Compartilhar via

ID de evento de replicação do Active Directory 1388 ou 1988: um objeto persistente é detectado

  • Artigo

Este artigo ajuda você a solucionar problemas de ID de evento de replicação do Active Directory 1388 e 1988.

Aplica-se a: Windows Server (todas as versões com suporte)
Número original do KB: 4469619

Resumo

Se um controlador de domínio de destino registrar a ID de Evento 1388 ou a ID de Evento 1988, um objeto persistente foi detectado e uma das duas condições existe no controlador de domínio de destino:

  • ID do Evento 1388: a replicação de entrada do objeto persistente ocorreu no controlador de domínio de destino.
  • ID do evento 1988: a replicação de entrada da partição de diretório do objeto persistente foi bloqueada no controlador de domínio de destino.

ID do evento 1388

Esse evento indica que um controlador de domínio de destino que não tem consistência de replicação estrita habilitada recebeu uma solicitação para atualizar um objeto que não reside na cópia local do banco de dados do Active Directory. Em resposta, o controlador de domínio de destino solicitou o objeto completo do parceiro de replicação de origem. Dessa forma, um objeto persistente foi replicado para o controlador de domínio de destino. Portanto, o objeto persistente foi reintroduzido no diretório.

Importante

Quando ocorre a ID do Evento 1388, você não pode usar o Liquidador de Objetos Persistentes v2 (LOLv2) ou a ferramenta Repadmin para remover objetos persistentes.

Para obter informações sobre como remover objetos persistentes nesse caso, consulte:

Os procedimentos e as informações neste artigo se aplicam à remoção de objetos persistentes de servidores de catálogo global, bem como de controladores de domínio que não são servidores de catálogo global.

O texto do evento identifica o controlador de domínio de origem e o objeto desatualizado (persistente). Segue um exemplo do texto do evento:

Nome do Log: Serviço de Diretório
Fonte: Microsoft-Windows-ActiveDirectory_DomainService
Data: 03/05/2008 15:34:01
ID do evento: 1388
Categoria da tarefa: Replicação
Nível: Erro
Palavras-Chave: Clássico
Usuário: LOGON ANÔNIMO
Computador: DC3.contoso.com Descrição: outro controlador de domínio (DC) tentou replicar para esse DC um objeto que não está presente no banco de dados local dos Serviços de Domínio Active Directory. O objeto pode ter sido excluído e já coletado lixo (um tempo de vida da marca de exclusão ou mais se passou desde que o objeto foi excluído) neste DC. O conjunto de atributos incluído na solicitação de atualização não é suficiente para criar o objeto. O objeto será solicitado novamente com um conjunto completo de atributos e recriado neste DC.

DC de origem (endereço de rede específico de transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto:
CN=InternalApps,CN=Usuários,DC=contoso,DC=com
GUID do objeto: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partição de diretório:
DC=contoso,DC=com
USN da propriedade mais alta do destino: 20510
Ação do usuário:
Verifique o desejo contínuo pela existência desse objeto. Para interromper a recriação de objetos semelhantes futuros, a seguinte chave do Registro deve ser criada.

Chave do Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

ID do evento: 1988

Esse evento indica que um controlador de domínio de destino que tem consistência de replicação estrita habilitada recebeu uma solicitação para atualizar um objeto que não existe em sua cópia local do banco de dados do Active Directory. Em resposta, o controlador de domínio de destino bloqueou a replicação da partição de diretório que contém esse objeto desse controlador de domínio de origem. O texto do evento identifica o controlador de domínio de origem e o objeto desatualizado (persistente). Segue um exemplo do texto do evento:

Nome do Log: Serviço de Diretório
Fonte: Microsoft-Windows-ActiveDirectory_DomainService
Data: 2008/02/07 08:20:11 ID do evento: 1988
Categoria da tarefa: Replicação
Nível: Erro
Palavras-Chave: Clássico
Usuário: LOGON ANÔNIMO
Computador: DC5.contoso.com
Descrição:
A Replicação dos Serviços de Domínio Active Directory encontrou a existência de objetos na partição a seguir que foram excluídos do banco de dados dos Serviços de Domínio Active Directory dos controladores de domínio (DCs) locais. Nem todos os parceiros de replicação direta ou transitiva foram replicados na exclusão antes que o número de dias de tempo de vida da marca de exclusão passasse. Objetos que foram excluídos e coletados como lixo de uma partição dos Serviços de Domínio Active Directory, mas ainda existem nas partições graváveis de outros DCs no mesmo domínio, ou partições somente leitura de servidores de catálogo global em outros domínios na floresta, são conhecidos como "objetos persistentes".

