Событие репликации Active Directory с идентификатором 1388 или 1988: обнаружен затяжной объект

  • Статья

Эта статья поможет устранить неполадки с событиями репликации Active Directory с идентификаторами 1388 и 1988.

Применимо к: Windows Server (все поддерживаемые версии)
Исходный номер базы знаний: 4469619

Сводка

Если контроллер домена назначения регистрирует событие с идентификатором 1388 или событием с идентификатором 1988, обнаружен затяжной объект и на контроллере домена назначения существует одно из двух условий:

  • Идентификатор события 1388: входящая репликация задерживающегося объекта на целевом контроллере домена.
  • Идентификатор события 1988: входящая репликация секции каталога затяжного объекта заблокирована на контроллере домена назначения.

Идентификатор события 1388

Это событие указывает, что контроллер домена назначения, не имеющий строгой согласованности репликации, получил запрос на обновление объекта, который не находится в локальной копии базы данных Active Directory. В ответ контроллер домена назначения запросил полный объект у исходного партнера по репликации. Таким образом, затяжной объект был реплицирован в целевой контроллер домена. Таким образом, затяжной объект был вновь введен в каталог.

Важно!

При возникновении события с идентификатором 1388 нельзя использовать Lingering Object Liquidator версии 2 (LOLv2) или средство Repadmin для удаления задерживающихся объектов.

Сведения об удалении затяжных объектов в этом случае см. в разделе:

Процедуры и сведения, описанные в этой статье, относятся к удалению затяжных объектов с серверов глобального каталога, а также с контроллеров домена, которые не являются серверами глобального каталога.

Текст события определяет исходный контроллер домена и устаревший (затяжной) объект. Ниже приведен пример текста события:

Имя журнала: служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 03.05.2008 15:34:01
Идентификатор события: 1388
Категория задачи: репликация
Уровень: ошибка
Ключевые слова: классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер. DC3.contoso.com Описание. Другой контроллер домена (DC) пытался реплицировать в этот контроллер домена объект, который отсутствует в локальной базе данных доменные службы Active Directory. Возможно, объект был удален и уже собран мусор (время существования надгробия или более прошло с момента удаления объекта) на этом контроллере домена. Набора атрибутов, включенного в запрос на обновление, недостаточно для создания объекта. Объект будет повторно запрошен с полным набором атрибутов и повторно создан на этом контроллере домена.

Исходный контроллер домена (адрес сети, зависящий от транспорта):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Объекта:
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID объекта: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Раздел каталога:
DC=contoso,DC=com
UsN назначения с наивысшим свойством: 20510
Действие пользователя:
Проверьте постоянное желание существования этого объекта. Чтобы прекратить повторное создание подобных объектов в будущем, необходимо создать следующий раздел реестра.

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Идентификатор события 1988

Это событие указывает, что контроллер домена назначения с включенной строгой согласованностью репликации получил запрос на обновление объекта, который не существует в локальной копии базы данных Active Directory. В ответ контроллер домена назначения заблокировал репликацию раздела каталога, содержащего этот объект из исходного контроллера домена. Текст события определяет исходный контроллер домена и устаревший (затяжной) объект. Ниже приведен пример текста события:

Имя журнала: служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 07.02.2008 8:20:11 AM Идентификатор события: 1988
Категория задачи: репликация
Уровень: ошибка
Ключевые слова: классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютере: DC5.contoso.com
Описание:
доменные службы Active Directory репликация обнаружила наличие объектов в следующем разделе, которые были удалены из локального контроллера домена (DCs) доменные службы Active Directory базы данных. Не все партнеры прямой или транзитивной репликации реплицировались при удалении до истечения времени существования надгробия в течение нескольких дней. Объекты, которые были удалены и мусор, собранные из доменные службы Active Directory секции, но по-прежнему существуют в записываемых разделах других контроллеров домена в том же домене, или секции, доступные только для чтения на серверах глобального каталога в других доменах в лесу, называются "сохраняющимися объектами".

Это событие регистрируется, так как исходный контроллер домена содержит затяжной объект, который не существует в локальных контроллерах домена доменные службы Active Directory базе данных. Эта попытка репликации заблокирована.

Лучшее решение этой проблемы — идентифицировать и удалять все затяжные объекты в лесу.

