Partager via

Id d’événement de réplication Active Directory 1388 ou 1988 : un objet persistant est détecté

  • Article

Cet article vous aide à résoudre les problèmes liés aux ID d’événement de réplication Active Directory 1388 et 1988.

S’applique à : Windows Server (toutes les versions prises en charge)
Numéro de la base de connaissances d’origine : 4469619

Résumé

Si un contrôleur de domaine de destination enregistre l’ID d’événement 1388 ou l’ID d’événement 1988, un objet persistant a été détecté et l’une des deux conditions existe sur le contrôleur de domaine de destination :

  • ID d’événement 1388 : la réplication entrante de l’objet persistant s’est produite sur le contrôleur de domaine de destination.
  • ID d’événement 1988 : la réplication entrante de la partition d’annuaire de l’objet persistant a été bloquée sur le contrôleur de domaine de destination.

ID d’événement 1388

Cet événement indique qu’un contrôleur de domaine de destination pour lequel la cohérence de réplication stricte n’est pas activée a reçu une demande de mise à jour d’un objet qui ne réside pas dans la copie locale de la base de données Active Directory. En réponse, le contrôleur de domaine de destination a demandé l’objet complet au partenaire de réplication source. De cette façon, un objet persistant a été répliqué sur le contrôleur de domaine de destination. Par conséquent, l’objet persistant a été réintroduit dans le répertoire.

Importante

Lorsque l’ID d’événement 1388 se produit, vous ne pouvez pas utiliser Lingering Object Liquidator v2 (LOLv2) ou l’outil Repadmin pour supprimer les objets persistants.

Pour plus d’informations sur la suppression d’objets persistants dans ce cas, consultez :

Les procédures et les informations contenues dans cet article s’appliquent à la suppression des objets persistants des serveurs de catalogue globaux ainsi que des contrôleurs de domaine qui ne sont pas des serveurs de catalogue globaux.

Le texte de l’événement identifie le contrôleur de domaine source et l’objet obsolète (persistant). Voici un exemple de texte de l’événement :

Nom du journal : Service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : 3/05/2008 3 :34 :01 PM
ID d’événement : 1388
Catégorie de tâche : Réplication
Niveau : Erreur
Mots clés : classique
Utilisateur : OUVERTURE DE SESSION ANONYME
Ordinateur : DC3.contoso.com Description : un autre contrôleur de domaine (DC) a tenté de répliquer dans ce contrôleur de domaine un objet qui n’est pas présent dans la base de données services de domaine Active Directory locale. L’objet a peut-être été supprimé et déjà récupéré par la mémoire (une durée de vie ou plus est passée depuis la suppression de l’objet) sur ce contrôleur de domaine. Le jeu d’attributs inclus dans la demande de mise à jour n’est pas suffisant pour créer l’objet. L’objet est à nouveau demandé avec un ensemble d’attributs complet et recréé sur ce contrôleur de domaine.

Contrôleur de domaine source (adresse réseau spécifique au transport) :
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objet:
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de l’objet : a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partition d’annuaire :
DC=contoso,DC=com
UsN de propriété la plus élevée de destination : 20510
Action de l’utilisateur :
Vérifiez le désir continu de l’existence de cet objet. Pour arrêter la recréation d’objets similaires futurs, la clé de Registre suivante doit être créée.

Clé de Registre :
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

ID d’événement 1988

Cet événement indique qu’un contrôleur de domaine de destination pour lequel la cohérence de réplication stricte est activée a reçu une demande de mise à jour d’un objet qui n’existe pas dans sa copie locale de la base de données Active Directory. En réponse, le contrôleur de domaine de destination a bloqué la réplication de la partition d’annuaire contenant cet objet à partir de ce contrôleur de domaine source. Le texte de l’événement identifie le contrôleur de domaine source et l’objet obsolète (persistant). Voici un exemple de texte de l’événement :

