Поделиться через

Ошибка репликации Active Directory 8606: недостаточно атрибутов для создания объекта

В этой статье приводятся сведения об устранении неполадок с ошибкой репликации Active Directory 8606: недостаточно атрибутов для создания объекта.

Исходный номер базы знаний: 2028495

Примечание.

Домашние пользователи: эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь с проблемой, обратитесь к сообществу Майкрософт.

Итоги

В этой статье описываются симптомы и причины проблемы, при которой репликация Active Directory завершается неудачно и возникает ошибка 8606: "Недостаточно атрибутов было дано для создания объекта. Этот объект может не существовать, так как он может быть удален". В этой статье также описывается решение этой проблемы.

Симптомы

Симптом 1

DCDIAG сообщает, что тест репликации Active Directory завершился ошибкой 8606: "Недостаточные атрибуты были предоставлены для создания объекта".

Запуск теста: репликация
[Проверка репликаций, <Конечный контроллер домена>] Сбой последней попытки репликации:
Из <исходного контроллера домена> в <целевой контроллер домена>
Контекст именования: <путь к разделу каталога DN>
Репликация вызвала ошибку (8606):
Для создания объекта были предоставлены недостаточные атрибуты. Этот объект может не существовать, так как он может быть удален и уже собран мусор
Сбой произошел во <время даты><>
Последнее успешное выполнение произошло во <время даты><>

Симптом 2

Входящая репликация, активируемая командой "Реплицировать сейчас" на оснастке "Сайты и службы Active Directory" в DSSITE. MSC неудачно и создает ошибку "Недостаточные атрибуты были предоставлены для создания объекта". Щелкнув правой кнопкой мыши объект подключения из исходного контроллера домена, а затем выберите "Реплицировать сейчас", репликация завершается неудачно и создает следующую ошибку: "Доступ запрещен". Кроме того, вы получите следующее сообщение об ошибке:

Текст заголовка диалогового окна: репликация
Текст сообщения диалогового окна: во время попытки синхронизации контекста <именования %active directory имя секции%> от исходного> контроллера домена контроллера домена с контроллером <домена <на целевой контроллер> домена:

Для создания объекта были предоставлены недостаточные атрибуты. Этот объект может не существовать, так как он может быть удален и уже собран мусор.

Операция не продолжится

Симптом 3

Сбой различных команд repadmin.exe с ошибкой 8606. Эти команды включают в себя, но не ограничиваются следующими:

repadmin /add repadmin /replsum
repadmin /showrepl repadmin /showrepl
repadmin /syncall

Симптом 4

Событие 1988 регистрируется вскоре после того, как происходит одно из следующих событий:

  • Развертывается первый контроллер домена в лесу.
  • Выполняется любое обновление до частичного набора атрибутов.

Симптом 5

Событие репликации NTDS 1988 может быть зарегистрировано в журнале событий службы каталогов контроллеров домена, которые пытаются выполнить реплицирование входящего трафика Active Directory.

Type Error:
Источник: репликация NTDS
Категория: репликация
Идентификатор события: 1988
Пользователь: NT AUTHORITY\ANONYMOUS LOGON
Компьютер: <имя узла контроллера домена, регистрированного события, ака целевой контроллер домена в попытке репликации>
Описание. Локальный контроллер домена попытался реплицировать следующий объект из следующего исходного контроллера домена. Этот объект отсутствует на локальном контроллере домена, так как он может быть удален и уже собран мусор.
Исходный контроллер домена:
<полный GUIDED CNAME исходного контроллера домена>
Объект:
<Путь DN к динамическому объекту в исходном контроллере домена>
GUID объекта:
<GUID объекта в копии исходных контроллеров домена Active Directory>

Причина

Ошибка 8606 регистрируется при выполнении следующих условий:

  • Исходный контроллер домена отправляет обновление в объект (а не создает исходный объект), который уже был создан, удален и затем освобожден в процессе сборки мусора из копии конечного контроллера домена Active Directory.
  • Контроллер домена назначения был настроен для выполнения в строгой согласованности репликации.

