Condividi tramite

Errore di replica di Active Directory 8606: sono stati assegnati attributi insufficienti per creare un oggetto

Questo articolo fornisce informazioni utili per risolvere l'errore di replica di Active Directory 8606: sono stati assegnati attributi insufficienti per creare un oggetto.

Numero KB originale: 2028495

Note

Utenti home: questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si sta cercando assistenza per un problema, chiedere alla community Microsoft.

Riepilogo

Questo articolo descrive i sintomi e le cause di un problema in cui la replica di Active Directory non riesce e genera l'errore 8606: "Sono stati assegnati attributi insufficienti per creare un oggetto. Questo oggetto potrebbe non esistere perché potrebbe essere stato eliminato." Questo articolo descrive anche una risoluzione per questo problema.

Sintomi

Sintomo 1

DCDIAG segnala che il test delle repliche di Active Directory non è riuscito con l'errore 8606: "Sono stati assegnati attributi insufficienti per creare un oggetto".

Test iniziale: Repliche
[Verifica repliche, <Controller di> dominio di destinazione] Tentativo di replica recente non riuscito:
Dal controller di dominio di <origine al <controller> di dominio di destinazione>
Contesto di denominazione: <percorso DN della partizione di directory>
La replica ha generato un errore (8606):
Sono stati assegnati attributi insufficienti per creare un oggetto. Questo oggetto potrebbe non esistere perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection
L'errore si è verificato in data <e><ora>
L'ultimo esito positivo si è verificato in data <e ora><>

Sintomo 2

Replica in ingresso attivata dal comando Replica adesso nello snap-in DSSITE siti e servizi di Active Directory. MSC ha esito negativo e genera l'errore "Sono stati assegnati attributi insufficienti per creare un oggetto". Quando si fa clic con il pulsante destro del mouse su un oggetto connessione da un controller di dominio di origine e quindi si seleziona Replica adesso, la replica ha esito negativo e genera l'errore seguente: "Accesso negato". Viene inoltre visualizzato il messaggio di errore seguente:

Testo del titolo della finestra di dialogo: Replica ora
Testo del messaggio di dialogo: si è verificato l'errore seguente durante il tentativo di sincronizzare il contesto di denominazione %active directory partition name% from domain controller source DC to domain controller destination DC:The following error occurred during the attempt to synchronize naming context <%active directory partition name%> from domain controller <source DC> to domain controller <destination DC>:

Sono stati assegnati attributi insufficienti per creare un oggetto. Questo oggetto potrebbe non esistere perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection.

L'operazione non continuerà

Sintomo 3

Vari comandi di repadmin.exe hanno esito negativo con errore 8606. Questi comandi includono, ma non sono limitati ai seguenti:

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

Sintomo 4

L'evento 1988 viene registrato poco dopo uno degli eventi seguenti:

  • Viene distribuito il primo controller di dominio nella foresta.
  • Viene eseguito qualsiasi aggiornamento al set di attributi parziale.

Sintomo 5

L'evento di replica NTDS 1988 può essere registrato nel registro eventi del servizio directory dei controller di dominio che tentano di replicare Active Directory in ingresso.

Tipo di errore:
Origine: replica NTDS
Categoria: Replica
ID evento: 1988
Utente: NT AUTHORITY\ANONYMOUS LOGON
Computer: <nome host del controller di dominio che ha registrato l'evento, ovvero il controller di dominio di "destinazione" nel tentativo di replica>
Descrizione: il controller di dominio locale ha tentato di replicare l'oggetto seguente dal controller di dominio di origine seguente. Questo oggetto non è presente nel controller di dominio locale perché potrebbe essere stato eliminato e già sottoposto a Garbage Collection.
Controller di dominio di origine:
<CNAME GUIDATO completo del controller di dominio di origine>
Oggetto:
<Percorso DN dell'oggetto attivo nel controller di dominio di origine>
GUID oggetto:
<GUID oggetto dell'oggetto nella copia dei controller di dominio di origine di Active Directory>

Causa

L'errore 8606 viene registrato quando vengono soddisfatte le condizioni seguenti:

  • Un controller di dominio di origine invia un aggiornamento a un oggetto (anziché a un oggetto di origine) già creato, eliminato e recuperato da Garbage Collection dalla copia di un controller di dominio di destinazione di Active Directory.
  • Il controller di dominio di destinazione è stato configurato per l'esecuzione in coerenza di replica rigorosa.

