Удаление объектов Active Directory, которые содержат множество ссылок вызывает сбои репликации

Применимо к: Windows Server 2012 R2 StandardWindows Server 2012 StandardWindows Server 2012 Standard

Обзор


В данной статье рассматривается проблема, которая возникает при удалении объектов Active Directory, которые содержат множество ссылок вперед. Ниже приведены некоторые распространенные примеры:
  • Членство в группах (атрибут элемента)
  • Роуминг учетных данных пользователя (атрибут ms-PKI-AccountCredentials)
  • Контроллер домена только для чтения (RODC) предоставляются ссылки пользователем (атрибут mds-revealedusers)

Количество ссылок, где начать просмотр проблем может быть как меньше 50 000. На один объект может быть несколько миллионов ссылок.

Раздел реестра, описанного в этой статье должны применяться только для контроллеров домена (DC) и серверы каталогов служб облегченного доступа к каталогам (LDS), где наблюдается вышеописанная проблема, описанная в разделе «Проблема». Эта проблема является вероятно для Windows Server 2012, Windows Server 2012 R2 и контроллеры домена Windows Server 2016. Выполнив следующие рекомендации, которые приведены ниже, могут снизить производительность репликации Active Directory, но повышения надежности правильной обработки удаления таких больших объектов.

Симптомы


При удалении объектов Active Directory, которые содержат множество ссылок вперед, могут возникать ошибки репликации. Например удаление групп с наборами большой членство или понизить, а затем удалить учетные записи компьютера RODC, содержат множество ссылок для учетных записей пользователей, которые имеют пароля на RODC.

Ключевые индикаторы, это решение применимо к вопросу, выполняются следующие условия:
 
  • Функциональный уровень леса является Windows Server 2003 или более поздней версии Windows Server, поэтому используется значение связи репликации.
  • Событие 2094 (задержка репликации) происходит несколько раз, ссылка на то же удален объект.
  • События 1083 и 1955 (конфликт записи) регистрируется в близости от времени закрытия для ведения журнала событий 2094, ссылки на один и тот же удаленный объект.
  • На контроллере домена (DC) также может сообщать, что хранилище версий будет исчерпан (623 идентификатор события). Нехватки хранилища версий не всегда происходит в этой ситуации. Другие факторы, увеличить вероятность нехватки хранилище версии включают высокую скорость изменений в объектах Active Directory, локальный и репликации, а также другие длительной операции, такие как глубокая запросами.
  • Репликация Active Directory происходит сбой с ошибкой 8409, ошибка «произошла ошибка базы данных» или другие события упоминаются связанные коды которых перечисленные в следующей таблице:
    Шестн. Десятичный Символические Понятное
    000020D9 8409 ERROR_DS_DATABASE_ERROR Произошла ошибка базы данных
Если Корзина Active Directory включена, 60 – 180 дней (время существования удаленных объектов) не возникает ошибок репликации после удаления объекта. Проблемы возникают, когда объект переходит из состояния удаленных для очистки состояния.

Записи журнала событий

Когда возникает проблема, регистрируются следующие события:

Log Name:      Directory ServiceSource:        Microsoft-Windows-ActiveDirectory_DomainServiceEvent ID:      2094Task Category: ReplicationLevel:         WarningKeywords:      ClassicDescription: Performance warning: replication was delayed while applying changes to the following object. If this message occurs frequently, it indicates that the replication is occurring slowly and that the server may have difficulty keeping up with changes. Object DN: <object name>Object GUID: <object GUID>Partition DN: DC=contoso,DC=comServer: xxxx-xxxx-xxxx-xxxx-xxxxxxx._msdcs.contoso.comElapsed Time (secs): 11User Action A common reason for seeing this delay is that this object is especially large, either in the size of its values, or in the number of values. You should first consider whether the application can be changed to reduce the amount of data stored on the object, or the number of values.  If this is a large group or distribution list, you might consider raising the forest functional level to Windows Server 2003 or greater, since this will enable replication to work more efficiently. You should evaluate whether the server platform provides sufficient performance in terms of memory and processing power. Finally, you may want to consider tuning the Active Directory Domain Services database by moving the database and logs to separate disk partitions.If you wish to change the warning limit, the registry key is included below. A value of zero will disable the check. Additional Data Warning Limit (secs): 10Limit Registry Key: System\CurrentControlSet\Services\NTDS\Parameters\Replicator maximum wait for update object (secs) Log Name:      Directory ServiceSource:        Microsoft-Windows-ActiveDirectory_DomainServiceEvent ID:      1083Task Category: ReplicationLevel:         WarningKeywords:      ClassicDescription:Active Directory Domain Services could not update the following object with changes received from the directory service at the following network address because Active Directory Domain Services was busy processing information. Object: <object name> Network address: xxxxx-xxxx-xxxx-xxxx-xxxxxxx._msdcs.contoso.com This operation will be tried again later.Log Name:      Directory ServiceSource:        Microsoft-Windows-ActiveDirectory_DomainServiceEvent ID:      1955Task Category: ReplicationLevel:         InformationKeywords:      ClassicUser:          ANONYMOUS LOGONDescription: Active Directory Domain Services encountered a write conflict when applying replicated changes to the following object. Object: <object name>Time in seconds: 48 Event log entries preceding this entry will indicate whether or not the update was accepted. A write conflict can be caused by simultaneous changes to the same object or simultaneous changes to other objects that have attributes referencing this object. This commonly occurs when the object represents a large group with many members, and the functional level of the forest is set to Windows 2000. This conflict triggered additional retries of the update. If the system appears slow, it could be because replication of these changes is occurring. User Action Use smaller groups for this operation or raise the forest functional level to Windows Server 2003.