Nom du journal : Service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : 07/02/2008 8 :20 :11 AM ID d’événement : 1988
Catégorie de tâche : Réplication
Niveau : Erreur
Mots clés : classique
Utilisateur : OUVERTURE DE SESSION ANONYME
Ordinateur: DC5.contoso.com
Description :
services de domaine Active Directory Réplication a rencontré l’existence d’objets dans la partition suivante qui ont été supprimés de la base de données services de domaine Active Directory des contrôleurs de domaine locaux. Tous les partenaires de réplication directe ou transitive n’ont pas été répliqués lors de la suppression avant le nombre de jours de durée de vie tombstone. Les objets qui ont été supprimés et récupérés à partir d’une partition services de domaine Active Directory, mais qui existent toujours dans les partitions accessibles en écriture d’autres contrôleurs de domaine du même domaine, ou les partitions en lecture seule des serveurs de catalogue globaux dans d’autres domaines de la forêt sont appelés « objets persistants ».

Cet événement est journalisé, car le contrôleur de domaine source contient un objet persistant qui n’existe pas sur la base de données locale services de domaine Active Directory base de données. Cette tentative de réplication a été bloquée.

La meilleure solution à ce problème consiste à identifier et à supprimer tous les objets persistants dans la forêt.

Contrôleur de domaine source (adresse réseau spécifique au transport) :
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objet : CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de l’objet :
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnostic

Un objet qui a été supprimé définitivement d’AD DS (autrement dit, sa pierre tombstone a été récupérée par la mémoire sur tous les contrôleurs de domaine connectés) reste sur un contrôleur de domaine déconnecté. Le contrôleur de domaine n’a pas pu recevoir la réplication directe ou transitive de la suppression de l’objet, car il a été déconnecté (il est hors connexion ou rencontre un échec de réplication entrante) de la topologie de réplication pendant une période qui a dépassé une durée de vie tombstone. Le contrôleur de domaine est maintenant reconnecté à la topologie et cet objet a été mis à jour sur le contrôleur de domaine, ce qui entraîne une notification de réplication au partenaire de réplication indiquant qu’une mise à jour est prête pour la réplication. Le partenaire de réplication a répondu en fonction de son paramètre de cohérence de réplication. Cette notification s’applique à la tentative de réplication d’un objet accessible en écriture. Une copie de l’objet persistant accessible en écriture peut également exister sur un serveur de catalogue global.

Résolution

Si la réplication d’un objet persistant est détectée, vous pouvez supprimer l’objet d’AD DS, ainsi que tous les réplicas en lecture seule de l’objet, à l’aide de LOLv2 en identifiant les contrôleurs de domaine susceptibles de stocker cet objet (y compris les serveurs de catalogue globaux) et le supprimer à l’aide de l’outil LOLv2 ou en exécutant une commande repadmin pour supprimer les objets persistants sur ces serveurs (repadmin /removelingeringobjects). Cette commande est disponible sur les contrôleurs de domaine qui exécutent une version prise en charge de Windows Server.

Pour supprimer les objets persistants, procédez comme suit :

  1. Utilisez le texte de l’événement pour identifier les éléments suivants :
    1. Partition de répertoire de l’objet
    2. Contrôleur de domaine source qui a tenté la réplication de l’objet persistant
  2. Utilisez Repadmin pour identifier le GUID d’un contrôleur de domaine faisant autorité.
  3. Utilisez LOLv2 ou Repadminpour supprimer les objets persistants.
  4. Activez la cohérence de réplication stricte, si nécessaire.
  5. Vérifiez que la cohérence de réplication stricte est activée pour les contrôleurs de domaine nouvellement promus, si nécessaire.

Utilisez Repadmin pour identifier le GUID d’un contrôleur de domaine faisant autorité :

Pour effectuer la procédure qui supprime les objets persistants, vous devez identifier l’identificateur global unique (GUID) d’un contrôleur de domaine à jour qui a un réplica accessible en écriture de la partition de répertoire qui contient l’objet persistant signalé. La partition d’annuaire est identifiée dans le message d’événement. Le GUID d’objet d’un contrôleur de domaine est stocké dans l’attribut objectGUID de l’objet NTDS Settings.

