Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo illustra come risolvere i problemi relativi all'ID evento di replica di Active Directory 2042.
Si applica a: Versioni supportate di Windows Server
Numero KB originale: 4469622
Sintomi
Se un controller di dominio non è stato replicato con il proprio partner per più tempo di una durata di rimozione definitiva, è possibile che esista un problema di oggetto persistente in uno o entrambi i controller di dominio. La durata della rimozione definitiva in una foresta Active Directory determina per quanto tempo un oggetto eliminato (denominato "rimozione definitiva") viene conservato in Dominio di Active Directory Services (AD DS). La durata della rimozione definitiva è determinata dal valore dell'attributo tombstoneLifetime nell'oggetto Servizio directory nella partizione della directory di configurazione.
Quando si verifica la condizione che causa la registrazione dell'ID evento 2042, la replica in ingresso con il partner di origine viene arrestata nel controller di dominio di destinazione e l'ID evento 2042 viene registrato nel registro eventi del servizio directory. L'evento identifica il controller di dominio di origine e i passaggi appropriati da eseguire per rimuovere il controller di dominio obsoleto o rimuovere gli oggetti persistenti e ripristinare la replica dal controller di dominio di origine.
Di seguito viene riportato un esempio di testo dell'evento:
Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
Data: <ora>
ID evento: 2042
Categoria attività: Replica
Livello: Errore
Parole chiave: Classico
Utente: ACCESSO ANONIMO
Computer: <nome host del controller di dominio>
Descrizione:
È trascorso troppo tempo dall'ultima replica del computer con il computer di origine denominato. Il tempo tra le repliche con questa origine ha superato la durata della rimozione definitiva. La replica è stata arrestata con questa origine.
Il motivo per cui la replica non è autorizzata a continuare è che le visualizzazioni dei due computer degli oggetti eliminati possono ora essere diverse. Il computer di origine potrebbe avere ancora copie di oggetti eliminati (e garbage collection) in questo computer. Se è stato consentito eseguire la replica, il computer di origine potrebbe restituire oggetti che sono già stati eliminati.
Ora dell'ultima replica riuscita:
<data e ora><>
ID chiamata dell'origine:
<ID chiamata>
Nome dell'origine:
<GUID>._msdcs.<dominio>
Durata rimozione definitiva (giorni): <numero TSL in giorni>L'operazione di replica non è riuscita.
Azione utente:
Determinare quale dei due computer è stato disconnesso dalla foresta e ora non è aggiornato. Si dispone di tre opzioni:
- Abbassare o reinstallare i computer disconnessi.
- Usare lo strumento "repadmin /removelingeringobjects" per rimuovere oggetti eliminati incoerenti e quindi riprendere la replica.
- Riprendere la replica. È possibile introdurre oggetti eliminati incoerenti.
È possibile continuare la replica usando la chiave del Registro di sistema seguente.
Una volta replicati i sistemi, è consigliabile rimuovere la chiave per ripristinare la protezione.
Chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner
Il repadmin /showrepl comando segnala anche l'errore 8416, come illustrato nell'esempio seguente:
Origine: Default-First-Site-Name\DC1
<number> CONSECUTIVE FAILURES since <date><time>
Ultimo errore: 8614 (0x21a6):
Il Dominio di Active Directory Services non può essere replicato con questo server perché l'ora trascorsa dall'ultima replica con questo server ha superato la durata della rimozione definitiva.
Causa
Esistono alcune possibili cause per la registrazione dell'ID evento 2042, tra cui:
- I controller di dominio presentano un problema software che causa errori di replica.
- Errori di replica che esistono più a lungo del valore di durata della rimozione definitiva configurata.
- Tempo di sistema in anticipo o rollback che causa l'eliminazione di oggetti in alcuni controller di dominio, ma non in tutti i controller di dominio.
Risoluzione
La risoluzione di questo problema dipende dalla causa effettiva o dalle cause del problema. Per risolvere questo problema, verificare la presenza di ognuna delle condizioni seguenti:
Determinare se sono presenti errori di replica che sono stati autorizzati a superare la durata di rimozione definitiva della foresta. In genere, la durata della rimozione definitiva della foresta è da 60 a 180 giorni per impostazione predefinita. Il messaggio di evento indica la durata della rimozione definitiva della foresta così come è attualmente configurata.
Eseguire il comando
repadmin /showreplper determinare se esiste un problema di replica. Se si sospetta che si verifichi un problema di replica, vedere Monitoraggio e risoluzione dei problemi relativi alla replica di Active Directory tramite Repadmin per informazioni su come risolvere il problema.Determinare se sono presenti oggetti persistenti.
Il metodo preferito per rilevare e rimuovere gli oggetti persistenti consiste nell'usare Lingering Object Liquidator v2 (LoLv2).The preferred method to detect and remove lingering objects is using Lingering Object Liquidator v2 (LoLv2). In alcuni casi in cui Non è possibile usare LoLv2, è possibile usare Repadmin.exe.
Per altre informazioni su LoLv2, vedere:
- Liquidatore oggetto persistente (LoL)
- Introduzione a Lingering Object Liquidator v2
- Descrizione dello strumento Lingering Object Liquidator
A tale scopo, eseguire il comando
repadmin /removelingeringobjectsin modalità di consulenza, come descritto nella procedura seguente.
È innanzitutto necessario identificare un controller di dominio autorevole. Se si sa che un controller di dominio specifico presenta le modifiche più recenti, è possibile usare tale controller di dominio come controller di dominio autorevole. In caso contrario, potrebbe essere necessario completare la procedura seguente su più controller di dominio fino a quando non si identifica un controller di dominio che si ritiene abbia le modifiche più recenti. È quindi possibile usare tale controller di dominio come controller di dominio autorevole.
