Udostępnij za pośrednictwem


Jak wykrywać i usuwać utrzymujące się obiekty w lesie usługi Active Directory systemu Windows Server

Ten artykuł zawiera informacje o utrzymywaniu obiektów w lesie usług domena usługi Active Directory Services (AD DS). W szczególności w artykule omówiono zdarzenia wskazujące obecność utrzymujących się obiektów, przyczyny utrzymujących się obiektów oraz metody, których można użyć do usuwania utrzymujących się obiektów.

Oryginalny numer KB: 910205

Podsumowanie

Obiekty utrzymujące się to obiekty, które pojawiają się ponownie w lesie usług AD DS po ich usunięciu. Takie zachowanie może wystąpić, jeśli kontroler domeny przestanie replikować zmiany do lub z innych kontrolerów domeny w lesie przez pewien czas, a następnie uruchamia replikację ponownie. Takie zachowanie występuje ze względu na sposób, w jaki las replikuje usunięcia obiektów między wieloma kontrolerami domeny.

Jak usuwanie obiektów jest replikowane za pośrednictwem lasu

Po usunięciu obiektu w lesie usług AD DS usługi AD DS usługa AD DS generuje obiekt grobowca reprezentujący usunięty obiekt. Obiekt grobowca zawiera niewielki podzbiór atrybutów usuniętego obiektu. Inne kontrolery domeny w domenie i lesie używają replikacji przychodzącej do odbierania obiektu grobowca i aktualizowania informacji o lesie, aby uwzględnić usunięcie. Obiekt grobowca pozostaje w lesie przez określony okres znany jako okres istnienia grobowca (TSL). Na końcu TSL usługi AD DS trwale usuwa obiekt grobowca. Wszyscy partnerzy replikacji bezpośredniej i przechodniej źródłowego kontrolera domeny muszą otrzymać kopię obiektu grobowca w języku TSL.

Wartość domyślna TSL zależy od wersji systemu operacyjnego uruchomionego na pierwszym kontrolerze domeny zainstalowanym w lesie. W przypadku wszystkich aktualnie obsługiwanych wersji systemu Windows Server domyślny TSL to 180 dni.

Uwaga 16.

Istniejąca wartość TSL nie zmienia się podczas uaktualniania kontrolera domeny do nowszej wersji systemu Windows Server. Istniejąca wartość TSL będzie się powtarzać, dopóki nie zmienisz jej ręcznie.

Jak występują utrzymujące się obiekty

Utrzymujące się obiekty mogą wystąpić, jeśli kontroler domeny przestanie replikować zmiany do lub z pozostałej topologii replikacji przez pewien czas, a następnie uruchamia replikację ponownie (na przykład jeśli serwer musi zostać fizycznie odłączony i przeniesiony, a następnie ponownie nawiązane połączenie). Gdy kontroler domeny nie jest replikowany przez okres dłuższy niż TSL, kontroler domeny może nie odbierać co najmniej jednego obiektu grobowca. W związku z tym co najmniej jeden obiekt usunięty z lasu na wszystkich innych kontrolerach domeny może być utrwalany na odłączonym kontrolerze domeny. Takie obiekty są nazywane obiektami utrzymującymi się.

Po ponownym uruchomieniu replikowania odłączonego kontrolera domeny pełni rolę partnera replikacji źródłowej, który ma obiekt, którego nie ma jego partner docelowy. Docelowy kontroler domeny odpowiada, wykonując jedną z następujących akcji:

  • Strict Replication Consistency Jeśli klucz rejestru jest włączony na docelowym kontrolerze domeny, ten kontroler domeny rozpoznaje, że nie może zaktualizować obiektu. Docelowy kontroler domeny lokalnie zatrzymuje replikację przychodzącą partycji katalogu ze źródłowego kontrolera domeny.

  • Strict Replication Consistency Jeśli klucz rejestru jest wyłączony na docelowym kontrolerze domeny, ten kontroler domeny żąda pełnej repliki obiektu. Ta operacja ponownie wprowadza obiekt do lasu. Z punktu widzenia administracyjnego obiekt, który został usunięty ponownie, pojawia się ponownie.

