Compartilhar via

ID do Evento de Replicação do Active Directory 1388 ou 1988: É detetado um objeto persistente

  • Artigo

Este artigo ajuda-o a resolver problemas do ID de Evento de Replicação do Active Directory 1388 e 1988.

Aplica-se a: Windows Server (todas as versões com suporte)
Número original da BDC: 4469619

Resumo

Se um controlador de domínio de destino registar o ID do Evento 1388 ou o ID do Evento 1988, foi detetado um objeto persistente e existe uma de duas condições no controlador de domínio de destino:

  • ID do Evento 1388: Ocorreu uma replicação de entrada do objeto persistente no controlador de domínio de destino.
  • ID do Evento 1988: a replicação de entrada da partição de diretório do objeto persistente foi bloqueada no controlador de domínio de destino.

ID do Evento 1388

Este evento indica que um controlador de domínio de destino que não tem consistência de replicação estrita ativada recebeu um pedido para atualizar um objeto que não reside na cópia local da base de dados do Active Directory. Em resposta, o controlador de domínio de destino solicitou o objeto completo ao parceiro de replicação de origem. Desta forma, um objeto persistente foi replicado para o controlador de domínio de destino. Portanto, o objeto persistente foi reintroduzido no diretório.

Importante

Quando ocorre o ID do Evento 1388, não pode utilizar o Liquidator de Objetos Persistentes v2 (LOLv2) ou a ferramenta Repadmin para remover objetos persistentes.

Para obter informações sobre como remover objetos persistentes neste caso, consulte:

Os procedimentos e informações neste artigo aplicam-se à remoção de objetos persistentes de servidores de catálogo global, bem como de controladores de domínio que não são servidores de catálogo globais.

O texto do evento identifica o controlador de domínio de origem e o objeto desatualizado (persistente). Segue-se um exemplo do texto do evento:

Nome do Registo: Serviço de Diretório
Origem: Microsoft-Windows-ActiveDirectory_DomainService
Data: 03/05/2008 15:34:01
ID do Evento: 1388
Categoria da Tarefa: Replicação
Nível: erro
Palavras-chave: Clássico
Utilizador: INÍCIO DE SESSÃO ANÓNIMO
Computador: DC3.contoso.com Descrição: Outro controlador de domínio (DC) tentou replicar para este DC um objeto que não está presente na base de dados local dos Serviços de Domínio do Active Directory. O objeto pode ter sido eliminado e já foi recolhido lixo (uma duração de tombstone ou mais já passou desde que o objeto foi eliminado) neste DC. O conjunto de atributos incluído no pedido de atualização não é suficiente para criar o objeto. O objeto será pedido novamente com um conjunto de atributos completo e recriado neste DC.

DC de origem (endereço de rede específico do transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto:
CN=InternalApps,CN=Utilizadores,DC=contoso,DC=com
GUID de Objeto: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partição de diretório:
DC=contoso,DC=com
USN da propriedade mais alta do destino: 20510
Ação do Utilizador:
Verifique o desejo contínuo de existência deste objeto. Para descontinuar a recriação de objetos semelhantes futuros, deve ser criada a seguinte chave de registo.

Chave do Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

ID do Evento 1988

Este evento indica que um controlador de domínio de destino com consistência de replicação rigorosa ativada recebeu um pedido para atualizar um objeto que não existe na cópia local da base de dados do Active Directory. Em resposta, o controlador de domínio de destino bloqueou a replicação da partição de diretório que contém esse objeto desse controlador de domínio de origem. O texto do evento identifica o controlador de domínio de origem e o objeto desatualizado (persistente). Segue-se um exemplo do texto do evento:

Nome do Registo: Serviço de Diretório
Origem: Microsoft-Windows-ActiveDirectory_DomainService
Data: 07/02/2008 8:20:11 ID do Evento: 1988
Categoria da Tarefa: Replicação
Nível: erro
Palavras-chave: Clássico
Utilizador: INÍCIO DE SESSÃO ANÓNIMO
Computador: DC5.contoso.com
Descrição:
A Replicação dos Serviços de Domínio do Active Directory encontrou a existência de objetos na partição seguinte que foram eliminados da base de dados dos Serviços de Domínio do Active Directory (DCs) local. Nem todos os parceiros de replicação direta ou transitiva foram replicados na eliminação antes do número de dias de duração da tombstone ter passado. Os objetos que foram eliminados e recolhidos da memória de uma partição dos Serviços de Domínio do Active Directory, mas que ainda existem nas partições graváveis de outros DCs no mesmo domínio, ou partições só de leitura de servidores de catálogo global noutros domínios na floresta são conhecidos como "objetos persistentes".

Este evento está a ser registado porque o DC de origem contém um objeto persistente que não existe na base de dados local DCs do Active Directory Domain Services. Esta tentativa de replicação foi bloqueada.

