Поделиться через

Идентификатор события репликации Active Directory 1388 или 1988: обнаружен задерживающийся объект

В этой статье показано, как устранить неполадки с идентификатором события репликации Active Directory 1388 и 1988.

Область применения: Windows Server (все поддерживаемые версии)
Исходный номер базы знаний: 4469619

Итоги

Если целевой контроллер домена регистрирует идентификатор события 1388 или идентификатор события 1988, обнаружен неуловимый объект, и одно из двух условий существует на целевом контроллере домена:

  • Идентификатор события 1388. Репликация входящего объекта, выполняющегося на целевом контроллере домена, произошла.
  • Идентификатор события 1988. Входящий репликация секции каталога неуклюжимого объекта была заблокирована на целевом контроллере домена.

Идентификатор события 1388

Это событие указывает, что целевой контроллер домена, не имеющий строгой согласованности репликации, получил запрос на обновление объекта, который не находится в локальной копии базы данных Active Directory. В ответ контроллер домена назначения запросил полный объект от партнера по репликации источника. Таким образом, реплицируемый объект был реплицирован на целевой контроллер домена. Таким образом, неустраживаемый объект был повторно введен в каталог.

Внимание

При возникновении идентификатора события 1388 нельзя использовать Lingering Object Liquidator версии 2 (LOLv2) или средство Repadmin для удаления задерживающихся объектов.

Сведения о том, как удалить неустранимые объекты в этом случае, см. в следующей статье:

Процедуры и сведения в этой статье применяются к удалению задерживающихся объектов с серверов глобального каталога, а также с контроллеров домена, которые не являются глобальными серверами каталога.

Текст события определяет исходный контроллер домена и устаревший (задерживающийся) объект. Ниже приведен пример текста события.

Имя журнала: служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 5.3.2008 3:34:01
Идентификатор события: 1388
Категория задач: репликация
Уровень: ошибка
Ключевые слова: классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: Описание. DC3.contoso.com Другой контроллер домена (DC) попытался реплицировать этот контроллер домена объект, который отсутствует в локальной базе данных служб домен Active Directory Services. Возможно, объект был удален и уже собран мусор (время существования могилы или больше прошло с момента удаления объекта) на этом контроллере домена. Набор атрибутов, включенный в запрос на обновление, недостаточно для создания объекта. Объект будет повторно запрошен с полным набором атрибутов и повторно создан на этом контроллере домена.

Исходный контроллер домена (адрес сети для конкретного транспорта):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Объект:
CN=InternalApps,CN=Users,DC=contoso,DC=com
Guid объекта: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Раздел каталога:
DC=contoso,DC=com
Целевое самое высокое свойство USN: 20510
Действие пользователя:
Проверьте постоянное желание существования этого объекта. Чтобы прекратить повторное создание будущих аналогичных объектов, необходимо создать следующий раздел реестра.

Раздел реестра:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Идентификатор события 1988

Это событие указывает, что конечный контроллер домена с поддержкой строгой согласованности репликации получил запрос на обновление объекта, который не существует в локальной копии базы данных Active Directory. В ответ контроллер домена назначения блокировал репликацию секции каталога, содержащей этот объект из исходного контроллера домена. Текст события определяет исходный контроллер домена и устаревший (задерживающийся) объект. Ниже приведен пример текста события.

Имя журнала: служба каталогов
Источник: Microsoft-Windows-ActiveDirectory_DomainService
Дата: 2.7.2008 8:20:11: Идентификатор события: 1988
Категория задач: репликация
Уровень: ошибка
Ключевые слова: классический
Пользователь: АНОНИМНЫЙ ВХОД
Компьютер: DC5.contoso.com
Описание.
репликация служб домен Active Directory обнаружила существование объектов в следующем разделе, которые были удалены из базы данных домен Active Directory служб локального контроллера домена (DCs). Не все партнеры прямой или транзитивной репликации реплицируются в удалении до истечения времени существования могилы. Объекты, которые были удалены и мусор, собранные из секции служб домен Active Directory, но по-прежнему существуют в записываемых секциях других контроллеров домена в том же домене или только для чтения секции серверов глобального каталога в других доменах в лесу называются "сохраняющимися объектами".

Это событие регистрируется, так как исходный контроллер домена содержит задерживающийся объект, который не существует в локальной базе данных DCs домен Active Directory Services. Эта попытка репликации заблокирована.

