Risolvere l'errore di replica di Active Directory 8614

Questo articolo illustra la procedura per risolvere l'errore di replica di Active Directory 8614.

Numero KB originale: 2020053

Note

Utenti home: questo articolo è destinato solo agli agenti di supporto tecnico e ai professionisti IT. Se si sta cercando assistenza per un problema, rivolgersi alla community Microsoft.

Sintomi

1. DCDIAG segnala che il test delle repliche di Active Directory non è riuscito con codice di stato errore 8614: Active Directory non può essere replicato con questo server perché l'ora trascorsa dall'ultima replica con questo server ha superato la durata della rimozione definitiva.

   Testing server: <site name><destination dc name>  
   Starting test: Replications  
   * Replications Check  
   [Replications Check,<destination DC name] A recent replication attempt failed:  
   From <source DC> to <destination DC>  
   Naming Context: <directory partition DN path>  
    The replication generated an error (8614):
    Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   The failure occurred at <date> <time>.  
   The last success occurred at <date> <time>.  
   3 failures have occurred since the last success.  
   

2. REPADMIN.EXE segnala che l'ultimo tentativo di replica non è riuscito con stato 8614. I comandi REPADMIN che in genere citono lo stato 8614 includono, ma non sono limitati a:

   • REPADMIN /REPLSUM
   • REPADMIN /SHOWREPL
   • REPADMIN /SHOWREPS
   • REPADMIN /SYNCALL

   Di seguito è riportato l'output di esempio che REPADMIN /SHOWREPS illustra la replica in ingresso da CONTOSO-DC2 a CONTOSO-DC1 con l'errore di accesso negato alla replica:

    efault-First-Site-Name\CONTOSO-DC1  
    DSA Options: IS_GC  
    Site Options: (none)  
    DSA object GUID:  
    DSA invocationID:  
   
   ==== INBOUND NEIGHBORS ======================================  
   
   DC=contoso,DC=com  
   Default-First-Site-Name\CONTOSO-DC2 via RPC  
   DSA object GUID:  
   Last attempt @ <date> <time> failed, result 8614(0x21a6):
   The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.  
   <#> consecutive failure(s).  
   Last success @ <date> <time>.  
   

3. Gli eventi NTDS KCC, NTDS General o Microsoft-Windows-ActiveDirectory_DomainService con i cinque stati vengono registrati nel registro eventi del servizio directory.

   Gli eventi di Active Directory che in genere citono lo stato 8524 includono, ma non sono limitati a:

   Origine evento	ID	Stringa di evento
   NTDS KCC	1925	Non è riuscito il tentativo di stabilire un collegamento di replica per la partizione di directory scrivibile.

4. L'evento di replica NTDS 2042 può essere registrato nel registro eventi del servizio directory:

   Event Type: Error
   Event Source: NTDS Replication
   Event Category: Replication
   Event ID: 2042
   User: NT AUTHORITY\ANONYMOUS LOGON
   Computer: <name of DC that logged event>
   
   Description:  
   It has been too long since this machine last replicated with the named source
   machine. The time between replications with this source has exceeded the tombstone
   lifetime. Replication has been stopped with this source.
   
   The reason that replication is not allowed to continue is that the two machine's views of deleted objects may now be different. The source machine may still have copies of objects that have been deleted (and garbage collected) on this machine. If they were allowed to replicate, the source machine might return objects which have already been deleted.
   
   Time of last successful replication: YYYY-MM-DD HH:MM:SS
   Invocation ID of source: <32 character GUID for source DC>
   Name of source: <fully qualified cname record of source DC>
   Tombstone lifetime (days): <current TSL value. Default = 60 or 180 days>
   
   The replication operation has failed.
   
   User Action:
   
   Determine which of the two machines was disconnected from the forest and is now out of date. You have three options:
   
   1. Demote or reinstall the machine(s) that were disconnected.
   2. Use the repadmin /removelingeringobjects tool to remove inconsistent deleted objects and then resume replication.
   3. Resume replication. Inconsistent deleted objects may be introduced. You can continue replication by using the following registry key. Once the systems replicate once, it's recommended that you remove the key to reinstate the protection.  
   

5. Il comando replicate now in Siti e servizi di Active Directory restituisce il messaggio seguente:

   Active Directory non può essere replicato con questo server perché l'ora trascorsa dall'ultima replica con questo server ha superato la durata di rimozione definitiva.

   Fare clic con il pulsante destro del mouse sull'oggetto connessione da un controller di dominio di origine e scegliere Replica ora in Siti e servizi di Active Directory (DSSITE). MSC) ha esito negativo. Viene visualizzato il messaggio seguente:

   Active Directory non può essere replicato con questo server perché l'ora trascorsa dall'ultima replica con questo server ha superato la durata di rimozione definitiva.

