Compartir a través de

Id. de evento 1388 o 1988 de replicación de Active Directory: se detecta un objeto persistente

  • Artículo

Este artículo le ayuda a solucionar problemas de id. de evento 1388 y 1988 de replicación de Active Directory.

Se aplica a: Windows Server (todas las versiones con soporte)
Número de KB original: 4469619

Resumen

Si un controlador de dominio de destino registra el identificador de evento 1388 o el identificador de evento 1988, se ha detectado un objeto persistente y existe una de las dos condiciones en el controlador de dominio de destino:

  • Identificador de evento 1388: se ha producido la replicación entrante del objeto persistente en el controlador de dominio de destino.
  • Identificador de evento 1988: se ha bloqueado la replicación entrante de la partición de directorio del objeto persistente en el controlador de dominio de destino.

Identificador de evento 1388

Este evento indica que un controlador de dominio de destino que no tiene habilitada la coherencia de replicación estricta recibió una solicitud para actualizar un objeto que no reside en la copia local de la base de datos de Active Directory. En respuesta, el controlador de dominio de destino solicitó el objeto completo al asociado de replicación de origen. De este modo, se replicó un objeto persistente en el controlador de dominio de destino. Por lo tanto, el objeto persistente se volvió a introducir en el directorio.

Importante

Cuando se produce el identificador de evento 1388, no se puede usar Lingering Object Liquidator v2 (LOLv2) o la herramienta Repadmin para quitar objetos persistentes.

Para obtener información sobre cómo quitar objetos persistentes en este caso, consulte:

Los procedimientos e información de este artículo se aplican a la eliminación de objetos persistentes de servidores de catálogo global, así como de controladores de dominio que no son servidores de catálogo global.

El texto del evento identifica el controlador de dominio de origen y el objeto obsoleto (persistente). A continuación se muestra un ejemplo del texto del evento:

Nombre del registro: Servicio de directorio
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 5/3/2008 3:34:01 PM
Identificador de evento: 1388
Categoría de tarea: Replicación
Nivel: Error
Palabras clave: Clásico
Usuario: INICIO DE SESIÓN ANÓNIMO
Equipo: DC3.contoso.com Descripción: otro controlador de dominio (DC) ha intentado replicar en este controlador de dominio un objeto que no está presente en la base de datos local de Active Directory Domain Services. Es posible que el objeto se haya eliminado y ya se haya recopilado como elemento no utilizado (una duración de lápida o más ha pasado desde que se eliminó el objeto) en este controlador de dominio. El conjunto de atributos incluido en la solicitud de actualización no es suficiente para crear el objeto. El objeto se volverá a solicitar con un conjunto de atributos completo y se volverá a crear en este controlador de dominio.

Controlador de dominio de origen (dirección de red específica del transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto:
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de objeto: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partición de directorio:
DC=contoso,DC=com
USN de la propiedad más alta de destino: 20510
Acción del usuario:
Compruebe el deseo continuo de la existencia de este objeto. Para interrumpir la re-creación de objetos similares futuros, se debe crear la siguiente clave del Registro.

Clave del Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Id. de evento 1988

Este evento indica que un controlador de dominio de destino que tiene habilitada la coherencia de replicación estricta ha recibido una solicitud para actualizar un objeto que no existe en su copia local de la base de datos de Active Directory. En respuesta, el controlador de dominio de destino bloqueó la replicación de la partición de directorio que contiene ese objeto de ese controlador de dominio de origen. El texto del evento identifica el controlador de dominio de origen y el objeto obsoleto (persistente). A continuación se muestra un ejemplo del texto del evento:

Nombre del registro: Servicio de directorio
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 2/7/2008 8:20:11 AM Id. de evento: 1988
Categoría de tarea: Replicación
Nivel: Error
Palabras clave: Clásico
Usuario: INICIO DE SESIÓN ANÓNIMO
Ordenador: DC5.contoso.com
Descripción:
La replicación de Active Directory Domain Services encontró la existencia de objetos en la siguiente partición que se han eliminado de la base de datos de Active Directory Domain Services de controladores de dominio (DC) locales. No todos los asociados de replicación directos o transitivos replicados en la eliminación antes de que transcurra el número de días de duración del lápiz. Los objetos que se han eliminado y recolector de elementos no utilizados de una partición de Active Directory Domain Services, pero que siguen existiendo en las particiones grabables de otros controladores de dominio del mismo dominio, o las particiones de solo lectura de servidores de catálogo global en otros dominios del bosque se conocen como "objetos persistentes".

