе TSL в прошлом, восстанавливается в DC2 с проверкой подлинности. Резервная копия содержит объекты, которые живут в DC2, но уже удалены и освобождены сборкой мусора в DC1.

Причина 5. Пузырек USN активируется при ведении журнала 8606

Предположим, что вы создаете объект в пузырьке USN таким образом, чтобы он не реплицировал исходящий трафик, так как контроллер домена назначения "думает", что у него есть объект из-за пузырька. Теперь после закрытия пузырька и повторного начала репликации изменений для этого объекта на исходном контроллере домена создается изменение, которое отображается в качестве затяжного объекта на целевом контроллере домена. Контроллер назначения регистрирует событие 8606.

Требования к сквозной репликации знаний о исходящих удалениях

Контроллеры домена Active Directory поддерживают репликацию с несколькими master, когда любой контроллер домена (содержащий записываемую секцию) может создать, изменить или удалить объект или атрибут (значение). Сведения об удалении объектов и атрибутов сохраняются в исходном контроллере домена и любом контроллере домена, который имеет входящие реплицированные сведения о исходном удалении за количество дней TSL. (См. статьи базы знаний Майкрософт 216996 и 910205)

Active Directory требуется сквозная репликация от всех владельцев секций, чтобы транзитивно реплицировать все исходящие удаления для всех разделов каталога во все держатели секций. Сбой входящего репликации секции каталога в последовательном TSL в течение нескольких дней приводит к задерживающимся объектам. Задерживающийся объект — это объект, который был намеренно удален по крайней мере одним контроллером домена, но неправильно существует на контроллерах домена назначения, которые не реплицируют входящий и не реплицируют временные знания обо всех уникальных удалениях.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.