Исходный контроллер домена (адрес сети, зависящий от транспорта):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Объект: CN=InternalApps,CN=Users,DC=contoso,DC=com
Идентификатор GUID объекта:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Диагноз

Объект, который был окончательно удален из AD DS (то есть его надгробие было собрано мусором на всех подключенных контроллерах домена), остается на отключенном контроллере домена. Контроллеру домена не удалось получить прямую или транзитивную репликацию удаления объекта, так как он был отключен (он находится в автономном режиме или испытывает сбой входящей репликации) от топологии репликации в течение периода, который превысил время существования надгробия. Контроллер домена теперь повторно подключен к топологии, и этот объект был обновлен на контроллере домена, что вызывает уведомление о том, что обновление готово к репликации. Партнер по репликации ответил в соответствии с параметром согласованности репликации. Это уведомление применяется к попытке репликации записываемого объекта. Копия записываемого объекта также может существовать на сервере глобального каталога.

Разрешение

При обнаружении репликации затяжного объекта можно удалить объект из AD DS вместе с любыми репликами объекта, доступными только для чтения, с помощью LOLv2, определив контроллеры домена, в которых может храниться этот объект (включая серверы глобального каталога), и удалить его с помощью средства LOLv2 или выполнив команду repadmin для удаления задерживающихся объектов на этих серверах (repadmin /removelingeringobjects). Эта команда доступна на контроллерах домена под управлением поддерживаемой версии Windows Server.

Чтобы удалить затяжные объекты, сделайте следующее:

  1. Используйте текст события, чтобы определить следующее:
    1. Раздел каталога объекта
    2. Исходный контроллер домена, который попытался выполнить репликацию затяжного объекта
  2. Используйте Repadmin для идентификации GUID доверенного контроллера домена.
  3. Используйте LOLv2 или Repadminдля удаления затяжных объектов.
  4. При необходимости включите строгую согласованность репликации.
  5. При необходимости убедитесь, что для контроллеров домена с повышенными уровнями включена строгая согласованность репликации.

Используйте Repadmin для идентификации GUID доверенного контроллера домена:

Чтобы выполнить процедуру, которая удаляет затяжные объекты, необходимо определить глобальный уникальный идентификатор (GUID) актуального контроллера домена с возможностью записи реплика секции каталога, содержащей сообщаемый затяжной объект. Раздел каталога определяется в сообщении о событии. Идентификатор GUID объекта контроллера домена хранится в атрибуте objectGUID объекта NTDS Settings.

Требования:

  • Членство в администраторах домена в домене контроллера домена, идентификатор GUID которого требуется идентифицировать, является минимальным, необходимым для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Локальные и доменные группы по умолчанию.
  • Инструмент: Repadmin.exe

Действия по идентификации GUID контроллера домена:

  1. В командную строку введите следующую команду и нажмите ВВОД:

    repadmin /showrepl <ServerName>
    Параметр Описание
    /showrepl Отображает состояние репликации, в том числе при последней попытке входящего репликации секций Active Directory контроллером домена, указанным в параметре <ServerName> . Также отображает guid указанного контроллера домена.
    <Имя _сервера> Имя контроллера домена, GUID которого требуется отобразить.

  2. В первом разделе выходных данных найдите запись objectGuid . Выберите и скопируйте значение GUID в текстовый файл, чтобы его можно было использовать в другом месте.

Используйте LOLv2 или Repadmin для удаления затяжных объектов:

Требования:

  • Для выполнения этой процедуры требуется членство в домене контроллера домена с задерживающимися объектами или администраторов предприятия , если раздел каталога, содержащий объекты, является разделом каталога конфигурации или схемы. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Локальные и доменные группы по умолчанию.

  • Операционная система: поддерживаемая версия Windows Server.

  • Предпочтительный метод удаления затяжных объектов — использование LOLv2. В некоторых случаях, когда не удается использовать LOLv2, можно использовать Repadmin.exe

Дополнительные сведения о LOLv2:

Действия по удалению затяжных объектов с помощью Repadmin:

  1. Откройте командную строку от имени администратора. В меню Пуск щелкните правой кнопкой мыши командную строку и выберите команду Запуск от имени администратора. Если появится диалоговое окно Контроль учетных записей пользователей, при необходимости укажите учетные данные администраторов домена или корпоративных администраторов и нажмите кнопку Продолжить.

