Active Directory 複寫事件標識碼 1388 或 1988:偵測到揮之不去的物件
本文可協助您針對 Active Directory 複寫事件標識碼 1388 和 1988 進行疑難解答。
適用於: Windows Server(所有支援的版本)
原始 KB 編號: 4469619
摘要
如果目的地域控制器記錄 事件標識碼 1388 或 事件標識碼 1988,則偵測到揮之不去的物件,且目的地域控制器上有兩個條件之一:
- 事件標識碼 1388:目的地域控制器上已發生揮之對象的輸入複寫。
- 事件標識碼 1988:目的地域控制器上封鎖了揮之對象的目錄分割區輸入複寫。
事件標識碼 1388
此事件表示未啟用嚴格複寫一致性的目的地域控制器收到更新不在Active Directory 資料庫本機複本中的物件要求。 作為回應,目的地域控制器要求來源複寫夥伴的完整物件。 如此一來,就會將揮之不去的對象複寫到目的地域控制器。 因此,將揮之不去的物件重新引入目錄。
重要
發生事件標識碼 1388 時,您無法使用 Lingering 物件 Liquidator v2 (LOLv2) 或 Repadmin 工具來移除揮之不去的物件。
如需如何移除此案例中揮之不去物件的資訊,請參閱:
- 將過時的全域編錄伺服器帶回在線之後,可能會保留揮之不去的物件。
- 揮之不去的物件液體器 (LoL)
- Lingering 物件 Liquidator v2 簡介
- Lingering 物件 Liquidator 工具的描述
本文中的程式和資訊適用於從全域編錄伺服器以及不是全域編錄伺服器的域控制器移除揮之不去的物件。
事件文字會識別來源域控制器和過期的 (揮之不去) 物件。 以下是事件文字的範例:
記錄檔名稱:目錄服務
來源:Microsoft-Windows-ActiveDirectory_DomainService
日期:2008/5/3 下午 3:34:01
事件標識碼:1388
工作類別:複寫
層級:錯誤
關鍵字:傳統
使用者:匿名登入
計算機:DC3.contoso.com描述:另一個域控制器 (DC) 已嘗試復寫到此 DC,而該物件不存在於本機 Active Directory 網域服務 資料庫中。 物件可能已經刪除,而且已經垃圾收集了(自刪除對象之後,已有超過的墓碑存留期或更多時間)。 更新要求中包含的屬性集不足以建立物件。 系統會使用完整屬性集重新要求物件,並在此DC上重新建立。來源 DC (傳輸特定網路位址):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
物件:
CN=InternalApps,CN=Users,DC=contoso,DC=com
物件 GUID:a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
目錄分割區:
DC=contoso,DC=com
目的地最高屬性 USN:20510
使用者動作:
確認此物件是否存在的持續需求。 若要停止重新建立未來的類似對象,應該建立下列登錄機碼。登錄機碼:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency
事件標識碼 1988
此事件表示已啟用嚴格複寫一致性的目的地域控制器已收到更新 Active Directory 資料庫本機複本中不存在之物件的要求。 作為回應,目的地域控制器封鎖了包含該來源域控制器之物件之目錄分割區的複寫。 事件文字會識別來源域控制器和過期的 (揮之不去) 物件。 以下是事件文字的範例:
記錄檔名稱:目錄服務
來源:Microsoft-Windows-ActiveDirectory_DomainService
日期:2008/2/7 8:20:11 AM 事件標識碼:1988
工作類別:複寫
層級:錯誤
關鍵字:傳統
使用者:匿名登入
電腦:DC5.contoso.com
描述:
Active Directory 網域服務 複寫遇到下列分割區中已從本機域控制器 (DC) Active Directory 網域服務 資料庫刪除的物件存在。 並非所有直接或可轉移的復寫夥伴都會在刪除之前複寫,再經過墓碑存留期天數。 從 Active Directory 網域服務 分割區中刪除和垃圾收集的物件,但仍存在於相同網域中其他 DC 的可寫入分割區,或樹系中其他網域中全域編錄伺服器的只讀分割區稱為「揮之不去的物件」。正在記錄此事件,因為來源DC包含不存在於本機DC Active Directory 網域服務資料庫上的揮之不去物件。 此複寫嘗試已遭到封鎖。
