Como detectar e remover objetos persistentes em uma floresta do Windows Server Active Directory

Este artigo fornece informações sobre objetos persistentes em uma floresta dos Serviços de Domínio Active Directory (AD DS). Especificamente, o artigo discute os eventos que indicam a presença de objetos persistentes, as causas de objetos persistentes e os métodos que você pode usar para remover objetos persistentes.

Número original do KB: 910205

Resumo

Objetos persistentes são objetos que reaparecem na floresta do AD DS depois de serem excluídos. Esse comportamento pode ocorrer se um controlador de domínio parar de replicar alterações de ou para outros controladores de domínio na floresta por um tempo e, em seguida, começar a replicar novamente. Esse comportamento ocorre devido à maneira como a floresta replica exclusões de objetos entre vários controladores de domínio.

Como as exclusões de objetos são replicadas por meio de uma floresta

Quando você exclui um objeto em uma floresta do AD DS, o AD DS gera um objeto de marca de exclusão para representar o objeto excluído. O objeto de marca de exclusão contém um pequeno subconjunto dos atributos do objeto excluído. Outros controladores de domínio no domínio e na floresta usam a replicação de entrada para receber o objeto de marca de exclusão e atualizar suas informações de floresta para levar em conta a exclusão. O objeto de marca de exclusão permanece na floresta por um período especificado conhecido como TSL (tempo de vida da marca de exclusão). No final do TSL, o AD DS exclui permanentemente o objeto de marca de exclusão. Todos os parceiros de replicação direta e transitiva do controlador de domínio de origem devem receber uma cópia do objeto de marca de exclusão dentro do TSL.

O valor padrão do TSL depende da versão do sistema operacional que está sendo executado no primeiro controlador de domínio instalado em uma floresta. Para todas as versões atualmente suportadas do Windows Server, o TSL padrão é de 180 dias.

Observação

O valor TSL existente não é alterado quando você atualiza um controlador de domínio para uma versão mais recente do Windows Server. O valor TSL existente persiste até que você o altere manualmente.

Como ocorrem os objetos persistentes

Objetos persistentes podem ocorrer se um controlador de domínio parar de replicar alterações de ou para a topologia de replicação restante por um tempo e, em seguida, começar a replicar novamente (por exemplo, se o servidor tiver que ser fisicamente desconectado e movido e, em seguida, reconectado). Quando um controlador de domínio não é replicado por um período maior que o TSL, o controlador de domínio pode não receber um ou mais objetos de marca de exclusão. Portanto, um ou mais objetos excluídos da floresta em todos os outros controladores de domínio podem persistir no controlador de domínio desconectado. Esses objetos são chamados de objetos persistentes.

Quando o controlador de domínio desconectado começa a replicar novamente, ele atua como um parceiro de replicação de origem que tem um objeto que seu parceiro de destino não tem. O controlador de domínio de destino responde executando uma das seguintes ações:

• Se a chave do Strict Replication Consistency Registro estiver habilitada no controlador de domínio de destino, esse controlador de domínio reconhecerá que não pode atualizar o objeto. O controlador de domínio de destino interrompe localmente a replicação de entrada da partição de diretório do controlador de domínio de origem.

• Se a Strict Replication Consistency chave do Registro estiver desabilitada no controlador de domínio de destino, esse controlador de domínio solicitará a réplica completa do objeto. Essa operação reintroduz o objeto na floresta. Do ponto de vista administrativo, um objeto que você excluiu reaparece.

Objetos persistentes nem sempre causam sintomas perceptíveis. Nas seguintes condições, os objetos persistentes podem permanecer não detectados:

• Um administrador, um aplicativo ou um serviço não atualiza o objeto persistente.
• Um administrador, um aplicativo ou um serviço não tenta criar um objeto que tenha o mesmo nome no domínio.
• Um administrador, um aplicativo ou um serviço não tenta criar um objeto usando o mesmo nome UPN na floresta.

