Active Directoryドメイン コントローラーのディレクトリ サービス イベント ログにエラー1988が表示される
概要: Active Directory(AD)ドメイン コントローラー(DC)のディレクトリ サービス イベント ログにエラー1988が表示されることがあります。このエラーは、パートナー ドメイン コントローラーで少なくとも1つの残留オブジェクトが検出されたため、ADレプリケーションが失敗したことを示します。この文書では、残留オブジェクトの原因について説明し、オブジェクトを削除する方法について説明します。 ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
ドメイン コントローラー(DC)のディレクトリ サービス イベント ログにエラー1988が表示されます。
イベントの説明のその他のテキストは、ソースDC、検出された残留オブジェクト、推奨されるアクションを示します。イベントの完全な説明は長いです。
その他の警告とエラーは、影響を受けるDCのディレクトリ サービス イベント ログに表示される場合があります。
Active Directoryドメイン サービス レプリケーションで、次のパーティションにオブジェクトが存在する場合、ローカル ドメイン コントローラー(DC)Active Directoryドメイン サービス データベースから削除されました。廃棄(Tombstone)の有効期間日数が経過する前に、すべてのダイレクト レプリケーション パートナーまたは一時的なレプリケーション パートナーが削除に参加したわけではありません。オブジェクトは削除され、Active Directoryドメイン サービス パーティションからガベージ コレクションされますが、同じドメイン内の他のDCの書き込み可能なパーティションに存在するか、フォレスト内の他のドメインにあるグローバル カタログ サーバーの読み取り専用パーティションは「残留オブジェクト」と呼ばれます。
イベントの説明のその他のテキストは、ソースDC、検出された残留オブジェクト、推奨されるアクションを示します。イベントの完全な説明は長いです。
その他の警告とエラーは、影響を受けるDCのディレクトリ サービス イベント ログに表示される場合があります。
原因
残留オブジェクト は削除され、DC上のADデータベースからガベージ コレクションされますが、少なくとも1つの他のDCにはまだ存在します。これは、次の例に示すように、DC間の永続的なレプリケーション障害の結果として発生します。
ドメインに3つのDCがあるとします。DC1、DC2、DC3。厳格なレプリケーションの整合性は、3つのDCすべてで有効になっていますが、3つすべて異なるパートナーとのレプリケーションが許可されます。(これらの概念の詳細については、以下を参照してください)。ADデータベースが同期されます。その後、次のイベントが時系列で発生します。
このエラーは、試行されたレプリケーションが実行されないため、ローカルDCで 厳格な レプリケーション整合性が有効になっていることを意味します。厳格なレプリケーションコンシステンシーはデフォルトで有効になっています。残留オブジェクトを検出し、削除後にドメインに再導入されないようにすることを目的としています。
このエラーは、 異なるレプリケーション が有効になっていることを意味します。このオプションを有効にすると、DCはフォレストのTSLよりも長く到達できないパートナーからレプリケートできます。異なるレプリケーションはデフォルトでは有効になっていませんが、管理者が手動で有効にすることができます。
ドメインに3つのDCがあるとします。DC1、DC2、DC3。厳格なレプリケーションの整合性は、3つのDCすべてで有効になっていますが、3つすべて異なるパートナーとのレプリケーションが許可されます。(これらの概念の詳細については、以下を参照してください)。ADデータベースが同期されます。その後、次のイベントが時系列で発生します。
- DC1は意図的に、または何らかの誤動作によってオフラインになります。
- DC2では、User1という名前の既存のオブジェクトが削除されます。DC3は、DC2からの削除を廃棄(Tombstone)オブジェクトとしてレプリケートします。DC1はオフラインのままで、廃棄(Tombstone)オブジェクトを受信しません。
- 廃棄の有効期間(TSL)が経過すると、DC1はオフラインのままになります。User1 Tombstoneオブジェクトは、DC2およびDC3から完全に削除(「ガベージ コレクション」)されます。User1は、これら2つのDCには存在しなくなりました。
- DC1がオンラインになります。残留オブジェクト(User1)が含まれていますが、現時点では効果はありません。
- DC1のUser1属性に対して編集が行われます。
- DC2とDC3に変更が通知されます(User1への編集)。
- DC2とDC3がDC1からの変更をレプリケートしようとすると、それぞれがUser1がローカル データベースに存在しないことを検出します。
