Active Directory レプリケーション エラー 8606: オブジェクトを作成するための属性が不十分でした

この記事では、Active Directory レプリケーション エラー 8606: オブジェクトの作成に十分な属性が与えられていた問題のトラブルシューティングに役立ちます。

元の KB 番号: 2028495

Note

ホーム ユーザー: この記事は、テクニカル サポート 担当者と IT プロフェッショナルのみを対象としています。 問題に関するヘルプを探している場合は、microsoft コミュニティ。

まとめ

この記事では、Active Directory レプリケーションが失敗し、エラー 8606 が生成される問題の症状と原因について説明します。"オブジェクトを作成するための属性が不十分でした。 このオブジェクトは削除された可能性があるため、存在しない可能性があります。この記事では、この問題の解決策についても説明します。

現象

現象 1

DCDIAG は、Active Directory レプリケーション テストがエラー 8606 で失敗したことを報告します。"オブジェクトを作成するための属性が不十分でした"。

テストの開始: レプリケーション
[レプリケーションチェック、 <宛先 DC>] 最近のレプリケーションの試行に失敗しました。
<source DC> から <destination DC へ>
名前付けコンテキスト: <directory パーティション DN パス>
レプリケーションでエラーが発生しました (8606):
オブジェクトを作成するための属性が不足していました。 このオブジェクトは削除され、既にガベージ コレクションされているため、存在しない可能性があります。
エラーは <日><に発生しました>
最後の成功は、 <date><time に発生しました>

現象 2

Active Directory サイトとサービス スナップイン DSSITE の [今すぐレプリケート] コマンドによってトリガーされる受信レプリケーション。MSC が失敗し、"オブジェクトの作成に不十分な属性が指定されました" というエラーが生成されます。ソース DC から接続オブジェクトを右クリックし、[今すぐレプリケート] を選択すると、レプリケーションは失敗し、"アクセスが拒否されました" というエラーが生成されます。さらに、次のエラー メッセージが表示されます。

ダイアログ のタイトル テキスト: [今すぐレプリケート]
ダイアログ メッセージ テキスト: ドメイン コントローラー <ソース DC >からドメイン コントローラー <destination DC に名前付けコンテキスト <%active Directory パーティション名%>を同期しようとしたときに、次のエラーが発生しました>

オブジェクトを作成するための属性が不足していました。 このオブジェクトは削除され、既にガベージ コレクションされているため、存在しない可能性があります。

操作は続行されません

現象 3

エラー 8606 では、さまざまな repadmin.exe コマンドが失敗します。 これらのコマンドには次のものが含まれますが、これらに限定されません。

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

症状 4

イベント 1988 は、次のいずれかのイベントが発生した直後にログに記録されます。

• フォレスト内の最初のドメイン コントローラーがデプロイされます。
• 部分属性セットに対するすべての更新が行われます。

現象 5

NTDS レプリケーション イベント 1988 は、Active Directory の受信レプリケートを試行しているドメイン コントローラーのディレクトリ サービス イベント ログに記録される場合があります。

型エラー:
ソース: NTDS レプリケーション
カテゴリ: レプリケーション
イベント ID: 1988
ユーザー: NT AUTHORITY\ANONYMOUS LOGON
コンピューター: <イベントを記録した DC のホスト名。レプリケーション試行の "宛先" DC とも呼ばれる>
説明: ローカル ドメイン コントローラーは、次のソース ドメイン コントローラーから次のオブジェクトをレプリケートしようとしました。 このオブジェクトは削除され、既にガベージ コレクションされている可能性があるため、ローカル ドメイン コントローラーには存在しません。
ソース ドメイン コントローラー:
<ソース DC の完全修飾ガイド付き CNAME>
オブジェクト:
<ソース DC 上のライブ オブジェクトの DN パス>
オブジェクト GUID:
<Active Directory のソース DC コピー上のオブジェクトのオブジェクト GUID>

原因

エラー 8606 は、次の条件に該当する場合にログされます。

• (送信元オブジェクトの作成ではなく) ソース ドメイン コントローラーからオブジェクトに更新プログラムを送信します。これは既に作成され、削除されてから、宛先ドメイン コントローラーの Active Directory のコピーからガベージ コレクションによって回収されました。
• レプリケーションの整合性 で実行するように、移行先ドメイン コントローラーが構成されました。