Causas de desconexões longas

A maneira mais simples de evitar objetos persistentes é impedir que os controladores de domínio se desconectem da topologia de replicação por períodos maiores que o TSL. Se um controlador de domínio precisar ser desconectado por um longo período, esteja ciente do potencial de objetos persistentes.

As seguintes condições podem causar desconexões longas:

• Um administrador remove um controlador de domínio da rede e o coloca no armazenamento.

• Um administrador pré-configura um controlador de domínio e o envia para um local remoto. No entanto, o TSL expira antes que o controlador de domínio chegue ao local remoto.

• O controlador de domínio não pode se conectar a uma WAN (rede de longa distância) por longos períodos. Por exemplo, um controlador de domínio a bordo de um navio de cruzeiro pode não conseguir replicar por mais tempo do que o TSL se o navio estiver no mar.

Nas seguintes condições, objetos persistentes podem aparecer mesmo que o controlador de domínio tenha ficado offline por menos do que o TSL padrão:

• Um administrador encurta o TSL para forçar a coleta de lixo de objetos excluídos.

• O relógio do sistema no controlador de domínio de origem ou destino está avançado ou revertido incorretamente. As distorções de relógio são mais comuns após a reinicialização de um controlador de domínio e podem ocorrer pelos seguintes motivos:

  • A bateria do relógio do sistema ou a placa-mãe estão com problemas.

  • A fonte de tempo de um computador está configurada incorretamente. Essa fonte pode incluir um servidor de fonte de tempo configurado usando o serviço de tempo do Windows (W32Time), usando um servidor de horário de terceiros ou usando roteadores de rede.

  • Um administrador avança ou retrocede o relógio do sistema para estender a vida útil de um backup de estado do sistema ou para acelerar a coleta de lixo de objetos excluídos. Certifique-se de que o relógio do sistema reflita a hora real. Além disso, certifique-se de que os logs de eventos não contenham eventos inválidos do futuro ou do passado.

Indicações de que uma floresta tem objetos remanescentes

Mesmo quando não há efeito perceptível, a presença de objetos persistentes pode causar problemas. Esses problemas são mais prováveis de ocorrer se um objeto persistente for uma entidade de segurança.

Eventos que indicam que a floresta pode ter objetos persistentes

ID do evento	Descrição geral
1862 ou 1863	O controlador de domínio local não recebeu recentemente informações de replicação de vários controladores de domínio (entre sites).
1864	O controlador de domínio local não recebeu recentemente informações de replicação de vários controladores de domínio (resumo).
1,311	O KCC (Verificador de Consistência de Conhecimento) não foi capaz de criar uma topologia de árvore de abrangência.
20:42	Já faz muito tempo desde que este servidor foi replicado pela última vez com o servidor de origem nomeado.

Eventos que indicam que a floresta tem objetos persistentes

ID do evento	Descrição geral
1084	Esse objeto não existe no servidor.
1388	Esse sistema de destino recebeu uma atualização para um objeto que deveria estar presente localmente, mas não estava.
1,311	Outro controlador de domínio replicou um objeto não presente neste controlador de domínio.

Observação

• Objetos persistentes não existem em controladores de domínio que registram a ID de evento 1988. O controlador de domínio de origem contém o objeto persistente.
• Quando as atualizações de um objeto persistente são replicadas de um controlador de domínio para outro, o comportamento de log de eventos do controlador de domínio depende se a partição de diretório que contém o objeto persistente é gravável. Se o objeto persistente no controlador de domínio de destino residir em uma partição gravável, o controlador de domínio registrará um evento. Se o objeto persistente residir em uma partição somente leitura, o objeto não poderá ser atualizado e o controlador de domínio não registrará um evento.

Erros de repadmin que indicam que a floresta tem objetos persistentes

ID do evento	Descrição geral
8240	Esse objeto não existe no servidor.
8,606	Atributos insuficientes foram fornecidos para criar um objeto.

Outras indicações de que a floresta tem objetos persistentes

• A GAL (lista de endereços global) do Microsoft Exchange Server contém uma conta de usuário ou grupo que foi excluída. Nesse caso, o nome da conta aparece na GAL, mas ocorrem erros quando os usuários tentam enviar mensagens de email.