Este evento se registra porque el controlador de dominio de origen contiene un objeto persistente que no existe en la base de datos de Active Directory Domain Services de controladores de dominio locales. Este intento de replicación se ha bloqueado.

La mejor solución a este problema es identificar y quitar todos los objetos persistentes del bosque.

Controlador de dominio de origen (dirección de red específica del transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto: CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID del objeto:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnóstico

Un objeto que se ha eliminado permanentemente de AD DS (es decir, su lápida se ha recopilado como elemento no utilizado en todos los controladores de dominio conectados) permanece en un controlador de dominio desconectado. El controlador de dominio no pudo recibir la replicación directa o transitiva de la eliminación de objetos porque se desconectó (está sin conexión o experimentando un error de replicación entrante) de la topología de replicación durante un período que superó una duración de desuso. El controlador de dominio ahora se vuelve a conectar a la topología y ese objeto se ha actualizado en el controlador de dominio, lo que provoca una notificación de replicación al asociado de replicación de que una actualización está lista para la replicación. El asociado de replicación respondió según su configuración de coherencia de replicación. Esta notificación se aplica a los intentos de replicación de un objeto grabable. También puede existir una copia del objeto de duración grabable en un servidor de catálogo global.

Solución

Si se detecta la replicación de un objeto persistente, puede quitar el objeto de AD DS, junto con cualquier réplica de solo lectura del objeto, mediante LOLv2 mediante la identificación de los controladores de dominio que pueden almacenar este objeto (incluidos los servidores de catálogo global) y quitarlo mediante la herramienta LOLv2 o ejecutando un comando repadmin para quitar objetos persistentes en estos servidores (repadmin /removelingeringobjects). Este comando está disponible en controladores de dominio que ejecutan la versión compatible de Windows Server.

Para quitar objetos persistentes, haga lo siguiente:

  1. Use el texto del evento para identificar lo siguiente:
    1. Partición de directorio del objeto
    2. Controlador de dominio de origen que intentó la replicación del objeto persistente
  2. Use Repadmin para identificar el GUID de un controlador de dominio autoritativo.
  3. Use LOLv2 o Repadminpara quitar objetos persistentes.
  4. Habilite la coherencia de replicación estricta, si es necesario.
  5. Asegúrese de que la coherencia de replicación estricta está habilitada para los controladores de dominio recién promocionados, si es necesario.

Use Repadmin para identificar el GUID de un controlador de dominio autoritativo:

Para realizar el procedimiento que quita los objetos persistentes, debe identificar el identificador único global (GUID) de un controlador de dominio actualizado que tiene una réplica grabable de la partición de directorio que contiene el objeto persistente que se ha notificado. La partición de directorio se identifica en el mensaje de evento. El GUID de objeto de un controlador de dominio se almacena en el atributo objectGUID del objeto NTDS Settings.

Requisitos:

  • La pertenencia a administradores de dominio en el dominio del controlador de dominio cuyo GUID desea identificar es el mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.
  • Herramienta: Repadmin.exe

Pasos para identificar el GUID de un controlador de dominio:

  1. En un símbolo del sistema, escriba el siguiente comando y, a continuación, presione ENTRAR:

    repadmin /showrepl <ServerName>
    Parámetro Description
    /showrepl Muestra el estado de replicación, incluso cuando el controlador de dominio especificado por ServerName> intentó por <última vez la replicación entrante de particiones de Active Directory. También muestra el GUID del controlador de dominio especificado.
    <ServerName> Nombre del controlador de dominio cuyo GUID desea mostrar.

  2. En la primera sección de la salida, busque la entrada objectGuid . Seleccione y copie el valor guid en un archivo de texto para que pueda usarlo en otro lugar.

Use LOLv2 o Repadmin para quitar objetos persistentes:

Requisitos:

  • La pertenencia a administradores de dominio en el dominio del controlador de dominio que tiene objetos persistentes, o administradores de empresa si la partición de directorio que tiene objetos persistentes es la partición de directorio de configuración o esquema, es el mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.

  • Sistema operativo: versión compatible de Windows Server.