レプリケーション先のドメイン コントローラーが緩やかなレプリケーション整合性を使用するように構成されている場合、オブジェクトは、宛先ドメイン コントローラーのディレクトリのコピーで "再アニメーション化" されています。 エラーの原因となる可能性がある具体的なバリエーションは、「詳細情報」セクションに記載されている 8606 です。 ただし、エラーの原因は次のいずれかです。

• 削除に管理者の介入が必要になる永続的に残っているオブジェクト
• ソース ドメイン コントローラーが次のガベージ コレクションのクリーンアップを実行するときに、それ自体を修正する一時的な残留オブジェクト。 既存のフォレストでの最初のドメイン コントローラーの導入と部分属性セットの更新は、この状態の既知の原因です。
• 廃棄石の有効期間の有効期限が切れた時点で削除または復元されたオブジェクト

8606 エラーのトラブルシューティングを行う場合は、次の点を考慮してください。

• エラー 8606 は宛先ドメイン コントローラーに記録されますが、レプリケーションをブロックしている問題のあるオブジェクトは、ソース ドメイン コントローラーに存在します。 さらに、ソース ドメイン コントローラーまたはソース ドメイン コントローラーの推移的なレプリケーション パートナーが、削除された廃棄石の有効期間数に関する受信レプリケートの知識を過去に行わなかった可能性があります。

• 残留オブジェクトは、次の状況で存在する可能性があります。

  • "ライブ" オブジェクト、CNF オブジェクトまたは競合マングルオブジェクト "ライブ" オブジェクト、またはソース ドメイン コントローラーの削除されたオブジェクト コンテナー内の CNF または競合するマングルオブジェクト
  • スキーマ パーティションを除く任意のディレクトリ パーティション内。 残留オブジェクトは、GC の読み取り専用ドメイン パーティションで最もよく見られます。 残留オブジェクトは、書き込み可能なドメイン パーティションと構成パーティションにも存在する場合があります。 スキーマ パーティションは削除をサポートしていません。
  • 任意のオブジェクト クラス (ユーザー、コンピューター、グループ、DNS レコードが最も一般的)。

• ホスト パーティションと親コンテナーに関係なくオブジェクトを見つけることができるように、オブジェクト GUID と DN パスで残留する可能性のあるオブジェクトを検索することを忘れないでください。 objectguid で検索すると、削除されたオブジェクト LDAP コントロールを使用せずに、削除されたオブジェクト コンテナー内のオブジェクトも検索されます。

• NTDS Replication 1988 イベントは、厳密モードの宛先ドメイン コントローラーによって受信レプリケーションをブロックしているソース ドメイン コントローラー上の現在のオブジェクトのみを識別します。 1988 年のイベントで参照されているオブジェクトの "背後" に、残っているオブジェクトが追加されている可能性があります。

• ソース ドメイン コントローラーに残留オブジェクトが存在すると、レプリケーション キュー内の残留オブジェクトの背後に存在する"良好な" 変更が、厳密モードの宛先ドメイン コントローラーによって受信レプリケートされないようにまたはブロックされます。

• ドメイン コントローラーが削除されたオブジェクト コンテナーからオブジェクトを個別に削除する方法 (ガベージ コレクション デーモンは、最後に各ドメイン コントローラーが最後に起動してから 12 時間ごとに実行されます)、宛先ドメイン コントローラーで 8606 エラーを引き起こしているオブジェクトは、次のガベージ コレクション クリーンアップの実行で削除される可能性があります。 このクラスの残留オブジェクトは一時的なものであり、問題の開始から 12 時間以内に自分自身を削除する必要があります。

• 問題の残留オブジェクトは、管理者またはアプリケーションによって意図的に削除された可能性があります。 これを解決計画に組み込み、オブジェクト (特に意図的に削除されたセキュリティ プリンシパル) を再アニメーション化することに注意してください。 解像度

解像度

1. フォレスト全体の TombStoneLifeTime 設定の現在の値を特定します。

   repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime  
   

   Microsoft サポート技術情報の次の記事の「Tombstone の有効期間と削除のレプリケーション」セクションを参照してください。
   910205 Windows Server Active Directory フォレスト内の残留オブジェクトに関する情報です。

2. 8606 エラーをログに記録している宛先ドメイン コントローラーごとに、NTDS レプリケーション イベント 1988 のディレクトリ サービス イベント ログをフィルター処理します。