Se il controller di dominio di destinazione è stato configurato per l'uso della coerenza di replica libera, l'oggetto sarebbe stato "rianimato" nella copia del controller di dominio di destinazione della directory. Le varianti specifiche che possono causare l'errore sono 8606 documentate nella sezione "Altre informazioni". Tuttavia, l'errore è causato da uno dei seguenti:

  • Oggetto permanentemente persistente la cui rimozione richiederà l'intervento dell'amministratore
  • Oggetto persistente temporaneo che correggerà se stesso quando il controller di dominio di origine esegue la successiva pulizia di Garbage Collection. L'introduzione del primo controller di dominio in una foresta esistente e gli aggiornamenti al set di attributi parziali sono cause note di questa condizione.
  • Oggetto non recapitato o ripristinato alla scadenza della durata della rimozione definitiva

Quando si risolvono gli errori 8606, considerare i punti seguenti:

  • Sebbene l'errore 8606 sia connesso al controller di dominio di destinazione, l'oggetto problema che blocca la replica risiede nel controller di dominio di origine. Inoltre, il controller di dominio di origine o un partner di replica transitiva del controller di dominio di origine potenzialmente non ha eseguito la replica in ingresso di un numero di giorni di durata di rimozione definitiva eliminato in passato.

  • Gli oggetti persistenti possono esistere nelle circostanze seguenti:

    • Come oggetti "attivi", come oggetti CNF o oggetti in conflitto "attivi" o come oggetti CNF o in conflitto nel contenitore di oggetti eliminati del controller di dominio di origine
    • In qualsiasi partizione di directory, ad eccezione della partizione dello schema. Gli oggetti persistenti vengono spesso trovati nelle partizioni di dominio di sola lettura nei controller di dominio. Gli oggetti persistenti possono esistere anche nelle partizioni di dominio scrivibili e nella partizione di configurazione. La partizione dello schema non supporta le eliminazioni.
    • In qualsiasi classe oggetto (utenti, computer, gruppi e record DNS sono più comuni).

  • Ricordarsi di cercare oggetti potenzialmente persistenti in base al GUID dell'oggetto rispetto al percorso DN, in modo che gli oggetti possano essere trovati indipendentemente dalla partizione host e dal contenitore padre. La ricerca in base a objectguid individua anche gli oggetti presenti nel contenitore degli oggetti eliminati senza usare il controllo LDAP degli oggetti eliminati.

  • L'evento NTDS Replication 1988 identifica solo l'oggetto corrente nel controller di dominio di origine che blocca la replica in ingresso da un controller di dominio di destinazione in modalità strict. È probabile che ci siano oggetti aggiuntivi "dietro" l'oggetto a cui si fa riferimento nell'evento 1988 che è anche persistente.

  • La presenza di oggetti persistenti in un controller di dominio di origine impedisce o blocca i controller di dominio di destinazione in modalità strict di eseguire la replica in ingresso di modifiche "valide" che esistono dietro l'oggetto persistente nella coda di replica.

  • A causa del modo in cui i controller di dominio eliminano singolarmente gli oggetti dai contenitori di oggetti eliminati (il daemon di Garbage Collection viene eseguito ogni 12 ore dall'ultimo avvio di ogni controller di dominio), gli oggetti che causano errori 8606 nei controller di dominio di destinazione potrebbero essere soggetti alla rimozione nell'esecuzione successiva della pulizia di Garbage Collection. Gli oggetti persistenti in questa classe sono temporanei e devono essere rimossi in meno di 12 ore dall'inizio del problema.

  • L'oggetto persistente in questione è probabilmente quello eliminato intenzionalmente da un amministratore o da un'applicazione. Tenere presente questo aspetto nel piano di risoluzione e tenere presente che gli oggetti vengono rianimati, in particolare le entità di sicurezza eliminate intenzionalmente. Risoluzione

Risoluzione

  1. Identificare il valore corrente per l'impostazione TombStoneLifeTime a livello di foresta.

    repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime

    Vedere la sezione "Durata della rimozione definitiva e replica delle eliminazioni" nell'articolo seguente della Microsoft Knowledge Base:
    910205 Informazioni sugli oggetti persistenti in una foresta Active Directory di Windows Server.