Utrzymujące się obiekty nie zawsze powodują zauważalne objawy. W następujących warunkach utrzymujące się obiekty mogą pozostać niezakryte:

  • Administrator, aplikacja lub usługa nie aktualizuje obiektu utrzymującego się.
  • Administrator, aplikacja lub usługa nie próbuje utworzyć obiektu o tej samej nazwie w domenie.
  • Administrator, aplikacja lub usługa nie próbuje utworzyć obiektu przy użyciu tej samej głównej nazwy użytkownika (UPN) w lesie.

Przyczyny długich rozłączeń

Najprostszym sposobem uniknięcia utrzymujących się obiektów jest zapobieganie odłączaniu kontrolerów domeny od topologii replikacji przez okresy większe niż TSL. Jeśli kontroler domeny musi zostać odłączony przez dłuższy czas, należy pamiętać o potencjale utrzymujących się obiektów.

Następujące warunki mogą powodować długotrwałe rozłączenia:

  • Administrator usuwa kontroler domeny z sieci, a następnie umieszcza go w magazynie.

  • Administrator wstępnie przygotuje kontroler domeny, a następnie wyśle go do lokalizacji zdalnej. Jednak TSL wygasa, zanim kontroler domeny osiągnie lokalizację zdalną.

  • Kontroler domeny nie może nawiązać połączenia z siecią rozległą (WAN) przez długi czas. Na przykład kontroler domeny na pokładzie statku wycieczkowego może nie być w stanie replikować dłużej niż TSL, jeśli statek jest na morzu.

W następujących warunkach utrzymujące się obiekty mogą pojawić się nawet wtedy, gdy kontroler domeny był w trybie offline dla mniej niż domyślny TSL:

  • Administrator skraca TSL, aby wymusić odzyskiwanie pamięci usuniętych obiektów.

  • Zegar systemowy na źródłowym lub docelowym kontrolerze domeny jest niepoprawnie zaawansowany lub wycofany. Zegary są najczęściej spotykane po ponownym uruchomieniu kontrolera domeny i mogą wystąpić z następujących powodów:

    • Bateria zegara systemowego lub płyta główna ma problem.

    • Źródło czasu dla komputera jest niepoprawnie skonfigurowane. Takie źródło może obejmować serwer źródła czasu skonfigurowany przy użyciu usługi Czas systemu Windows (W32Time), przy użyciu serwera czasu innej firmy lub za pomocą routerów sieciowych.

    • Administrator przechodzi lub cofa zegar systemowy, aby przedłużyć czas użytkowania kopii zapasowej stanu systemu lub przyspieszyć odzyskiwanie pamięci usuniętych obiektów. Upewnij się, że zegar systemowy odzwierciedla rzeczywisty czas. Upewnij się również, że dzienniki zdarzeń nie zawierają nieprawidłowych zdarzeń z przyszłości ani z przeszłości.

Wskazuje, że las ma obiekty utrzymujące się

Nawet jeśli nie ma zauważalnego efektu, obecność utrzymujących się obiektów może powodować problemy. Te problemy najprawdopodobniej wystąpią, jeśli utrzymujący się obiekt jest podmiotem zabezpieczeń.

Zdarzenia wskazujące, że las może mieć obiekty utrzymujące się

Identyfikator zdarzenia Opis ogólny
1862 lub 1863 Lokalny kontroler domeny nie otrzymał ostatnio informacji o replikacji z kilku kontrolerów domeny (międzylokacyjnej).
1864 Lokalny kontroler domeny nie otrzymał ostatnio informacji o replikacji z kilku kontrolerów domeny (podsumowanie).
1311 Program sprawdzania spójności wiedzy (KCC) nie mógł utworzyć topologii drzewa obejmującego drzewa.
2042 Od ostatniego replikowania tego serwera z nazwanym serwerem źródłowym trwa zbyt długo.