Если целевой контроллер домена был настроен для использования слабой согласованности репликации, объект был бы "повторно анимирован" в копии конечного контроллера домена каталога. Конкретные варианты, которые могут вызвать ошибку, описаны в разделе "Дополнительные сведения" 8606. Однако ошибка вызвана одной из следующих причин:

  • Постоянно задерживающийся объект, удаление которого потребует вмешательства администратора
  • Временный задерживающийся объект, который исправит себя, когда исходный контроллер домена выполняет следующую очистку сборки мусора. Введение первого контроллера домена в существующем лесу и обновления частичного набора атрибутов являются известными причинами этого условия.
  • Объект, который был незавершен или восстановлен в хиспухе срока существования могилы

При устранении ошибок 8606 думайте о следующих аспектах:

  • Хотя ошибка 8606 регистрируется на целевом контроллере домена, объект проблемы, блокирующий репликацию, находится на исходном контроллере домена. Кроме того, исходный контроллер домена или транзитивный партнер репликации исходного контроллера домена потенциально не реплицировал входящий реплицируемый набор знаний о удаленном времени существования могилы в прошлом.

  • Объекты Lingering могут существовать в следующих обстоятельствах:

    • Как "живые" объекты, как объекты CNF или конфликтующие объекты "live", или как объекты CNF или конфликтующие объекты в контейнер удаленных объектов исходного контроллера домена
    • В любом разделе каталога, кроме раздела схемы. Объекты Lingering чаще всего находятся в секциях домена только для чтения на GCs. Объекты Lingering могут также существовать в записываемых секциях домена, а также в секции конфигурации. Секция схемы не поддерживает удаление.
    • В любом классе объектов (пользователи, компьютеры, группы и записи DNS наиболее распространены).

  • Не забудьте выполнить поиск потенциально задерживающихся объектов по идентификатору GUID объекта и пути DN, чтобы объекты можно было найти независимо от их секции узла и родительского контейнера. Поиск по объекту objectguid также будет находить объекты, которые находятся в контейнере удаленных объектов без использования элемента управления LDAP удаленных объектов.

  • Событие репликации NTDS 1988 определяет только текущий объект на исходном контроллере домена, который блокирует входящие репликации с помощью контроллера домена в строгом режиме назначения. Вероятно, есть дополнительные объекты "за" объект, на который ссылается в событии 1988 года, который также задерживается.

  • Наличие задерживающихся объектов на исходном контроллере домена предотвращает или блокирует контроллеры домена назначения в режиме строгого режима от входящего репликирования "хороших" изменений, которые существуют за неуклюжим объектом в очереди репликации.

  • Из-за того, что контроллеры домена отдельно удаляют объекты из удаленных контейнеров объектов (управляющая программа сборки мусора выполняется каждые 12 часов с момента последнего запуска каждого контроллера домена), объекты, вызывающие ошибки 8606 на конечных контроллерах домена, могут быть удалены при следующем выполнении очистки сборки мусора. Lingering объекты в этом классе временные и должны удалять себя не более 12 часов с начала проблемы.

  • Неустранимый объект, который, скорее всего, был намеренно удален администратором или приложением. Этот фактор следует учитывать в плане разрешения и опасаться повторного анимирования объектов, особенно субъектов безопасности, которые были намеренно удалены. Решение

Решение

  1. Определите текущее значение параметра TombStoneLifeTime на уровне леса.

    repadmin /showattr "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=forest root domain,DC=TLD" /atts:tombstonelifetime

    См. раздел "Время существования tombstone и репликация удалений" в следующей статье базы знаний Майкрософт:
    910205 сведения о задерживающихся объектах в лесу Windows Server Active Directory.