  2. Per ogni controller di dominio di destinazione che registra l'errore 8606, filtrare il registro eventi del servizio directory nell'evento NTDS Replication 1988.

  3. Raccogliere i metadati per ogni oggetto univoco citato nell'evento di replica NTDS 1988. Da ogni evento 1988 connesso al controller di dominio di destinazione che cita un nuovo oggetto, popolare la tabella seguente:

    Percorso DN oggetto GUID oggetto Controller di dominio di origine Partizione host Live o eliminato? LastKnownParent Valore IsDeleted

    Le colonne da 1 a 5 di questa tabella possono essere popolate leggendo i valori direttamente dai campi negli eventi NTDS Replication 1988 registrati nei registri eventi del servizio directory dei controller di dominio di destinazione che registrano l'evento 1988 o lo stato di replica 8606.

    Gli indicatori di data per le colonne LastKnownParent e IsDeleted possono essere determinati eseguendo repadmin /showobjmeta e facendo riferimento all'oggettoguid dell'oggetto citato nell'evento di replica NTDS 1988. A tale scopo, usare la sintassi seguente:

    repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"

    Il timbro di data per LastKnownParent identifica la data in cui l'oggetto è stato eliminato. Il timbro data per IsDeleted indica quando l'oggetto è stato eliminato o rianimato per l'ultima volta. Il numero di versione indica se l'ultima modifica è stata eliminata o rianimata l'oggetto. Un valore IsDeleteted pari a 1 rappresenta un'eliminazione iniziale. I valori con numeri dispari maggiori di 1 indicano una rianimazione dopo almeno un'eliminazione. Ad esempio, un valore isDeleted pari a 2 rappresenta un oggetto eliminato (versione 1) e successivamente non eliminato o rianimato (versione 2). I valori numerati in un secondo momento per IsDeleted rappresentano rianimazioni successive o annullamenti dell'eliminazione dell'oggetto.

  4. Selezionare l'azione appropriata in base ai metadati dell'oggetto citati nell'evento 1988.

    L'errore 8606/ evento di replica NTDS 1988 è spesso causato da errori di replica a lungo termine che impediscono ai controller di dominio di conoscere in ingresso tutte le eliminazioni di origine nella foresta. Ciò comporta un ritardo degli oggetti su uno o più controller di dominio di origine.

    Esaminare i metadati per l'oggetto elencato nella tabella creata nel passaggio 4 della sezione "Risoluzione".

    Se l'oggetto nell'evento 1988 è (attivo nel controller di dominio di origine) ma (eliminato nel controller di dominio di destinazione per più tempo rispetto alla scadenza della durata della rimozione definitiva), vedere "Rimozione di oggetti persistente" e "." Gli oggetti in questa condizione devono essere rimossi manualmente da un amministratore.

    È possibile che gli oggetti eliminati siano stati eliminati prematuramente dal contenitore di oggetti eliminati se il tempo di sistema è saltato in avanti nel tempo nel controller di dominio di destinazione. Esaminare la sezione "Controllare i salti temporali".

    Se l'oggetto citato nell'evento 1988 esiste nel contenitore di oggetti eliminati del controller di dominio di origine e la data di eliminazione è corretta al momento della scadenza della durata della rimozione definitiva in modo che l'oggetto sia stato recuperato da uno o più controller di dominio di destinazione e verrà recuperato da Garbage Collection al successivo intervallo di Garbage Collection nei controller di dominio di origine( ovvero, gli oggetti persistenti sono temporanei), è possibile scegliere. Attendere l'esecuzione successiva di Garbage Collection per eliminare l'oggetto oppure attivare manualmente la Garbage Collection nel controller di dominio di origine. Vedere "Avvio manuale della Garbage Collection". L'introduzione del primo controller di dominio, o qualsiasi modifica nel set di attributi parziale, può causare questa condizione.

