在 Windows Server Active Directory 樹系中的延遲物件的相關資訊

Windows Server 2003 的支援已於 2015 年 7 月 14 日結束

Microsoft 已於 2015 年 7 月 14 日結束對 Windows Server 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

按一下這裡查看此文章的英文版本:910205
結論
本文包含有關延遲物件中的資訊是在 Microsoft Windows 2000 樹系或 Windows Server 2003 的樹系中。特別,本文將告訴您指示的延遲物件存在、 延遲物件的原因和方法,您可以用來移除延遲物件的事件。
簡介
如果網域控制站不會複寫的長度超過標記存留時間 (TSL) 的時間間隔內,就會發生延遲物件。網域控制站,然後重新連線到複寫拓樸]。網域控制站處於離線狀態時,會從 Active Directory 目錄服務中刪除的物件可以作為延遲物件保留在網域控制站上。本文包含有關指示延遲物件的存在、 延遲物件的原因和方法,您可以用來移除延遲物件的事件的詳細的資訊。
其他相關資訊

刪除標記存留期 (Lifetime) 和複寫的刪除動作

刪除物件時 Active Directory 會複寫為標記物件刪除。標記物件所組成的已刪除的物件屬性的一小部分。藉由輸入-複寫此物件,在網域和樹系中其他網域控制站會收到有關刪除資訊。標記是在指定期間內保留在 Active Directory 中。這個指定的期間,會呼叫 [TSL。[TSL 結尾標記物件會永久刪除。

[TSL 的預設值取決於第一個安裝在樹系的網域控制站執行的作業系統版本。下表表示不同的 Windows 作業系統的 TSL 預設值。
在樹系根目錄中的第一個網域控制站預設標記存留時間
Windows 200060 天
Windows Server 200360 天
Windows Server 2003 與 Service Pack 1180 天
附註當網域控制站升級為 Windows Server 2003 Service Pack 1 (SP1) 與現有的 TSL 值並不會變更。現有的 TSL 值會保留直到您手動變更。

標記會永久刪除之後不再可以複寫物件刪除。[TSL 定義樹系中的網域控制站多久保留已刪除物件的相關資訊。[TSL 也定義的時間期間原始網域控制站的所有直接及可轉移複寫協力電腦必須收到唯一的刪除動作。

延遲物件就會發生的方式

當網域控制站比 [TSL 長一段中斷連線時,會從 Active Directory 刪除所有其他網域控制站的一或多個物件可能會保留在中斷連接的網域控制站上。這類物件稱為延遲物件。因為網域控制站離線標記是活著期間,網域控制站永遠不會接收複寫的標記。

當此網域控制站重新連線到複寫拓樸時, 它會做為都有其目的地協力電腦並沒有一個物件為來源複寫協力電腦。

當來源網域控制站上的物件更新時,會發生複寫問題。在這種情況下當目的地夥伴嘗試輸入-複寫更新,目的地網域控制站回應兩種方式之一:
  • 如果目的地網域控制站啟用 Strict 複寫一致性控制器會辨識它無法更新物件。在本機上的控制器會停止目錄磁碟分割,從來源網域控制站的輸入的複寫。
  • 如果目的地網域控制站停用的 Strict 複寫一致性控制器要求更新物件的完整複本。在這種情況下 「 物件重新引入到目錄。

長中斷連線的原因

下列情況會造成長中斷連線:
  • 網域控制站與網路中斷,然後將放入儲存區。
  • 運送到其遠端位置 pre-staged 的網域控制站的時間超過一個 TSL。
  • 長寬的區域網路 (WAN) 連線都無法使用。例如網域控制站 onboard cruise 船隻可能無法複寫,因為船位於超過 [TSL 海。
  • 報告的事件是假象,因為系統管理員縮短 TSL 強制回收刪除的物件。
  • 報告的事件會很假象,因為系統時鐘來源或目的地網域控制站上不正確地進階或復原交易。時鐘 skews 是最常見之後重新啟動系統。時鐘 skews 可能會發生原因如下:
    • 有是與系統時鐘電池或主機板的問題。
    • 時間來源電腦的設定不正確。藉由使用協力廠商時間伺服器或是利用網路路由器,這包括使用 「 Windows Time 服務 (W32Time) 來設定的時間來源伺服器。
    • 系統管理員往前推進,或復原系統時鐘擴充年限系統狀態備份,或加速回收刪除的物件。請確定系統時鐘反映實際的時間。此外,請確定事件記錄檔不包含無效的事件從未來或過去。

網域控制站擁有延遲物件的指示

過期的網域控制站可以儲存延遲物件沒有任何明顯的效果,當下列情況成立時:
  • 系統管理員、 一個應用程式或服務並不會更新延遲物件。
  • 系統管理員、 一個應用程式或服務就不會嘗試建立在網域中具有相同名稱的物件中。
  • 系統管理員、 一個應用程式或服務就不會嘗試使用相同使用者主要名稱 (UPN) 樹系中建立的物件中。
甚至當沒有任何明顯的影響,延遲物件的存在可能會造成問題。這些問題是最有可能發生延遲的物件是否安全性主體。