Conditions préalables :

  • L’appartenance aux administrateurs de domaine dans le domaine du contrôleur de domaine dont vous souhaitez identifier le GUID est la valeur minimale requise pour effectuer cette procédure. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans Groupes locaux et de domaine par défaut.
  • Outil : Repadmin.exe

Étapes pour identifier le GUID d’un contrôleur de domaine :

  1. À l’invite de commandes, tapez la commande suivante et appuyez sur Entrée :

    repadmin /showrepl <ServerName>
    Paramètre Description
    /showrepl Affiche les status de réplication, y compris le moment où le contrôleur de domaine spécifié par <ServerName> a tenté la dernière réplication entrante des partitions Active Directory. Affiche également le GUID du contrôleur de domaine spécifié.
    <Servername> Nom du contrôleur de domaine dont vous souhaitez afficher le GUID.

  2. Dans la première section de la sortie, recherchez l’entrée objectGuid . Sélectionnez et copiez la valeur GUID dans un fichier texte afin de pouvoir l’utiliser ailleurs.

Utilisez LOLv2 ou Repadmin pour supprimer les objets persistants :

Conditions préalables :

  • L’appartenance aux administrateurs de domaine dans le domaine du contrôleur de domaine qui a des objets persistants, ou aux administrateurs d’entreprise si la partition d’annuaire qui a des objets persistants est la partition de répertoire de configuration ou de schéma, est la valeur minimale requise pour effectuer cette procédure. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans Groupes locaux et de domaine par défaut.

  • Système d’exploitation : version prise en charge de Windows Server.

  • La méthode recommandée pour supprimer les objets persistants consiste à utiliser LOLv2. Dans certains cas, où LOLv2 ne peut pas être utilisé, vous pouvez utiliser Repadmin.exe

Plus d’informations sur LOLv2 :

Étapes à suivre pour utiliser Repadmin pour supprimer les objets persistants :

  1. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer , cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, indiquez les informations d’identification des administrateurs de domaine ou des administrateurs d’entreprise, si nécessaire, puis cliquez sur Continuer.

  2. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Paramètre Description
    /removelingeringobjects Supprime les objets persistants du contrôleur de domaine spécifié par <ServerName> pour la partition d’annuaire spécifiée par <DirectoryPartition>.
    <Servername> Nom du contrôleur de domaine qui a des objets persistants, comme identifié dans le message d’événement (ID d’événement 1388 ou ID d’événement 1988). Vous pouvez utiliser le nom DNS (Domain Name System) ou le nom unique, par exemple, le nom unique CN=DC5,OU=Domain Controllers,DC=contoso,DC=com ou le nom DC5.contoso.comDNS .
    <ServerGUID> GUID d’un contrôleur de domaine qui a un réplica à jour et accessible en écriture de la partition de répertoire qui contient l’objet persistant.
    <DirectoryPartition> Nom unique de la partition d’annuaire identifiée dans le message d’événement, par exemple :
    • Pour la partition d’annuaire de domaine Sales dans la contoso.com forêt : DC=sales,DC=contoso,DC=com
    • Pour la partition du répertoire de configuration dans la contoso.com forêt : CN=configuration,DC=contoso,DC=com
    • Pour la partition de répertoire de schéma dans la contoso.com forêt : CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Enregistre les objets persistants qui seront supprimés afin que vous puissiez les examiner, mais ne les supprime pas.

  3. Répétez l’étape 2 sans /advisory_mode supprimer les objets persistants identifiés de la partition de répertoire.

  4. Répétez les étapes 2 et 3 pour chaque contrôleur de domaine qui peut avoir des objets persistants.

Remarque

Le <paramètre ServerName> utilise la syntaxe DC_LIST pour repadmin, qui permet d’utiliser * pour tous les contrôleurs de domaine dans la forêt et gc : pour tous les serveurs de catalogue global de la forêt. Pour afficher la syntaxe DC_LIST, tapez repadmin /listhelp. Pour plus d’informations sur la syntaxe des /regkey paramètres et /removelingeringobjects , tapez repadmin /experthelp.