    Se repadmin /showobjmeta l'output per l'oggetto citato nell'evento 1988 ha un valore LastKnownParent pari a 1, indica che l'oggetto è stato eliminato e un valore IsDeleted pari a 2 o un altro valore numerato pari a 2 e tale indicatore di data per IsDeleted si trova nel punto di riferimento del numero di giorni di durata della rimozione definitiva diverso dal timbro di data per LastKnownParent, l'oggetto è stato eliminato e quindi non eliminato/ripristinato mentre era ancora attivo nel controller di dominio di origine, ma già recuperato da Garbage Collection dai controller di dominio di destinazione che registrano l'errore 8606/ Evento 1988. Vedere Reanimations at the cusp of TSL expiration (Rianimations at the cusp of TSL expiration)

Come rimuovere oggetti persistenti

Sebbene esistano molti metodi per rimuovere gli oggetti persistenti, esistono tre strumenti principali comunemente usati: repadmin.exe, liquidatore oggetto persistente (LoL) e repldiag.

Liquidatore oggetto persistente (LoL)

Il metodo più semplice per pulire Lingering Objects consiste nell'usare loL. Lo strumento LoL è stato sviluppato per automatizzare il processo di pulizia in una foresta Active Directory. Lo strumento è basato sull'interfaccia utente grafica e può analizzare la foresta Active Directory corrente e rilevare e pulire gli oggetti persistenti. Lo strumento è disponibile nell'Area download Microsoft.

Repadmin

I due comandi seguenti in repadmin.exe possono rimuovere oggetti persistenti dalle partizioni di directory:

  • repadmin /removelingeringobjects
  • repadmin /rehost

Il repadmin /removelingeringobjects comando può essere usato per rimuovere oggetti persistenti dalle partizioni di directory scrivibili e di sola lettura nei controller di dominio di origine. La sintassi è la seguente:

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

Dove:
<> Dest_DSA_LIST è il nome di un controller di dominio che contiene oggetti persistenti, ad esempio il controller di dominio di origine citato nell'evento NTDS Replication 1988.

<Il GUID> DSA di origine è il nome di un controller di dominio che ospita una copia scrivibile della partizione di directory che contiene oggetti persistenti in cui il controller di dominio in <Dest_DSA_LIST> dispone della connettività di rete. Il controller di dominio da pulire (primo controller di dominio specificato nel comando) deve essere in grado di connettersi direttamente alla porta 389 nel controller di dominio che ospita una copia scrivibile della partizione della directory (specificata seconda nel comando).

<NC> è il percorso DN della partizione di directory sospetta di contenere oggetti persistenti, ad esempio la partizione specificata in un evento 1988.

Il repadmin /rehost comando può essere usato per rimuovere i controller di dominio lingering-objects che ospitano una copia di sola lettura di una partizione di directory di dominio dai controller di dominio. La sintassi è la seguente:

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

Dove:
DSA è il nome di un controller di dominio che ospita una partizione di directory di dominio di sola lettura per un dominio non locale. Ad esempio, un GC in root.contoso.com può eseguire nuovamente il rehosting della copia di sola lettura di child.contoso.com, ma non può eseguire il rehosting root.contoso.com.

<Contesto di denominazione> è il percorso DN di una partizione di directory di dominio di sola lettura che risiede in un catalogo globale.

<Good Source DSA Address> è il nome di un controller di dominio che ospita una copia scrivibile del contesto> di <denominazione. Il controller di dominio deve essere disponibile in rete per il computer DSA.

Se l'oggetto persistente segnalato nell'evento 1988 non viene rimosso dal repositoryadmin, valutare se l'oggetto nel controller di dominio di origine è stato creato in un intervallo USN o se gli oggetti che hanno origine controller di dominio non esistono nel vettore di aggiornamento del controller di dominio di origine.

Repldiag

Note

È anche possibile rimuovere oggetti persistenti usando repldiag.exe. Questo strumento automatizza il repadmin /removelingeringobjects processo. La rimozione di oggetti persistenti da una foresta con repldiag è semplice come l'esecuzione repldiag /removelingeringobjectsdi . Tuttavia, in genere è consigliabile esercitare un certo controllo sul processo in ambienti più grandi. L'opzione /OverRideReferenceDC consente di selezionare il controller di dominio usato per la pulizia. L'opzione consente di visualizzare l'aspetto /outputrepadmincommandlinesyntax di una pulizia a livello di foresta usando il repositoryadmin.