Esse evento está sendo registrado porque o DC de origem contém um objeto persistente que não existe no banco de dados local dos Serviços de Domínio Active Directory dos DCs. Essa tentativa de replicação foi bloqueada.

A melhor solução para esse problema é identificar e remover todos os objetos remanescentes na floresta.

DC de origem (endereço de rede específico de transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto: CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de objeto:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnóstico

Um objeto que foi excluído permanentemente do AD DS (ou seja, sua marca de exclusão foi coletada como lixo em todos os controladores de domínio conectados) permanece em um controlador de domínio desconectado. O controlador de domínio falhou ao receber a replicação direta ou transitiva da exclusão do objeto porque ele foi desconectado (está offline ou enfrentando uma falha de replicação de entrada) da topologia de replicação por um período que excedeu o tempo de vida de uma marca de exclusão. O controlador de domínio agora está reconectado à topologia e esse objeto foi atualizado no controlador de domínio, causando uma notificação de replicação para o parceiro de replicação de que uma atualização está pronta para replicação. O parceiro de replicação respondeu de acordo com sua configuração de consistência de replicação. Essa notificação se aplica à tentativa de replicação de um objeto gravável. Uma cópia do objeto persistente gravável também pode existir em um servidor de catálogo global.

Resolução

Se a replicação de um objeto persistente for detectada, você poderá remover o objeto do AD DS, juntamente com quaisquer réplicas somente leitura do objeto, usando o LOLv2 identificando os controladores de domínio que podem armazenar esse objeto (incluindo servidores de catálogo global) e removê-lo usando a ferramenta LOLv2 ou executando um comando repadmin para remover objetos persistentes nesses servidores (repadmin /removelingeringobjects). Esse comando está disponível em controladores de domínio que executam a versão com suporte do Windows Server.

Para remover objetos persistentes, faça o seguinte:

  1. Use o texto do evento para identificar o seguinte:
    1. A partição de diretório do objeto
    2. O controlador de domínio de origem que tentou replicar o objeto persistente
  2. Use Repadmin para identificar o GUID de um controlador de domínio autoritativo.
  3. Use LOLv2 ou Repadminpara remover objetos persistentes.
  4. Habilite a consistência estrita da replicação, se necessário.
  5. Verifique se a consistência estrita da replicação está habilitada para controladores de domínio recém-promovidos, se necessário.

Use Repadmin para identificar o GUID de um controlador de domínio autoritativo:

Para executar o procedimento que remove objetos persistentes, você deve identificar o GUID (identificador global exclusivo) de um controlador de domínio atualizado que tenha uma réplica gravável da partição de diretório que contém o objeto persistente que foi relatado. A partição de diretório é identificada na mensagem de evento. O GUID do objeto de um controlador de domínio é armazenado no atributo objectGUID do objeto Configurações NTDS.

Requisitos:

  • A associação em Administradores de Domínio no domínio do controlador de domínio cujo GUID você deseja identificar é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão de domínio e locais.
  • Ferramenta: Repadmin.exe

Etapas para identificar o GUID de um controlador de domínio:

  1. Em um prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /showrepl <ServerName>
    Parâmetro Descrição
    /showrepl Exibe o status da replicação, incluindo quando o controlador de domínio especificado por <ServerName> tentou pela última vez a replicação de entrada de partições do Active Directory. Também exibe o GUID do controlador de domínio especificado.
    <ServerName> O nome do controlador de domínio cujo GUID você deseja exibir.

  2. Na primeira seção da saída, localize a entrada objectGuid . Selecione e copie o valor GUID em um arquivo de texto para que você possa usá-lo em outro lugar.

Use LOLv2 ou Repadmin para remover objetos persistentes:

Requisitos:

  • A associação em Administradores de Domínio no domínio do controlador de domínio que tem objetos persistentes, ou Administradores Corporativos se a partição de diretório que tem objetos persistentes for a partição de diretório de configuração ou esquema, é o mínimo necessário para concluir este procedimento. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão de domínio e locais.

  • Sistema operacional: versão com suporte do Windows Server.

