Аннотация Данная статья содержит сведения о активные объекты в лесу под управлением Micros...
Введение эта ссылка может указывать на содержимое полностью или частично на английском языке
Активные объекты возникает, если контроллер домена не реплицирует для интервала времени, длина которого превышает время жизни захоронения (TSL). Контроллер домена, затем подключится к топологии репликации. Объекты, которые будут удалены из службы каталогов Active Directory, когда контроллер домена находится в автономном режиме может оставаться на контроллере домена как активные объекты. Эта статья содержит подробные сведения о событиях, которые указывают на наличие активные объекты, причины активные объекты и методы, которые можно использовать для удаления активные объекты.
Перейти к началу страницыДополнительная информация
Время жизни захоронения и репликация удалений
При удалении объекта службы каталогов Active Directory реплицирует удаления объекта-захоронения объекта. Объект захоронения состоит из небольшой набор атрибутов удаленный объект. По входящей репликации данного объекта, другие контроллеры домена в домене и лесу получают сведения об удалении. Объект-захоронение сохраняется в Active Directory для указанного периода. Этот период называется TSL. В конце TSL объекте захоронения удаляется окончательно.Значение по умолчанию TSL зависит от версии операционной системы, которая запущена на первом контроллере домена, установленного в составе леса. The following table indicates the default TSL values for different Windows operating systems.
| First domain controller in forest root | Default tombstone lifetime |
|---|---|
| Windows 2000: | 60 days |
| Windows Server 2003: | 60 days |
| Windows Server 2003 with Service Pack 1 | 180 days |
After the tombstone is permanently deleted, the object deletion can no longer be replicated. The TSL defines how long domain controllers in the forest retain information about a deleted object. The TSL also defines the time during which all direct and transitive replication partners of the originating domain controller must receive a unique deletion.
How lingering objects occur
When a domain controller is disconnected for a period that is longer than the TSL, one or more objects that are deleted from Active Directory on all other domain controllers may remain on the disconnected domain controller. Such objects are called lingering objects. Because the domain controller is offline during the time that the tombstone is alive, the domain controller never receives replication of the tombstone.When this domain controller is reconnected to the replication topology, it acts as a source replication partner that has an object that its destination partner does not have.
Replication problems occur when the object on the source domain controller is updated. In this case, when the destination partner tries to inbound-replicate the update, the destination domain controller responds in one of two ways:
- If the destination domain controller has Strict Replication Consistency enabled, the controller recognizes that it cannot update the object. The controller locally stops inbound replication of the directory partition from the source domain controller.
- If the destination domain controller has Strict Replication Consistency disabled, the controller requests the full replica of the updated object. In this case, the object is reintroduced into the directory.
Causes of long disconnections
The following conditions can cause long disconnections:- A domain controller is disconnected from the network and is put in storage.
- The shipment of a pre-staged domain controller to its remote location takes longer than a TSL.
- Wide area network (WAN) connections are unavailable for long periods. For example, a domain controller onboard a cruise ship may be unable to replicate because the ship is at sea for longer than the TSL.
- The reported event is a false positive because an administrator shortened the TSL to force the garbage collection of deleted objects.
- The reported event is a false positive because the system clock on the source or on the destination domain controller is incorrectly advanced or rolled back. Clock skews are most common following a system restart. Clock skews may occur for the following reasons:
- There is a problem with the system clock battery or with the motherboard.
- The time source for a computer is configured incorrectly. This includes a time source server that is configured by using Windows Time service (W32Time), by using a third-party time server, or by using network routers.
- An administrator advances or rolls back the system clock to extend the useful life of a system state backup or to accelerate the garbage collection of deleted objects. Make sure that the system clock reflects the actual time. Also, make sure that event logs do not contain invalid events from the future or from the past.
Indications that a domain controller has lingering objects
An outdated domain controller can store lingering objects without any noticeable effect when the following conditions are true:- An administrator, an application, or a service does not update the lingering object.
- An administrator, an application, or a service does not try to create an object that has the same name in the domain.
- An administrator, an application, or a service does not try to create an object by using the same user principal name (UPN) in the forest.