A melhor solução para este problema é identificar e remover todos os objetos persistentes na floresta.

DC de origem (endereço de rede específico do transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto: CN=InternalApps,CN=Utilizadores,DC=contoso,DC=com
GUID do Objeto:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnóstico

Um objeto que foi eliminado permanentemente do AD DS (ou seja, a sua lápide foi recolhida na memória em todos os controladores de domínio ligados) permanece num controlador de domínio desligado. O controlador de domínio não recebeu a replicação direta ou transitiva da eliminação do objeto porque foi desligado (está offline ou está a experienciar uma falha de replicação de entrada) da topologia de replicação durante um período que excedeu uma duração de tombstone. O controlador de domínio está agora novamente ligado à topologia e esse objeto foi atualizado no controlador de domínio, o que causa uma notificação de replicação ao parceiro de replicação de que uma atualização está pronta para replicação. O parceiro de replicação respondeu de acordo com a respetiva definição de consistência de replicação. Esta notificação aplica-se à tentativa de replicação de um objeto gravável. Também pode existir uma cópia do objeto persistente gravável num servidor de catálogo global.

Resolução

Se for detetada a replicação de um objeto persistente, pode remover o objeto do AD DS, juntamente com quaisquer réplicas só de leitura do objeto, ao utilizar LOLv2 ao identificar os controladores de domínio que podem armazenar este objeto (incluindo servidores de catálogo global) e removê-lo com a ferramenta LOLv2 ou ao executar um comando de repadmin para remover objetos persistentes nestes servidores (repadmin /removelingeringobjects). Este comando está disponível em controladores de domínio que executem a versão suportada do Windows Server.

Para remover objetos persistentes, faça o seguinte:

  1. Utilize o texto do evento para identificar o seguinte:
    1. A partição de diretório do objeto
    2. O controlador de domínio de origem que tentou replicação do objeto persistente
  2. Utilize Repadmin para identificar o GUID de um controlador de domínio autoritativo.
  3. Utilize LOLv2 ou Repadminpara remover objetos persistentes.
  4. Ative a consistência de replicação rigorosa, se necessário.
  5. Certifique-se de que a consistência de replicação rigorosa está ativada para controladores de domínio recentemente promovidos, se necessário.

Utilize Repadmin para identificar o GUID de um controlador de domínio autoritativo:

Para executar o procedimento que remove objetos persistentes, tem de identificar o identificador exclusivo global (GUID) de um controlador de domínio atualizado que tenha uma réplica gravável da partição de diretório que contém o objeto persistente que foi comunicado. A partição do diretório é identificada na mensagem do evento. O GUID de objeto de um controlador de domínio é armazenado no atributo objectGUID do objeto Definições NTDS.

Requisitos:

  • Associação em Administradores de Domínio no domínio do controlador de domínio cujo GUID pretende identificar é o mínimo necessário para concluir este procedimento. Reveja os detalhes sobre como utilizar as contas adequadas e as associações a grupos em Grupos Predefinidos Locais e de Domínio.
  • Ferramenta: Repadmin.exe

Passos para identificar o GUID de um controlador de domínio:

  1. Em um prompt de comando, digite o comando a seguir e pressione ENTER:

    repadmin /showrepl <ServerName>
    Parâmetro Descrição
    /showrepl Apresenta o estado de replicação, incluindo quando o controlador de domínio especificado por <ServerName> tentou pela última vez a replicação de entrada das partições do Active Directory. Também apresenta o GUID do controlador de domínio especificado.
    <ServerName> O nome do controlador de domínio cujo GUID pretende apresentar.

  2. Na primeira secção do resultado, localize a entrada objectGuid . Selecione e copie o valor GUID para um ficheiro de texto para que possa utilizá-lo noutro local.

Utilize LOLv2 ou Repadmin para remover objetos persistentes:

Requisitos:

  • A associação a Administradores de Domínio no domínio do controlador de domínio que tem objetos persistentes ou Admins de Empresa se a partição de diretório que tem objetos persistentes for a partição de diretório de configuração ou esquema, é o mínimo necessário para concluir este procedimento. Reveja os detalhes sobre como utilizar as contas adequadas e as associações a grupos em Grupos Predefinidos Locais e de Domínio.

  • Sistema operativo: versão suportada do Windows Server.