Avviare il lab technet su richiesta seguente per la procedura guidata di risoluzione dei problemi di questo e altri errori di replica di Active Directory:

Nel lab si usano sia repadmin che repldiag.exe per rimuovere gli oggetti persistenti
Risoluzione degli errori di replica di Active Directory
In questo lab verranno descritte le fasi di risoluzione dei problemi, analisi e implementazione degli errori di replica di Active Directory comunemente rilevati. Si userà una combinazione di ADREPLSTATUS, repadmin.exe e altri strumenti per risolvere i problemi di un ambiente a cinque controller di dominio, tre domini. Gli errori di replica di Active Directory rilevati nel lab includono -2146893022, 1256, 1908, 8453 e 8606".

Monitoraggio dell'integrità della replica di Active Directory ogni giorno

Se l'errore 8606/ Evento 1988 è stato causato dal mancato replicare le modifiche di Active Directory nell'ultimo numero di giorni di durata della rimozione definitiva, assicurarsi che l'integrità della replica di Active Directory venga monitorata su base giornaliera in futuro. L'integrità della replica può essere monitorata usando un'applicazione di monitoraggio dedicata o visualizzando l'output da un'opzione economica ma efficace per eseguire repadmin /showrepl * /csv il comando in un'applicazione di foglio di calcolo, ad esempio Microsoft Excel. Vedere "Metodo 2: Monitorare la replica usando una riga di comando" nell'articolo della Microsoft Knowledge Base 910205).

I controller di dominio che non hanno replicato in ingresso nel 50% del numero di giorni di durata della rimozione definitiva devono essere inseriti in un elenco di controllo che riceve l'attenzione dell'amministratore prioritario per rendere operativa la replica. I controller di dominio che non possono essere eseguiti correttamente per la replica devono essere forzati se non sono stati replicati entro il 90% di TSL.

Gli errori di replica visualizzati in un controller di dominio di destinazione possono essere causati dal controller di dominio di destinazione, dal controller di dominio di origine o dall'infrastruttura DNS e della rete sottostante.

Verificare la presenza di salti temporali

Per determinare se si è verificato un salto temporale, controllare gli indicatori di data nei log eventi e di diagnostica (Visualizzatore eventi, , repadmin /showrepslog netlogon, report dcdiag) nei controller di dominio di destinazione che registrano gli eventi di errore 8606/NTDS Replication 1988 per gli eventi seguenti:

  • Indicatori data che precedono il rilascio di un sistema operativo (ad esempio, indicatori di data da CY 2003 per un sistema operativo rilasciato nel CY 2008)
  • Indicatori di data che precedono l'installazione del sistema operativo nella foresta
  • Indicatori di data in futuro
  • Nessun evento registrato in un determinato intervallo di date

supporto tecnico Microsoft team hanno visto il tempo di sistema nei controller di dominio di produzione saltare in modo non corretto ore, giorni, settimane, anni e persino decine di anni in passato e futuro. Se il tempo di sistema è stato trovato impreciso, è consigliabile correggerlo e quindi cercare di determinare il motivo per cui è stato saltato il tempo e cosa è possibile fare per evitare tempi imprecisi in avanti e correggere semplicemente il tempo cattivo. Le domande possibili includono:

  • Il PDC radice della foresta è stato configurato usando un'origine ora esterna?
  • Le origini temporali online di riferimento sono disponibili nella rete e risolvibili in DNS?
  • Il servizio Ora di Microsoft o di terze parti è in esecuzione e in uno stato senza errori?
  • I computer del ruolo del controller di dominio sono configurati per l'uso della gerarchia NT5DS per l'ora di origine?
  • La protezione del rollback temporale descritta nell'articolo della Microsoft Knowledge Base 884776 sul posto?
  • Gli orologi di sistema hanno buone batterie e tempo accurato nel BIOS nei controller di dominio nei computer host virtuali?
  • Gli host virtuali e i computer guest sono configurati per l'ora di origine in base alle raccomandazioni del produttore dell'hosting?
    L'articolo della Microsoft Knowledge Base 884776 i passaggi per proteggere i controller di dominio da esempi di ora non validi. Altre informazioni su MaxPosPhaseCorrection e MaxNegPhaseCorrection sono disponibili nel post di blog W32Time servizio Ora di Windows.