Activer la cohérence de réplication stricte :

Pour vous assurer que les objets persistants ne peuvent pas être répliqués s’ils se produisent, activez la cohérence de réplication stricte sur tous les contrôleurs de domaine. Le paramètre de cohérence de réplication est stocké dans le Registre sur chaque contrôleur de domaine. Toutefois, sur les contrôleurs de domaine qui exécutent une version prise en charge de Windows Server, vous pouvez utiliser Repadmin pour activer la cohérence de réplication stricte sur un ou tous les contrôleurs de domaine.

Utilisez Repadmin pour activer une cohérence de réplication stricte :

Utilisez cette procédure pour supprimer les objets persistants sur un contrôleur de domaine qui exécute la version prise en charge de Windows Server.

L’appartenance aux administrateurs de domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure sur un contrôleur de domaine unique. L’appartenance aux administrateurs d’entreprise, ou équivalent, est la condition minimale requise pour effectuer cette procédure sur tous les contrôleurs de domaine de la forêt. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans Groupes locaux et de domaine par défaut.

Étapes à suivre pour utiliser Repadmin pour activer une cohérence de réplication stricte :

  1. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer , cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, indiquez les informations d’identification des administrateurs de domaine ou des administrateurs d’entreprise, si nécessaire, puis cliquez sur Continuer.

  2. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    repadmin /regkey <DC_LIST> +strict
    Paramètre Description
    /regkey Active (+) et désactive (-) la valeur de l’entrée de Registre Cohérence de réplication stricte dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> Nom d’un contrôleur de domaine unique ou * pour appliquer la modification à tous les contrôleurs de domaine de la forêt. Pour le nom du contrôleur de domaine, vous pouvez utiliser le nom DNS, le nom unique de l’objet ordinateur du contrôleur de domaine ou le nom unique de l’objet serveur du contrôleur de domaine, par exemple, le nom unique CN=DC5,OU=Contrôleurs de domaine,DC=contoso,DC=com ou le nom DC5.contoso.comDNS .
    +strict Active l’entrée de Registre Cohérence de réplication stricte .

  3. Si vous n’utilisez pas * pour appliquer la modification à tous les contrôleurs de domaine, répétez l’étape 2 pour chaque contrôleur de domaine sur lequel vous souhaitez activer une cohérence de réplication stricte.

Remarque

Pour plus d’options de nommage et des informations sur la syntaxe du <paramètre DC_LIST> , à l’invite de commandes, tapez repadmin /listhelp. Pour plus d’informations sur la syntaxe des /regkey paramètres et /removelingeringobjects , tapez repadmin /experthelp.

Utilisez Regedit pour activer la cohérence de réplication stricte :

En guise d’alternative à l’utilisation de Repadmin, vous pouvez activer la cohérence de réplication stricte en modifiant directement le Registre. Le paramètre de cohérence de réplication est stocké dans l’entrée Cohérence de réplication stricte dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Les valeurs de l’entrée de Registre Cohérence de réplication stricte sont les suivantes :

  • Valeur : 1 (0 à désactiver)

  • Valeur par défaut : 1 (activé) dans un nouveau serveur Windows Server ; sinon 0.

  • Type de données : REG_DWORD

Conditions préalables :

  • Vous devez au moins être membre du groupe Admins du domaine(ou un groupe équivalent) pour effectuer cette procédure. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans Groupes locaux et de domaine par défaut.
  • Outil : Regedit.exe

Remarque

Il est recommandé de ne pas modifier directement le Registre, sauf s’il n’existe aucune autre alternative. Les modifications apportées au Registre ne sont pas validées par l’éditeur du Registre ou par Windows avant d’être appliquées et, par conséquent, des valeurs incorrectes peuvent être stockées. Cela peut entraîner des erreurs irrécupérables dans le système. Dans la mesure du possible, utilisez stratégie de groupe ou d’autres outils Windows, tels que Microsoft Management Console (MMC), pour accomplir des tâches au lieu de modifier directement le Registre. Si vous devez modifier le registre, faites preuve d’une extrême prudence.