  • El método preferido para quitar objetos persistentes es usar LOLv2. En algunos casos, en los que no se puede usar LOLv2, puede usar Repadmin.exe

Más información sobre LOLv2:

Pasos para usar Repadmin para quitar objetos persistentes:

  1. Abra un símbolo del sistema como administrador: en el menú Inicio , haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario , proporcione las credenciales Administradores de dominio o Administradores de empresa, si es necesario, y, a continuación, haga clic en Continuar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Parámetro Description
    /removelingeringobjects Quita los objetos persistentes del controlador de dominio especificado por <ServerName> para la partición de directorio especificada por <DirectoryPartition>.
    <ServerName> Nombre del controlador de dominio que tiene objetos persistentes, como se identifica en el mensaje de evento (Id. de evento 1388 o Id. de evento 1988). Puede usar el nombre del sistema de nombres de dominio (DNS) o el nombre distintivo, por ejemplo, el nombre distintivo CN=DC5,OU=Controladores de dominio,DC=contoso,DC=com o el nombre DC5.contoso.comDNS .
    <ServerGUID> GUID de un controlador de dominio que tiene una réplica actualizada y grabable de la partición de directorio que contiene el objeto persistente.
    <DirectoryPartition> Nombre distintivo de la partición de directorio que se identifica en el mensaje de evento, por ejemplo:
    • Para la partición de directorio de dominio Sales del contoso.com bosque: DC=sales,DC=contoso,DC=com
    • Para la partición del directorio de configuración en el contoso.com bosque: CN=configuration,DC=contoso,DC=com
    • Para la partición de directorio de esquema en el contoso.com bosque: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Registra los objetos persistentes que se quitarán para que pueda revisarlos, pero no los quite.

  3. Repita el paso 2 sin /advisory_mode eliminar los objetos persistentes identificados de la partición de directorio.

  4. Repita los pasos 2 y 3 para cada controlador de dominio que pueda tener objetos persistentes.

Nota:

El <parámetro ServerName> usa la sintaxis de DC_LIST para repadmin, que permite el uso de * para todos los controladores de dominio del bosque y gc: para todos los servidores de catálogo global del bosque. Para ver la sintaxis de DC_LIST, escriba repadmin /listhelp. Para obtener información sobre la sintaxis de los /regkey parámetros y /removelingeringobjects , escriba repadmin /experthelp.

Habilite la coherencia estricta de la replicación:

Para asegurarse de que los objetos persistentes no se pueden replicar si se producen, habilite la coherencia de replicación estricta en todos los controladores de dominio. La configuración para la coherencia de replicación se almacena en el Registro en cada controlador de dominio. Sin embargo, en los controladores de dominio que ejecutan la versión compatible de Windows Server, puedes usar Repadmin para habilitar la coherencia estricta de replicación en uno o todos los controladores de dominio.

Use Repadmin para habilitar la coherencia estricta de la replicación:

Use este procedimiento para quitar objetos persistentes en un controlador de dominio que ejecuta la versión compatible de Windows Server.

La pertenencia a administradores de dominio, o equivalente, es el mínimo necesario para completar este procedimiento en un único controlador de dominio. La pertenencia a administradores de empresa, o equivalente, es el mínimo necesario para completar este procedimiento en todos los controladores de dominio del bosque. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.

Pasos para usar Repadmin para habilitar la coherencia estricta de la replicación:

  1. Abra un símbolo del sistema como administrador: en el menú Inicio , haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario , proporcione las credenciales Administradores de dominio o Administradores de empresa, si es necesario, y, a continuación, haga clic en Continuar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    repadmin /regkey <DC_LIST> +strict
    Parámetro Description
    /regkey Habilita (+) y deshabilita (-) el valor de la entrada del Registro de coherencia de replicación estricta en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> Nombre de un único controlador de dominio o * para aplicar el cambio a todos los controladores de dominio del bosque. Para el nombre del controlador de dominio, puede usar el nombre DNS, el nombre distintivo del objeto de equipo del controlador de dominio o el nombre distintivo del objeto de servidor del controlador de dominio, por ejemplo, el nombre distintivo CN=DC5,OU=Controladores de dominio,DC=contoso,DC=com o el nombre DC5.contoso.comDNS .
    +strict Habilita la entrada del Registro de coherencia de replicación estricta .

  3. Si no usa * para aplicar el cambio a todos los controladores de dominio, repita el paso 2 para cada controlador de dominio en el que quiera habilitar la coherencia estricta de replicación.

Nota:

Para obtener más opciones de nomenclatura e información sobre la sintaxis del <parámetro DC_LIST> , en el símbolo del sistema escriba repadmin /listhelp. Para obtener información sobre la sintaxis de los /regkey parámetros y /removelingeringobjects , escriba repadmin /experthelp.