  2. Для каждого конечного контроллера домена, который регистрирует ошибку 8606, отфильтруйте журнал событий службы каталогов в событии репликации NTDS 1988.

  3. Соберите метаданные для каждого уникального объекта, указанного в событии репликации NTDS 1988. Из каждого события 1988, вошедшего в систему на целевом контроллере домена, который ссылается на новый объект, заполните следующую таблицу:

    Путь DN объекта GUID объекта Исходный контроллер домена Раздел узла Динамическая или удаленная? LastKnownParent Значение IsDeleted

    Столбцы 1–5 этой таблицы можно заполнить путем чтения значений непосредственно из полей в событиях репликации NTDS 1988, которые регистрируются в журналах событий службы каталогов конечных контроллеров домена, которые регистрируют событие 1988 или состояние репликации 8606.

    Метки дат для столбцов LastKnownParent и IsDeleted можно определить путем выполнения repadmin /showobjmeta и ссылки на объект объекта, который приводится в событии репликации NTDS 1988. Для этого используйте следующий синтаксис:

    repadmin /showobjmeta <fqdn of source DC from 1988 event> "<GUID=GUID of object cited in the 1988 event>"

    Метка даты для LastKnownParent определяет дату удаления объекта. Метка даты для IsDeleted сообщает, когда объект был удален или повторно удален. Номер версии указывает, удалено ли последнее изменение или повторное анимирование объекта. Значение IsDeleteted 1 представляет начальное удаление. Нечетные значения, превышающие 1, указывают на повторное анимирование после по крайней мере одного удаления. Например, значение isDeleted со значением 2 представляет объект, который был удален (версия 1), а затем позже отменяется или повторно используется (версия 2). Позже числовые значения для IsDeleted представляют более поздние реанимации или отмены удаления объекта.

  4. Выберите соответствующее действие на основе метаданных объекта, указанных в событии 1988 года.

    Событие репликации 8606 / NTDS 1988 чаще всего вызвано долгосрочными сбоями репликации, которые препятствуют репликации контроллеров домена от входящего репликации знаний обо всех исходящих удалениях в лесу. Это приводит к тому, что объекты задерживается на одном или нескольких контроллерах исходного домена.

    Просмотрите метаданные для объекта, указанного в таблице, созданной на шаге 4 раздела "Разрешение".

    Если объект в событии 1988 г. имеет значение ((в реальном времени на исходном контроллере домена), но (удалено на целевом контроллере домена дольше срока действия дольше срока действия могилы),см. статью "Удаление Lingering Objects" и ". Объекты в этом условии должны быть удалены администратором вручную.

    Удаленные объекты могут быть преждевременно удалены из контейнера удаленных объектов, если системное время перескочило вовремя на целевом контроллере домена. Ознакомьтесь с разделом "Проверка временных переходов".

    Если объект, указанный в событии 1988 года, существует в контейнере удаленных объектов исходного контроллера домена и его дата удаления находится прямо на пороге срока существования могилы таким образом, чтобы объект был восстановлен с помощью одного или нескольких контроллеров домена назначения и будет восстановлен сборкой мусора в следующем интервале сборки мусора на контроллерах исходного домена (т. е. у вас есть выбор. Дождитесь следующей сборки мусора, чтобы удалить объект или вручную активировать сборку мусора на исходном контроллере домена. См. статью "Запуск сборки мусора вручную". Введение первого контроллера домена или любого изменения в частичном наборе атрибутов может привести к этому условию.

    Если repadmin /showobjmeta выходные данные для объекта, указанного в событии 1988 года, имеют значение LastKnownParent 1, это означает, что объект был удален, и значение IsDeleted, равное 2 или другому числованному значению, и эта метка даты для IsDeleted находится на пороге времени существования томблтона в днях, отличных от метки даты для LastKnownParent, затем объект был удален, а затем отменяется или восстанавливается, пока он все еще находится на исходном контроллере домена, но уже был возвращен сбором мусора целевыми контроллерами домена ошибка ведения журнала 8606 /Event 1988. См. статью "Реанимации" в cusp срока действия TSL

Удаление неустранимых объектов

Хотя многие методы существуют для удаления сохраняющихся объектов, существует три основных средства, которые часто используются: repadmin.exe, Lingering Object Liquidator (LoL) и repldiag.