Events that indicate that lingering objects may be present in the forest
| Код события: | General description |
|---|---|
| 1862 | The local domain controller has not recently received replication information from several domain controllers (intersite). |
| 1863 | The local domain controller has not recently received replication information from several domain controllers (intersite). |
| 1864 | The local domain controller has not recently received replication information from several domain controllers (summary). |
| 1311 | The Knowledge Consistency Checker (KCC) was not able to build a spanning tree topology. |
| 2042 | It has been too long since this server last replicated with the named source server. |
http://technet2.microsoft.com/WindowsServer/en/Library/4f504103-1a16-41e1-853a-c68b77bf3f7e1033.mspx
Events that indicate that lingering objects are present in the forest
| Код события: | General description |
|---|---|
| 1084 | На сервере нет такого объекта. |
| 1388 | This destination system received an update for an object that should have been present locally but was not. |
| 1311 | Another domain controller replicated an object not present on this domain controller. |
Repadmin errors that indicate that lingering objects are present in the forest
| Код события: | General description |
|---|---|
| 8240 | На сервере нет такого объекта. |
| 8606 | Insufficient attributes were given to create an object. |
Other indications that lingering objects are present in the forest
- A user or group account that was deleted remains in the global address list (GAL) on servers that are running Microsoft Exchange Server. Therefore, although the account name appears in the GAL, errors occur when users try to send e-mail messages.
- Multiple copies of an object appear in the object picker or in the GAL for an object that should be unique in the forest. You sometimes see duplicate objects that have changed names. These duplicate objects cause confusion on directory searches. For example, if the relative distinguished name of two objects cannot be resolved, conflict resolution appends*CNF:GUIDto the name. Где*represents a reserved character,CNFis a constant that indicates a conflict resolution, andGUIDrepresents theobjectGuid:Значение атрибута.
- Сообщения не доставляются, учетной записи Active Directory отображается как текущий пользователь. Подключен контроллер домена, устаревшие или сервером глобального каталога, оба экземпляра объекта-пользователя отображается в глобальном каталоге. Так как оба объекта имеют одинаковый адрес электронной почты, сообщения электронной почты не может быть доставлена.
- Универсальную группу, которая больше не существует по-прежнему отображаться в маркере доступа пользователя. Несмотря на то, что группа больше не существует, если учетная запись пользователя по-прежнему имеет группы в его маркер безопасности, пользователь может иметь доступ к ресурсу, который предназначен для недоступен пользователю.
- Не удалось создать новый объект или почтовый ящик Exchange. Но вы не видите объекта в Active Directory. Сообщение об ошибке показывает, что объект уже существует.
- Поиск, используйте атрибуты существующего объекта неправильно может оказаться несколько копий объекта, с тем же именем. Один объект был удален из домена. Но этот объект остается на сервере изолированного глобального каталога.
Удаление из леса активные объекты
Под управлением Windows 2000 леса
Для получения дополнительных сведений об удалении активные объекты в домене под управлением Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:314282 После переноса обратно в оперативный режим на глобальный каталог, устаревший сервер может остаются активные объекты
Windows Server 2003, на леса
Для получения сведений об удалении активные объекты из лесов на базе Windows Server 2003 посетите следующий веб-узел корпорации Майкрософт:http://technet2.Microsoft.com/WindowsServer/en/Library/77dbd146-f265-4d64-bdac-605ecbf1035f1033.mspx
Для получения дополнительных сведений обратитесь к следующей статье Базы Знаний Майкрософт::892777 Средства поддержки, входящие в состав пакета обновления SP1 для операционной системы Windows Server 2003
Предотвращение активные объекты
Ниже перечислены методы, которые можно использовать для предотвращения активные объекты.Метод 1: Включить запись в реестре Strict согласованность репликации
Можно разрешить запись в реестре Strict согласованность репликации подозрительные объекты помещаются на карантин. Затем платформ можно удалить эти объекты, прежде чем они распространяются по всему лесу.Если объект для записи активные находится в рабочей среде, и предпринята попытка обновить объект, значение в записи реестра Strict согласованность репликации определяет ли репликация продолжается или остановлена. Параметр Strict согласованность репликации реестра находится в следующем разделе реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Тип данных для этой операции является REG_DWORD. Если установить значение 1, запись включена. Входящей репликации раздела каталога указанного источника останавливается в месте назначения. Если установить значение 0, операция отключена. Назначения запрашивает полный объект с исходного контроллера домена. Эта активные объект будет восстановлена в каталоге как новый объект.Значение по умолчанию параметра реестра Strict согласованность репликации определяется условиями, под которой был установлен на контроллере домена в лесу.