L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura. Esaminare i dettagli sulle appartenenze ai gruppi predefiniti in Active Directory Local and Domain Default Groups (Gruppi predefiniti del dominio e locale di Active Directory).
Identificare gli oggetti persistenti
In un controller di dominio che si prevede di avere le modifiche più recenti, aprire una finestra del prompt dei comandi con privilegi elevati. Per aprire una finestra del prompt dei comandi con privilegi elevati, fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.
Eseguire il comando repadmin seguente in modalità di avviso. In questo modo è possibile valutare gli oggetti persistenti senza rimuovere effettivamente nulla.
repadmin /removelingeringobjects <DestDCName> <SourceDCGUID> <LDAPPartition> /advisory_modeSostituire gli elementi seguenti per i segnaposto nella sintassi del comando:
DestDCName: nome host del controller di dominio destinato alla pulizia dell'oggetto persistente. Ad esempio, se si desidera rimuovere oggetti persistenti da DC1 nel dominio contoso.com, sostituire
dc1.contoso.comcon <DestDCName>.SourceDCGUID: eseguire il comando seguente:
repadmin /showrepl AuthDCname |moredove AuthDCname è il nome host del controller di dominio selezionato come autorevole. Sostituire il primo GUID dell'oggetto DSA visualizzato per <SourceDCGUID>.
LDAPPartition: nome LDAP (Lightweight Directory Access Partition) della partizione di destinazione. Ad esempio, se gli oggetti persistenti si trovano nella partizione di dominio del
contoso.comdominio, sostituire dc=contoso,dc=com per <LDAPPartition>.
Di seguito è riportato un comando di esempio per identificare gli oggetti persistenti:
repadmin /removelingeringobjects dc1.contoso.com 4a8717eb-8e58-456c-995a-c92e4add7e8e dc=contoso,dc=com /advisory_mode
Se necessario, ripetere i passaggi precedenti su controller di dominio aggiuntivi fino a quando non si determina il controller di dominio che si ritiene abbia le modifiche più recenti. Usare il controller di dominio come controller di dominio autorevole. Eseguire il comando senza l'opzione repadmin /removelingeringobjects /advisory_mode per rimuovere effettivamente gli oggetti persistenti. Ripetere il comando in base alle necessità per rimuovere gli oggetti persistenti da ogni controller di dominio che li contiene.
Riavviare la replica dopo l'ID evento 2042
Lo stato normale della replica è quello in cui le modifiche apportate agli oggetti e i relativi attributi convergeno in modo che i controller di dominio ricevano le informazioni più recenti. Quando viene rilevato che un controller di dominio partner passa modifiche precedenti, le modifiche apportate dal partner vengono considerate "divergenti". Il partner si dice che sia impegnato nella "replica divergente". In genere, i controller di dominio smetteranno di eseguire la replica con qualsiasi partner considerato impegnato nella replica divergente.
Dopo aver rimosso tutti gli oggetti persistenti, è possibile riavviare la replica nel controller di dominio che ha registrato l'evento modificando il Registro di sistema.
Note
Riavviare la replica solo dopo aver rimosso tutti gli oggetti persistenti. È possibile che eventuali modifiche non corrette del Registro di sistema danneggino gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di tutti i dati importanti presenti sul computer.
L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura. Esaminare i dettagli sulle appartenenze ai gruppi predefiniti in Active Directory Local and Domain Default Groups (Gruppi predefiniti del dominio e locale di Active Directory).
Usare Repadmin per riavviare la replica dopo l'ID evento 2042
Aprire un Prompt dei comandi con privilegi elevati. Per aprire una finestra del prompt dei comandi con privilegi elevati, fare clic sul pulsante Start, scegliere Tutti i programmi, Accessori, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore.
Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:
repadmin /regkey <hostname> +allowDivergentParametro Descrizione /regkeyAbilita (+) e disabilita (-) il valore per la voce del Registro di sistema Strict Replication Consistency in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.<hostname> Sostituire il nome di un singolo controller di dominio o usare un carattere asterisco (*) per applicare la modifica a tutti i controller di dominio nella foresta. Per il nome del controller di dominio, è possibile utilizzare il nome DNS (Domain Name System), il nome distinto dell'oggetto computer controller di dominio o il nome distinto dell'oggetto server controller di dominio. +allowDivergentConsente alla replica di ricominciare con il partner di replica che aveva oggetti persistenti. È consigliabile eseguire questo comando solo dopo la rimozione di tutti gli oggetti persistenti. Dopo l'esecuzione corretta della replica, usare l'opzione -allowDivergentper evitare che si verifichi una replica divergente.
Note
Se non è stato usato un carattere asterisco (*) per applicare la modifica a tutti i controller di dominio, ripetere il passaggio 2 per ogni controller di dominio in cui si desidera consentire la replica divergente.
Reimpostare il Registro di sistema per la protezione dalla replica obsoleta
Quando si è soddisfatti che gli oggetti persistenti sono stati rimossi e che la replica si è verificata correttamente dal controller di dominio di origine, usare Repadmin per impedire la replica divergente. Per evitare la replica divergente, eseguire il comando seguente:
repadmin /regkey <hostname> -allowDivergent
Ad esempio, per limitare la replica divergente in un controller di dominio denominato DC1 nel dominio contoso.com, eseguire il comando seguente:
repadmin /regkey dc1.contoso.com -allowDivergent
Note
Se non sono stati rimossi tutti gli oggetti persistenti, il tentativo di replica potrebbe comportare la replica di un oggetto persistente. Se la coerenza di replica rigorosa è abilitata nel controller di dominio di destinazione, la replica con il controller di dominio di origine verrà bloccata di nuovo.
Raccolta dei dati
Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.