Condividi tramite

ID evento di replica di Active Directory 1388 o 1988: viene rilevato un oggetto persistente

  • Articolo

Questo articolo illustra come risolvere i problemi relativi all'ID evento di replica di Active Directory 1388 e 1988.

Si applica a: Windows Server (tutte le versioni supportate)
Numero KB originale: 4469619

Riepilogo

Se un controller di dominio di destinazione registra l'ID evento 1388 o l'ID evento 1988, è stato rilevato un oggetto persistente e una di due condizioni esiste nel controller di dominio di destinazione:

  • ID evento 1388: la replica in ingresso dell'oggetto persistente si è verificata nel controller di dominio di destinazione.
  • ID evento 1988: la replica in ingresso della partizione di directory dell'oggetto persistente è stata bloccata nel controller di dominio di destinazione.

ID evento 1388

Questo evento indica che un controller di dominio di destinazione che non dispone di coerenza di replica rigorosa abilitata ha ricevuto una richiesta di aggiornamento di un oggetto che non risiede nella copia locale del database di Active Directory. In risposta, il controller di dominio di destinazione ha richiesto l'oggetto completo dal partner di replica di origine. In questo modo, un oggetto persistente è stato replicato nel controller di dominio di destinazione. Pertanto, l'oggetto persistente è stato reintrodotto nella directory.

Importante

Quando si verifica l'ID evento 1388, non è possibile usare Lingering Object Liquidator v2 (LOLv2) o lo strumento Repadmin per rimuovere gli oggetti persistenti.

Per informazioni su come rimuovere gli oggetti persistenti in questo caso, vedere:

Le procedure e le informazioni contenute in questo articolo si applicano alla rimozione di oggetti persistenti dai server di catalogo globali e dai controller di dominio che non sono server di catalogo globali.

Il testo dell'evento identifica il controller di dominio di origine e l'oggetto obsoleto (persistente). Di seguito viene riportato un esempio di testo dell'evento:

Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
Data: 3/05/2008 3:34:01 PM
ID evento: 1388
Categoria attività: Replica
Livello: Errore
Parole chiave: Classico
Utente: ACCESSO ANONIMO
Computer: Descrizione: DC3.contoso.com un altro controller di dominio (DC) ha tentato di replicare in questo controller di dominio un oggetto che non è presente nel database locale di Dominio di Active Directory Services. L'oggetto può essere stato eliminato e già sottoposto a Garbage Collection (una durata di rimozione definitiva o più è passato dopo l'eliminazione dell'oggetto) in questo controller di dominio. Il set di attributi incluso nella richiesta di aggiornamento non è sufficiente per creare l'oggetto. L'oggetto verrà nuovamente richiesto con un set di attributi completo e ricreato in questo controller di dominio.

Controller di dominio di origine (indirizzo di rete specifico del trasporto):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Oggetto:
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID oggetto: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partizione di directory:
DC=contoso,DC=com
USN della proprietà più alta di destinazione: 20510
Azione utente:
Verificare il desiderio continuo dell'esistenza di questo oggetto. Per interrompere la ricreazione di oggetti simili futuri, è necessario creare la chiave del Registro di sistema seguente.

Chiave del Registro di sistema:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

ID evento 1988

Questo evento indica che un controller di dominio di destinazione con coerenza di replica rigorosa abilitata ha ricevuto una richiesta di aggiornamento di un oggetto che non esiste nella copia locale del database di Active Directory. In risposta, il controller di dominio di destinazione ha bloccato la replica della partizione di directory contenente tale oggetto da tale controller di dominio di origine. Il testo dell'evento identifica il controller di dominio di origine e l'oggetto obsoleto (persistente). Di seguito viene riportato un esempio di testo dell'evento:

Nome log: Servizio directory
Origine: Microsoft-Windows-ActiveDirectory_DomainService
Data: 7/02/2008 8:20:11 ID evento: 1988
Categoria attività: Replica
Livello: Errore
Parole chiave: Classico
Utente: ACCESSO ANONIMO
Computer: DC5.contoso.com
Descrizione:
Dominio di Active Directory Services Replication ha rilevato l'esistenza di oggetti nella partizione seguente che sono stati eliminati dal database dei controller di dominio locali (DCS) Dominio di Active Directory Services. Non tutti i partner di replica diretta o transitiva replicati nell'eliminazione prima che il numero di giorni trascorso per la durata della rimozione definitiva. Gli oggetti eliminati e sottoposti a Garbage Collection da una partizione di Dominio di Active Directory Services, ma esistono ancora nelle partizioni scrivibili di altri controller di dominio nello stesso dominio o partizioni di sola lettura di server di catalogo globali in altri domini della foresta sono noti come "oggetti persistenti".