Étapes d’utilisation de Regedit pour activer une cohérence de réplication stricte

  1. Ouvrez Regedit en tant qu’administrateur : cliquez sur Démarrer, puis, dans Démarrer Recherche, tapez regedit. En haut du menu Démarrer , cliquez avec le bouton droit sur regedit.exe, puis cliquez sur Exécuter en tant qu’administrateur. Dans la boîte de dialogue Contrôle de compte d’utilisateur , fournissez les informations d’identification des administrateurs du domaine, puis cliquez sur OK.

  2. Accédez à l’entrée Cohérence de réplication stricte dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Définissez la valeur dans l’entrée Cohérence de réplication stricte sur 1.

Vérifier que la cohérence de réplication stricte est activée pour les contrôleurs de domaine nouvellement promus

Si vous mettez à niveau une forêt créée à l’origine à l’aide d’un ordinateur exécutant Windows 2000 Server, vous devez vous assurer que la forêt est configurée pour activer une cohérence de réplication stricte sur les contrôleurs de domaine nouvellement promus afin d’éviter les objets persistants. Après avoir mis à jour la forêt comme décrit dans (Mise à niveau des domaines Active Directory vers Windows Server 2008 et Windows Server 2008 R2 AD DS Domains), tous les nouveaux contrôleurs de domaine que vous ajoutez par la suite à la forêt sont créés avec la cohérence de réplication stricte désactivée. Toutefois, vous pouvez implémenter une modification de configuration de forêt qui entraîne l’activation de la cohérence de réplication stricte pour les nouveaux contrôleurs de domaine. Pour vous assurer que la cohérence de réplication stricte est activée pour les nouveaux contrôleurs de domaine que vous ajoutez à la forêt, vous pouvez utiliser l’outil Ldifde.exe pour créer un objet dans la partition de répertoire de configuration de la forêt. Cet objet est chargé d’activer la cohérence de réplication stricte sur tout nouveau contrôleur de domaine promu dans la forêt.

L’objet que vous créez est un GUID opérationnel portant le nom suivant :

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Vous pouvez utiliser la procédure suivante sur n’importe quel contrôleur de domaine de la forêt pour ajouter cet objet à la partition du répertoire de configuration.

L’appartenance aux administrateurs d’entreprise, ou équivalent, est la condition minimale requise pour effectuer cette procédure. Passez en revue les détails sur l’utilisation des comptes et des appartenances aux groupes appropriés dans Groupes locaux et de domaine par défaut.

Étapes de création de l’objet qui garantit une cohérence de réplication stricte sur les nouveaux contrôleurs de domaine

  1. Dans un éditeur de texte, tel que le Bloc-notes, créez le fichier texte suivant :

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype : add
    objectClass : conteneur
    showInAdvancedViewOnly : TRUE
    nom : 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory : CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Où <ForestRootDomain> contient tous les composants de domaine (DC=) du domaine racine de forêt, par exemple, pour la contoso.com forêt, DC=contoso,DC=com ; pour la fineartschool.net forêt, DC=fineartschool,DC=net.

  3. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer , cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, indiquez les informations d’identification des administrateurs d’entreprise, si nécessaire, puis cliquez sur Continuer.

  4. À l'invite de commandes, tapez la commande suivante, puis appuyez sur Entrée :

    ldifde -i -f <Path>\<FileName>
    Paramètre Description
    -i Spécifie le mode d’importation. Si le mode d’importation n’est pas spécifié, le mode par défaut est l’exportation.
    -f Identifie le nom du fichier d’importation ou d’exportation.
    <Chemin d’accès>\<Nom_fichier> Chemin d’accès et nom du fichier d’importation que vous avez créé à l’étape 1, par exemple, C:\ldifde.txt.

    Pour plus d’informations sur l’utilisation de Ldifde, consultez LDIFDE.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.