Zdarzenia wskazujące, że las ma obiekty utrzymujące się

Identyfikator zdarzenia Opis ogólny
1084 Na serwerze nie ma takiego obiektu.
1388 Ten system docelowy otrzymał aktualizację obiektu, który powinien być obecny lokalnie, ale nie.
1311 Inny kontroler domeny replikował obiekt, który nie istnieje na tym kontrolerze domeny.

Uwaga 16.

  • Utrzymujące się obiekty nie istnieją na kontrolerach domeny, które rejestrują identyfikator zdarzenia 1988. Źródłowy kontroler domeny zawiera utrzymujący się obiekt.
  • Gdy aktualizacje obiektu utrzymującego się są replikowane z jednego kontrolera domeny do innego, zachowanie rejestrowania zdarzeń kontrolera domeny zależy od tego, czy partycja katalogu zawierająca utrzymujący się obiekt jest zapisywalna. Jeśli obiekt utrzymujący się na docelowym kontrolerze domeny znajduje się w partycji zapisywalnej, kontroler domeny rejestruje zdarzenie. Jeśli obiekt utrzymujący się znajduje się w partycji tylko do odczytu, nie można zaktualizować obiektu, a kontroler domeny nie rejestruje zdarzenia.

Błędy repadmin, które wskazują, że las ma obiekty utrzymujące się

Identyfikator zdarzenia Opis ogólny
8240 Na serwerze nie ma takiego obiektu.
8606 Niewystarczające atrybuty zostały podane do utworzenia obiektu.

Inne wskazania, że las ma utrzymujące się obiekty

  • Globalna lista adresów programu Microsoft Exchange Server (GAL) zawiera konto użytkownika lub grupy, które zostało usunięte. W takim przypadku nazwa konta jest wyświetlana w gal, ale błędy występują, gdy użytkownicy próbują wysyłać wiadomości e-mail.

  • Obiekt powinien być unikatowy w lesie, ale w selektorze obiektów lub gal jest widocznych wiele kopii obiektu. Takie przypadki mogą obejmować zduplikowane obiekty, które uległy zmianie nazw. Te zduplikowane obiekty mylić wyszukiwania katalogów. Jeśli na przykład wyszukiwanie nie może rozpoznać względnych nazw wyróżniających dwóch obiektów, funkcja rozwiązywania konfliktów *CNF:<GUID> dołącza się do jednej z nazw. W tym przykładzie * reprezentuje zastrzeżony znak, jest stałą, CNF która wskazuje rozwiązanie konfliktu i <GUID> reprezentuje wartość atrybutu objectGUID .

  • Użytkownik ma bieżące konto, ale nazwa konta została zmieniona. Użytkownik nie odbiera wiadomości e-mail. Oba wystąpienia obiektu użytkownika (bieżąca i starsza wersja) są wyświetlane w gal. Ponieważ oba obiekty mają ten sam adres e-mail, nie można dostarczyć wiadomości e-mail.

  • Grupa uniwersalna, która już nie istnieje, nadal pojawia się w tokenie dostępu użytkownika. W związku z tym użytkownik może mieć dostęp do zasobu, który ma być niedostępny dla tego użytkownika.

  • Nie można utworzyć nowego obiektu ani skrzynki pocztowej programu Exchange. Nie widzisz jednak obiektu w lesie. Komunikat o błędzie zgłasza, że obiekt już istnieje.

  • Wyszukiwanie używające atrybutów istniejącego obiektu może niepoprawnie znaleźć wiele kopii obiektu, które używają tej samej nazwy. Jeden obiekt został usunięty z domeny, ale ten obiekt pozostaje na serwerze wykazu globalnego, który został odizolowany.

Usuwanie obiektów utrzymujących się z lasu

Wybierz jedną z następujących metod, aby usunąć utrzymujące się obiekty.