呈現樹系中的指示可能會延遲物件的事件

事件識別碼一般描述
1862本機網域控制站尚未最近收到來自數個網域控制站 (站台間) 複寫資訊。
1863本機網域控制站尚未最近收到來自數個網域控制站 (站台間) 複寫資訊。
1864本機網域控制站尚未最近收到來自數個網域控制站 (摘要) 複寫資訊。
1311知識一致性檢查程式 (KCC) 無法建置跨距樹狀目錄拓樸。
2042太長後已經上次與已命名的來源伺服器複寫此伺服器。
如需有關事件識別碼 2042年的詳細資訊,以及有關如何疑難排解 Active Directory 複寫問題,請造訪下列 Microsoft 網站]:

表示延遲物件是出現在樹系中的事件

事件識別碼一般描述
1084在伺服器上沒有這類的物件。
1388這個目的地系統接收到物件,應該已經存在於本機,但不的更新。
1311另一個網域控制站複寫不存在於這個網域控制站上的物件。
附註延遲物件沒有出現在記錄事件識別碼 1988年的網域控制站上。來源網域控制站包含延遲物件。

表示延遲物件是出現在樹系中的 Repadmin 錯誤

事件識別碼一般描述
8240在伺服器上沒有這類的物件。
8606沒有足夠的屬性已指定給所建立的物件。

延遲物件有樹系中其他指示

  • 使用者或已刪除的群組帳戶在全域通訊清單 (GAL) 保留在執行 Microsoft Exchange Server 的伺服器上中。因此,雖然帳戶名稱會出現在 GAL 中,錯誤時可能會發生使用者嘗試傳送電子郵件訊息。
  • 多份物件會顯示在物件選取器,或顯示在 GAL 應該在樹系中是唯一的物件。有時候,您會看到重複的物件已經變更名稱。這些重複的物件會在目錄搜尋上造成混淆。比方說如果兩個物件的相關辨別的名稱無法解析,衝突解決附加 *CNF:GUID 到名稱。在這個範例 * 代表保留的字元 CNF 是常數,指出解決衝突,並 GUID 代表 objectGUID 屬性值。
  • 不傳送至其 Active Directory 帳戶似乎是目前的使用者的電子郵件。過期的網域控制站或通用類別目錄伺服器重新連線之後使用者物件的兩個執行個體會顯示在全域目錄。因為這兩個物件具有相同的電子郵件地址,您無法傳送電子郵件訊息。
  • 已不存在的萬用群組會繼續出現在使用者 ’s 存取權杖。雖然群組不再存在,如果仍在其安全性語彙基元 (Token) 中有群組的使用者帳戶,使用者可能會有您要成為給該使用者無法使用的資源的存取權。
  • 無法建立新的物件或 Exchange 信箱。但是您不做看到 Active Directory 中的物件。錯誤訊息會報告此物件已經存在。
  • 使用一個現有物件的屬性的搜尋可能不正確地尋找相同名稱的物件的多份。已從網域刪除一個物件。但是該物件會保留在隔離的通用類別目錄伺服器中。
如果嘗試更新位於可寫入的目錄磁碟分割的延遲物件,事件會記錄在目的地網域控制站上。不過,如果延遲物件的唯一版本是在通用類別目錄伺服器上的唯讀目錄磁碟分割,無法更新物件。因此,不會觸發這種類型的事件。

從樹系中移除延遲物件

Windows 2000 樹系

如需有關如何在 Windows 2000 網域中移除延遲物件的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
314282你帶回線上的 「 過時 」 的通用類別目錄伺服器後,可能仍會保留延遲物件

Windows Server 2003 的樹系

如需有關如何從 Windows Server 2003 的樹系中移除延遲物件的資訊,請造訪下列 Microsoft 網站 (英文):如需詳細資訊,請按一下下列的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
892777Windows Server 2003 Service Pack 1 支援工具

防止延遲物件

下面是方法,您可以用來防止延遲物件。

方法 1: 啟用 Strict 複寫一致性登錄項目

您可以啟用 Strict 複寫一致性登錄項目,讓隔離可疑的物件。然後,管理可以移除這些物件之前及其傳播整個樹系。

如果可寫入的延遲物件位於您的環境,且嘗試更新物件 Strict 複寫一致性登錄項目的值會決定複寫會繼續,或已停止。Strict 複寫一致性登錄項目位於下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
此項目的資料類型是 REG_DWORD。如果您將值設定為 1,已啟用此項目。指定的目錄磁碟分割,從來源的輸入的複寫上目的地已經停止。 如果您將值設定為 0 時,會停用項目。目的地要求完整的物件從來源網域控制站。延遲物件是在目錄中恢復為新物件。