3. NTDS レプリケーション イベント 1988 で引用されている各 unique オブジェクトのメタデータを収集します。 新しいオブジェクトを引用する宛先ドメイン コントローラーにログオンしている 1988 年の各イベントから、次の表を入力します。

   オブジェクト DN パス	オブジェクトの GUID	ソース DC	ホスト パーティション	ライブまたは削除済みですか?	LastKnownParent	IsDeleted 値

   この表の列 1 から 5 は、1988 イベントまたは 8606 レプリケーションの状態をログに記録している宛先ドメイン コントローラーのディレクトリ サービス イベント ログに記録されている NTDS レプリケーション 1988 イベントのフィールドから直接値を読み取ることによって設定できます。

   LastKnownParent 列と IsDeleted 列の日付スタンプは、 repadmin /showobjmeta を実行し、NTDS レプリケーション 1988 イベントで引用されているオブジェクトのオブジェクトガイドを参照することによって決定できます。 これを行うには、次の構文を使用します。

   repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"
   

   LastKnownParent の日付スタンプは、オブジェクトが削除された日付を識別します。 IsDeleted の日付スタンプは、オブジェクトが最後に削除または再アニメーション化された日時を示します。 バージョン番号は、最後の変更がオブジェクトを削除または再アニメーション化したかどうかを示します。 IsDeleteted 値 1 は、最初の削除を表します。 1 より大きい奇数の値は、少なくとも 1 つの削除後の再アニメーションを示します。 たとえば、 isDeleted 値 2 は、削除されたオブジェクト (バージョン 1) を表し、後で削除または再アニメーション化 (バージョン 2) します。 IsDeleted の後の偶数の値は、オブジェクトの後の再入力または削除を表します。

4. 1988 年のイベントで引用されたオブジェクト メタデータに基づいて、適切なアクションを選択します。

   エラー 8606/NTDS レプリケーション イベント 1988 イベントは、ドメイン コントローラーがフォレスト内のすべての元の削除に関する受信レプリケートの知識を妨げている長期的なレプリケーションエラーによって最も頻繁に発生します。 これにより、1 つ以上のソース ドメイン コントローラーにオブジェクトが残ります。

   「解決策」セクションの手順 4 で作成した表に一覧表示されているオブジェクトのメタデータを確認します。

   1988 年のイベントのオブジェクトが (ソース ドメイン コントローラー上に存在する) が(廃棄ストーンの有効期間の有効期限より長い間、移行先ドメイン コントローラーで削除される) 場合は、「残留オブジェクトの削除」および「」を参照してください。この条件のオブジェクトは、管理者が手動で削除する必要があります。

   システム時刻が移行先ドメイン コントローラーで時間内にジャンプした場合、削除されたオブジェクトが削除されたオブジェクト コンテナーから途中で削除された可能性があります。 「タイム ジャンプのチェック」セクションを確認します。

   1988 年のイベントで引用されたオブジェクトがソース ドメイン コントローラーの削除済みオブジェクト コンテナーに存在し、その削除日が廃棄の有効期間の切れ目で正しい場合、オブジェクトは 1 つ以上の宛先ドメイン コントローラーによってガベージ コレクションによって回収され、 は ソース ドメイン コントローラーの次のガベージ コレクション間隔でガベージ コレクションによって回収されます (つまり、 残留オブジェクトは 一時的)、選択できます。 次のガベージ コレクションの実行がオブジェクトを削除するのを待つか、ソース ドメイン コントローラーでガベージ コレクションを手動でトリガーします。 「ガベージ コレクションを手動で開始する」を参照してください。最初のドメイン コントローラーの導入、または部分属性セットの変更によって、この状態が発生する可能性があります。

   1988 イベントで引用されたオブジェクトの出力repadmin /showobjmeta LastKnownParent 値が 1 の場合、 これは、IsDeleted の日付スタンプが LastKnownParent の日付スタンプとは異なる廃棄石の有効期間の日数の一部にあるオブジェクトが削除、and 2 または他の偶数の値である IsDeleted 値が削除されたことを示します。<and その後、オブジェクトは削除され、ソース ドメイン コントローラー上にまだ存在していたが、宛先ドメイン コントローラーによるガベージ コレクションによって既に回収されてエラー 8606 / イベント 1988 が記録されている間、オブジェクトは削除され、未削除/認証復元されました。 TSL の有効期限が切れる時点での再アニメーションを参照してください

