ID d’événement de réplication Active Directory 1388 ou 1988 : un objet persistant est détecté

Cet article vous aide à résoudre les problèmes liés à l’ID d’événement de réplication Active Directory 1388 et 1988.

S’applique à : Windows Server (toutes les versions prises en charge)
Numéro de base de connaissances d’origine : 4469619

Résumé

Si un contrôleur de domaine de destination enregistre l’ID d’événement 1388 ou l’ID d’événement 1988, un objet persistant a été détecté et l’une des deux conditions existe sur le contrôleur de domaine de destination :

• ID d’événement 1388 : La réplication entrante de l’objet persistant s’est produite sur le contrôleur de domaine de destination.
• ID d’événement 1988 : La réplication entrante de la partition d’annuaire de l’objet persistant a été bloquée sur le contrôleur de domaine de destination.

ID d’événement 1388

Cet événement indique qu’un contrôleur de domaine de destination qui n’a pas de cohérence de réplication stricte activée a reçu une demande de mise à jour d’un objet qui ne réside pas dans la copie locale de la base de données Active Directory. En réponse, le contrôleur de domaine de destination a demandé l’objet complet du partenaire de réplication source. De cette façon, un objet persistant a été répliqué vers le contrôleur de domaine de destination. Par conséquent, l’objet persistant a été réintroduite dans le répertoire.

Important

Lorsque l’ID d’événement 1388 se produit, vous ne pouvez pas utiliser Lingering Object Liquidator v2 (LOLv2) ou l’outil Repadmin pour supprimer les objets persistants.

Pour plus d’informations sur la suppression d’objets persistants dans ce cas, consultez :

• Les objets persistants peuvent rester après avoir ramené un serveur de catalogue global obsolète en ligne.
• Lingering Object Liquidator (LoL)
• Présentation de Lingering Object Liquidator v2
• Description de l’outil Lingering Object Liquidator

Les procédures et les informations contenues dans cet article s’appliquent à la suppression d’objets persistants à partir de serveurs de catalogue globaux, ainsi qu’à partir de contrôleurs de domaine qui ne sont pas des serveurs de catalogue globaux.

Le texte de l’événement identifie le contrôleur de domaine source et l’objet obsolète (persistant). Voici un exemple du texte de l'événement :

Nom du journal : service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : 3/5/2008 3:34:01 PM
ID d’événement : 1388
Catégorie de tâche : Réplication
Niveau : Erreur
Mots clés : Classique
Utilisateur : LOGON ANONYME
Ordinateur : Description : DC3.contoso.com un autre contrôleur de domaine (DC) a tenté de répliquer dans ce contrôleur de domaine un objet qui n’est pas présent dans la base de données services de domaine Active Directory locale. L’objet a peut-être été supprimé et déjà récupéré par la mémoire (une durée de vie tombstone ou plus est passée depuis la suppression de l’objet) sur ce contrôleur de domaine. L’ensemble d’attributs inclus dans la demande de mise à jour n’est pas suffisant pour créer l’objet. L’objet sera réinscrit avec un jeu d’attributs complet et recréé sur ce contrôleur de domaine.

Contrôleur de domaine source (adresse réseau spécifique au transport) :
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objet :
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de l’objet : a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partition de répertoire :
DC=contoso,DC=com
UsN de propriété la plus élevée de destination : 20510
Action de l'utilisateur :
Vérifiez le désir continu de l’existence de cet objet. Pour interrompre la recréation d’objets similaires futurs, la clé de Registre suivante doit être créée.