此問題的最佳解決方案是識別和移除樹系中所有揮之不去的物件。
來源 DC (傳輸特定網路位址):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
物件:CN=InternalApps,CN=Users,DC=contoso,DC=com
物件 GUID:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
診斷
已從 AD DS 永久刪除的物件(也就是所有已連線域控制器上已被垃圾收集)仍保留在已中斷連線的域控制器上。 域控制器無法接收物件刪除的直接或可轉移複寫,因為它已中斷聯機(離線或發生輸入複寫失敗),超過墓碑存留期的複寫拓撲。 域控制器現在會重新連線到拓撲,而且該物件已在域控制器上更新,導致復寫通知給複寫夥伴,讓更新準備好進行複寫。 復寫夥伴會根據其復寫一致性設定來回應。 此通知適用於嘗試複寫可寫入的物件。 可寫入的揮之物件複本也可能存在於全域編錄伺服器上。
解決方法
如果偵測到揮之物件的複寫,您可以從 AD DS 移除物件,以及使用 LOLv2 的任何只讀複本,使用 LOLv2 來識別可能儲存此物件的域控制器(包括全域編錄伺服器),並使用 LOLv2 工具或執行 repadmin 命令來移除這些伺服器上揮之不去的物件。repadmin /removelingeringobjects。 此命令可在執行支援的 Windows Server 版本的域控制器上使用。
若要移除揮之不去的物件,請執行下列動作:
- 使用事件文字來識別下列專案:
- 對象的目錄分割區
- 嘗試複製揮之物件的來源域控制器
- 使用 Repadmin 來識別授權域控制器的 GUID。
- 使用 LOLv2 或 Repadmin 移除揮之不去的物件。
- 視需要啟用嚴格的復寫一致性。
- 如有必要,請確定已針對新升級的域控制器啟用嚴格的復寫一致性。
使用 Repadmin 來識別授權域控制器的 GUID:
若要執行移除揮之物件的程式,您必須識別最新域控制器的全域唯一標識元(GUID),該域控制器具有包含已報告之揮之物件的可寫入目錄分割區複本。 事件訊息中會識別目錄分割區。 域控制器的物件 GUID 會儲存在 NTDS Settings 物件的 objectGUID 屬性中。
需求:
- 您要識別其 GUID 之域控制器網域中的 Domain Admins 成員資格是完成此程式所需的最小成員資格。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
- 工具:Repadmin.exe
識別域控制器 GUID 的步驟:
在命令提示字元中輸入下列命令,然後按 ENTER:
repadmin /showrepl <ServerName>參數 描述 /showrepl顯示復寫狀態,包括 ServerName> 上次嘗試輸入 Active Directory 分割區的輸入<複寫時。 也會顯示指定域控制器的 GUID。 <ServerName> 您要顯示其 GUID 的網域控制器名稱。 在輸出的第一個區段中,找出 objectGuid 專案。 選取 GUID 值並將複製到文字檔中,讓您可以在其他地方使用它。
使用 LOLv2 或 Repadmin 移除揮之不去的物件:
需求:
域控制器網域中具有揮之物件的網域管理員成員資格,如果具有揮之對象的目錄分割區是組態或架構目錄分割區,則為完成此程式所需的最低成員資格。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
操作系統:支援的 Windows Server 版本。
拿掉揮之物件的慣用方法是使用 LOLv2。 在某些情況下,無法使用LOLv2,您可以使用 Repadmin.exe
LOLv2 的詳細資訊:
使用 Repadmin 移除揮之不去物件的步驟:
以系統管理員身分開啟命令提示字元:在 [ 開始 ] 功能表上,以滑鼠右鍵按兩下 [命令提示字元],然後按兩下 [ 以系統管理員身分執行]。 如果出現 [用戶帳戶控制] 對話框,請視需要提供 Domain Admins 或 Enterprise Admins 認證,然後按兩下 [繼續]。
在命令提示字元中輸入下列命令,然後按 ENTER:
repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode參數 描述 /removelingeringobjects從 ServerName> 針對 <DirectoryPartition> 所<指定的目錄分割區中移除揮之物件。 <ServerName> 具有揮之物件的域控制器名稱,如事件訊息中所識別(事件標識碼 1388 或事件標識碼 1988)。 您可以使用網域名稱系統 (DNS) 名稱或辨別名稱,例如辨別名稱 CN=DC5,OU=域控制器,DC=contoso,DC=com 或 DNS 名稱 DC5.contoso.com。<ServerGUID> 域控制器的 GUID,此域控制器具有包含揮之物件之目錄分割區的最新可寫入複本。 <DirectoryPartition> 事件訊息中識別的目錄分割區辨別名稱,例如: - 針對樹系中的
contoso.comSales 網域目錄分割區:DC=sales,DC=contoso,DC=com - 針對樹系中的
contoso.com組態目錄分割區:CN=configuration,DC=contoso,DC=com - 針對樹系中的
contoso.com架構目錄分割區:CN=schema,CN=configuration,DC=contoso,DC=com
/advisory_mode記錄將移除的揮之不去的物件,以便檢閱它們,但不會移除它們。 - 針對樹系中的
重複步驟 2,而不
/advisory_mode刪除目錄分割區中識別的揮之物件。針對可能揮之不去的物件的每個域控制器重複步驟 2 和 3。
注意
<ServerName> 參數使用 repadmin 的 DC_LIST 語法,允許針對樹系中的所有域控制器使用 * ,以及針對樹系中的所有全域編錄伺服器使用 * 。 若要檢視DC_LIST語法,請輸入 repadmin /listhelp。 如需 和參數語法/regkey的相關信息,請輸入 repadmin /experthelp。/removelingeringobjects
啟用嚴格的復寫一致性:
為了確保在發生物件時無法復寫,請在所有域控制器上啟用嚴格的複寫一致性。 復寫一致性的設定會儲存在每個域控制器的登錄中。 不過,在執行支援的 Windows Server 版本的域控制器上,您可以使用 Repadmin 在一或所有域控制器上啟用嚴格的復寫一致性。
使用 Repadmin 來啟用嚴格的復寫一致性:
使用此程式可移除執行所支援 Windows Server 版本的域控制器上揮之不去的物件。
Domain Admins 中的成員資格或對等專案,是完成單一域控制器上此程式的最低需求。 Enterprise Admins 或對等成員資格是完成樹系中所有域控制器之此程式的最低需求。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
使用 Repadmin 啟用嚴格復寫一致性的步驟:
以系統管理員身分開啟命令提示字元:在 [ 開始 ] 功能表上,以滑鼠右鍵按兩下 [命令提示字元],然後按兩下 [ 以系統管理員身分執行]。 如果出現 [用戶帳戶控制] 對話框,請視需要提供 Domain Admins 或 Enterprise Admins 認證,然後按兩下 [繼續]。
在命令提示字元中輸入下列命令,然後按 ENTER:
repadmin /regkey <DC_LIST> +strict參數 描述 /regkey啟用 (+) 並停用 中 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\ParametersStrict Replication Consistency 登錄專案的值。<DC_LIST> 單一域控制器的名稱,或 * ,將變更套用至樹系中的所有域控制器。 針對域控制器名稱,您可以使用 DNS 名稱、域控制器計算機對象的辨別名稱,或域控制器伺服器對象的辨別名稱,例如辨別名稱 CN=DC5、OU=Domain Controllers、DC=contoso、DC=com 或 DNS 名稱 DC5.contoso.com。+strict啟用 Strict Replication Consistency 登錄專案。 如果您不使用 * 將變更套用至所有域控制器,請針對您想要啟用嚴格複寫一致性的每個域控制器重複步驟 2。
注意
如需DC_LIST參數語法<的詳細資訊,請在命令提示字元中輸入 repadmin /listhelp。> 如需 和參數語法/regkey的相關信息,請輸入 repadmin /experthelp。/removelingeringobjects