  • O método preferencial para remover objetos persistentes é utilizar LOLv2. Em alguns casos, em que LOLv2 não pode ser utilizado, pode utilizar Repadmin.exe

Mais informações sobre LOLv2:

Passos para utilizar o Repadmin para remover objetos persistentes:

  1. Abrir uma Linha de Comandos como administrador: no menu Iniciar , clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador. Se for apresentada a caixa de diálogo Controlo de Conta de Utilizador , forneça as credenciais Admins do Domínio ou Admins da Empresa, se necessário, e, em seguida, clique em Continuar.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Parâmetro Descrição
    /removelingeringobjects Remove objetos persistentes do controlador de domínio especificado pelo <ServerName> para a partição de diretório especificada pelo <DirectoryPartition>.
    <ServerName> O nome do controlador de domínio que tem objetos persistentes, conforme identificado na mensagem de evento (ID do Evento 1388 ou ID do Evento 1988). Pode utilizar o nome do Sistema de Nomes de Domínio (DNS) ou o nome único, por exemplo, o nome único CN=DC5,OU=Controladores de Domínio,DC=contoso,DC=com ou o nome DC5.contoso.comDNS .
    <ServerGUID> O GUID de um controlador de domínio que tem uma réplica atual e gravável da partição de diretório que contém o objeto persistente.
    <DirectoryPartition> O nome único da partição de diretório que é identificada na mensagem de evento, por exemplo:
    • Para a partição do diretório de domínio de Vendas na contoso.com floresta: DC=vendas,DC=contoso,DC=com
    • Para a partição do diretório de configuração na contoso.com floresta: CN=configuration,DC=contoso,DC=com
    • Para a partição do diretório de esquema na contoso.com floresta: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Regista os objetos persistentes que serão removidos para que possa revê-los, mas não os remova.

  3. Repita o passo 2 sem /advisory_mode eliminar os objetos persistentes identificados da partição de diretório.

  4. Repita os passos 2 e 3 para cada controlador de domínio que possa ter objetos persistentes.

Observação

O <parâmetro ServerName> utiliza a sintaxe DC_LIST para repadmin, que permite a utilização de * para todos os controladores de domínio na floresta e gc: para todos os servidores de catálogo global na floresta. Para ver a sintaxe DC_LIST, escreva repadmin /listhelp. Para obter informações sobre a sintaxe dos /regkey parâmetros e /removelingeringobjects , escreva repadmin /experthelp.

Ativar a consistência de replicação rigorosa:

Para garantir que os objetos persistentes não podem ser replicados se ocorrerem, ative a consistência de replicação rigorosa em todos os controladores de domínio. A definição de consistência de replicação é armazenada no registo em cada controlador de domínio. No entanto, nos controladores de domínio que executam a versão suportada do Windows Server, pode utilizar o Repadmin para ativar a consistência de replicação rigorosa num ou em todos os controladores de domínio.

Utilize o Repadmin para ativar a consistência de replicação rigorosa:

Utilize este procedimento para remover objetos persistentes num controlador de domínio que esteja a executar a versão suportada do Windows Server.

A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento num único controlador de domínio. A associação em Administradores empresariais, ou equivalente, é o mínimo necessário para concluir este procedimento em todos os controladores de domínio na floresta. Reveja os detalhes sobre como utilizar as contas adequadas e as associações a grupos em Grupos Predefinidos Locais e de Domínio.

Passos para utilizar o Repadmin para ativar a consistência de replicação rigorosa:

  1. Abrir uma Linha de Comandos como administrador: no menu Iniciar , clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador. Se for apresentada a caixa de diálogo Controlo de Conta de Utilizador , forneça as credenciais Admins do Domínio ou Admins da Empresa, se necessário, e, em seguida, clique em Continuar.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /regkey <DC_LIST> +strict
    Parâmetro Descrição
    /regkey Ativa (+) e desativa (-) o valor para a entrada de registo Consistência de Replicação Estrita no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> O nome de um controlador de domínio único ou * para aplicar a alteração a todos os controladores de domínio na floresta. Para o nome do controlador de domínio, pode utilizar o nome DNS, o nome único do objeto de computador do controlador de domínio ou o nome único do objeto de servidor do controlador de domínio, por exemplo, o nome único CN=DC5,OU=Controladores de Domínio, DC=contoso,DC=com ou o nome DC5.contoso.comDNS .
    +strict Ativa a entrada de registo Consistência de Replicação Estrita .

  3. Se não utilizar * para aplicar a alteração a todos os controladores de domínio, repita o passo 2 para cada controlador de domínio no qual pretende ativar a consistência de replicação rigorosa.

Observação

Para obter mais opções de nomenclatura e informações sobre a sintaxe do <parâmetro DC_LIST> , na linha de comandos, escreva repadmin /listhelp. Para obter informações sobre a sintaxe dos /regkey parâmetros e /removelingeringobjects , escreva repadmin /experthelp.

Utilize o Regedit para ativar a consistência de replicação rigorosa:

Como alternativa à utilização do Repadmin, pode ativar a consistência de replicação rigorosa ao editar o registo diretamente. A definição de consistência de replicação é armazenada na entrada Consistência de Replicação Estrita em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Os valores para a entrada de registo Consistência de Replicação Estrita são os seguintes:

  • Valor: 1 (0 para desativar)

  • Predefinição: 1 (ativado) num novo Windows Server; caso contrário, 0.