Questo evento viene registrato perché il controller di dominio di origine contiene un oggetto persistente che non esiste nel database locale dei controller di dominio Dominio di Active Directory Services. Questo tentativo di replica è stato bloccato.

La soluzione migliore per questo problema consiste nell'identificare e rimuovere tutti gli oggetti persistenti nella foresta.

Controller di dominio di origine (indirizzo di rete specifico del trasporto):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Oggetto: CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID oggetto:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnosi

Un oggetto eliminato definitivamente da Servizi di dominio Active Directory( ovvero la rimozione definitiva è stata eseguita in tutti i controller di dominio connessi) rimane in un controller di dominio disconnesso. Il controller di dominio non è riuscito a ricevere la replica diretta o transitiva dell'eliminazione dell'oggetto perché è stato disconnesso (è offline o si verifica un errore di replica in ingresso) dalla topologia di replica per un periodo che ha superato una durata di rimozione definitiva. Il controller di dominio è ora riconnesso alla topologia e tale oggetto è stato aggiornato nel controller di dominio, causando una notifica di replica al partner di replica che un aggiornamento è pronto per la replica. Il partner di replica ha risposto in base all'impostazione di coerenza della replica. Questa notifica si applica al tentativo di replica di un oggetto scrivibile. Una copia dell'oggetto persistente scrivibile può esistere anche in un server di catalogo globale.

Risoluzione

Se viene rilevata la replica di un oggetto persistente, è possibile rimuovere l'oggetto da Servizi di dominio Active Directory, insieme a tutte le repliche di sola lettura dell'oggetto, usando LOLv2 identificando i controller di dominio che potrebbero archiviare questo oggetto (inclusi i server di catalogo globali) e rimuoverlo usando lo strumento LOLv2 o eseguendo un comando repadmin per rimuovere gli oggetti persistenti in questi server (repadmin /removelingeringobjects). Questo comando è disponibile nei controller di dominio che eseguono la versione supportata di Windows Server.

Per rimuovere gli oggetti persistenti, eseguire le operazioni seguenti:

  1. Usare il testo dell'evento per identificare quanto segue:
    1. Partizione di directory dell'oggetto
    2. Controller di dominio di origine che ha tentato la replica dell'oggetto persistente
  2. Usare Repadmin per identificare il GUID di un controller di dominio autorevole.
  3. Utilizzare LOLv2 o Repadminper rimuovere gli oggetti persistenti.
  4. Abilitare la coerenza rigorosa della replica, se necessario.
  5. Assicurarsi che la coerenza di replica rigorosa sia abilitata per i controller di dominio appena alzati di livello, se necessario.

Usare Repadmin per identificare il GUID di un controller di dominio autorevole:

Per eseguire la procedura che rimuove gli oggetti persistenti, è necessario identificare l'identificatore univoco globale (GUID) di un controller di dominio aggiornato con una replica scrivibile della partizione di directory che contiene l'oggetto persistente segnalato. La partizione di directory viene identificata nel messaggio dell'evento. Il GUID dell'oggetto di un controller di dominio viene archiviato nell'attributo objectGUID dell'oggetto IMPOSTAZIONI NTDS.

Requisiti:

  • L'appartenenza a Domain Admins nel dominio del controller di dominio il cui GUID da identificare è il requisito minimo necessario per completare questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.
  • Strumento: Repadmin.exe

Passaggi per identificare il GUID di un controller di dominio:

  1. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    repadmin /showrepl <ServerName>
    Parametro Descrizione
    /showrepl Visualizza lo stato della replica, incluso quando il controller di dominio specificato dall'ultimo tentativo di replica in ingresso di partizioni di Active Directory specificato da <ServerName> . Visualizza anche il GUID del controller di dominio specificato.
    <ServerName> Nome del controller di dominio di cui si desidera visualizzare il GUID.

  2. Nella prima sezione dell'output individuare la voce objectGuid . Selezionare e copiare il valore GUID in un file di testo in modo da poterlo usare altrove.

Usare LOLv2 o Repadmin per rimuovere gli oggetti persistenti:

Requisiti:

  • L'appartenenza a Domain Admins nel dominio del controller di dominio con oggetti persistenti o Enterprise Admins se la partizione di directory con oggetti persistenti è la configurazione o la partizione della directory dello schema, è il requisito minimo necessario per completare questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.

  • Sistema operativo: versione supportata di Windows Server.

  • Il metodo preferito per rimuovere gli oggetti persistenti consiste nell'usare LOLv2. In alcuni casi, in cui non è possibile usare LOLv2, è possibile usare Repadmin.exe

Altre informazioni su LOLv2:

Passaggi per usare Repadmin per rimuovere gli oggetti persistenti:

  1. Aprire un prompt dei comandi come amministratore: nel menu Start fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, specificare le credenziali Domain Admins o Enterprise Admins, se necessario, e quindi fare clic su Continua.