   Il testo del messaggio di errore sullo schermo è il seguente:

   Testo del titolo della finestra di dialogo: Replica ora
   Testo del messaggio di dialogo: si è verificato l'errore seguente durante il tentativo di sincronizzare il contesto <di denominazione %nome partizione directory%> dal controller di dominio del controller <di dominio controller> di origine al controller <di dominio controller di destinazione controller> di dominio:

   Active Directory non può essere replicato con questo server perché l'ora trascorsa dall'ultima replica con questo server ha superato la durata della rimozione definitiva.
   L'operazione non continuerà

   Pulsanti nella finestra di dialogo: OK

Causa

I controller di dominio Active Directory supportano la replica multimaster. Qualsiasi controller di dominio che contiene una partizione scrivibile può avere origine da una creazione, modifica o eliminazione di un oggetto o di un attributo (valore). La conoscenza dell'eliminazione di oggetti/attributi persiste per il numero di giorni di durata della rimozione definitiva. (Vedere Informazioni sugli oggetti persistenti in una foresta di Active Directory di Windows Server.

Active Directory richiede la replica end-to-end da tutti i titolari di partizione per replicare in modo transitivo tutte le eliminazioni di origine per le partizioni di directory in tutti i titolari di partizione. Se non si esegue la replica in ingresso di una partizione di directory in un numero di giorni di TSL in sequenza, si ottengono oggetti persistenti. Un oggetto persistente è un oggetto che è stato eliminato intenzionalmente da almeno un controller di dominio, ma non esiste correttamente nei controller di dominio di destinazione che non è riuscito a replicare la conoscenza temporanea di tutte le eliminazioni univoche.

L'errore 8614 è un esempio di logica aggiunta nei controller di dominio che eseguono Windows Server 2003 o versione successiva. Mette in quarantena la diffusione di oggetti persistenti e identifica gli errori di replica a lungo termine che causano partizioni di directory incoerenti.

Le cause radice dell'errore 8614 e dell'evento di replica NTDS 2042 includono:

1. Il controller di dominio di destinazione che registra l'errore 8614 non è riuscito a replicare una partizione di directory da uno o più controller di dominio di origine per il numero di giorni di durata di rimozione definitiva.

2. Tempo di sistema nel controller di dominio di destinazione spostato, o saltato, durata rimozione definitiva uno o più giorni in futuro dall'ultima replica riuscita. Dà l'aspetto al motore di replica che il controller di dominio di destinazione non è riuscito a replicare in ingresso una partizione di directory per il numero di giorni trascorso per la durata di rimozione definitiva.

   I salti temporali possono verificarsi quando si verificano le condizioni seguenti:

   • Un controller di dominio di destinazione esegue correttamente la replica in ingresso, adotta TSL in fase di sistema non valida o più giorni in futuro.
   • Il controller di dominio di destinazione tenta quindi di eseguire la replica in ingresso da un'origine replicata per l'ultima volta da TSL o più giorni nel passato.

   O

   Il tempo passa dall'ora corrente a una durata di rimozione definitiva di data/ora o più giorni nel passato, replica correttamente in ingresso. Tenta quindi di eseguire la replica in ingresso dopo l'adozione della durata TSL o di un numero maggiore di giorni in futuro.

Fondamentalmente, la causa e la risoluzione per l'errore di replica 8614 si applicano allo stesso modo alla causa e alla risoluzione per l'evento di replica NTDS 2042.

Risoluzione

Note

Esistono due piani d'azione per ripristinare i controller di dominio active Directory che registrano lo stato di errore 8614 o NTDS Replication event 2042. È possibile abbassare di livello forzato il controller di dominio oppure usare il piano di azione riportato di seguito, Controllare le correzioni necessarie, cercare salti temporali, verificare la presenza di oggetti persistenti e rimuoverli, rimuovere eventuali quarantena di replica, risolvere gli errori di replica, quindi ripristinare il controller di dominio nel servizio. La riduzione forzata di tali controller di dominio può essere più semplice e veloce, ma può comportare la perdita di aggiornamenti di origine (ovvero la perdita di dati) nel controller di dominio che viene forzatamente abbassato di livello. Active Directory viene ripristinato correttamente da questa condizione seguendo la procedura seguente. Selezionare la soluzione migliore per lo scenario. Non presupporre che un abbassamento di livello di forza sia l'unica soluzione utilizzabile, soprattutto quando l'errore di replica è facile da risolvere o è esterno ad Active Directory.