残留オブジェクトを削除する方法

残留オブジェクトを削除する方法は多数ありますが、一般的に使用される主なツールは、 repadmin.exe、残留オブジェクトリキエーター (LoL)、repldiag の 3 つあります。

残留オブジェクトリキエーター (LoL)

残留オブジェクトをクリーンアップする最も簡単な方法は、LoL を使用することです。 LoL ツールは、Active Directory フォレストに対するクリーンアップ プロセスを自動化するために開発されました。 このツールは GUI ベースであり、現在の Active Directory フォレストをスキャンし、残留オブジェクトを検出してクリーンアップできます。 このツールは、 Microsoft ダウンロード センターで入手できます。

Repadmin

repadmin.exeの次の 2 つのコマンドは、ディレクトリ パーティションから残留オブジェクトを削除できます。

• repadmin /removelingeringobjects
• repadmin /rehost

repadmin /removelingeringobjects コマンドを使用すると、ソース ドメイン コントローラー上の書き込み可能および読み取り専用のディレクトリ パーティションから残留オブジェクトを削除できます。 構文は次のとおりです。

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

ここで:
<Dest_DSA_LIST> は、残留オブジェクトを含むドメイン コントローラーの名前です (NTDS Replication 1988 イベントで引用されているソース ドメイン コントローラーなど)。

<ソース DSA GUID> は、 <Dest_DSA_LIST> のドメイン コントローラーがネットワーク接続を持つ残留オブジェクトを含むディレクトリ パーティションの書き込み可能なコピーをホストするドメイン コントローラーの名前です。 クリーンアップする DC (コマンドで指定された最初の DC) は、ディレクトリ パーティションの書き込み可能なコピー (コマンドで 2 番目に指定) をホストする DC のポート 389 に直接接続できる必要があります。

<NC> は、1988 年のイベントで指定されたパーティションなど、残留オブジェクトが含まれている可能性があるディレクトリ パーティションの DN パスです。

repadmin /rehost コマンドを使用すると、ドメイン コントローラーからドメイン ディレクトリ パーティションの読み取り専用コピーをホストする残留オブジェクト ドメイン コントローラーを削除できます。 構文は次のとおりです。

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

ここで:
DSA は、非ローカル ドメインの読み取り専用ドメイン ディレクトリ パーティションをホストするドメイン コントローラーの名前です。 たとえば、root.contoso.com の GC は、child.contoso.com の読み取り専用コピーを再ホストできますが、root.contoso.com をリホストすることはできません。

<名前付けコンテキスト> は、グローバル カタログに存在する読み取り専用ドメイン ディレクトリ パーティションの DN パスです。

<適切なソース DSA アドレス> は、 <Naming Context> の書き込み可能なコピーをホストするドメイン コントローラーの名前です。 ドメイン コントローラーは、DSA コンピューターでネットワークで使用できる必要があります。

1988 イベントで報告された残留オブジェクトが repadmin によって削除されない場合は、ソース ドメイン コントローラー上のオブジェクトが USN ギャップで作成されたかどうか、またはソース ドメイン コントローラーの最新のベクターにドメイン コントローラーの送信元オブジェクトが存在しないかどうかを評価します。

Repldiag

Note

残留オブジェクトは、 repldiag.exeを使用して削除することもできます。 このツールは、 repadmin /removelingeringobjects プロセスを自動化します。 repldiag を使用してフォレストから残留オブジェクトを削除するのは、 repldiag /removelingeringobjectsを実行するのと同じくらい簡単です。 ただし、通常は、大規模な環境でプロセスを制御することをお勧めします。 /OverRideReferenceDCオプションを使用すると、クリーンアップに使用する DC を選択できます。 /outputrepadmincommandlinesyntaxオプションを使用すると、repadmin を使用してフォレスト全体のクリーンアップがどのように表示されるかを確認できます。

この AD レプリケーション エラーとその他の AD レプリケーション エラーのガイド付きトラブルシューティングプラクティスについては、次の TechNet オンデマンド ラボを起動します。