Clé de Registre :
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

ID d’événement 1988

Cet événement indique qu’un contrôleur de domaine de destination disposant d’une cohérence de réplication stricte activée a reçu une demande de mise à jour d’un objet qui n’existe pas dans sa copie locale de la base de données Active Directory. En réponse, le contrôleur de domaine de destination a bloqué la réplication de la partition d’annuaire contenant cet objet à partir de ce contrôleur de domaine source. Le texte de l’événement identifie le contrôleur de domaine source et l’objet obsolète (persistant). Voici un exemple du texte de l'événement :

Nom du journal : service d’annuaire
Source : Microsoft-Windows-ActiveDirectory_DomainService
Date : 2/7/2008 8:20:11 ID d’événement : 1988
Catégorie de tâche : Réplication
Niveau : Erreur
Mots clés : Classique
Utilisateur : LOGON ANONYME
Ordinateur : DC5.contoso.com
Description :
services de domaine Active Directory Réplication a rencontré l’existence d’objets dans la partition suivante qui ont été supprimés des contrôleurs de domaine locaux (DCS) services de domaine Active Directory base de données. Tous les partenaires de réplication directe ou transitive ne sont pas répliqués dans la suppression avant le nombre de jours de durée de vie tombstone écoulé. Les objets qui ont été supprimés et récupérés à partir d’une partition services de domaine Active Directory, mais qui existent toujours dans les partitions accessibles en écriture d’autres contrôleurs de domaine du même domaine, ou les partitions en lecture seule de serveurs de catalogue globaux dans d’autres domaines de la forêt sont appelés « objets persistants ».

Cet événement est enregistré, car le contrôleur de domaine source contient un objet persistant qui n’existe pas sur les contrôleurs de domaine locaux services de domaine Active Directory base de données. Cette tentative de réplication a été bloquée.

La meilleure solution à ce problème est d’identifier et de supprimer tous les objets persistants dans la forêt.

Contrôleur de domaine source (adresse réseau spécifique au transport) :
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objet : CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de l'objet :
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnostic

Un objet qui a été définitivement supprimé d’AD DS (autrement dit, sa pierre tombstone a été collectée par le garbage-collect sur tous les contrôleurs de domaine connectés) reste sur un contrôleur de domaine déconnecté. Le contrôleur de domaine n’a pas pu recevoir la réplication directe ou transitive de la suppression de l’objet, car il a été déconnecté (il est hors connexion ou rencontre un échec de réplication entrante) de la topologie de réplication pendant une période qui a dépassé une durée de vie tombstone. Le contrôleur de domaine est maintenant reconnecté à la topologie et cet objet a été mis à jour sur le contrôleur de domaine, ce qui provoque une notification de réplication au partenaire de réplication qu’une mise à jour est prête pour la réplication. Le partenaire de réplication a répondu en fonction de son paramètre de cohérence de réplication. Cette notification s’applique à la tentative de réplication d’un objet accessible en écriture. Une copie de l’objet persistant accessible en écriture peut également exister sur un serveur de catalogue global.

Résolution

Si la réplication d’un objet persistant est détectée, vous pouvez supprimer l’objet d’AD DS, ainsi que les réplicas en lecture seule de l’objet, à l’aide de LOLv2 en identifiant les contrôleurs de domaine susceptibles de stocker cet objet (y compris les serveurs de catalogue globaux) et le supprimer à l’aide de l’outil LOLv2 ou en exécutant une commande repadmin pour supprimer des objets persistants sur ces serveurs (repadmin /removelingeringobjects). Cette commande est disponible sur les contrôleurs de domaine exécutant la version prise en charge de Windows Server.

Pour supprimer des objets persistants, procédez comme suit :

1. Utilisez le texte de l’événement pour identifier les éléments suivants :
   1. Partition de répertoire de l’objet
   2. Contrôleur de domaine source qui a tenté la réplication de l’objet persistant
2. Utilisez Repadmin pour identifier le GUID d’un contrôleur de domaine faisant autorité.
3. Utilisez LOLv2 ou Repadminpour supprimer des objets persistants.
4. Activez la cohérence de réplication stricte, si nécessaire.
5. Vérifiez que la cohérence de réplication stricte est activée pour les contrôleurs de domaine nouvellement promus, si nécessaire.

Utilisez Repadmin pour identifier le GUID d’un contrôleur de domaine faisant autorité :

Pour effectuer la procédure qui supprime les objets persistants, vous devez identifier l’identificateur global unique (GUID) d’un contrôleur de domaine à jour qui a un réplica accessible en écriture de la partition de répertoire qui contient l’objet persistant qui a été signalé. La partition de répertoire est identifiée dans le message d’événement. Le GUID d’objet d’un contrôleur de domaine est stocké dans l’attribut objectGUID de l’objet Paramètres NTDS.

