错误 1988 显示在 Active Directory 域控制器的目录服务事件日志中
Zusammenfassung: 错误 1988 可能会出现在 Active Directory (AD) 域控制器 (DC) 的目录服务事件日志中。此错误表示 AD 复制失败,因为在合作伙伴域控制器上检测到至少一个延迟对象。本文讨论延迟对象的原因,并说明如何删除它们。
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Symptome
错误 1988 显示在域控制器 (DC) 的目录服务事件日志中:
事件描述中的更多文本指示源 DC、检测到的延迟对象以及建议的操作过程。完整的事件描述很长。
其他警告和错误可能会出现在受影响 DC 的 目录服务事件日志中。
Active Directory 域服务复制遇到以下分区中存在的对象已从本地域控制器 (DC) Active Directory 域服务数据库中删除。并非所有直接或传输复制合作伙伴都参与了在墓碑生存期过去数天之前的删除。从 Active Directory 域服务分区中删除对象并收集垃圾数据,但仍存在于同一域中其他 DC 的可写分区中,或者林中其他域中全局目录服务器的只读分区称为“延迟对象”。
事件描述中的更多文本指示源 DC、检测到的延迟对象以及建议的操作过程。完整的事件描述很长。
其他警告和错误可能会出现在受影响 DC 的 目录服务事件日志中。
Ursache
延迟对象 将被删除,并从 DC 上的 AD 数据库收集垃圾数据,但至少仍存在于另一个 DC 上。这是由于 DC 之间的持久复制失败而导致的,如以下示例所示。
假设一个域中有三个 DC;DC1、DC2 和 DC3。所有三个 DC 上都启用了严格的复制一致性,但所有三个都允许与不同的合作伙伴一起复制。(有关这些概念的更多信息,请参见下文。)他们的 AD 数据库已同步。然后按时间顺序发生以下事件:
此错误意味着在本地 DC 上启用 了严格的复制一致性 ,因为不会进行尝试复制。默认情况下启用严格的复制一致性。它旨在检测延迟对象,并防止它们在删除后重新引入域。
该错误还意味着启用 了不同复制 。启用此功能后,DC 可能会从无法访问超过林 TSL 的合作伙伴进行复制。默认情况下,不启用不同复制,但管理员可以手动启用复制。
假设一个域中有三个 DC;DC1、DC2 和 DC3。所有三个 DC 上都启用了严格的复制一致性,但所有三个都允许与不同的合作伙伴一起复制。(有关这些概念的更多信息,请参见下文。)他们的 AD 数据库已同步。然后按时间顺序发生以下事件:
- DC1 会故意或因某种故障而离线。
- DC2 上删除了名称为 User1 的预先存在的对象。DC3 将从 DC2 删除复制为墓碑对象。DC1 保持离线状态,不会接收墓碑对象。
- 墓碑生存期 (TSL) 通过,DC1 保持离线状态。将从 DC2 和 DC3 永久删除 User1 墓碑对象(“垃圾数据收集”)。用户 1 不再存在于这两个 DC 上。
- DC1 已联机。它包含延迟对象 (User1),不过目前没有效果。
- 对 DC1 上的 User1 属性进行编辑。
- DC2 和 DC3 会收到更改通知(编辑为 User1)。
- 当 DC2 和 DC3 尝试从 DC1 复制更改时,他们各自发现 User1 在其本地数据库中不存在。
- DC1 的复制尝试在 DC2 和 DC3 上被阻止,错误 1988 记录在其目录服务事件日志中。
此错误意味着在本地 DC 上启用 了严格的复制一致性 ,因为不会进行尝试复制。默认情况下启用严格的复制一致性。它旨在检测延迟对象,并防止它们在删除后重新引入域。
该错误还意味着启用 了不同复制 。启用此功能后,DC 可能会从无法访问超过林 TSL 的合作伙伴进行复制。默认情况下,不启用不同复制,但管理员可以手动启用复制。
Lösung
不建议尝试通过禁用严格的复制一致性来解决问题。这允许延迟对象复制,可能会将永久删除的对象重新引入域中。
相反,应从存在延迟对象的 DC 中删除延迟对象。错误 1988 的事件描述包含使用 repadmin 命令删除它们的说明。但是,这些命令可能很繁琐,因为必须知道至少一个 DC 的全局唯一标识符 (GUID)。此外,一次只能扫描一个命名上下文。Microsoft 发布了一款工具,即延迟对象清点器 (LOL),
大大简化了此过程。它提供了一个图形界面,用于在整个 AD 林中查找和删除延迟对象。
上面的链接提供了该工具的概览、其要求以及指向其下载页面的链接。以下逐步指导假定 LOL 及其前提条件已安装在 DC 上。
相反,应从存在延迟对象的 DC 中删除延迟对象。错误 1988 的事件描述包含使用 repadmin 命令删除它们的说明。但是,这些命令可能很繁琐,因为必须知道至少一个 DC 的全局唯一标识符 (GUID)。此外,一次只能扫描一个命名上下文。Microsoft 发布了一款工具,即延迟对象清点器 (LOL),
大大简化了此过程。它提供了一个图形界面,用于在整个 AD 林中查找和删除延迟对象。
上面的链接提供了该工具的概览、其要求以及指向其下载页面的链接。以下逐步指导假定 LOL 及其前提条件已安装在 DC 上。
- 确保已在扫描的所有 DC 上启用 远程事件日志管理 (RPC) 防火墙规则。
- 启动 LOL。
- 单击 Detect AD Topology 。该工具收集有关 AD 林中的 DC 的信息。
- 从 命名上下文 下拉列表中,选择其中存在一个或多个延迟对象的命名上下文。这是从错误描述 1988 中获得的。或者,选择 [扫描所有 NC] 以扫描延迟对象的所有命名上下文。
- 从 参考 DC 下拉列表中,选择在其目录服务日志中出现错误 1988 的 DC。
- 从 目标 DC 下拉列表中,选择包含延迟对象的 DC。这是根据错误描述 1988 确定的,但它通过其十六进制 GUID 而不是其名称来提及源 DC。您可以依次选择参考 DC 的每个复制合作伙伴。
- 选择引用 DC 和目标 DC 后,单击 Detect 延迟对象 。所有检测到的延迟对象都会在上部窗格中列出并自动选择。扫描日志将生成在下部窗格中并写入文件。如果未检测到延迟对象,请在步骤 1 中检查防火墙规则。
- 如果未删除任何延迟对象,请清除它们。
- 单击 移除所选延迟对象 。所有选定的延迟对象将被删除。
- 根据需要执行进一步扫描。
重要提示:删除所有延迟对象后,再次强制在 DC 之间复制并确认其成功。所有 DC 融合后,对其中一个 DC 运行以下命令,以禁用所有 DC 上的不同复制。这可防止 DC 与无法访问时间超过 TSL 的合作伙伴进行复制。
repadmin /regkey * -allowdivergent
Betroffene Produkte
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2Artikeleigenschaften
Artikelnummer: 000218612
Artikeltyp: Solution
Zuletzt geändert: 19 Dez. 2024
Version: 5
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.