ラボでは、repadmin と repldiag.exe の両方を使用して、残留オブジェクトを削除します
Active Directory レプリケーション エラーのトラブルシューティング
このラボでは、一般的に発生する Active Directory レプリケーション エラーのトラブルシューティング、分析、実装の各フェーズについて説明します。 ADREPLSTATUS、 repadmin.exe、およびその他のツールを組み合わせて使用して、5 つの DC、3 ドメイン環境のトラブルシューティングを行います。 ラボで発生した AD レプリケーション エラーには、-2146893022、1256、1908、8453、8606 などがあります。

Active Directory レプリケーションの正常性の毎日の監視

エラー 8606/イベント 1988 が、ドメイン コントローラーが最後の廃棄石の有効期間日数で Active Directory の変更をレプリケートできなかったことが原因である場合は、今後、Active Directory レプリケーションの正常性が日々監視されていることを確認してください。 レプリケーションの正常性は、専用の監視アプリケーションを使用するか、Microsoft Excel などのスプレッドシート アプリケーションで repadmin /showrepl * /csv コマンドを実行するための安価で効果的なオプションからの出力を表示することによって監視できます。 (Microsoft サポート技術情報の記事「方法 2: コマンド ラインを使用してレプリケーションを監視する」 910205参照)。

廃棄石の有効期間の日数の 50% で受信レプリケートされていないドメイン コントローラーは、レプリケーションを運用するために管理者の注意を優先するウォッチ リストに配置する必要があります。 正常にレプリケートできないドメイン コントローラーは、TSL の 90% 以内にレプリケートされていない場合は強制的に降格する必要があります。

宛先ドメイン コントローラーに表示されるレプリケーションエラーは、移行先ドメイン コントローラー、ソース ドメイン コントローラー、または基になるネットワークと DNS インフラストラクチャによって発生する可能性があります。

タイム ジャンプを確認する

タイム ジャンプが発生したかどうかを確認するには、イベント ログと診断ログ (イベント ビューアー、repadmin /showreps、netlogon ログ、dcdiag レポート) で、エラー 8606/NTDS レプリケーション 1988 イベントをログに記録している宛先ドメイン コントローラーの日付スタンプを確認します。

• オペレーティング システムのリリースより前の日付スタンプ (CY 2003 から CY 2008 でリリースされた OS の日付スタンプなど)
• フォレストにオペレーティング システムをインストールする前の日付スタンプ
• 将来の日付スタンプ
• 特定の日付範囲にログに記録されるイベントがない

Microsoft サポートチームでは、実稼働ドメイン コントローラーのシステム時間が、過去と将来の時間、日、週、年、さらには数十年にわたって誤ってジャンプしています。 システム時間が不正確であることが判明した場合は、修正してから、時間がジャンプした理由と、今後不正確な時間を防ぐために何ができるかを判断する必要があります。正しくない時間を修正するだけです。 考えられる質問は次のとおりです。

• フォレスト ルート PDC は、外部のタイム ソースを使用して構成されましたか?
• 参照オンラインのタイム ソースはネットワーク上で使用でき、DNS で解決できますか?
• Microsoft またはサード パーティのタイム サービスは実行されていて、エラーのない状態でしたか?
• ドメイン コントローラーの役割コンピューターが NT5DS 階層を使用してソース時刻に構成されているか。
• Microsoft サポート技術情報の記事で説明されている時間ロールバック保護が 884776 されましたか?
• システム クロックは、仮想ホスト コンピューター上のドメイン コントローラーの BIOS で適切なバッテリーと正確な時間を持っていますか?
• 仮想ホストとゲスト コンピューターは、ホスティングの製造元の推奨事項に従ってソース時間を指定するように構成されていますか?
  Microsoft サポート技術情報の記事 884776 、ドメイン コントローラーを "リッスン" から無効な時間サンプルに保護するための手順について説明しています。 MaxPosPhaseCorrection と MaxNegPhaseCorrection の詳細については、W32Time ブログ投稿 Windows タイム サービスを参照してください。

repadmin /removelingeringobjects /advisorymodeを使用して残留オブジェクトを確認し、必要に応じて削除します。

必要に応じて、[異なるパートナーと破損したパートナーとのレプリケーションを許可する] を緩和します。

ガベージ コレクションを手動で開始する方法

特定のドメイン コントローラーでガベージ コレクションを手動でトリガーするには、いくつかのオプションがあります。

"repadmin /setattr "" "" doGarbageCollection add 1" を実行する

dobarbage.ldif にテキストが含まれている場合は、LDIFDE /s <server> /i /f dogarbage.ldif を実行します。

dn:
changetype: modify
replace: DoGarbageCollection
dogarbagecollection: 1
-

Note

最後の "-" 文字は、.ldif ファイルの required 要素です。

TSL の有効期限が切れる時点での再アニメーション

この状態が存在するためには、 repadmin /showobject "<GUID=object guid for object in 1988 event>" は、オブジェクトが移行先ドメイン コントローラーでは "見つかりません" が、ソース ドメイン コントローラー上に存在し、削除されたオブジェクトまたは未削除のオブジェクトであることを報告する必要があります。