Metoda 1. Korzystanie z LOLv2

Preferowaną metodą wykrywania i usuwania obiektów utrzymujących się jest użycie Lingering Object Liquidator v2 (LoLv2). Aby pobrać narzędzie, zobacz Lingering Object Liquidator (LoL)

Aby uzyskać więcej informacji na temat korzystania z loLv2, zobacz następujące artykuły:

Metoda 2. Używanie narzędzia Repadmin

Jeśli nie możesz użyć loLv2, możesz użyć narzędzia Repadmin (Repadmin.exe). Aby uzyskać więcej informacji, zobacz Kroki umożliwiające usunięcie obiektów utrzymujących się za pomocą narzędzia Repadmin.

Zapobieganie utrzymującym się obiektom

Aby zapobiec utrzymywaniu się obiektów w lesie, użyj jednej z następujących metod.

Metoda 1. Włączanie wpisu rejestru Ścisłej spójności replikacji

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby uzyskać dodatkową ochronę, należy przed rozpoczęciem wykonania tej modyfikacji wykonać kopię zapasową rejestru, aby rejestr mógł zostać przywrócony w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat sposobu tworzenia kopii zapasowych, przywracania i modyfikowania rejestru, zobacz artykuł Tworzenie kopii zapasowych i przywracanie rejestru systemu Microsoft Windows.

Można włączyć Strict Replication Consistency wpis rejestru na każdym kontrolerze domeny, aby podejrzane obiekty zostały poddane kwarantannie na źródłowym kontrolerze domeny. Następnie administratorzy mogą usuwać te obiekty przed rozprzestrzenianiem się obiektów w całym lesie.

Jeśli zapisywalny obiekt znajduje się w środowisku, a próba zaktualizowania obiektu jest podejmowana, wartość we wpisie Strict Replication Consistency rejestru określa, czy replikacja jest kontynuowana, czy zatrzymana. Wpis Strict Replication Consistency rejestru znajduje się w następującym podkluczu rejestru:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

  • Nazwa: Strict Replication Consistency
  • Typ danych: REG_DWORD
  • Wartości:
    • 0 (wyłączone). Docelowy kontroler domeny żąda pełnego obiektu z źródłowego kontrolera domeny. Utrzymujący się obiekt pojawia się ponownie w lesie jako nowy obiekt.
    • 1 (włączone). Docelowy kontroler domeny zatrzymuje replikację przychodzącą odpowiedniej partycji katalogu ze źródłowego kontrolera domeny.

Wartość domyślna parametru Strict Replication Consistency zależy od wersji systemu Windows pierwszego kontrolera domeny w lesie. Ten komputer tworzy domenę główną lasu nowego lasu.

  • Jeśli las został utworzony przez podwyższenie poziomu serwera z systemem Windows Server 2003 lub nowszą wersją, wartość Strict Replication Consistency domyślna to 1 (włączone) na dowolnym kontrolerze domeny dodanym do lasu.

  • Jeśli las został utworzony przez podwyższenie poziomu serwera z systemem Windows 2000 Server, wartość Strict Replication Consistency domyślna to 0 (wyłączone) na dowolnym kontrolerze domeny dodanym do lasu. W takim przypadku wykonaj kroki opisane w artykule Upewnij się, że włączono ścisłą spójność replikacji na nowo promowanych kontrolerach domeny.

Uwaga 16.

Strict Replication Consistency Wartość na kontrolerze domeny nie zmienia się w przypadku podniesienia poziomu funkcjonalności domeny lub lasu.

