Fehler 1988 wird im Verzeichnisdienst-Ereignisprotokoll eines Active Directory-Domänencontrollers angezeigt.

Fehler 1988 wird im Ereignisprotokoll des Verzeichnisdienstes eines Domänencontrollers (DC) angezeigt:
 
Ein weiterer Text in der Ereignisbeschreibung zeigt den Quell-DC, das fortbestehende Objekt, das erkannt wird, und eine empfohlene Vorgehensweise an. Die vollständige Ereignisbeschreibung ist lang.

Andere Warnungen und Fehler können im Ereignisprotokoll des Verzeichnisdiensts eines betroffenen Domänencontrollers angezeigt werden.

Fortbestehende Objekte werden gelöscht und automatisch aus der AD-Datenbank auf einem DC gesammelt, sind aber immer noch auf mindestens einem anderen DC vorhanden. Dies tritt aufgrund eines Ausfalls der persistenten Replikation zwischen DCs auf, wie im folgenden Beispiel gezeigt.

Angenommen, es gibt drei DCs in einer Domain. DC1, DC2 und DC3. Strikte Replikationskonsistenz ist auf allen drei DCs aktiviert, aber alle drei dürfen mit abweichenden Partnern replizieren. (Weitere Informationen zu diesen Konzepten finden Sie unten.) Ihre AD-Datenbanken werden synchronisiert. Die folgenden Ereignisse treten dann in chronologischer Reihenfolge auf:

1. DC1 wird offline geschaltet, entweder bewusst oder durch eine Art von Fehlfunktion.
2. Ein bereits vorhandenes Objekt mit dem Namen User1 wird auf DC2 gelöscht. DC3 repliziert den Löschvorgang von DC2 als Tombstone-Objekt. DC1 bleibt offline und empfängt das Tombstone-Objekt nicht.
3. Die Tombstone-Lebensdauer (TSL) verläuft und DC1 bleibt offline. Das Tombstone-Objekt User1 wird dauerhaft aus DC2 und DC3 gelöscht ("garbage collected"). User1 ist auf diesen beiden DCs nicht mehr vorhanden.
4. DC1 wird online geschaltet. Es enthält ein fortbestehende Objekt (Benutzer1), obwohl dies vorerst keine Auswirkungen hat.
5. Es wird ein Attribut von Benutzer1 auf DC1 bearbeitet.
6. DC2 und DC3 werden über eine Änderung benachrichtigt (die Bearbeitung an Benutzer1).
7. Wenn DC2 und DC3 versuchen, die Änderung von DC1 zu replizieren, stellen sie jeweils fest, dass Benutzer1 in ihren lokalen Datenbanken nicht vorhanden ist.
8. Der Replikationsversuch von DC1 wird auf DC2 und DC3 verhindert und Fehler 1988 wird in den Verzeichnisdienst-Ereignisprotokollen protokolliert.

Der DC mit Fehler 1988 ist nicht der DC, der fortbestehende Objekte enthält. Der Fehler weist darauf hin, dass fortbestehende Objekte auf einem seiner Replikationspartner erkannt werden. Ein DC mit diesem Fehler repliziert keine AD-Daten vom im Fehler angegebenen Partner-DC, kann aber dennoch von anderen Partnern repliziert werden.

Dieser Fehler impliziert, dass strenge Replikationskonsistenz auf dem lokalen DC aktiviert ist, da der Replikationsversuch nicht erfolgt. Die strenge Replikationskonsistenz ist standardmäßig aktiviert. Es soll fortbestehende Objekte erkennen und verhindern, dass sie nach dem Löschen wieder in die Domain eingefügt werden.

Der Fehler impliziert auch, dass die abweichende Replikation aktiviert ist. Wenn dies aktiviert ist, kann ein Domänencontroller von einem Partner replizieren, der länger als der TSL der Gesamtstruktur nicht erreichbar ist. Die unterschiedliche Replikation ist standardmäßig nichtaktiviert, kann jedoch von einem Administrator manuell aktiviert werden.

Der Versuch, das Problem durch Deaktivieren der strengen Replikationskonsistenz zu beheben, wird nicht empfohlen. Auf diese Weise können fortbestehende Objekte repliziert werden, wodurch möglicherweise dauerhaft gelöschte Objekte wieder in die Domain eingefügt werden.

Stattdessen sollten fortbestehende Objekte aus den DCs entfernt werden, auf denen sie vorhanden sind. Die Ereignisbeschreibung von Fehler 1988 enthält Anweisungen zum Entfernen mithilfe von repadmin-Befehlen . Diese Befehle können jedoch umständlich sein, da die global eindeutige Kennung (GUID) von mindestens einem DC bekannt sein muss. Darüber hinaus kann jeweils nur ein Namenskontext gescannt werden. Microsoft hat ein Tool veröffentlicht, den Lingering Object Liquidator (LOL), der diesen Prozess erheblich vereinfacht. Sie bietet eine grafische Benutzeroberfläche zum Auffinden und Entfernen fortbestehender Objekte in einer AD-Gesamtstruktur.

Der obige Link bietet eine Übersicht über das Tool, seine Anforderungen und einen Link zur Download-Seite. In der folgenden Exemplarischen Vorgehensweise wird davon ausgegangen, dass die LOL und die zugehörigen Voraussetzungen bereits auf einem DC installiert sind.

1. Stellen Sie sicher, dass die RPC-Firewallregel (Remote Event Log Management) auf allen gescannten DCs aktiviert ist.
2. Starten Sie die LOL.
3. Klicken Sie auf DETECT AD Topology. Das Tool erfasst Informationen über die DCs in der AD-Gesamtstruktur.
4. Wählen Sie aus der Drop-down-Liste Namenskontext den Namenskontext aus, in dem ein oder mehrere fortbestehende Objekte vorhanden sind. Dies ergibt sich aus der Beschreibung des Fehlers 1988. Wählen Sie alternativ [Scan All NCs] aus, um alle Namenskontexte auf fortbestehende Objekte zu scannen.
5. Wählen Sie aus der Drop-down-Liste Referenz-DC den DC mit Fehler 1988 im Verzeichnisdienstprotokoll aus.
6. Wählen Sie aus der Drop-down-Liste Ziel-DC einen DC aus, der fortbestehende Objekte enthält. Dies wird durch die Beschreibung des Fehlers 1988 bestimmt, aber der Quell-DC wird durch seine hexadezimale GUID und nicht durch seinen Namen erwähnt. Sie können jeden Replikationspartner des Referenz-DC nacheinander auswählen.
7. Sobald ein Referenz-DC und ein Ziel-DC ausgewählt wurden, klicken Sie auf Fortbestehende Objekte erkennen. Alle erkannten fortbestehenden Objekte werden aufgelistet und automatisch im oberen Fensterbereich ausgewählt. Ein Protokoll des Scans wird im unteren Fensterbereich erstellt und in eine Datei geschrieben. Wenn keine fortbestehenden Objekte erkannt werden, überprüfen Sie die Firewallregel in Schritt 1.
8. Wenn fortbestehende Objekte nicht entfernt werden, löschen Sie sie.
9. Klicken Sie auf Ausgewählte Fortbestehende Objekte entfernen. Alle ausgewählten fortbestehenden Objekte werden entfernt.
10. Führen Sie bei Bedarf weitere Scans durch.