  2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Параметр Описание
    /removelingeringobjects Удаляет задерживающиеся объекты из контроллера домена, указанного в параметре <ServerName> для раздела каталога, указанного параметром <DirectoryPartition>.
    <Имя _сервера> Имя контроллера домена с задерживающимися объектами, указанное в сообщении о событии (с идентификатором события 1388 или событием 1988). Можно использовать dns-имя или различающееся имя, например РАЗЛИЧАЮЩЕЕся имя CN=DC5,OU=Контроллеры домена,DC=contoso,DC=com или DNS-имя DC5.contoso.com.
    <ServerGUID> GUID контроллера домена, имеющего актуальный, доступный для записи реплика раздела каталога, содержащего затяжной объект.
    <DirectoryPartition> Различающееся имя секции каталога, которое определяется в сообщении о событии, например:
    • Для раздела каталога домена Sales в лесу contoso.com : DC=sales,DC=contoso,DC=com
    • Для раздела каталога конфигурации в лесу contoso.com : CN=configuration,DC=contoso,DC=com
    • Для раздела каталога схемы в лесу contoso.com : CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Записывает в журнал затяжные объекты, которые будут удалены, чтобы их можно было просмотреть, но не удалять.

  3. Повторите шаг 2 без /advisory_mode удаления обнаруженных задерживающихся объектов из раздела каталога.

  4. Повторите шаги 2 и 3 для каждого контроллера домена, который может иметь затяжные объекты.

Примечание.

Параметр <ServerName> использует синтаксис DC_LIST для repadmin, который позволяет использовать * для всех контроллеров домена в лесу и gc: для всех серверов глобального каталога в лесу. Чтобы просмотреть синтаксис DC_LIST, введите repadmin /listhelp. Для получения сведений о синтаксисе параметров и введите /regkeyrepadmin /experthelp./removelingeringobjects

Включите строгую согласованность репликации:

Чтобы обеспечить невозможность репликации затяжных объектов в случае их возникновения, включите строгую согласованность репликации на всех контроллерах домена. Параметр согласованности репликации хранится в реестре на каждом контроллере домена. Однако на контроллерах домена под управлением поддерживаемой версии Windows Server можно использовать Repadmin, чтобы обеспечить строгую согласованность репликации на одном или всех контроллерах домена.

Используйте Repadmin, чтобы обеспечить строгую согласованность репликации:

Используйте эту процедуру для удаления затяжных объектов на контроллере домена под управлением поддерживаемой версии Windows Server.

Для выполнения этой процедуры на одном контроллере домена требуется минимальное членство в администраторах домена или эквивалентное членство. Для выполнения этой процедуры на всех контроллерах домена в лесу требуется членство в корпоративных администраторах или эквивалентных. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Локальные и доменные группы по умолчанию.

Действия по использованию Repadmin для обеспечения строгой согласованности репликации:

  1. Откройте командную строку от имени администратора. В меню Пуск щелкните правой кнопкой мыши командную строку и выберите команду Запуск от имени администратора. Если появится диалоговое окно Контроль учетных записей пользователей, при необходимости укажите учетные данные администраторов домена или корпоративных администраторов и нажмите кнопку Продолжить.

  2. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    repadmin /regkey <DC_LIST> +strict
    Параметр Описание
    /regkey Включает (+) и отключает (-) значение для записи реестра строгой согласованности репликации в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> Имя одного контроллера домена или * для применения изменения ко всем контроллерам домена в лесу. Для имени контроллера домена можно использовать DNS-имя, различающееся имя объекта компьютера контроллера домена или различающееся имя объекта сервера контроллера домена, например различающееся имя CN=DC5,OU=Контроллеры домена,DC=contoso,DC=com или DNS-имя DC5.contoso.com.
    +strict Включает запись реестра Строгая согласованность репликации .

  3. Если вы не используете * для применения изменений ко всем контроллерам домена, повторите шаг 2 для каждого контроллера домена, на котором требуется включить строгую согласованность репликации.

Примечание.

Дополнительные параметры именования и сведения о синтаксисе <параметра DC_LIST> введите в командной строке repadmin /listhelp. Для получения сведений о синтаксисе параметров и введите /regkeyrepadmin /experthelp./removelingeringobjects

Используйте Regedit, чтобы обеспечить строгую согласованность репликации:

В качестве альтернативы использованию Repadmin можно включить строгую согласованность репликации, изменив реестр напрямую. Параметр согласованности репликации хранится в записи Строгая согласованность репликации в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Ниже приведены значения для записи реестра Strict Replication Consistency :

  • Значение: 1 (0 для отключения)

  • По умолчанию: 1 (включено) в новом Windows Server; в противном случае — 0.