Conditions requises :

• L’appartenance aux administrateurs de domaine dans le domaine du contrôleur de domaine dont le GUID que vous souhaitez identifier est le minimum nécessaire pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
• Outil : Repadmin.exe

Étapes pour identifier le GUID d’un contrôleur de domaine :

1. Au niveau d'une invite de commande, tapez la commande ci-après, puis appuyez sur la touche ENTRÉE :

   repadmin /showrepl <ServerName>
   

   Paramètre	Description
   /showrepl	Affiche l’état de réplication, notamment lorsque le contrôleur de domaine spécifié par <serverName> a tenté la dernière tentative de réplication entrante des partitions Active Directory. Affiche également le GUID du contrôleur de domaine spécifié.
   <ServerName>	Nom du contrôleur de domaine dont vous souhaitez afficher le GUID.

2. Dans la première section de la sortie, recherchez l’entrée objectGuid . Sélectionnez et copiez la valeur GUID dans un fichier texte pour pouvoir l’utiliser ailleurs.

Utilisez LOLv2 ou Repadmin pour supprimer des objets persistants :

Conditions requises :

• L’appartenance aux administrateurs de domaine dans le domaine du contrôleur de domaine qui a des objets persistants ou des administrateurs d’entreprise si la partition d’annuaire qui comporte des objets persistants est la partition de répertoire de configuration ou de répertoire de schéma, est le minimum nécessaire pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

• Système d’exploitation : version prise en charge de Windows Server.

• La méthode préférée pour supprimer des objets persistants utilise LOLv2. Dans certains cas, où LOLv2 ne peut pas être utilisé, vous pouvez utiliser Repadmin.exe

Plus d’informations sur LOLv2 :

• Lingering Object Liquidator (LoL)
• Présentation de Lingering Object Liquidator v2
• Description de l’outil Lingering Object Liquidator

Étapes d’utilisation de Repadmin pour supprimer les objets persistants :

1. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, fournissez des informations d’identification d’administrateur de domaine ou d’administrateur d’entreprise, si nécessaire, puis cliquez sur Continuer.

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

   repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
   

   Paramètre	Description
   /removelingeringobjects	Supprime les objets persistants du contrôleur de domaine spécifié par <ServerName> pour la partition d’annuaire spécifiée par <DirectoryPartition>.
   <ServerName>	Nom du contrôleur de domaine qui a des objets persistants, tel qu’identifié dans le message d’événement (ID d’événement 1388 ou ID d’événement 1988). Vous pouvez utiliser le nom DNS (Domain Name System) ou le nom unique, par exemple, le nom unique CN=DC5,OU=Domain Controllers,DC=contoso,DC=com ou le nom DC5.contoso.comDNS.
   <ServerGUID>	GUID d’un contrôleur de domaine qui a un réplica accessible en écriture à jour de la partition de répertoire qui contient l’objet persistant.
   <DirectoryPartition>	Nom unique de la partition de répertoire identifiée dans le message d’événement, par exemple : Pour la partition du répertoire de domaine Sales dans la contoso.com forêt : DC=sales,DC=contoso,DC=com Pour la partition du répertoire de configuration dans la contoso.com forêt : CN=configuration,DC=contoso,DC=com Pour la partition du répertoire de schéma dans la contoso.com forêt : CN=schema,CN=configuration,DC=contoso,DC=com
   /advisory_mode	Enregistre les objets persistants qui seront supprimés afin que vous puissiez les examiner, mais ne les supprime pas.

3. Répétez l’étape 2 sans /advisory_mode supprimer les objets persistants identifiés de la partition de répertoire.

4. Répétez les étapes 2 et 3 pour chaque contrôleur de domaine susceptible d’avoir des objets persistants.

Note

Le <paramètre ServerName> utilise la syntaxe DC_LIST pour repadmin, qui permet l’utilisation de * pour tous les contrôleurs de domaine de la forêt et gc : pour tous les serveurs de catalogue globaux de la forêt. Pour afficher la syntaxe DC_LIST, tapez repadmin /listhelp. Pour plus d’informations sur la syntaxe des paramètres et /removelingeringobjects des /regkey paramètres, tapez repadmin /experthelp.