Примечание.Повышение уровня функциональности леса или домена не изменяет параметр согласованность репликации на контроллерах домена.
По умолчанию записи реестра Strict согласованность репликации на контроллерах домена, которые устанавливаются в лесу, значение 1 (включено) при соблюдении следующих условий:
- Версия программы Winnt32.exe для Windows Server 2003 используется для обновления Windows NT 4.0 основной контроллер домена (PDC) для Windows Server 2003. Этот компьютер создает корневой домен леса в новом лесу.
- Служба каталогов Active Directory устанавливается на сервере под управлением Windows Server 2003. Этот компьютер создает корневой домен леса в новом лесу.
- Контроллер домена под управлением Windows 2000 обновляется до Windows Server 2003.
- Служба каталогов Active Directory устанавливается на Windows Server 2003 на рядовой сервер в лесу под управлением Windows 2000.
Для получения дополнительных сведений о том, как задать Strict согласованность репликации с помощью Repadmin.exe посетите следующий веб-узел корпорации Майкрософт:
Способ 2: Монитор репликации с помощью команды командной строки
Для наблюдения за репликацией с помощьюrepadmin /showreplкоманды, выполните следующие действия:- затем –START ::затем –ВыполнитьTYPE :Cmdи выберите командуOk..
- TYPE :repadmin /showrepl * /csv > showrepl.csv, а затем нажмите клавишуEnter..
- В Microsoft Excel откройте Showrepl.csv файл.
- ВыберитеA + RPCстолбец,SMTP:столбец.
- в менюВ файлевыберите пунктDelete.
- Выберите строку, которая находится непосредственно под заголовками столбцов.
- в менюWindows?выберите пунктЗакрепить области.
- Выберите полный электронной таблицы.
- в менюDATAВыберите пункт менюФильтр:и выберите командуАвтоматический фильтр.
- В заголовкеПоследний успешностолбец, щелкните стрелку вниз и нажмите кнопкуСортировка по возрастанию.
- В заголовкеИсточник постоянного ТОКАстолбец, щелкните стрелку вниз и нажмите кнопкуПользовательский.
- В диалоговом окнеПользовательский автофильтрдиалоговое окно, нажмите кнопкуне содержит.
- В поле справа отне содержитTYPE :Del.
Примечание.Этот шаг не удаленные контроллеры появляются в результатах. - В заголовкеПоследняя ошибкастолбец, щелкните стрелку вниз и нажмите кнопкуПользовательский.
- В диалоговом окнеПользовательский автофильтрдиалоговое окно, нажмите кнопкуне равно.
- В поле справа отне равноTYPE :0.
- Устраните сбои репликации, которые будут отображаться.
Method 3: Remove domain controllers
You can remove failing domain controllers from the forest before the TSL expires.Method 4: Increase the TSL
Windows 2000 Server:Increase the TSL to 180 days by using the Adsiedit tool. Выполните следующие действия::
- In the Adsiedit tool, expandconfigurationDomainControllerNameexpandCN = конфигурация,,dc=ForestRootDomainexpandCN=ServicesexpandCN = Windows NT, щелкните правой кнопкой мышиCN = службы каталогови выберите командуСвойства.
- Перейдите на вкладкуattribute:TAB:.
- В диалоговом окнеВыберите свойства, просмотрВыберитенеобязательное обновление.
- В диалоговом окнеВыберите свойство для просмотраВыберитеTombstoneLifetime.
- В диалоговом окнеИзменение атрибутовполе типа180затем –setи выберите командуOk..
Increase the TSL to 180 days by using the Adsiedit tool. Выполните следующие действия::
- In the Adsiedit tool, expandconfigurationDomainControllerNameexpandCN = конфигурация,,dc=ForestRootDomainexpandCN=ServicesexpandCN = Windows NT, щелкните правой кнопкой мышиCN = службы каталогови выберите командуСвойства.
- Перейдите на вкладкуРедактор атрибутовTAB:.
- В диалоговом окнеattribute:Выберитеtombstonelifetimeи выберите командуВ файле.
- В диалоговом окнеЗначение:поле типа180и выберите командуOk..
0 коммент.:
Отправить комментарий