Verificare la presenza di oggetti persistenti usando repadmin /removelingeringobjects /advisorymodee quindi rimuoverli in base alle esigenze.

Rilassare "Consenti la replica con partner divergenti e danneggiati" in base alle esigenze.

Come avviare manualmente Garbage Collection

Esistono diverse opzioni per attivare manualmente garbage collection in un controller di dominio specifico:

Eseguire "repadmin /setattr "" "" doGarbageCollection add 1"

Eseguire LDIFDE /s <server> /i /f dogarbage.ldif dove dobarbage.ldif contiene il testo:

Dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

Note

Il carattere finale "-" è un elemento obbligatorio del file ldif.

Rianimazioni alla scadenza TSL

Affinché questa condizione esista, repadmin /showobject "<GUID=object guid for object in 1988 event>" deve segnalare che l'oggetto è "non trovato" nel controller di dominio di destinazione, ma è attivo nel controller di dominio di origine ed è un oggetto eliminato o non eliminato.

Una revisione dei campi chiave da repadmin /showobjmeta nel controller di dominio di origine deve segnalare che le condizioni seguenti sono vere: LastKnownParent ha un valore pari a 1 e il relativo indicatore di data si trova al momento dei giorni TSL nel passato. Il relativo indicatore di data indica la data di eliminazione dell'oggetto.

IsDeleted ha un numero di versione pari a 2 (o un altro valore numerato pari), dove la versione 1 ha definito l'eliminazione originale e la versione 2 è il restore/reanimation. Il timbro di data per "isDeleted=2" deve essere ~ TSL numero di giorni successivi all'ultima data di modifica per LastKnownParent.

Valutare se l'oggetto in questione deve rimanere un oggetto attivo o un oggetto eliminato. Se LastKnownParent ha un valore pari a 1, un elemento o un utente ha eliminato l'oggetto. Se non si tratta di un'eliminazione accidentale , è probabile che l'oggetto debba essere eliminato da qualsiasi controller di dominio di origine con una copia dinamica dell'oggetto.

Se l'oggetto deve esistere in tutte le repliche, le opzioni sono le seguenti:

  • Abilitare la replica debole nei controller di dominio di destinazione in modalità strict che non dispongono dell'oggetto .
  • Forzare la abbassare di livello i controller di dominio che hanno già sottoposto a Garbage Collection l'oggetto.
  • Eliminare l'oggetto e quindi ricrearlo.

Ulteriori informazioni

Avviare il lab technet su richiesta seguente per la procedura guidata di risoluzione dei problemi di questo e altri errori di replica di Active Directory:

Risoluzione degli errori di replica di Active Directory
In questo lab verranno descritte le fasi di risoluzione dei problemi, analisi e implementazione degli errori di replica di Active Directory comunemente rilevati. Si userà una combinazione di ADREPLSTATUS, repadmin.exe e altri strumenti per risolvere i problemi di un ambiente a cinque controller di dominio, tre domini. Gli errori di replica di Active Directory rilevati nel lab includono -2146893022, 1256, 1908, 8453 e 8606".

Cause di oggetti persistenti

Causa 1: il controller di dominio di origine invia aggiornamenti agli oggetti che sono già stati recuperati da Garbage Collection nel controller di dominio di destinazione perché il controller di dominio di origine era offline o non è riuscito a eseguire la replica per TSL numero di giorni trascorso

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC2 riscontra un errore della scheda madre. Nel frattempo, DC1 crea eliminazioni di origine per i gruppi di sicurezza non aggiornati ogni giorno nei prossimi 90 giorni. Dopo che è offline per 90 giorni, DC2 riceve una scheda madre sostitutiva, attiva e quindi ha origine una modifica DACL o SACL su tutti gli account utente prima che in ingresso replica la conoscenza delle eliminazioni di origine da DC1. DC1 registra errori 8606 per gli aggiornamenti dei gruppi di sicurezza eliminati in DC1 per i primi 30 giorni in cui DC2 era offline.