Дополнительные сведения


По умолчанию при удалении объекта Active Directory, который имеет очень большое количество ссылок вперед и назад, одновременно удаляются 10 000 ссылок. В это время другие потоки обновления целевых объектов из этих ссылок транзакции удаления ссылки приостанавливается, пока объекты будут доступны. Эта приостановка может привести к слишком долго для завершения удаления всей транзакции. В течение этого времени другие задачи репликации сдерживается длительные задачи. Например можно заметить, что пароли и обновления членства в группе не плану по всему лесу.

Хотя это обновление находится в состоянии ожидания, администраторы могут отображаться конфликты записи и события сбоя транзакции. Кроме того как дополнительные объекты обрабатываются по репликации, хранилище версий больше выделяется из-за ожидания большой транзакции не освобождает свое хранилище версий выделенный до завершения операции удаления. Это может вызвать ошибки хранилища версий и события предупреждений репликации.

Примечания
 
  • Сборщик мусора не относится к обработки удаления связи членства группы.
  • Уменьшение TSL не допустимый метод ускорения удаления ссылки.
  • Старые значения для ссылки обработки размер пакета составляет 1 000 в версиях до Windows Server 2008 R2. В более поздних версиях размер пакета увеличивается до 10 000 для повышения производительности Отмена в лесах, содержащих Корзина включена.
  • Проверьте значения параметра ссылки обработки размер пакета . Если это не по умолчанию, значение по умолчанию или еще меньшее значение даже 10, 100 или 1000.

    Меньшего использования значения уменьшение версии хранилища, удалив меньшее количество объектов на удаление, уменьшая общее время для выполнения одной удалить проводку. Это имеет положительный побочный эффект уменьшения хранилища версий и интервал времени для записи конфликтов во время увеличить время, которое необходимо для точного отражения членства в группах в каталоге.

Службы Active Directory проверьте следующий раздел реестра.

Для службы AD DS:

Размер пакета процесса HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Links
Для AD LDS:

Размер пакета процесса \Parameters\Links HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ < экземпляра adam >
Тип: DWORD

Минимальное значение: 1000

Максимальное значение: 10000

Это значение переопределяет значение по умолчанию 10 000 как число атомарных ссылок для обработки за один раз. Не нужно перезапустить службу экземпляра LDS или NTDS или перезагрузить компьютер, чтобы настройки вступили в силу.

После каждой атомарные операции освобождается соответствующего хранилища версий. Хранилище версий будет получена только во время следующего атомарные операции, которая продолжает обрабатывать тот же объект. Может иметь второй мысли об отключении вниз размер пакета ссылку на высокий уровень. Его можно объединить с увеличением в хранилище версий ESE. Если возможно по той причине, что после увеличения хранилища версий, может потребоваться увеличить версию хранить некоторые более или не уменьшить значение размера пакета обработки ссылок так много.

Следующие статьи для получения дополнительных сведений см.

Временное решение


Чтобы обойти эту проблему, установите значение размера пакета обработки ссылки меньше 10 000. Это снижает потенциальную возможность конфликтов доступа объекта возникает. Таким образом, можно сделать процесс репликации удаления больших объектов более надежным. Кроме того теперь занимает больше времени для завершения всей транзакции. Это также помогает избежать исчерпание хранилища версий.

Ссылки


Следующие статьи для получения дополнительных сведений см.