1. Verificare la presenza di valori non predefiniti per la durata della rimozione definitiva.

   Per impostazione predefinita, la durata della rimozione definitiva usa 60 o 180 giorni, a seconda della versione di Windows distribuita nella foresta. supporto tecnico Microsoft visualizza regolarmente controller di dominio con replica in ingresso non riuscita per tali periodi di tempo. È anche possibile che la durata della rimozione definitiva sia stata configurata per un breve periodo, ad esempio due giorni. In tal caso, i controller di dominio per cui non è stata eseguita la replica in ingresso, ad esempio, cinque giorni avranno esito negativo per il test seguente:

   Tutti i controller di dominio devono essere replicati con un numero di giorni di TSL in sequenza

   Usare repadmin /showattr per verificare se è stato configurato un valore non predefinito per l'attributo TombstoneLifetime .

   repadmin /showattr <DC_name> "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<forest root domain>,DC=<top level domain>"
   

   Se l'attributo non è presente nell'output showattr , viene usato un valore predefinito interno.

2. Verificare la presenza di controller di dominio con replica in ingresso non riuscita per il numero di giorni di TSL.

   Eseguire repadmin /showrepl * /csv l'analisi usando Excel come specificato nella sezione Verificare la corretta replica in un controller di dominio. Ordinare l'output dei repository in Excel nell'ultima colonna di operazione riuscita della replica nell'ordine dal valore meno recente alla data e all'ora più correnti.

3. Verificare la presenza di salti temporali.

   Per determinare se si è verificato un salto temporale, controllare i log di eventi e di diagnostica (repadmin /showreps, dcdiag logs) nei controller di dominio di destinazione che registrano errori 8614 per i timestamp seguenti:

   • Indicatori di data che precedono il rilascio di un sistema operativo. Ad esempio, gli indicatori di data di Windows Server 2003 per un sistema operativo rilasciato in Windows Server 2008.
     • Indicatori data che precedono l'installazione del sistema operativo nella foresta.
     • Indicatori di data in futuro.
     • Nessun evento registrato in un determinato intervallo di date.

   supporto tecnico Microsoft team hanno visto il tempo di sistema nei controller di dominio di produzione saltare in modo non corretto ore, giorni, settimane, anni e persino decine di anni in passato e futuro.

   Se l'ora di sistema è stata rilevata in modo non accurato, correggerla. Quindi cercare di determinare il motivo per cui è saltato il tempo e cosa può essere fatto per evitare tempi imprecisi in avanti e semplicemente correggendo il brutto tempo. Le aree possibili da analizzare includono:

   • Il PDC radice della foresta è stato configurato usando un'origine ora esterna?
     • Le origini temporali di riferimento sono online, disponibili in rete e risolvibili in DNS?
     • Il servizio Ora di Microsoft o di terze parti è in esecuzione e in uno stato senza errori?
     • I computer con ruolo DC sono configurati per l'uso della gerarchia NT5DS per l'ora di origine?
     • La protezione del rollback temporale è stata descritta in Come configurare il servizio Ora di Windows rispetto a una differenza di tempo elevata sul posto?
     • Gli orologi di sistema hanno buone batterie e tempo accurato nel BIOS?
     • Gli host virtuali e i computer guest sono configurati per l'ora di origine in base alle raccomandazioni dei produttori di hosting?

   Questo articolo Come configurare il servizio Ora di Windows in base ai passaggi dei documenti di offset di tempo di grandi dimensioni per proteggere i controller di dominio dall'ascolto di campioni di ora non validi. Altre informazioni su MaxPosPhaseCorrection e MaxNegPhaseCorrection sono disponibili nel servizio Ora di Windows.

4. Controllare e rimuovere gli oggetti persistenti, se presenti.

   Il punto della quarantena della replica degli errori 8614 consiste nel verificare la presenza di oggetti persistenti e rimuoverli, se presenti, in ogni partizione mantenuta localmente prima di impostare Consenti replica con partner divergenti e danneggiati su 1 nel Registro di sistema del controller di dominio di destinazione, anche se si ritiene che tutti i controller di dominio di destinazione nella foresta siano in esecuzione in coerenza di replica rigorosa.

   La rimozione di oggetti persistenti non rientra nell'ambito di questo articolo. Per altre informazioni, vedere gli articoli seguenti:

   • Informazioni sugli oggetti persistenti in una foresta di Active Directory di Windows Server.
   • Liquidatore oggetto persistente (LoL)
   • Introduzione a Lingering Object Liquidator v2
   • Descrizione dello strumento Lingering Object Liquidator
   • ID evento 1388 o 1988: viene rilevato un oggetto persistente

   Repadmin la sintassi è illustrata di seguito:

   Sintassi	Guida online (Windows Server 2008 e versioni successive)
   c:\>repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/advisory_mode]	c:\>repadmin /help:removelingeringobject

5. Valutare l'impostazione della replica rigorosa nei controller di dominio di destinazione.

   La replica in modalità strict impedisce che gli oggetti persistenti vengano rianimati nei controller di dominio di destinazione che hanno usato Garbage Collection per creare, eliminare e recuperare oggetti eliminati intenzionalmente.