Lingering Object Liquidator (LoL)

Самый простой способ очистки объектов Lingering — использовать loL. Средство LoL было разработано для автоматизации процесса очистки леса Active Directory. Это средство основано на графическом интерфейсе и может сканировать текущий лес Active Directory и обнаруживать и очищать неустанные объекты. Средство доступно в Центре загрузки Майкрософт.

Repadmin

Следующие две команды в repadmin.exe могут удалять неустранимые объекты из секций каталогов:

  • repadmin /removelingeringobjects
  • repadmin /rehost

Эту repadmin /removelingeringobjects команду можно использовать для удаления неустранимых объектов из записываемых и доступных только для чтения секций каталогов на контроллерах исходного домена. Синтаксис выглядит следующим образом:

repadmin /removelingeringobjects <Dest_DSA_LIST> <Source DSA GUID> <NC> [/ADVISORY_MODE]

Где:
<> Dest_DSA_LIST — это имя контроллера домена, содержащего неуложенные объекты (например, исходный контроллер домена, который приводится в событии репликации NTDS 1988).

<Исходный ИДЕНТИФИКАТОР> DSA — это имя контроллера домена, на котором размещена записываемая копия секции каталога, содержащая объекты, к которым контроллер домена в <Dest_DSA_LIST> имеет сетевое подключение. Контроллер домена, который требуется очистить (первый контроллер домена, указанный в команде), должен иметь возможность напрямую подключаться к порту 389 на контроллере домена, на котором размещена записываемая копия секции каталога (указана вторая в команде).

<NC> — это путь DN раздела каталога, который подозревается в том, что он содержит неумолимые объекты, например секцию, указанную в событии 1988 года.

Эту repadmin /rehost команду можно использовать для удаления контроллеров домена, которые размещают только для чтения копию секции каталога домена из контроллеров домена. Синтаксис выглядит следующим образом:

repadmin /rehost DSA <Naming Context> <Good Source DSA Address>

Где:
DSA — это имя контроллера домена, на котором размещен раздел каталога домена только для чтения для нелокального домена. Например, GC в root.contoso.com может повторно разместить копию child.contoso.com только для чтения, но не может повторно разместить root.contoso.com.

<Контекст> именования — это путь DN к секции каталога домена только для чтения, который находится в глобальном каталоге.

<Хороший исходный адрес> DSA — это имя контроллера домена, на котором размещена записываемая копия контекста <>именования. Контроллер домена должен быть доступен в сети для компьютера DSA.

Если объект, сообщаемый в событии 1988 года, не удаляется повторно, оцените, был ли объект на исходном контроллере домена создан в разрыве USN или не существует ли в векторе актуальности исходного контроллера домена.

Repldiag

Примечание.

Lingering объекты также можно удалить с помощью repldiag.exe. Это средство автоматизирует repadmin /removelingeringobjects процесс. Удаление задерживающихся объектов из леса с помощью repldiag выполняется так же просто, как запущено repldiag /removelingeringobjects. Однако обычно рекомендуется осуществлять некоторый контроль над процессом в более крупных средах. Этот параметр /OverRideReferenceDC позволяет выбрать, какой контроллер домена используется для очистки. Этот параметр /outputrepadmincommandlinesyntax позволяет увидеть, как выглядит очистка на уровне леса с помощью repadmin.