Activez la cohérence de réplication stricte :

Pour vous assurer que les objets persistants ne peuvent pas être répliqués s’ils se produisent, activez une cohérence de réplication stricte sur tous les contrôleurs de domaine. Le paramètre de cohérence de réplication est stocké dans le Registre sur chaque contrôleur de domaine. Toutefois, sur les contrôleurs de domaine exécutant la version prise en charge de Windows Server, vous pouvez utiliser Repadmin pour activer une cohérence de réplication stricte sur un ou tous les contrôleurs de domaine.

Utilisez Repadmin pour activer une cohérence de réplication stricte :

Utilisez cette procédure pour supprimer des objets persistants sur un contrôleur de domaine exécutant la version prise en charge de Windows Server.

L’appartenance aux administrateurs de domaine ou équivalent est la condition minimale requise pour effectuer cette procédure sur un seul contrôleur de domaine. L’appartenance aux administrateurs d’entreprise ou équivalente est la condition minimale requise pour effectuer cette procédure sur tous les contrôleurs de domaine de la forêt. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

Étapes d’utilisation de Repadmin pour activer une cohérence de réplication stricte :

1. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, fournissez des informations d’identification d’administrateur de domaine ou d’administrateur d’entreprise, si nécessaire, puis cliquez sur Continuer.

2. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

   repadmin /regkey <DC_LIST> +strict
   

   Paramètre	Description
   /regkey	Active (+) et désactive (-) la valeur de l’entrée de Registre Cohérence de réplication stricte dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
   <DC_LIST>	Nom d’un seul contrôleur de domaine ou * pour appliquer la modification à tous les contrôleurs de domaine de la forêt. Pour le nom du contrôleur de domaine, vous pouvez utiliser le nom DNS, le nom unique de l’objet ordinateur du contrôleur de domaine ou le nom unique de l’objet serveur du contrôleur de domaine, par exemple, le nom unique CN=DC5,OU=Domain Controllers,DC=contoso,DC=com ou le nom DC5.contoso.comDNS.
   +strict	Active l’entrée de Registre De cohérence de réplication stricte.

3. Si vous n’utilisez pas * pour appliquer la modification à tous les contrôleurs de domaine, répétez l’étape 2 pour chaque contrôleur de domaine sur lequel vous souhaitez activer une cohérence de réplication stricte.

Note

Pour plus d’options de nommage et d’informations sur la <syntaxe du paramètre DC_LIST> , à l’invite de commandes, tapez repadmin /listhelp. Pour plus d’informations sur la syntaxe des paramètres et /removelingeringobjects des /regkey paramètres, tapez repadmin /experthelp.

Utilisez Regedit pour activer une cohérence de réplication stricte :

En guise d’alternative à l’utilisation de Repadmin, vous pouvez activer une cohérence de réplication stricte en modifiant directement le Registre. Le paramètre de cohérence de réplication est stocké dans l’entrée De cohérence de réplication stricte dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Les valeurs de l’entrée de Registre De cohérence de réplication stricte sont les suivantes :

• Valeur : 1 (0 à désactiver)

• Valeur par défaut : 1 (activé) dans un nouveau serveur Windows ; sinon 0.

• Type de données : REG_DWORD

Conditions requises :

• L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.
• Outil : Regedit.exe

Note

Nous vous recommandons de ne pas modifier directement le Registre, sauf s’il n’y a pas d’autre solution. Les modifications apportées au Registre ne sont pas validées par l’Éditeur du Registre ni par Windows avant d’être appliquées ; des valeurs incorrectes peuvent donc être stockées. Cela peut entraîner des erreurs irrécupérables dans le système. Si possible, utilisez la stratégie de groupe ou d’autres outils Windows tels que la console MMC (Microsoft Management) pour exécuter des opérations, au lieu de modifier le Registre directement. Si vous devez modifier le Registre, soyez très vigilant.