   Chiave del Registro di sistema per la replica rigorosa:

   • Percorso: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Impostazione: coerenza di replica rigorosa, senza distinzione tra maiuscole e minuscole <>
   • Tipo: reg_dword
   • Valore: 0 | 1

   Repadmin la sintassi per abilitare e disabilitare la replica rigorosa in un singolo o più controller di dominio è la seguente:

   Sintassi	Guida online (Windows Server 2008 e versioni successive)	Abilitare in un singolo controller di dominio	Abilitare in tutti i controller di dominio nella foresta	Abilitare in tutti i controller di dominio nella foresta
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey <fully qualified computer name> +strict	repadmin /regkey * +strict	repadmin /regkey gc: +strict

6. Impostare Consenti replica con partner divergenti e danneggiati su 1 nel controller di dominio 8614.

   Dopo la rimozione di qualsiasi oggetto persistente, disabilitare la quarantena della replica basata sul tempo:

   Metodo del Registro di sistema:

   • Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\system\ccs\services\ntds\parameters
   • Impostazione del Registro di sistema: consente la replica con partner <divergenti e danneggiati - Senza distinzione tra maiuscole e minuscole》
   • Valore del Registro di sistema: 0 = non consentito, 1 = consenti

   Repadmin metodo:

   Sintassi	Guida online (Windows Server 2008 e versioni successive)	Abilitare in un singolo controller di dominio	Abilitare in tutti i controller di dominio nella foresta	Abilitare in tutti i controller di dominio nella foresta
   repadmin /regkey <DSA_LIST> <{+|-}key> [value [/reg_sz]]	Repadmin /help:regkey	repadmin /regkey dc01.contoso.com +allowDivergent	repadmin /regkey * +allowDivergent	repadmin /regkey GC: +allowDivergent

7. Risolvere gli errori di replica di Active Directory, se presenti.

   Quando lo stato di errore 8614 viene registrato in un controller di dominio di destinazione, gli errori di replica precedenti registrati nel numero TSL precedente vengono mascherati.

   Il fatto che l'errore 8614 sia stato segnalato dal controller di dominio di destinazione non significa che l'errore di replica risiede nel controller di dominio di destinazione. Al contrario, l'origine dell'errore di replica potrebbe trovarsi nella risoluzione dei nomi DNS o di rete. In alternativa, potrebbe verificarsi un problema con uno degli elementi seguenti:

   • autenticazione
   • database jet
   • Topologia
   • il motore di replica nel controller di dominio di origine o nel controller di dominio di destinazione

   Esaminare gli eventi del servizio directory precedenti e l'output di diagnostica (dcdiag, repadmin logs) generati dal controller di dominio di origine, dal controller di dominio di destinazione e dai partner di replica alternativi in passato per identificare l'ambito e lo stato di errore che impedisce la replica tra il controller di dominio di destinazione e il controller di dominio di origine.

8. Eliminare Consenti replica con partner divergenti e danneggiati oppure impostare Consenti replica con partner divergenti e danneggiati su 0 nel Registro di sistema.

9. Monitorare la replica di Active Directory ogni giorno.

   Monitorare quotidianamente la replica end-to-end nella foresta Active Directory usando un'applicazione di monitoraggio di Active Directory. Un'opzione economica ma efficace consiste nell'eseguire repadmin /showrepl * /csv e quindi analizzare i risultati in Excel. Per altre informazioni, vedere Metodo 2: Monitorare la replica tramite una riga di comando.

   Identificare i controller di dominio che si avvicinano agli errori di replica per il 50% e per il 90% della durata della rimozione definitiva. Mettili in una lista di controllo. Al 50% di TSL, eseguire un push sicuro per risolvere gli errori di replica. Al 90% è consigliabile abbassare di livello i controller di dominio che causano errori di replica forzatamente, se necessario. A questo scopo, usare il comando dcpromo /forceremoval.

   Anche in questo caso, gli errori di replica connessi a un controller di dominio di destinazione possono essere causati da un problema in:

   • Controller di dominio di origine
   • Controller di dominio di destinazione
   • Rete sottostante

   Pertanto, provare a determinare la causa e dove si trova l'errore prima di intraprendere un'azione preventiva.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.

Riferimenti

Correzione dei problemi relativi agli oggetti di replica persistente (ID evento 1388, 1988, 2042)