使用 Regedit 來啟用嚴格的復寫一致性:
除了使用 Repadmin,您可以直接編輯登錄來啟用嚴格的復寫一致性。 複寫一致性的設定會儲存在 中的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters[嚴格複寫一致性] 專案中。
Strict Replication Consistency 登錄專案的值如下:
值:1 (要停用的 0)
預設值:新 Windows Server 中的 1 個 (已啟用) ;否則為 0。
數據類型:REG_DWORD
需求:
- 至少要有 Domain Admins 的成員資格或是對等成員資格,才能完成此程序。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
- 工具:Regedit.exe
注意
建議您不要直接編輯登錄,除非已沒有其他替代方案。 對登錄所做的修改會不經登錄編輯程式或 Windows 驗證就加以套用,因此可能會儲存不正確的值。 這可能會導致系統發生嚴重錯誤。 可能的話,請不要直接編輯登錄,而應使用群組原則或 Microsoft Management Console (MMC) 等其他 Windows 工具來完成工作。 如果您必須編輯登錄,必須非常小心。
使用 Regedit 啟用嚴格復寫一致性的步驟
以系統管理員身分開啟 Regedit:按兩下 [開始],然後在 [開始搜尋] 中輸入 regedit。 在 [ 開始 ] 功能表頂端,以滑鼠右鍵單擊 [regedit.exe],然後按兩下 [ 以系統管理員身分執行]。 在 [ 用戶帳戶控制 ] 對話框中,提供 Domain Admins 認證,然後按兩下 [ 確定]。
流覽至 中的
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters[嚴格復寫一致性] 專案。將 [嚴格復寫一致性] 專案中的值設定為 1。
確定新升級的域控制器已啟用嚴格的復寫一致性
如果您要升級原本使用執行 Windows 2000 Server 的計算機所建立的樹系,您應該確定樹系已設定為在新升級的域控制器上啟用嚴格的復寫一致性,以協助避免揮之不去的物件。 更新樹系如 <
您要建立的物件是具有下列名稱的操作 GUID:
CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
您可以在樹系中的任何域控制器上使用下列程式,將此物件新增至組態目錄分割區。
至少需要 Enterprise Admins 的成員資格或同等權限,才能完成此程序。 請檢閱本機與網域預設群組中關於使用適當帳戶和群組成員資格的詳細資料。
建立物件的步驟,以確保新域控制器上的嚴格複寫一致性
在文字編輯器中,例如記事本,建立下列文字檔:
dn:
CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
changetype:add
objectClass: container
showInAdvancedViewOnly: TRUE
name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>其中 <ForestRootDomain> 包含樹系根域的所有網域元件 (DC=),例如,針對
contoso.com樹系,DC=contoso,DC=com;針對fineartschool.net樹系,DC=fineartschool,DC=net。以系統管理員身分開啟命令提示字元:在 [ 開始 ] 功能表上,以滑鼠右鍵按兩下 [命令提示字元],然後按兩下 [ 以系統管理員身分執行]。 如果出現 [用戶帳戶控制] 對話框,請視需要提供企業系統管理員認證,然後按兩下 [繼續]。
在命令提示字元中輸入下列命令,然後按 ENTER:
ldifde -i -f <Path>\<FileName>參數 描述 -i指定匯入模式。 如果未指定匯入模式,則會匯出預設模式。 -f識別匯入或匯出檔名。 <Path>\<FileName> 您在步驟 1 中建立的匯入檔案路徑和名稱,例如 C:\ldifde.txt。 如需使用 Ldifde 的詳細資訊,請參閱 LDIFDE。
資料收集
如果您需要Microsoft支援方面的協助,建議您遵循使用 TSS 收集 Active Directory 複寫問題的資訊中所述的步驟來收集資訊。