• Um objeto deve ser exclusivo na floresta, mas você vê várias cópias do objeto no seletor de objetos ou na GAL. Esses casos podem incluir objetos duplicados que mudaram de nome. Esses objetos duplicados confundem as pesquisas de diretório. Por exemplo, se uma pesquisa não puder resolver os nomes distintos *CNF:<GUID> relativos de dois objetos, a função de resolução de conflitos será anexada a um dos nomes. Neste exemplo, * representa um caractere reservado, CNF é uma constante que indica uma resolução de conflito e <GUID> representa o valor do atributo objectGUID .

• Um usuário tem uma conta atual, mas a conta foi renomeada. O usuário não recebe mensagens de email. Ambas as instâncias do objeto de usuário (a atual e uma versão mais antiga) aparecem na GAL. Como ambos os objetos têm o mesmo endereço de email, as mensagens de email não podem ser entregues.

• Um grupo universal que não existe mais continua a aparecer no token de acesso de um usuário. Portanto, o usuário pode ter acesso a um recurso que você pretendia que não estivesse disponível para esse usuário.

• Você não pode criar um novo objeto ou caixa de correio do Exchange. No entanto, você não vê o objeto na floresta. Uma mensagem de erro informa que o objeto já existe.

• As pesquisas que usam atributos de um objeto existente podem localizar incorretamente várias cópias de um objeto que usam o mesmo nome. Um objeto foi excluído do domínio, mas esse objeto permanece em um servidor de catálogo global que foi isolado.

Remover objetos remanescentes da floresta

Selecione um dos seguintes métodos para remover objetos persistentes.

Método 1: Use LOLv2

O método preferido para detectar e remover objetos persistentes é usando o Liquidador de Objetos Persistentes v2 (LoLv2). Para baixar a ferramenta, consulte Liquidador de Objetos Persistentes (LoL)

Para obter mais informações sobre como usar o LoLv2, consulte os seguintes artigos:

• Apresentando o Liquidador de Objetos Persistentes v2
• Descrição da ferramenta Liquidador de Objetos Persistentes

Método 2: Use a ferramenta Repadmin

Se você não pode usar LoLv2, você pode usar a ferramenta Repadmin (Repadmin.exe). Para obter mais informações, consulte Etapas para usar o Repadmin para remover objetos persistentes.

Evitar objetos persistentes

Para evitar objetos remanescentes em sua floresta, use um dos métodos a seguir.

Método 1: Habilitar a entrada do Registro de Consistência de Replicação Estrita

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para maior proteção, faça backup do Registro antes de modificar, para poder restaurar se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, consulte Como fazer backup e restaurar o Registro no Windows.

Você pode habilitar a entrada do Strict Replication Consistency Registro em cada controlador de domínio para que os objetos suspeitos sejam colocados em quarentena no controlador de domínio de origem. Em seguida, os administradores podem remover esses objetos antes que eles se espalhem pela floresta.

Se um objeto persistente gravável estiver localizado em seu ambiente e for feita uma tentativa de atualizar o objeto, o valor na entrada do Registro determinará se a Strict Replication Consistency replicação continuará ou será interrompida. A Strict Replication Consistency entrada do Registro está localizada na seguinte subchave do Registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

• Nome: Strict Replication Consistency
• Tipo de dados: REG_DWORD
• Valores:
  • 0 (desativado). O controlador de domínio de destino solicita o objeto completo do controlador de domínio de origem. O objeto persistente reaparece na floresta como um novo objeto.
  • 1 (ativado). O controlador de domínio de destino interrompe a replicação de entrada da partição de diretório relevante do controlador de domínio de origem.

O valor padrão depende Strict Replication Consistency da versão do Windows do primeiro controlador de domínio na floresta. Esse computador cria o domínio raiz da floresta de uma nova floresta.

• Se a floresta foi criada promovendo um servidor que está executando o Windows Server 2003 ou uma versão posterior, o valor padrão de 1 (habilitado) em qualquer controlador de Strict Replication Consistency domínio que você adicionar à floresta.