Лучшее решение этой проблемы заключается в выявлении и удалении всех задерживающихся объектов в лесу.

Исходный контроллер домена (адрес сети для конкретного транспорта):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Объект: CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID объекта:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnosis

Объект, который был окончательно удален из AD DS (т. е. его могила была собрана на всех подключенных контроллерах домена) остается на отключенном контроллере домена. Контроллер домена не смог получить прямую или транзитивную репликацию удаления объекта, так как он был отключен (он находится в автономном режиме или возникает сбой входящего репликации) из топологии репликации в течение периода, превышающего время существования могилы. Контроллер домена теперь повторно подключается к топологии, и этот объект был обновлен на контроллере домена, что приводит к уведомлению репликации партнеру репликации о готовности обновления к репликации. Партнер репликации ответил в соответствии с параметром согласованности репликации. Это уведомление применяется к попытке репликации записываемого объекта. Копия записываемого объекта может также существовать на сервере глобального каталога.

Решение

Если обнаружена репликация сохраняющегося объекта, можно удалить объект из AD DS, а также любые реплики, доступные только для чтения, с помощью LOLv2, определив контроллеры домена, которые могут хранить этот объект (включая серверы глобального каталога) и удалить его с помощью средства LOLv2 или выполнив команду repadmin, чтобы удалить сохраняющиеся объекты на этих серверах (repadmin /removelingeringobjects). Эта команда доступна на контроллерах домена, работающих под управлением поддерживаемой версии Windows Server.

Чтобы удалить неустранимые объекты, сделайте следующее:

  1. Используйте текст события, чтобы определить следующее:
    1. Раздел каталога объекта
    2. Исходный контроллер домена, пытающийся выполнить репликацию задерживающегося объекта
  2. Используйте Repadmin для идентификации GUID доверенного контроллера домена.
  3. Используйте LOLv2 или Repadminдля удаления неустранимых объектов.
  4. При необходимости включите строгую согласованность репликации.
  5. При необходимости убедитесь, что для новых контроллеров домена включена строгая согласованность репликации.

Используйте Repadmin для идентификации GUID доверенного контроллера домена:

Чтобы выполнить процедуру, которая удаляет неустранимые объекты, необходимо определить глобальный уникальный идентификатор (GUID) актуального контроллера домена, имеющего записываемую реплику секции каталога, содержащей сообщаемый объект. Раздел каталога определяется в сообщении о событии. Идентификатор GUID объекта контроллера домена хранится в атрибуте objectGUID объекта NTDS Settings.

Требования:

  • Членство в администраторах домена в домене контроллера домена, GUID которого необходимо определить, является минимальным обязательным для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
  • Инструмент: Repadmin.exe

Действия по идентификации GUID контроллера домена:

  1. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    repadmin /showrepl <ServerName>
    Параметр Описание
    /showrepl Отображает состояние репликации, в том числе когда контроллер домена, указанный <именем ServerName> , последняя попытка входящего репликации секций Active Directory. Также отображает GUID указанного контроллера домена.
    <ServerName> Имя контроллера домена, GUID которого требуется отобразить.

  2. В первом разделе выходных данных найдите запись objectGuid . Выделите и скопируйте значение GUID в текстовый файл, чтобы его можно было использовать в другом месте.

Используйте LOLv2 или Repadmin для удаления неуклюжих объектов:

Требования:

  • Членство в администраторах домена в домене контроллера домена с неустраживающими объектами или администраторами предприятия, если раздел каталога с неустраивающимися объектами является секцией каталога конфигурации или схемы, является минимальным обязательным для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

  • Операционная система: поддерживаемая версия Windows Server.

  • Предпочтительный метод удаления задерживающихся объектов использует LOLv2. В некоторых случаях, где нельзя использовать LOLv2, можно использовать Repadmin.exe

Дополнительные сведения о LOLv2:

Действия по удалению неустранимых объектов с помощью Repadmin:

  1. Откройте командную строку от имени администратора: в меню "Пуск " щелкните правой кнопкой мыши командную строку и нажмите кнопку "Запуск от имени администратора". Если появится диалоговое окно "Контроль учетных записей пользователей", укажите учетные данные администратора домена или корпоративных администраторов, а затем нажмите кнопку "Продолжить".