  • O método preferido para remover objetos persistentes é usar LOLv2. Em alguns casos, em que o LOLv2 não pode ser usado, você pode usar Repadmin.exe

Mais informações sobre o LOLv2:

Etapas para usar o Repadmin para remover objetos persistentes:

  1. Abra um Prompt de Comando como administrador: no menu Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário for exibida, forneça as credenciais de Administradores de Domínio ou Administradores Corporativos, se necessário, e clique em Continuar.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Parâmetro Descrição
    /removelingeringobjects Remove objetos persistentes do controlador de domínio especificado por <ServerName> para a partição de diretório especificada por <DirectoryPartition>.
    <ServerName> O nome do controlador de domínio que tem objetos persistentes, conforme identificado na mensagem de evento (ID do Evento 1388 ou ID do Evento 1988). Você pode usar o nome DNS (Sistema de Nomes de Domínio) ou o nome distinto, por exemplo, o nome distinto CN=DC5,OU=Controladores de Domínio,DC=contoso,DC=com ou o nome DC5.contoso.comDNS.
    <ServerGUID> O GUID de um controlador de domínio que tem uma réplica gravável e atualizada da partição de diretório que contém o objeto persistente.
    <Partição de diretório> O nome distinto da partição de diretório identificada na mensagem de evento, por exemplo:
    • Para a partição de diretório de domínio Sales na contoso.com floresta: DC=sales,DC=contoso,DC=com
    • Para a partição do diretório de configuração na contoso.com floresta: CN=configuration,DC=contoso,DC=com
    • Para a partição de diretório de esquema na contoso.com floresta: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Registra os objetos remanescentes que serão removidos para que você possa revisá-los, mas não os remove.

  3. Repita a etapa 2 sem /advisory_mode excluir os objetos persistentes identificados da partição de diretório.

  4. Repita as etapas 2 e 3 para cada controlador de domínio que possa ter objetos persistentes.

Observação

O <parâmetro ServerName> usa a sintaxe DC_LIST para repadmin, que permite o uso de * para todos os controladores de domínio na floresta e gc: para todos os servidores de catálogo global na floresta. Para ver a sintaxe DC_LIST, digite repadmin /listhelp. Para obter informações sobre a sintaxe dos /regkey parâmetros e /removelingeringobjects , digite repadmin /experthelp.

Habilite a consistência estrita da replicação:

Para garantir que objetos persistentes não possam ser replicados se ocorrerem, habilite a consistência de replicação estrita em todos os controladores de domínio. A configuração de consistência de replicação é armazenada no Registro em cada controlador de domínio. No entanto, em controladores de domínio que executam a versão com suporte do Windows Server, você pode usar o Repadmin para habilitar a consistência de replicação estrita em um ou todos os controladores de domínio.

Use o Repadmin para habilitar a consistência estrita da replicação:

Use este procedimento para remover objetos persistentes em um controlador de domínio que esteja executando a versão com suporte do Windows Server.

A associação em Administradores de Domínio, ou equivalente, é o mínimo necessário para concluir este procedimento em um único controlador de domínio. A associação em Enterprise Admins, ou equivalente, é o mínimo necessário para concluir este procedimento em todos os controladores de domínio na floresta. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão de domínio e locais.

Etapas para usar o Repadmin para habilitar a consistência estrita da replicação:

  1. Abra um Prompt de Comando como administrador: no menu Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário for exibida, forneça as credenciais de Administradores de Domínio ou Administradores Corporativos, se necessário, e clique em Continuar.

  2. No prompt de comando, digite o seguinte comando e pressione ENTER:

    repadmin /regkey <DC_LIST> +strict
    Parâmetro Descrição
    /regkey Habilita (+) e desabilita (-) o valor da entrada do Registro Consistência de Replicação Estrita no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> O nome de um único controlador de domínio ou * para aplicar a alteração a todos os controladores de domínio na floresta. Para o nome do controlador de domínio, você pode usar o nome DNS, o nome distinto do objeto de computador do controlador de domínio ou o nome distinto do objeto de servidor do controlador de domínio, por exemplo, o nome distinto CN=DC5,OU=Controladores de Domínio,DC=contoso,DC=com ou o nome DC5.contoso.comDNS.
    +strict Habilita a entrada do Registro Consistência de Replicação Estrita .

  3. Se você não usar * para aplicar a alteração a todos os controladores de domínio, repita a etapa 2 para cada controlador de domínio no qual você deseja habilitar a consistência estrita de replicação.

Observação

Para obter mais opções de nomenclatura e informações sobre a sintaxe do <parâmetro DC_LIST> , no prompt de comando, digite repadmin /listhelp. Para obter informações sobre a sintaxe dos /regkey parâmetros e /removelingeringobjects , digite repadmin /experthelp.

Use o Regedit para habilitar a consistência estrita da replicação:

Como alternativa ao uso do Repadmin, você pode habilitar a consistência estrita da replicação editando o Registro diretamente. A configuração de consistência de replicação é armazenada na entrada Consistência de replicação estrita no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Os valores para a entrada do Registro Strict Replication Consistency são os seguintes:

  • Valor: 1 (0 a desativar)

  • Padrão: 1 (habilitado) em um novo Windows Server; caso contrário, 0.