Preferowaną metodą włączenia Strict Replication Consistency jest użycie narzędzia Repadmin. Aby uzyskać więcej informacji o tym, jak to zrobić, zobacz następujące artykuły:

Metoda 2. Sprawdzanie replikacji przy użyciu polecenia wiersza polecenia

Aby sprawdzić replikację repadmin /showrepl przy użyciu polecenia , wykonaj następujące kroki:

  1. Otwórz okno wiersza polecenia (wybierz pozycję Uruchom,> wpisz cmd, a następnie wybierz przycisk OK).

  2. W wierszu polecenia wpisz następujące polecenie:

    repadmin /showrepl * /csv >showrepl.csv
    
  3. W programie Microsoft Excel otwórz plik Showrepl.csv .

  4. Wybierz kolumnę A + RPC i kolumnę SMTP, a następnie wybierz pozycję Edytuj>usuń.

  5. Wybierz wiersz bezpośrednio pod nagłówkami kolumn, a następnie wybierz pozycję Okienko blokowania systemu Windows>.

  6. Wybierz cały arkusz kalkulacyjny, a następnie wybierz pozycję Filtr danych>Automatycznie filtruj.>

  7. W nagłówku kolumny Ostatni sukces wybierz strzałkę w dół, a następnie wybierz pozycję Sortuj rosnąco.

  8. W nagłówku kolumny src DC wybierz strzałkę w dół, a następnie wybierz pozycję Niestandardowe.

  9. W oknie dialogowym Autofiltr niestandardowy wybierz pozycję Nie zawiera.

  10. W polu po prawej stronie nie zawiera, wpisz del.

    Uwaga 16.

    Ten krok uniemożliwia wyświetlenie usuniętych kontrolerów domeny w wynikach.

  11. W nagłówku kolumny Last Failure (Ostatnia awaria ) wybierz strzałkę w dół, a następnie wybierz pozycję Niestandardowe.

  12. W oknie dialogowym Niestandardowe autofiltr wybierz pozycję Nie równa się.

  13. W polu z prawej strony pola nie równa się, wpisz 0.

  14. Sprawdź filtrowany arkusz kalkulacyjny pod kątem błędów replikacji. Są to problemy, które należy rozwiązać.

Metoda 3. Usuwanie kontrolerów domeny

Jeśli musisz usunąć i zastąpić kontroler domeny lub jeśli podejrzewasz, że kontroler domeny kończy się niepowodzeniem, upewnij się, że okres, w którym kontroler domeny jest w trybie offline, jest mniejszy niż TSL.

Metoda 4. Zwiększenie TSL

Możesz użyć programu Windows PowerShell lub edycji ADSI, aby zwiększyć TSL do 180 dni.

Aby użyć programu PowerShell do zwiększenia TSL, otwórz okno administracyjne programu PowerShell, a następnie uruchom następujące polecenia w sekwencji:

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime='180'}

Edycja ADSI jest dostępna w menu Narzędzia w Menedżer serwera. Aby zmienić TSL, wykonaj następujące kroki:

  1. W edytorze ADSI nawiąż połączenie z partycją Konfiguracji lasu. Aby to zrobić, wykonaj następujące kroki:
    1. W okienku po lewej stronie kliknij prawym przyciskiem myszy pozycję EDYTUJ ADSI, a następnie wybierz pozycję Połącz.
    2. W obszarze Ustawienia połączenia wybierz pozycję Wybierz dobrze znany kontekst nazewnictwa, a następnie wybierz pozycję Konfiguracja.
    3. Wybierz przycisk OK.
  2. W drzewie nawigacji przejdź do pozycji CN=Configuration>CN=Services>CN=Windows NT>CN=Directory Service.
  3. Kliknij prawym przyciskiem myszy pozycję CN=Usługa katalogowa, a następnie wybierz polecenie Właściwości.
  4. Wybierz kartę Atrybut .
  5. Na liście Wybierz właściwości do wyświetlenia wybierz pozycję Opcjonalne.
  6. Na liście Wybierz właściwość do wyświetlenia wybierz pozycję TombstoneLifetime.
  7. W polu Edytuj atrybut wpisz 180, wybierz pozycję Ustaw, a następnie wybierz przycisk OK.

Zbieranie danych dla pomoc techniczna firmy Microsoft

Jeśli potrzebujesz pomocy od pomoc techniczna firmy Microsoft, zalecamy zebranie informacji, wykonując kroki wymienione w temacie Zbieranie informacji przy użyciu przewodnika rozwiązywania problemów z replikacją usługi Active Directory.