  2. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Параметр Описание
    /removelingeringobjects Удаляет неустранимые объекты из контроллера домена, указанного <serverName> для раздела каталога, указанного <DirectoryPartition>.
    <ServerName> Имя контроллера домена, имеющего неуловимые объекты, как указано в сообщении о событии (идентификатор события 1388 или идентификатор события 1988). Вы можете использовать имя системы доменных имен (DNS) или различающееся имя, например различающееся имя CN=DC5,OU=Контроллеры домена,DC=contoso,DC=com или DNS-имя DC5.contoso.com.
    <ServerGUID> GUID контроллера домена, имеющего актуальную реплику записываемой реплики секции каталога, содержащей объект с задержкой.
    <DirectoryPartition> Различающееся имя секции каталога, определяемой в сообщении о событии, например:
    • Для раздела каталога домена Sales в contoso.com лесу: DC=sales,DC=contoso,DC=com
    • Для секции каталога конфигурации в contoso.com лесу: CN=configuration,DC=contoso,DC=com
    • Для секции каталога схемы в contoso.com лесу: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Регистрирует неустранимые объекты, которые будут удалены, чтобы их можно было просмотреть, но не удаляет их.

  3. Повторите шаг 2, не /advisory_mode удаляя выявленные объекты, задерживающиеся из раздела каталога.

  4. Повторите шаги 2 и 3 для каждого контроллера домена, который может содержать объекты, которые могут задерживаться.

Примечание.

Параметр <ServerName> использует синтаксис DC_LIST для repadmin, который позволяет использовать * для всех контроллеров домена в лесу и gc: для всех серверов глобального каталога в лесу. Чтобы просмотреть синтаксис DC_LIST, введите repadmin /listhelp. Сведения о синтаксисе /regkey и /removelingeringobjects параметрах введите repadmin /experthelp.

Включите строгую согласованность репликации:

Чтобы убедиться, что реплицируемые объекты не могут быть реплицированы при их возникновении, включите строгую согласованность репликации на всех контроллерах домена. Параметр согласованности репликации хранится в реестре на каждом контроллере домена. Однако на контроллерах домена, работающих под управлением поддерживаемой версии Windows Server, можно использовать Repadmin, чтобы обеспечить строгую согласованность репликации на одном или всех контроллерах домена.

Используйте Repadmin, чтобы включить строгую согласованность репликации:

Используйте эту процедуру для удаления задерживающихся объектов на контроллере домена, работающем под управлением поддерживаемой версии Windows Server.

Членство в администраторах домена или эквивалентных параметров является минимальным обязательным для выполнения этой процедуры на одном контроллере домена. Членство в корпоративных администраторах или эквивалентном является минимальным требованием для выполнения этой процедуры на всех контроллерах домена в лесу. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Действия по использованию Repadmin для обеспечения строгой согласованности репликации:

  1. Откройте командную строку от имени администратора: в меню "Пуск " щелкните правой кнопкой мыши командную строку и нажмите кнопку "Запуск от имени администратора". Если появится диалоговое окно "Контроль учетных записей пользователей", укажите учетные данные администратора домена или корпоративных администраторов, а затем нажмите кнопку "Продолжить".

  2. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    repadmin /regkey <DC_LIST> +strict
    Параметр Описание
    /regkey Включает (+) и отключает значение (-) для записи реестра строгой согласованности репликации в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> Имя одного контроллера домена или * для применения изменения ко всем контроллерам домена в лесу. Для имени контроллера домена можно использовать DNS-имя, различающееся имя объекта компьютера контроллера домена или различающееся имя объекта сервера контроллера домена, например различающееся имя CN=DC5,OU=Domain Controllers,DC=contoso,DC=com или DNS-имя DC5.contoso.com.
    +strict Включает запись реестра строгой согласованности репликации.

  3. Если вы не используете * для применения изменения ко всем контроллерам домена, повторите шаг 2 для каждого контроллера домена, на котором требуется обеспечить строгую согласованность репликации.

Примечание.

Дополнительные параметры именования и сведения о синтаксисе <параметра DC_LIST> в командной repadmin /listhelpстроке. Сведения о синтаксисе /regkey и /removelingeringobjects параметрах введите repadmin /experthelp.

Используйте Regedit для обеспечения строгой согласованности репликации:

В качестве альтернативы использованию Repadmin можно включить строгую согласованность репликации, изменив реестр напрямую. Параметр согласованности репликации хранится в записи HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parametersстрогой согласованности репликации.