• Se a floresta foi criada promovendo um servidor que está executando o Windows 2000 Server, o valor padrão de é 0 (desabilitado) em qualquer controlador de Strict Replication Consistency domínio que você adicionar à floresta. Nesse caso, siga as etapas em Garantir que a consistência de replicação estrita esteja habilitada em controladores de domínio recém-promovidos.

Observação

O Strict Replication Consistency valor em um controlador de domínio não será alterado se você aumentar o nível funcional do domínio ou da floresta.

O método preferencial para habilitar Strict Replication Consistency é usando Repadmin. Para obter mais informações sobre como fazer isso, consulte os seguintes artigos:

• Etapas para usar o Repadmin para habilitar a consistência estrita da replicação

• ID do evento 1388 ou 1988: um objeto persistente é detectado.

Método 2: Verificar a replicação usando um comando de linha de comando

Para verificar a replicação usando o repadmin /showrepl comando, siga estas etapas:

1. Abra uma janela do Prompt de Comando (selecione Iniciar>Execução, digite cmd e selecione OK).

2. No prompt de comando, execute o seguinte comando:

   repadmin /showrepl * /csv >showrepl.csv
   

3. No Microsoft Excel, abra o arquivo Showrepl.csv .

4. Selecione a coluna A + RPC e a coluna SMTP e, em seguida, selecione Editar>Exclusão.

5. Selecione a linha que está imediatamente abaixo dos cabeçalhos das colunas e, em seguida, selecione Painel Congelar do Windows>.

6. Selecione a planilha inteira e, em seguida, selecione Filtro Automático de Filtro>de Dados.>

7. No título da coluna Último Êxito , selecione a seta para baixo e, em seguida, selecione Classificar Crescente.

8. No título da coluna src DC , selecione a seta para baixo e, em seguida, selecione Personalizado.

9. Na caixa de diálogo AutoFiltro personalizado , selecione não contém.

10. Na caixa à direita de não contém, digite del.

    Observação

    Esta etapa impede que controladores de domínio excluídos apareçam nos resultados.

11. No título da coluna Última Falha , selecione a seta para baixo e, em seguida, selecione Personalizado.

12. Na caixa de diálogo AutoFiltro personalizado , selecione não é igual.

13. Na caixa à direita de não é igual, digite 0.

14. Verifique se há falhas de replicação na planilha filtrada. Esses são os problemas que você precisa resolver.

Método 3: Remover controladores de domínio

Se você precisar remover e substituir um controlador de domínio ou se suspeitar que um controlador de domínio está falhando, verifique se o período em que o controlador de domínio está offline é menor que o TSL.

Método 4: Aumente o TSL

Você pode usar o Windows PowerShell ou o ADSI Edit para aumentar o TSL para 180 dias.

Para usar o PowerShell para aumentar o TSL, abra uma janela administrativa do PowerShell e execute os seguintes comandos em sequência:

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext” -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime=’180′}

O ADSI Edit está disponível no menu Ferramentas no Gerenciador do Servidor. Para alterar o TSL, siga estas etapas:

1. No ADSI Edit, conecte-se à partição de configuração da floresta. Para fazer isso, execute estas etapas:
   1. No painel esquerdo, clique com o botão direito do mouse em Editar ADSI e selecione Conectar.
   2. Em Configurações de Conexão, selecione Selecionar um Contexto de Nomenclatura conhecido e, em seguida, selecione Configuração.
   3. Clique em OK.
2. Na árvore de navegação, vá para CN=Configuração>CN=Serviços>CN=Windows NT>CN=Serviço de Diretório.
3. Clique com o botão direito do mouse em CN=Serviço de Diretório e selecione Propriedades.
4. Selecione a guia Atributo .
5. Na lista Selecionar quais propriedades exibir, selecione Opcional.
6. Na lista Selecionar uma propriedade para exibir, selecione TombstoneLifetime.
7. Na caixa Editar Atributo, digite 180, selecione Definir e, em seguida, selecione OK.

Coletando dados para o Suporte da Microsoft

Se você precisar de ajuda do Suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.