Use Regedit para habilitar la coherencia estricta de la replicación:

Como alternativa al uso de Repadmin, puede habilitar la coherencia estricta de la replicación editando el Registro directamente. La configuración para la coherencia de replicación se almacena en la entrada Coherencia de replicación estricta en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Los valores de la entrada del Registro de coherencia de replicación estricta son los siguientes:

  • Valor: 1 (0 para deshabilitar)

  • Valor predeterminado: 1 (habilitado) en un nuevo Windows Server; de lo contrario, 0.

  • Tipo de datos: REG_DWORD

Requisitos:

  • Se requiere ser miembro del grupo Administradores de dominioo equivalente, para realizar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.
  • Herramienta: Regedit.exe

Nota:

Se recomienda que no edite directamente el registro a menos que no haya ninguna otra alternativa. Las modificaciones en el Registro no las valida el editor del Registro ni Windows antes de que se apliquen y, como resultado, se pueden almacenar valores incorrectos. Esto puede dar lugar a errores irrecuperables en el sistema. Cuando sea posible, use la directiva de grupo u otras herramientas de Windows, como Microsoft Management Console (MMC), para realizar tareas en lugar de editar el registro directamente. Si debe editar el registro, tenga mucha precaución.

Pasos para usar Regedit para habilitar la coherencia estricta de la replicación

  1. Abra Regedit como administrador: haga clic en Inicio y, a continuación, en Iniciar búsqueda, escriba regedit. En la parte superior del menú Inicio , haga clic con el botón derecho en regedit.exey, a continuación, haga clic en Ejecutar como administrador. En el cuadro de diálogo Control de cuentas de usuario , proporcione credenciales de administrador de dominio y, a continuación, haga clic en Aceptar.

  2. Vaya a la entrada Coherencia de replicación estricta en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Establezca el valor de la entrada Coherencia de replicación estricta en 1.

Asegúrese de que la coherencia de replicación estricta está habilitada para los controladores de dominio recién promocionados.

Si va a actualizar un bosque que se creó originalmente con un equipo que ejecuta Windows 2000 Server, debe asegurarse de que el bosque está configurado para habilitar la estricta coherencia de replicación en controladores de dominio recién promocionados para ayudar a evitar objetos persistentes. Después de actualizar el bosque como se describe en (Actualización de dominios de Active Directory a Windows Server 2008 y Dominios de AD DS de Windows Server 2008 R2), todos los controladores de dominio nuevos que agregue posteriormente al bosque se crean con la coherencia de replicación estricta deshabilitada. Sin embargo, puede implementar un cambio de configuración del bosque que haga que los nuevos controladores de dominio tengan habilitada la coherencia de replicación estricta. Para asegurarse de que los nuevos controladores de dominio que agregue al bosque tengan habilitada la coherencia de replicación estricta, puede usar la herramienta Ldifde.exe para crear un objeto en la partición del directorio de configuración del bosque. Este objeto es responsable de habilitar la estricta coherencia de replicación en cualquier nuevo controlador de dominio que se promueva en el bosque.

El objeto que se crea es un GUID operativo con el siguiente nombre:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Puede usar el procedimiento siguiente en cualquier controlador de dominio del bosque para agregar este objeto a la partición del directorio de configuración.

La pertenencia a administradores de empresa, o equivalente, es el mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados locales y de dominio.

Pasos para crear el objeto que garantiza una estricta coherencia de replicación en los nuevos controladores de dominio

  1. En un editor de texto, como el Bloc de notas, cree el siguiente archivo de texto:

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: contenedor
    showInAdvancedViewOnly: TRUE
    name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Donde <ForestRootDomain> contiene todos los componentes de dominio (DC=) del dominio raíz del bosque, por ejemplo, para el contoso.com bosque, DC=contoso,DC=com; para el fineartschool.net bosque, DC=fineartschool,DC=net.

  3. Abra un símbolo del sistema como administrador: en el menú Inicio , haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario , proporcione las credenciales de administrador de empresa, si es necesario, y haga clic en Continuar.

  4. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    ldifde -i -f <Path>\<FileName>
    Parámetro Description
    -i Especifica el modo de importación. Si no se especifica el modo de importación, el modo predeterminado es exportar.
    -f Identifica el nombre del archivo de importación o exportación.
    <Path>\<FileName> La ruta de acceso y el nombre del archivo de importación que creó en el paso 1, por ejemplo, C:\ldifde.txt.

    Para obtener información sobre el uso de Ldifde, vea LDIFDE.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, le recomendamos que recopile la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.