ソース ドメイン コントローラーの repadmin /showobjmeta の主要なフィールドのレビューでは、次のことが当てはまることを報告する必要があります。LastKnownParent の値は 1 で、日付スタンプは過去の TSL 日の時点にあります。 その日付スタンプは、オブジェクトの削除日を示します。

IsDeleted のバージョン番号は 2 (または別の偶数の値) です。バージョン 1 は元の削除を定義し、バージョン 2 は復元/再アニメーションです。 "isDeleted=2" の日付スタンプは、LastKnownParent の最終変更日より後の最大 TSL 日数にする必要があります。

対象のオブジェクトをライブ オブジェクトと削除済みオブジェクトのどちらを残すかを評価します。 LastKnownParent の値が 1 の場合、何かまたは誰かがオブジェクトを削除しました。 これが accidental 削除でなかった場合は、オブジェクトのライブ コピーを持つソース ドメイン コントローラーからオブジェクトを削除する必要がある可能性があります。

オブジェクトがすべてのレプリカに存在する必要がある場合、オプションは次のようになります。

• オブジェクトを持たない厳密モードの宛先ドメイン コントローラーでルーズ レプリケーションを有効にします。
• オブジェクトを既にガベージ コレクトしているドメイン コントローラーを強制的に降格します。
• オブジェクトを削除し、再作成します。

詳細

この AD レプリケーション エラーとその他の AD レプリケーション エラーのガイド付きトラブルシューティングプラクティスについては、次の TechNet オンデマンド ラボを起動します。

Active Directory レプリケーション エラーのトラブルシューティング
このラボでは、一般的に発生する Active Directory レプリケーション エラーのトラブルシューティング、分析、実装の各フェーズについて説明します。 ADREPLSTATUS、 repadmin.exe、およびその他のツールを組み合わせて使用して、5 つの DC、3 ドメイン環境のトラブルシューティングを行います。 ラボで発生した AD レプリケーション エラーには、-2146893022、1256、1908、8453、8606 などがあります。

残留オブジェクトの原因

原因 1: ソース ドメイン コントローラーがオフラインであったか、TSL 経過日数のレプリケーションが失敗したために、移行元ドメイン コントローラーによって既にガベージ コレクションによって再利用されているオブジェクトに更新を送信する

CONTOSO.COM ドメインには、同じドメインに 2 つのドメイン コントローラーが含まれています。 Tombstone の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC2 でマザーボードの障害が発生します。 一方、DC1 は、古いセキュリティ グループに対して、今後 90 日間にわたって毎日元の削除を行います。 90 日間オフラインにした後、DC2 は交換マザーボードを受け取り、電源をオンにしてから、以前のすべてのユーザー アカウントで DACL または SACL の変更 発生 DC1 からの元の削除に関する知識を受信レプリケートします。 DC1 では、DC2 がオフラインだった最初の 30 日間 DC1 で消去された更新プログラム セキュリティ グループの 8606 エラーがログに記録されます。

原因 2: ソース DC は、厳密モードの宛先 DC によってガベージ コレクションによって既に回収されている TSL 有効期限が切れた時点でオブジェクトに更新を送信します

CONTOSO.COM ドメインには、同じドメインに 2 つのドメイン コントローラーが含まれています。 Tombstone の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC1 と DC2 は 24 時間ごとにレプリケートされます。 DC1 は毎日元の削除を行います。 DC1 はインプレース アップグレードされています。 これにより、構成および書き込み可能ドメイン パーティション内のすべてのオブジェクトに新しい属性がスタンプされます。 これには、現在削除されたオブジェクト コンテナー内にあるオブジェクトが含まれます。 そのうちの一部は60日前に削除され、現在は廃棄石の有効期限が切れている。 DC2 は、レプリケーション スケジュールが DC2 で開かれる数日前に削除されたガベージ コレクションによって、一部のオブジェクトを再利用します。 エラー 8606 は、DC1 がガベージ コレクションによってブロッキング オブジェクトを回収するまでログに記録されます。