Strict 複寫一致性登錄項目的預設值是由樹系中網域控制站已安裝在其下的條件來決定。

附註提高網域或樹系的功能層級並不會變更任何網域控制站複寫一致性的設定值。

如果下列情況成立,預設值,Strict 複寫一致性登錄項目安裝在樹系的網域控制站上的值會是 1 (啟用):
  • Winnt32.exe Windows Server 2003 版本用來升級到 Windows Server 2003 的 Windows NT 4.0 網域主控制站 (PDC)。這台電腦會建立新的樹系的樹系根網域。
  • 作用中的目錄被安裝在執行 Windows Server 2003 的伺服器上。這台電腦會建立新的樹系的樹系根網域。
如果下列情況成立,預設值,Strict 複寫一致性登錄項目,在網域控制站上的值會是 0 (已停用):
  • Windows 2000 網域控制站升級為 Windows Server 2003。
  • 使用中的目錄被安裝在 Windows 2000 樹系中 Windows Server 2003 成員伺服器上。
如果您執行 Windows Server 2003 SP1 的網域控制站您沒有修改登錄設定 Strict 複寫一致性登錄項目值。而是,您可以使用 Repadmin.exe 工具在樹系中設定所有網域控制站或樹系中的一個網域控制站的這個值。

如需有關如何使用 Repadmin.exe 設定 Strict 複寫一致性的詳細資訊,請造訪下列 Microsoft 網站]:

使用命令列指令方法 2: 監視器複寫

如果要監視複寫,使用 repadmin /showrepl 指令,請依照下列步驟執行:
  1. 按一下 [開始],再按一下 [執行]、 輸入 cmd,] 然後再按一下 [確定]
  2. 鍵入 repadmin /showrepl * /csv > showrepl.csv,然後按 ENTER 鍵。
  3. 在 Microsoft Excel 中開啟 Showrepl.csv 檔案。
  4. 選擇 A + RPC 資料行] 和 [SMTP 資料行。
  5. 在 [編輯] 功能表上按一下 [刪除]。
  6. 選取是立即在資料行標頭下的列。
  7. 按一下 [Windows] 功能表 凍結窗格
  8. 選取 [完整的試算表]。
  9. 在 [資料] 功能表上指向 [篩選器,然後再按一下 [自動篩選條件]。
  10. 之標題 上次成功 的資料行上按一下向下箭號,然後按一下 [遞增排序]
  11. 之標題 src DC 資料行上按一下向下箭號,然後按一下 [自訂]。
  12. 在 [自訂自動篩選] 對話方塊中,按一下 [不包含]。
  13. 在右邊的 並不包含] 方塊,輸入 del

    附註這個步驟可以防止已刪除的網域控制站出現在結果中。
  14. 之標題 上次失敗 資料行上按一下向下箭號,然後按一下 [自訂]。
  15. 在 [自訂自動篩選] 對話方塊中,按一下 [不等於]。
  16. 在 [] 方塊中的 不等於 右邊,鍵入 0
  17. 解決會顯示複寫失敗。

方法 3: 移除網域控制站

[TSL 到期之前,您可以移除從樹系的網域控制站失敗。

方法 4: 增加 [TSL

Windows 2000 Server

藉由使用 Adsiedit 工具增加至 180 天 TSL。要這麼做,請您執行下列步驟:
  1. Adsiedit] 工具中展開 [組態 DomainControllerNameCN = 組態DC = ForestRootDomain,展開 CN = 服務,展開 CN = Windows NT,以滑鼠右鍵按一下 CN = 目錄服務,然後按一下 [內容
  2. 按一下 [屬性] 索引標籤。
  3. 選取要檢視的內容] 清單中,按一下 [選項]。
  4. 在 [選取要檢視屬性] 清單中,按一下 TombstoneLifetime
  5. 在 [編輯屬性] 方塊鍵入 180],按一下 [設定,然後再按一下 [確定]]。
Windows Server 2003

藉由使用 Adsiedit 工具增加至 180 天 TSL。要這麼做,請您執行下列步驟:
  1. Adsiedit] 工具中展開 [組態 DomainControllerNameCN = 組態DC = ForestRootDomain,展開 CN = 服務,展開 CN = Windows NT,以滑鼠右鍵按一下 CN = 目錄服務,然後按一下 [內容
  2. 按一下 [屬性編輯器] 索引標籤。
  3. 在 [屬性] 清單按一下 TombstoneLifetime,然後再按一下 [編輯]。
  4. 在 [] 方塊中鍵入 180,再按 [確定]

警告:本文為自動翻譯

內容

文章識別碼:910205 - 最後檢閱時間:04/16/2007 03:51:44 - 修訂: 1.7

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Microsoft Windows Server 2003 Service Pack 2

  • kbmt kbhowto kbinfo kbexpertiseadvanced kbwinservds kbactivedirectory KB910205 KbMtzh
意見反應