Значения для записи реестра строгой согласованности репликации приведены следующим образом:

  • Значение: 1 (0 для отключения)

  • По умолчанию: 1 (включено) в новом Windows Server; в противном случае — 0.

  • Тип данных: REG_DWORD

Требования:

  • Членство в администраторах домена или эквивалентных параметров является минимальным обязательным для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).
  • Инструмент: Regedit.exe

Примечание.

Рекомендуется не изменять реестр напрямую, если есть другие возможности. Изменения в реестре не проверяются редактором реестра или ОС Windows перед их применением, в результате чего могут быть сохранены неверные значения. Это может привести к неустранимым ошибкам в системе. По возможности вместо редактирования реестра напрямую используйте для выполнения задач групповую политику или другие средства Windows, например консоль управления (MMC). Если отредактировать реестр все же необходимо, соблюдайте крайнюю осторожность.

Действия по использованию Regedit для обеспечения строгой согласованности репликации

  1. Откройте Regedit от имени администратора: нажмите кнопку "Пуск", а затем в меню "Пуск поиска" введите regedit. В верхней части меню "Пуск " щелкните правой кнопкой мыши regedit.exe и нажмите кнопку "Запуск от имени администратора". В диалоговом окне "Контроль учетных записей пользователей" укажите учетные данные администратора домена и нажмите кнопку "ОК".

  2. Перейдите к записи строгой согласованности репликации.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

  3. Задайте значение в записи "Строгая согласованность репликации " значение 1.

Убедитесь, что для новых контроллеров домена включена строгая согласованность репликации.

При обновлении леса, созданного с помощью компьютера под управлением Windows 2000 Server, необходимо убедиться, что лес настроен для обеспечения строгой согласованности репликации на вновь продвигаемых контроллерах домена, чтобы избежать задержки объектов. После обновления леса, как описано в разделе (Обновление домен Active Directory до Windows Server 2008 и Windows Server 2008 R2 AD DS Domains), все новые контроллеры домена, которые впоследствии добавляются в лес, создаются со строгой согласованностью репликации. Однако можно реализовать изменение конфигурации леса, которое приводит к тому, что новые контроллеры домена имеют строгую согласованность репликации. Чтобы гарантировать, что новые контроллеры домена, добавленные в лес, имеют строгую согласованность репликации, можно использовать средство Ldifde.exe для создания объекта в разделе каталога конфигурации леса. Этот объект отвечает за обеспечение строгой согласованности репликации на любом новом контроллере домена, который повышен в лесу.

Создаваемый объект представляет собой рабочий GUID со следующим именем:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Для добавления этого объекта в раздел каталога конфигурации можно использовать следующую процедуру на любом контроллере домена в лесу.

Членство в корпоративных администраторах или эквивалентных параметрах является минимальным обязательным для выполнения этой процедуры. Дополнительные сведения об использовании соответствующих учетных записей и членстве в группах см. в статье Local and Domain Default Groups (Локальные и доменные группы по умолчанию).

Действия по созданию объекта, обеспечивающего строгую согласованность репликации на новых контроллерах домена

  1. В текстовом редакторе, например Блокноте, создайте следующий текстовый файл:

    dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: контейнер
    showInAdvancedViewOnly: TRUE
    name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Где <ForestRootDomain> содержит все компоненты домена (DC=) корневого домена леса, например для леса, DC=contoso,DC=com; для contoso.com fineartschool.net леса, DC=fineartschool,DC=net.

  3. Откройте командную строку от имени администратора: в меню "Пуск " щелкните правой кнопкой мыши командную строку и нажмите кнопку "Запуск от имени администратора". Если появится диалоговое окно "Контроль учетных записей пользователей", укажите учетные данные администраторов предприятия, если это необходимо, а затем нажмите кнопку "Продолжить".

  4. В командной строке введите следующую команду и нажмите клавишу ВВОД:

    ldifde -i -f <Path>\<FileName>
    Параметр Описание
    -i Задает режим импорта. Если режим импорта не указан, режим по умолчанию экспортируется.
    -f Определяет имя файла импорта или экспорта.
    <Path>\<FileName> Путь и имя файла импорта, созданного на шаге 1, например C:\ldifde.txt.

    Сведения об использовании Ldifde см. в разделе LDIFDE.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.