  • Tipo de dados: REG_DWORD

Requisitos:

  • A associação a Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento. Reveja os detalhes sobre como utilizar as contas adequadas e as associações a grupos em Grupos Predefinidos Locais e de Domínio.
  • Ferramenta: Regedit.exe

Observação

Recomenda-se que não edite diretamente o registo, a menos que não exista outra alternativa. As modificações ao registo não são validadas pelo editor de registo ou pelo Windows antes de serem aplicadas e, consequentemente, podem ser armazenados valores incorretos. Isto pode resultar em erros irrecuperáveis no sistema. Sempre que possível, utilize a Política de Grupo ou outras ferramentas do Windows, como a Consola de Gestão da Microsoft (MMC), para realizar tarefas em vez de editar diretamente o registo. Se tiver de editar o registo, tenha muito cuidado.

Passos para utilizar o Regedit para ativar a consistência de replicação rigorosa

  1. Abra Regedit como administrador: clique em Iniciar e, em seguida, em Iniciar Pesquisa, escreva regedit. Na parte superior do menu Iniciar , clique com o botão direito do rato emregedit.exee, em seguida, clique em Executar como administrador. Na caixa de diálogo Controlo de Conta de Utilizador , forneça credenciais de Administradores de Domínio e, em seguida, clique em OK.

  2. Navegue para a entrada Consistência de Replicação Estrita em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Defina o valor na entrada Consistência de Replicação Estrita como 1.

Confirme que a consistência de replicação rigorosa está ativada para controladores de domínio recentemente promovidos

Se estiver a atualizar uma floresta criada originalmente com um computador com o Windows 2000 Server, deve certificar-se de que a floresta está configurada para ativar a consistência de replicação rigorosa em controladores de domínio recentemente promovidos para ajudar a evitar objetos persistentes. Depois de atualizar a floresta conforme descrito em (Atualizar Domínios do Active Directory para o Windows Server 2008 e Domínios do AD DS do Windows Server 2008 R2), todos os novos controladores de domínio que adicionar subsequentemente à floresta são criados com consistência de replicação estrita desativada. No entanto, pode implementar uma alteração de configuração da floresta que faz com que os novos controladores de domínio tenham a consistência de replicação rigorosa ativada. Para garantir que os novos controladores de domínio que adiciona à floresta têm uma consistência de replicação rigorosa ativada, pode utilizar a ferramenta Ldifde.exe para criar um objeto na partição do diretório de configuração da floresta. Este objeto é responsável por ativar a consistência de replicação rigorosa em qualquer novo controlador de domínio promovido para a floresta.

O objeto que criar é um GUID operacional com o seguinte nome:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Pode utilizar o procedimento seguinte em qualquer controlador de domínio na floresta para adicionar este objeto à partição do diretório de configuração.

A associação nos Administradores empresariais, ou equivalente, é o mínimo necessário para concluir este procedimento. Reveja os detalhes sobre como utilizar as contas adequadas e as associações a grupos em Grupos Predefinidos Locais e de Domínio.

Passos para criar o objeto que garante uma consistência de replicação rigorosa em novos controladores de domínio

  1. Num editor de texto, como o Bloco de Notas, crie o seguinte ficheiro de texto:

    dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: contentor
    showInAdvancedViewOnly: TRUE
    nome: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Em que <ForestRootDomain> contém todos os componentes de domínio (DC=) do domínio de raiz da floresta, por exemplo, para a contoso.com floresta, DC=contoso,DC=com; para a fineartschool.net floresta, DC=fineartschool,DC=net.

  3. Abrir uma Linha de Comandos como administrador: no menu Iniciar , clique com o botão direito do rato em Linha de Comandos e, em seguida, clique em Executar como administrador. Se for apresentada a caixa de diálogo Controlo de Conta de Utilizador , forneça as credenciais de Administradores da Empresa, se necessário, e, em seguida, clique em Continuar.

  4. No prompt de comando, digite o seguinte comando e pressione ENTER:

    ldifde -i -f <Path>\<FileName>
    Parâmetro Descrição
    -i Especifica o modo de importação. Se o modo de importação não for especificado, o modo predefinido é exportar.
    -f Identifica o nome do ficheiro de importação ou exportação.
    <Path>\<FileName> O caminho e o nome do ficheiro de importação que criou no passo 1, por exemplo, C:\ldifde.txt.

    Para obter informações sobre a utilização de Ldifde, consulte LDIFDE.

Coleta de dados

Se precisar de ajuda do suporte da Microsoft, recomendamos que recolha as informações ao seguir os passos mencionados em Recolher informações com o TSS para problemas de replicação do Active Directory.