Запустите следующую лабораторию TechNet по запросу для устранения неполадок, связанных с этой и другими ошибками репликации AD:

В лаборатории вы используете повторное развертывание и repldiag.exe для удаления неустранимых объектов
Устранение ошибок репликации Active Directory
В этой лаборатории вы изучите этапы устранения неполадок, анализа и реализации распространенных ошибок репликации Active Directory. Вы будете использовать сочетание ADREPLSTATUS, repadmin.exe и других средств для устранения неполадок с пятью контроллерами домена, трехдомной средой. Ошибки репликации AD, возникшие в лаборатории, включают -2146893022, 1256, 1908, 8453 и 8606".

Мониторинг работоспособности репликации Active Directory ежедневно

Если ошибка 8606 /Event 1988 вызвана неспособностью контроллера домена реплицировать изменения Active Directory в течение последнего времени существования могилы, убедитесь, что работоспособность репликации Active Directory отслеживается на ежедневной основе. Работоспособность репликации может отслеживаться с помощью выделенного приложения мониторинга или просмотра выходных данных из одного недорогого, но эффективного варианта выполнения repadmin /showrepl * /csv команды в приложении электронной таблицы, например Microsoft Excel. (См. статью "Метод 2. Мониторинг репликации с помощью командной строки" в статье базы знаний Майкрософт 910205).

Контроллеры домена, не реплицированные в 50 процентов времени существования могилы, должны быть помещены в список наблюдения, который получает внимание администратора приоритета, чтобы сделать репликацию операционной. Контроллеры домена, которые невозможно выполнить для успешной репликации, должны быть принудительно понижены, если они не реплицировались в пределах 90 процентов TSL.

Сбои репликации, которые отображаются на целевом контроллере домена, могут быть вызваны конечным контроллером домена, исходным контроллером домена или базовой сетью и инфраструктурой DNS.

Проверка временных переходов

Чтобы определить, произошло ли скачок времени, проверьте метки дат в журналах событий и диагностики (Просмотр событий, netlogon logs, repadmin /showrepsdcdiag reports) на контроллерах домена назначения, которые являются ошибками ведения журнала 8606 / события репликации NTDS 1988 для следующих:

  • Метки дат, предшествующие выпуску операционной системы (например, метки дат из CY 2003 для ОС, выпущенной в CY 2008)
  • Метки дат, предшествующие установке операционной системы в лесу
  • Метки дат в будущем
  • Наличие событий, которые регистрируются в заданном диапазоне дат

служба поддержки Майкрософт команды видели системное время на рабочих контроллерах домена неправильно переходные часы, дни, недели, годы и даже десятки лет в прошлом и будущем. Если системное время было найдено неточным, вы должны исправить его, а затем попытаться определить, почему время прыгало и что можно сделать, чтобы предотвратить неточное время идти вперед и просто исправлять плохое время. Возможные вопросы включают следующие:

  • Настроен ли корневой PDC леса с помощью внешнего источника времени?
  • Доступны ли ссылки на источники времени в сети и разрешены в DNS?
  • Запущена ли служба майкрософт или стороннего времени и в состоянии без ошибок?
  • Настроены ли компьютеры роли контроллера домена для использования иерархии NT5DS для исходного времени?
  • Была ли защита отката времени, описанная в статье базы знаний Майкрософт 884776 ?
  • Имеют ли системные часы хорошие батареи и точное время в BIOS на контроллерах домена на виртуальных компьютерах узла?
  • Настроены ли виртуальные узлы и гостевые компьютеры в соответствии с рекомендациями производителя размещения?
    В статье базы знаний Майкрософт 884776 шаги по защите контроллеров домена от недопустимых примеров времени. Дополнительные сведения о MaxPosPhaseCorrection и MaxNegPhaseCorrection доступны в записи блога W32Time в службе времени Windows.

Проверьте наличие неустранимых объектов с помощью repadmin /removelingeringobjects /advisorymode, а затем удалите их по мере необходимости.

Расслабьте действие "Разрешить репликацию с помощью дивергентного и поврежденного партнера" по мере необходимости.