Causa 2: il controller di dominio di origine invia aggiornamenti agli oggetti al momento della scadenza TSL che sono già stati recuperati da un controller di dominio di destinazione in modalità strict

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC1 e DC2 vengono replicati ogni 24 ore. DC1 ha origine eliminazioni giornaliere. DC1 è aggiornato sul posto. Questo contrassegna il nuovo attributo su tutti gli oggetti nella configurazione e nelle partizioni di dominio scrivibili. Sono inclusi gli oggetti attualmente presenti nel contenitore di oggetti eliminati. Alcuni di loro sono stati eliminati 60 giorni fa e sono ora al momento della scadenza della pietra tombale. DC2 recupera alcuni oggetti da Garbage Collection eliminati giorni fa prima dell'apertura della pianificazione della replica con DC2. L'errore 8606 viene registrato fino a quando DC1 recupera gli oggetti bloccanti da Garbage Collection.

Tutti gli aggiornamenti al set di attributi parziale possono causare oggetti temporanei che si cancellano dopo l'eliminazione dei controller di dominio di origine degli oggetti eliminati al momento della scadenza TSL, ad esempio l'aggiunta del primo controller di dominio W2K8 R2 a una foresta esistente.

Causa 3: un salto temporale su un controller di dominio di destinazione accelera prematuramente la Garbage Collection di oggetti eliminati in un controller di dominio di destinazione

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC1 e DC2 vengono replicati ogni 24 ore. DC1 ha origine eliminazioni giornaliere. L'origine ora di riferimento usata da DC1 (ma non DC2) esegue il roll forward nell'anno di calendario 2039. In questo modo DC2 usa anche un'ora di sistema in CY2039. In questo modo DC1 elimina in modo prematuro gli oggetti che vengono eliminati oggi dal contenitore degli oggetti eliminati. Nel frattempo, DC2 ha origine modifiche agli attributi per utenti, computer e gruppi attivi in DC2, ma eliminati e ora con garbage collection prematuramente in DC1. DC1 registra l'errore 8606 quando esegue la successiva replica delle modifiche per gli oggetti eliminati prematuri.

Causa 4: Un oggetto viene rianimato al momento della scadenza di TSL

Il CONTOSO.COM dominio contiene due controller di dominio nello stesso dominio. Durata della rimozione definitiva = 60 giorni. La replica strict è abilitata in entrambi i controller di dominio. DC1 e DC2 vengono replicati ogni 24 ore. DC1 ha origine eliminazioni giornaliere. Un'unità organizzativa che contiene utenti, computer e gruppi viene eliminata accidentalmente. Un backup dello stato del sistema eseguito al momento della TSL in passato viene ripristinato in DC2. Il backup contiene oggetti attivi in DC2, ma già eliminati e recuperati da Garbage Collection in DC1.

Causa 5: una bolla USN viene attivata la registrazione dell'8606

Si supponga di creare un oggetto in una bolla USN in modo che non venga replicato in uscita perché il controller di dominio di destinazione "pensa" che ha l'oggetto a causa della bolla. A questo punto, dopo la chiusura della bolla e dopo che le modifiche iniziano di nuovo a replicare, viene creata una modifica per tale oggetto nel controller di dominio di origine e viene visualizzata come oggetto persistente al controller di dominio di destinazione. Il controller di destinazione registra l'evento 8606.

Requisiti per la replica end-to-end delle eliminazioni di origine

I controller di dominio Active Directory supportano la replica multimaster in cui qualsiasi controller di dominio (che contiene una partizione scrivibile) può avere origine una creazione, una modifica o un'eliminazione di un oggetto o di un attributo (valore). La conoscenza delle eliminazioni di oggetti/attributi viene mantenuta dal controller di dominio di origine e da qualsiasi controller di dominio con conoscenza replicata in ingresso di un'eliminazione di origine per il numero di giorni di TSL. Vedere gli articoli della Microsoft Knowledge Base 216996 e 910205)

Active Directory richiede la replica end-to-end da tutti i titolari di partizione per replicare in modo transitivo tutte le eliminazioni di origine per tutte le partizioni di directory in tutti i titolari di partizione. Se non si esegue la replica in ingresso di una partizione di directory in un numero di giorni di TSL in sequenza, si ottengono oggetti persistenti. Un oggetto persistente è un oggetto che è stato eliminato intenzionalmente da almeno un controller di dominio, ma che esiste erroneamente nei controller di dominio di destinazione che non hanno replicato la conoscenza temporanea di tutte le eliminazioni univoche.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.