  • Тип данных: REG_DWORD

Требования:

  • Членство в группе "Администраторы домена"(или аналогичной) является минимальным необходимым условием для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Локальные и доменные группы по умолчанию.
  • Инструмент: Regedit.exe

Примечание.

Рекомендуется не изменять реестр напрямую, если нет другой альтернативы. Изменения в реестре не проверяются редактором реестра или Windows до их применения, и в результате могут храниться неправильные значения. Это может привести к неустранимым ошибкам в системе. По возможности используйте групповая политика или другие средства Windows, такие как консоль управления Майкрософт (MMC), для выполнения задач, а не для редактирования реестра напрямую. Если необходимо изменить реестр, будьте осторожны.

Действия по использованию Regedit для обеспечения строгой согласованности репликации

  1. Откройте Regedit от имени администратора. Нажмите кнопку Пуск, а затем в поле Пуск Поиск введите regedit. В верхней части меню Пуск щелкните правой кнопкой мыши regedit.exeи выберите команду Запуск от имени администратора. В диалоговом окне Контроль учетных записей укажите учетные данные администраторов домена и нажмите кнопку ОК.

  2. Перейдите к записи Строгая согласованность репликации в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Задайте для параметра Строгая согласованность репликации значение 1.

Убедитесь, что для новых контроллеров домена включена строгая согласованность репликации.

При обновлении леса, который изначально был создан с помощью компьютера под управлением Windows 2000 Server, убедитесь, что лес настроен для обеспечения строгой согласованности репликации на недавно повышенных контроллерах домена, чтобы избежать затяжных объектов. После обновления леса, как описано в разделе (Обновление доменов Active Directory до доменов Windows Server 2008 и Windows Server 2008 R2 AD DS), все новые контроллеры домена, которые вы впоследствии добавляете в лес, создаются с отключенной строгой согласованностью репликации. Однако можно реализовать изменение конфигурации леса, в результате чего новые контроллеры домена будут иметь строгую согласованность репликации. Чтобы убедиться, что новые контроллеры домена, добавляемые в лес, имеют строгую согласованность репликации, можно использовать средство Ldifde.exe для создания объекта в разделе каталога конфигурации леса. Этот объект отвечает за обеспечение строгой согласованности репликации на любом новом контроллере домена, который повышен до леса.

Создаваемый объект представляет собой рабочий GUID со следующим именем:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Для добавления этого объекта в раздел каталога конфигурации можно использовать следующую процедуру на любом контроллере домена в лесу.

Для выполнения этой процедуры требуется членство в корпоративных администраторах или эквиваленте. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Локальные и доменные группы по умолчанию.

Действия по созданию объекта, который обеспечивает строгую согласованность репликации на новых контроллерах домена

  1. В текстовом редакторе, например Блокноте, создайте следующий текстовый файл:

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: контейнер
    showInAdvancedViewOnly: TRUE
    name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Где <ForestRootDomain> содержит все компоненты домена (DC=) корневого домена леса, например для contoso.com леса DC=contoso,DC=com; для fineartschool.net леса DC=fineartschool,DC=net.

  3. Откройте командную строку от имени администратора. В меню Пуск щелкните правой кнопкой мыши командную строку и выберите команду Запуск от имени администратора. Если появится диалоговое окно Контроль учетных записей пользователей, укажите учетные данные администраторов предприятия( при необходимости) и нажмите кнопку Продолжить.

  4. В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:

    ldifde -i -f <Path>\<FileName>
    Параметр Описание
    -i Указывает режим импорта. Если режим импорта не указан, режимом по умолчанию является экспорт.
    -f Определяет имя файла импорта или экспорта.
    <Путь>\<Имя_файла> Путь и имя файла импорта, созданного на шаге 1, например C:\ldifde.txt.

    Сведения об использовании Ldifde см. в разделе LDIFDE.

Сбор данных

Если вам нужна помощь со стороны службы поддержки Майкрософт, рекомендуем собрать сведения, выполнив действия, описанные в разделе Сбор информации с помощью TSS для проблем с репликацией Active Directory.