Как вручную запустить сборку мусора

Существует несколько вариантов для ручной активации сборки мусора на определенном контроллере домена:

Запустите repadmin /setattr "" doGarbageCollection add 1"

Запустите LDIFDE /s <server> /i /f dogarbage.ldif, где dobarbage.ldif содержит текст:

dn:
changetype: change
replace: DoGarbageCollection
dogarbagecollection: 1
-

Примечание.

Последний символ "-" является обязательным элементом ldif-файла.

Реанимации при истечении срока действия TSL

Чтобы это условие существовало, следует сообщить, что объект "не найден" на целевом контроллере домена, repadmin /showobject "<GUID=object guid for object in 1988 event>" но находится в режиме реального времени на исходном контроллере домена и является удаленным или нелетируемым объектом.

Проверка ключевых полей из repadmin /showobjmeta исходного контроллера домена должна сообщить о том, что следующие значения: LastKnownParent имеет значение 1, а его метка даты находится в подсказке TSL дней в прошлом. Его метка даты указывает дату удаления объекта.

IsDeleted имеет номер версии 2 (или другое четное значение), где версия 1 определила исходное удаление и версию 2 является восстановлением или повторной анимацией. Метка даты для isDeleted=2 должна быть ~ TSL число дней спустя, чем дата последнего изменения для LastKnownParent.

Оцените, должен ли объект оставаться динамическим объектом или удаленным объектом. Если LastKnownParent имеет значение 1, то или кто-то удалил объект. Если это не случайное удаление, вероятность того, что объект должен быть удален из любых контроллеров исходного домена, имеющих динамическую копию объекта.

Если объект должен существовать во всех репликах, параметры приведены следующим образом:

  • Включите свободную репликацию на контроллерах домена в строгом режиме, у которых нет объекта.
  • Принудительное понижение уровня контроллеров домена, которые уже собирали объект мусора.
  • Удалите объект и повторно создайте его.

Дополнительная информация

Запустите следующую лабораторию TechNet по запросу для устранения неполадок, связанных с этой и другими ошибками репликации AD:

Устранение ошибок репликации Active Directory
В этой лаборатории вы узнаете об устранении неполадок, анализе и реализации распространенных ошибок репликации Active Directory. Вы будете использовать сочетание ADREPLSTATUS, repadmin.exe и других средств для устранения неполадок с пятью контроллерами домена, трехдомной средой. Ошибки репликации AD, возникшие в лаборатории, включают -2146893022, 1256, 1908, 8453 и 8606".

Причины задерживающихся объектов

Причина 1. Исходный контроллер домена отправляет обновления для объектов, которые уже были восстановлены сборкой мусора на целевом контроллере домена, так как исходный контроллер домена либо был автономным, либо неудачной репликацией для TSL истеклое число дней.

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования гробницы = 60 дней. Строгая репликация включена в обоих контроллерах домена. DC2 испытывает сбой материнской платы. Между тем, DC1 делает исходящие удаления для устаревших групп безопасности ежедневно в течение следующих 90 дней. После того как он находится в автономном режиме в течение 90 дней, DC2 получает замену материнской платы, запускается, а затем происходит изменение DACL или SACL на всех учетных записях пользователей , прежде чем он реплицирует знания о происхождении удаления из DC1. DC1 регистрирует ошибки 8606 для групп безопасности обновлений, которые очищаются в DC1 в течение первых 30 дней, когда DC2 был отключен.

Причина 2. Исходный контроллер домена отправляет обновления объектам в реплике срока действия TSL, которые уже были восстановлены сборкой мусора в строгом режиме целевого контроллера домена

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования гробницы = 60 дней. Строгая репликация включена в обоих контроллерах домена. DC1 и DC2 реплицируются каждые 24 часа. DC1 ежедневно удаляется. DC1 обновляется на месте. Это метка нового атрибута для всех объектов в конфигурациях и записываемых секциях домена. К ним относятся объекты, которые в настоящее время находятся в контейнере удаленных объектов. Некоторые из них были удалены 60 дней назад и в настоящее время находятся в хиспухе окончания срока действия могилы. DC2 освобождает некоторые объекты сборкой мусора, которые были удалены TSL дней назад, прежде чем расписание репликации откроется с dc2. Ошибка 8606 регистрируется до тех пор, пока DC1 не освобождает блокирующие объекты по сборке мусора.