  • Tipo de dados: REG_DWORD

Requisitos:

  • A associação no Admins. do Domínio ou equivalente é o requisito mínimo exigido para concluir este procedimento. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão de domínio e locais.
  • Ferramenta: Regedit.exe

Observação

É recomendável não editar diretamente o Registro, a menos que não haja outra alternativa. As modificações no Registro não são validadas pelo editor do Registro nem pelo Windows antes de serem aplicadas e, como resultado, valores incorretos podem ser armazenados. Isso pode resultar em erros irrecuperáveis no sistema. Quando possível, use a Política de Grupo ou outras ferramentas do Windows, como o MMC (Console de Gerenciamento Microsoft) para realizar tarefas, em vez de editar o Registro diretamente. Se você deve editar o Registro, tenha muito cuidado.

Etapas para usar o Regedit para habilitar a consistência estrita da replicação

  1. Abrir o Regedit como administrador: clique em Iniciar e, em seguida, em Iniciar Pesquisa, digite regedit. Na parte superior do menu Iniciar, clique com o botão direito do mouse em regedit.exe e clique em Executar como administrador. Na caixa de diálogo Controle de Conta de Usuário, forneça as credenciais de Administradores de Domínio e clique em OK.

  2. Navegue até a entrada Consistência de replicação estrita no HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Defina o valor na entrada Consistência de Replicação Estrita como 1.

Verifique se a consistência de replicação estrita está habilitada para controladores de domínio recém-promovidos

Se você estiver atualizando uma floresta que foi originalmente criada usando um computador que executa o Windows 2000 Server, certifique-se de que a floresta esteja configurada para habilitar a consistência de replicação estrita em controladores de domínio recém-promovidos para ajudar a evitar objetos persistentes. Depois de atualizar a floresta conforme descrito em (Atualizando domínios do Active Directory para domínios do AD DS do Windows Server 2008 e Windows Server 2008 R2), todos os novos controladores de domínio que você adicionar posteriormente à floresta serão criados com a consistência de replicação estrita desabilitada. No entanto, você pode implementar uma alteração de configuração de floresta que faz com que novos controladores de domínio tenham a consistência de replicação estrita habilitada. Para garantir que os novos controladores de domínio adicionados à floresta tenham a consistência de replicação estrita habilitada, você pode usar a ferramenta Ldifde.exe para criar um objeto na partição do diretório de configuração da floresta. Esse objeto é responsável por habilitar a consistência de replicação estrita em qualquer novo controlador de domínio promovido para a floresta.

O objeto que você cria é um GUID operacional com o seguinte nome:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operações,CN=ForestUpdates,CN=Configuração,DC=<ForestRootDomain>

Você pode usar o procedimento a seguir em qualquer controlador de domínio na floresta para adicionar esse objeto à partição do diretório de configuração.

A associação no Admins. de Empresa ou equivalente é o requisito mínimo exigido para concluir este procedimento. Revise os detalhes sobre como usar as contas e as associações de grupo apropriadas em Grupos padrão de domínio e locais.

Etapas para criar o objeto que garante a consistência estrita da replicação em novos controladores de domínio

  1. Em um editor de texto, como o Bloco de Notas, crie o seguinte arquivo de texto:

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operações,CN=ForestUpdates,CN=Configuração,DC=<ForestRootDomain>
    ChangeType: Adicionar
    objectClass: contêiner
    showInAdvancedViewOnly: VERDADEIRO
    Nome: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Onde <ForestRootDomain> contém todos os componentes de domínio (DC=) do domínio raiz da floresta, por exemplo, para a contoso.com floresta, DC=contoso,DC=com; para a fineartschool.net floresta, DC=fineartschool,DC=net.

  3. Abra um Prompt de Comando como administrador: no menu Iniciar, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador. Se a caixa de diálogo Controle de Conta de Usuário for exibida, forneça as credenciais dos Administradores Corporativos, se necessário, e clique em Continuar.

  4. No prompt de comando, digite o seguinte comando e pressione ENTER:

    ldifde -i -f <Path>\<FileName>
    Parâmetro Descrição
    -i Especifica o modo de importação. Se o modo de importação não for especificado, o modo padrão será exportar.
    -f Identifica o nome do arquivo de importação ou exportação.
    <Caminho>\<Nome do arquivo> O caminho e o nome do arquivo de importação que você criou na etapa 1, por exemplo, C:\ldifde.txt.

    Para obter informações sobre como usar o Ldifde, consulte LDIFDE.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de replicação do Active Directory.