  2. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Parametro Descrizione
    /removelingeringobjects Rimuove gli oggetti persistenti dal controller di dominio specificato da <ServerName> per la partizione di directory specificata da <DirectoryPartition>.
    <ServerName> Nome del controller di dominio con oggetti persistenti, come identificato nel messaggio di evento (ID evento 1388 o ID evento 1988). È possibile usare il nome DNS (Domain Name System) o il nome distinto, ad esempio il nome distinto CN=DC5,OU=Controller di dominio,DC=contoso,DC=com o il nome DC5.contoso.comDNS .
    <ServerGUID> GUID di un controller di dominio con una replica scrivibile aggiornata della partizione di directory che contiene l'oggetto persistente.
    <DirectoryPartition> Nome distinto della partizione di directory identificata nel messaggio dell'evento, ad esempio:
    • Per la partizione della directory di dominio Sales nella contoso.com foresta: DC=sales,DC=contoso,DC=com
    • Per la partizione della directory di configurazione nella contoso.com foresta: CN=configuration,DC=contoso,DC=com
    • Per la partizione della directory dello schema nella contoso.com foresta: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Registra gli oggetti persistenti che verranno rimossi in modo che sia possibile esaminarli, ma non rimuoverli.

  3. Ripetere il passaggio 2 senza /advisory_mode eliminare gli oggetti persistenti identificati dalla partizione di directory.

  4. Ripetere i passaggi 2 e 3 per ogni controller di dominio che potrebbe avere oggetti persistenti.

Note

Il <parametro ServerName> usa la sintassi DC_LIST per repadmin, che consente l'uso di * per tutti i controller di dominio nella foresta e gc: per tutti i server di catalogo globali nella foresta. Per visualizzare la sintassi DC_LIST, digitare repadmin /listhelp. Per informazioni sulla sintassi dei /regkey parametri e /removelingeringobjects , digitare repadmin /experthelp.

Abilitare la coerenza rigorosa della replica:

Per garantire che gli oggetti persistenti non possano essere replicati se si verificano, abilitare una rigorosa coerenza di replica in tutti i controller di dominio. L'impostazione per la coerenza della replica viene archiviata nel Registro di sistema in ogni controller di dominio. Tuttavia, nei controller di dominio che eseguono la versione supportata di Windows Server, è possibile usare Repadmin per abilitare una rigorosa coerenza di replica in uno o tutti i controller di dominio.

Usare Repadmin per abilitare la coerenza rigorosa della replica:

Utilizzare questa procedura per rimuovere gli oggetti persistenti in un controller di dominio che esegue la versione supportata di Windows Server.

L'appartenenza a Domain Admins o equivalente è il requisito minimo necessario per completare questa procedura in un singolo controller di dominio. L'appartenenza a Enterprise Admins o equivalente è il requisito minimo necessario per completare questa procedura in tutti i controller di dominio nella foresta. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.

Procedura per usare Repadmin per abilitare la coerenza rigorosa della replica:

  1. Aprire un prompt dei comandi come amministratore: nel menu Start fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, specificare le credenziali Domain Admins o Enterprise Admins, se necessario, e quindi fare clic su Continua.

  2. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    repadmin /regkey <DC_LIST> +strict
    Parametro Descrizione
    /regkey Abilita (+) e disabilita (-) il valore per la voce del Registro di sistema Strict Replication Consistency in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> Nome di un singolo controller di dominio o * per applicare la modifica a tutti i controller di dominio nella foresta. Per il nome del controller di dominio, è possibile usare il nome DNS, il nome distinto dell'oggetto computer del controller di dominio o il nome distinto dell'oggetto server controller di dominio, ad esempio il nome distinto CN=DC5,OU=Controller di dominio,DC=contoso,DC=com o il nome DC5.contoso.comDNS .
    +strict Abilita la voce del Registro di sistema Strict Replication Consistency .

  3. Se non si usa * per applicare la modifica a tutti i controller di dominio, ripetere il passaggio 2 per ogni controller di dominio in cui si vuole abilitare la coerenza rigorosa della replica.

Note

Per altre opzioni di denominazione e informazioni sulla sintassi del <parametro DC_LIST> , al prompt dei comandi digitare repadmin /listhelp. Per informazioni sulla sintassi dei /regkey parametri e /removelingeringobjects , digitare repadmin /experthelp.