Любые обновления частичного набора атрибутов могут привести к временным задерживающимся объектам, которые будут очищаться после того, как исходные контроллеры домена сборки мусора собирают удаленные объекты по истечении срока действия TSL (например, добавление первого контроллера домена W2K8 R2 в существующий лес).

Причина 3. Скачок времени на контроллере домена назначения преждевременно ускоряет сборку мусора удаленных объектов на целевом контроллере домена.

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования гробницы = 60 дней. Строгая репликация включена в обоих контроллерах домена. DC1 и DC2 реплицируются каждые 24 часа. DC1 ежедневно удаляется. Источник времени ссылки, используемый DC1 (но не DC2), выполняет перекат в календарный год 2039 года. Это приводит к тому, что DC2 также использует системное время в CY2039. Это приводит к преждевременному удалению объектов, удаленных сегодня из контейнера удаленных объектов. Между тем, DC2 возникает изменения атрибутов на пользователях, компьютерах и группах, которые живут в DC2, но удалены и теперь преждевременно мусор собирается на DC1. DC1 регистрирует ошибку 8606 при следующем входящего копирования изменений для преждевременных удаленных объектов.

Причина 4. Объект повторно анимируется при истечении срока действия TSL

Домен CONTOSO.COM содержит два контроллера домена в одном домене. Время существования гробницы = 60 дней. Строгая репликация включена в обоих контроллерах домена. DC1 и DC2 реплицируются каждые 24 часа. DC1 ежедневно удаляется. Подразделение, содержащее пользователей, компьютеры и группы, случайно удаляется. Резервное копирование состояния системы, которое выполняется в cusp TSL в прошлом, восстановлено в DC2. Резервная копия содержит объекты, которые живут в DC2, но уже удалены и удалены сборкой мусора в DC1.

Причина 5. Пузырь USN активируется ведение журнала 8606

Предположим, что вы создаете объект в пузырьке USN таким образом, чтобы он не реплицировал исходящий трафик, так как целевой контроллер домена "думает", что он имеет объект из-за пузырька. Теперь после закрытия пузырька и после того, как изменения начнут реплицироваться снова, создается изменение для этого объекта на исходном контроллере домена и отображается в качестве задерживающегося объекта на целевом контроллере домена. Событие 8606 контроллера назначения регистрируется.

Требования к сквозной репликации знаний об исходном удалении

Контроллеры домена Active Directory поддерживают репликацию с несколькими узлами, где любой контроллер домена (который содержит записываемую секцию) может создавать, изменять или удалять объект или атрибут (значение). Знания об удалении объекта или атрибута сохраняются исходным контроллером домена и любым контроллером домена, который содержит реплицированные знания о исходном удалении для числа дней TSL. (См. статьи базы знаний Майкрософт 216996 и 910205)

Active Directory требует сквозной репликации от всех владельцев секций, чтобы транзитивно реплицировать все исходящие удаления для всех секций каталогов всем держателям секций. Сбой входящего репликации секции каталога в скользящем количестве дней TSL приводит к затяжке объектов. Задерживающийся объект — это объект, который намеренно удален по крайней мере одним контроллером домена, но неправильно существует на контроллерах домена назначения, которые не реплицировали временные знания обо всех уникальных удалениях.

Сбор данных

Если вам нужна помощь от службы поддержки Майкрософт, мы рекомендуем собрать информацию, выполнив действия, описанные в разделе "Сбор сведений" с помощью TSS для проблем с репликацией Active Directory.