部分属性セットを更新すると、ソース ドメイン コントローラーが TSL の有効期限が切れた時点で削除されたオブジェクトをガベージ コレクトした後に、一時的な残留オブジェクトがクリアされる可能性があります (たとえば、最初の W2K8 R2 ドメイン コントローラーを既存のフォレストに追加するなど)。

原因 3: 移行先ドメイン コントローラーでタイム ジャンプが発生すると、移行先ドメイン コントローラー上の削除されたオブジェクトのガベージ コレクションが途中で高速化される

CONTOSO.COM ドメインには、同じドメインに 2 つのドメイン コントローラーが含まれています。 Tombstone の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC1 と DC2 は 24 時間ごとにレプリケートされます。 DC1 は毎日削除を開始します。 DC1 (DC2 ではなく) によって使用される参照タイム ソースは、暦年 2039 にロールフォワードされます。 これにより、DC2 は CY2039 でもシステム時刻を使用します。 これにより、DC1 は、削除されたオブジェクト コンテナーから現在削除されたオブジェクトを途中で削除します。 一方、DC2 は、DC2 上に存在するが削除され、DC1 で途中ガベージ コレクトされたユーザー、コンピューター、およびグループの属性に対する変更を発生させます。 DC1 は、次に、早期に削除されたオブジェクトの変更を受信レプリケートするときに、エラー 8606 をログに記録します。

原因 4: TSL の有効期限が切れた時点でオブジェクトが再アニメーション化される

CONTOSO.COM ドメインには、同じドメインに 2 つのドメイン コントローラーが含まれています。 Tombstone の有効期間 = 60 日。 両方のドメイン コントローラーで厳密なレプリケーションが有効になっています。 DC1 と DC2 は 24 時間ごとにレプリケートされます。 DC1 は毎日削除を開始します。 ユーザー、コンピューター、およびグループを含む OU が誤って削除されます。 過去に TSL のキューで作成されたシステム状態バックアップは、DC2 で認証復元されます。 バックアップには、DC2 上に存在するが、DC1 のガベージ コレクションによって既に削除および回収されているオブジェクトが含まれています。

原因 5: USN バブルが 8606 のログ記録をトリガーする

たとえば、ターゲット ドメイン コントローラーがバブルのためにオブジェクトを持っていることを "考える" ため、USN バブル内にオブジェクトを送信レプリケートしないように作成するとします。 次に、バブルが閉じられ、変更が再びレプリケートを開始した後、ソース ドメイン コントローラー上のそのオブジェクトに対して変更が作成され、宛先ドメイン コントローラーへの残留オブジェクトとして表示されます。 宛先コントローラーはイベント 8606 をログに記録します。

元の削除に関するエンドツーエンドのレプリケートの知識の要件

Active Directory ドメイン コントローラーはマルチマスター レプリケーションをサポートします。このレプリケーションでは、(書き込み可能なパーティションを保持する) ドメイン コントローラーが、オブジェクトまたは属性 (値) の作成、変更、または削除を開始できます。 オブジェクト/属性の削除に関する知識は、元のドメイン コントローラーと、TSL の元の削除に関する受信レプリケートされた知識を持つドメイン コントローラーによって日数保持されます。 ( 216996 と 910205に関するマイクロソフト サポート技術情報の記事を参照してください)

Active Directory では、すべてのディレクトリ パーティションのすべての元の削除をすべてのパーティション ホルダーに推移的にレプリケートするには、すべてのパーティション ホルダーからのエンドツーエンドのレプリケーションが必要です。 ローリング TSL 日数でディレクトリ パーティションを受信レプリケートできないと、オブジェクトが残留します。 残留オブジェクトは、少なくとも 1 つのドメイン コントローラーによって意図的に削除されたが、一意の削除の一時的な知識を受信レプリケートしなかった宛先ドメイン コントローラーに誤って存在するオブジェクトです。

データ収集

Microsoft サポートからのサポートが必要な場合は、「 Active Directory レプリケーションの問題に TSS を使用して情報を収集する」に記載されている手順に従って情報を収集することをお勧めします。