Usare Regedit per abilitare la coerenza rigorosa della replica:

In alternativa all'uso di Repadmin, è possibile abilitare la coerenza rigorosa della replica modificando direttamente il Registro di sistema. L'impostazione per la coerenza della replica viene archiviata nella voce Strict Replication Consistency in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

I valori per la voce del Registro di sistema Strict Replication Consistency sono i seguenti:

  • Valore: 1 (0 da disabilitare)

  • Impostazione predefinita: 1 (abilitato) in un nuovo Windows Server; in caso contrario, 0.

  • Tipo di dati: REG_DWORD

Requisiti:

  • L'appartenenza a Domain Admins, o equivalente è il requisito minimo necessario per completare questa procedura. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.
  • Strumento: Regedit.exe

Note

È consigliabile non modificare direttamente il Registro di sistema, a meno che non vi siano altre alternative. Modifiche al Registro di sistema non vengono convalidate dall'editor del Registro di sistema o da Windows prima di applicarle, e di conseguenza, possono essere archiviati i valori non corretti. Ciò può causare errori irreversibili nel sistema. Quando possibile, utilizzare criteri di gruppo o altri strumenti di Windows, ad esempio Microsoft Management Console (MMC) per eseguire attività, piuttosto che modificare direttamente il Registro di sistema. Se è necessario modificare il Registro di sistema, usare la massima cautela.

Passaggi per usare Regedit per abilitare la coerenza di replica rigorosa

  1. Aprire Regedit come amministratore: fare clic su Start e quindi, in Avvia ricerca digitare regedit. Nella parte superiore del menu Start fare clic con il pulsante destro del mouse su regedit.exe e quindi scegliere Esegui come amministratore. Nella finestra di dialogo Controllo account utente specificare le credenziali domain admins e quindi fare clic su OK.

  2. Passare alla voce Strict Replication Consistency in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Impostare il valore nella voce Strict Replication Consistency (Coerenza replica strict) su 1.

Assicurarsi che la coerenza di replica rigorosa sia abilitata per i controller di dominio appena alzati di livello

Se si sta aggiornando una foresta creata originariamente usando un computer che esegue Windows 2000 Server, è necessario assicurarsi che la foresta sia configurata per abilitare la coerenza di replica rigorosa nei controller di dominio appena promossi per evitare oggetti persistenti. Dopo aver aggiornato la foresta come descritto in (Aggiornamento di Dominio di Active Directory a Windows Server 2008 e Windows Server 2008 R2 DS Domains), tutti i nuovi controller di dominio aggiunti successivamente alla foresta vengono creati con coerenza di replica rigorosa disabilitata. Tuttavia, è possibile implementare una modifica della configurazione della foresta che causa l'abilitazione della coerenza di replica rigorosa dei nuovi controller di dominio. Per assicurarsi che i nuovi controller di dominio aggiunti alla foresta dispongano di una coerenza di replica rigorosa abilitata, è possibile usare lo strumento Ldifde.exe per creare un oggetto nella partizione della directory di configurazione della foresta. Questo oggetto è responsabile dell'abilitazione di una rigorosa coerenza di replica in qualsiasi nuovo controller di dominio alzato di livello nella foresta.

L'oggetto creato è un GUID operativo con il nome seguente:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

È possibile utilizzare la procedura seguente in qualsiasi controller di dominio nella foresta per aggiungere questo oggetto alla partizione della directory di configurazione.

Per completare questa procedura, è necessaria almeno l'appartenenza al gruppo Enterprise Admins, o equivalente. Informazioni dettagliate sull'utilizzo degli account appropriati e appartenenze dominio gruppi predefiniti locali e.

Passaggi per creare l'oggetto che garantisce una rigorosa coerenza di replica nei nuovi controller di dominio

  1. In un editor di testo, ad esempio Blocco note, creare il file di testo seguente:

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: contenitore
    showInAdvancedViewOnly: TRUE
    name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Dove <ForestRootDomain> contiene tutti i componenti di dominio (DC=) del dominio radice della foresta, ad esempio per la contoso.com foresta, DC=contoso,DC=com; per la fineartschool.net foresta, DC=fineartschool,DC=net.

  3. Aprire un prompt dei comandi come amministratore: nel menu Start fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore. Se viene visualizzata la finestra di dialogo Controllo account utente, specificare le credenziali enterprise Admins, se necessario, e quindi fare clic su Continua.

  4. Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:

    ldifde -i -f <Path>\<FileName>
    Parametro Descrizione
    -i Specifica la modalità di importazione. Se la modalità di importazione non è specificata, la modalità predefinita viene esportata.
    -f Identifica il nome del file di importazione o esportazione.
    <Path>\<FileName> Percorso e nome del file di importazione creato nel passaggio 1, ad esempio C:\ldifde.txt.

    Per informazioni sull'uso di Ldifde, vedere LDIFDE.

Raccolta dei dati

Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di replica di Active Directory.