Étapes d’utilisation de Regedit pour activer une cohérence de réplication stricte

1. Ouvrez Regedit en tant qu’administrateur : cliquez sur Démarrer , puis, dans La recherche démarrer, tapez regedit. En haut du menu Démarrer , cliquez avec le bouton droit sur regedit.exe, puis cliquez sur Exécuter en tant qu’administrateur. Dans la boîte de dialogue Contrôle de compte d’utilisateur, fournissez les informations d’identification des administrateurs de domaine, puis cliquez sur OK.

2. Accédez à l’entrée Cohérence de réplication stricte dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

3. Définissez la valeur dans l’entrée De cohérence de réplication stricte sur 1.

Vérifier que la cohérence de réplication stricte est activée pour les contrôleurs de domaine nouvellement promus

Si vous mettez à niveau une forêt créée à l’origine à l’aide d’un ordinateur exécutant Windows 2000 Server, vous devez vous assurer que la forêt est configurée pour activer une cohérence de réplication stricte sur les contrôleurs de domaine nouvellement promus afin d’éviter les objets persistants. Après avoir mis à jour la forêt comme décrit dans (Mise à niveau des domaine Active Directory s vers Windows Server 2008 et Windows Server 2008 R2 DOMAINES AD DS), tous les nouveaux contrôleurs de domaine que vous ajoutez ensuite à la forêt sont créés avec une cohérence de réplication stricte désactivée. Toutefois, vous pouvez implémenter une modification de configuration de forêt qui entraîne l’activation de la cohérence de réplication stricte des nouveaux contrôleurs de domaine. Pour vous assurer que les nouveaux contrôleurs de domaine que vous ajoutez à la forêt ont une cohérence de réplication stricte activée, vous pouvez utiliser l’outil Ldifde.exe pour créer un objet dans la partition du répertoire de configuration de la forêt. Cet objet est chargé d’activer une cohérence de réplication stricte sur tout nouveau contrôleur de domaine promu dans la forêt.

L’objet que vous créez est un GUID opérationnel portant le nom suivant :

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Vous pouvez utiliser la procédure suivante sur n’importe quel contrôleur de domaine de la forêt pour ajouter cet objet à la partition du répertoire de configuration.

L'appartenance au groupe Administrateurs de l'entreprise, ou équivalent, est la condition minimale requise pour effectuer cette procédure. Examinez les informations relatives à l’utilisation des comptes et des appartenances de groupe appropriés dans la page consacrée aux Groupes de domaine et locaux par défaut.

Étapes de création de l’objet qui garantit une cohérence de réplication stricte sur les nouveaux contrôleurs de domaine

1. Dans un éditeur de texte, tel que le Bloc-notes, créez le fichier texte suivant :

   Dn:
   CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
   changetype : ajouter
   objectClass : conteneur
   showInAdvancedViewOnly : TRUE
   name : 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
   objectCategory : CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

2. Où <ForestRootDomain> contient tous les composants de domaine (DC=) du domaine racine de forêt, par exemple, pour la contoso.com forêt, DC=contoso,DC=com ; pour la fineartschool.net forêt, DC=fineartschool,DC=net.

3. Ouvrez une invite de commandes en tant qu’administrateur : dans le menu Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur. Si la boîte de dialogue Contrôle de compte d’utilisateur s’affiche, indiquez les informations d’identification des administrateurs d’entreprise, si nécessaire, puis cliquez sur Continuer.

4. À l'invite de commandes, tapez la commande suivante et appuyez sur Entrée :

   ldifde -i -f <Path>\<FileName>
   

   Paramètre	Description
   -i	Spécifie le mode d’importation. Si le mode d’importation n’est pas spécifié, le mode par défaut est exporté.
   -f	Identifie le nom du fichier d’importation ou d’exportation.
   <Chemin d’accès>\<FileName>	Chemin d’accès et nom du fichier d’importation que vous avez créé à l’étape 1, par exemple, C :\ldifde.txt.

   Pour plus d’informations sur l’utilisation de Ldifde, consultez LDIFDE.

Collecte de données

Si vous avez besoin d’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes de réplication Active Directory.