- DC1からのレプリケーション試行はDC2およびDC3では防止され、エラー1988はディレクトリ サービス イベント ログに記録されます。
このエラーは、試行されたレプリケーションが実行されないため、ローカルDCで 厳格な レプリケーション整合性が有効になっていることを意味します。厳格なレプリケーションコンシステンシーはデフォルトで有効になっています。残留オブジェクトを検出し、削除後にドメインに再導入されないようにすることを目的としています。
このエラーは、 異なるレプリケーション が有効になっていることを意味します。このオプションを有効にすると、DCはフォレストのTSLよりも長く到達できないパートナーからレプリケートできます。異なるレプリケーションはデフォルトでは有効になっていませんが、管理者が手動で有効にすることができます。
解決方法
厳格なレプリケーションの整合性を無効にして問題を解決することは推奨されません。これにより、残留オブジェクトがレプリケートされ、完全に削除されたオブジェクトがドメインに再導入される可能性があります。
代わりに、残留オブジェクトを存在するDCから削除する必要があります。エラー1988のイベントの説明には、 repadmin コマンドを使用して削除する手順が記載されています。ただし、少なくとも1つのDCのグローバル一意識別子(GUID)を知る必要があるため、これらのコマンドは煩雑になる可能性があります。さらに、一度にスキャンできる命名コンテキストは1つだけです。Microsoftは、このプロセスを大幅に簡素化するツールであるLingering Object Liquidator(LOL)
を公開しました。ADフォレスト全体で残留オブジェクトを検索および削除するためのグラフィカル インターフェイスを提供します。
上記のリンクには、ツールの概要、要件、ダウンロード ページへのリンクが記載されています。次の手順では、LOLとその前提条件がすでにDCにインストールされていることを前提としています。
代わりに、残留オブジェクトを存在するDCから削除する必要があります。エラー1988のイベントの説明には、 repadmin コマンドを使用して削除する手順が記載されています。ただし、少なくとも1つのDCのグローバル一意識別子(GUID)を知る必要があるため、これらのコマンドは煩雑になる可能性があります。さらに、一度にスキャンできる命名コンテキストは1つだけです。Microsoftは、このプロセスを大幅に簡素化するツールであるLingering Object Liquidator(LOL)
を公開しました。ADフォレスト全体で残留オブジェクトを検索および削除するためのグラフィカル インターフェイスを提供します。
上記のリンクには、ツールの概要、要件、ダウンロード ページへのリンクが記載されています。次の手順では、LOLとその前提条件がすでにDCにインストールされていることを前提としています。
- スキャンされるすべてのDCで、 リモート イベント ログ管理(RPC) ファイアウォール ルールが有効になっていることを確認します。
- LOLを起動します。
- [Detect AD Topology]をクリックします。このツールは、ADフォレスト内のDCに関する情報を収集します。
- [Naming Context]ドロップダウンから、1つ以上の残留オブジェクトが存在する名前付けコンテキストを選択します。これは、エラー1988の説明から取得されます。または 、[ すべてのNICをスキャン ] を選択して、残留オブジェクトのすべての命名コンテキストをスキャンします。
- [Reference DC]ドロップダウンから、ディレクトリ サービス ログにエラー1988があるDCを選択します。
- [Target DC]ドロップダウンから、残留オブジェクトを含むDCを選択します。これはエラー1988の説明から決定されますが、ソースDCは名前ではなく16進数GUIDで言及しています。参照DCの各レプリケーション パートナーを順番に選択できます。
- 参照DCとターゲットDCを選択したら、[ 残留オブジェクトの検出 ]をクリックします。検出されたすべての残留オブジェクトが一覧表示され、上部ペインで自動的に選択されます。スキャンのログが下部ペインに作成され、ファイルに書き込まれます。残留オブジェクトが検出されない場合は、ステップ1のファイアウォール ルールを確認します。
- 残留オブジェクトが削除されない場合は、クリアします。
- Remove Selected Lingering Objects をクリックします。選択したすべての残留オブジェクトが削除されます。
- 必要に応じてさらにスキャンを実行します。
重要:すべての残留オブジェクトが削除されたら、DC間のレプリケーションを再度強制し、その成功を確認します。すべてのDCがコンバージドされたら、いずれかのDCで次のコマンドを実行して、すべてのDCで異なるレプリケーションを無効にします。これにより、DCがTSLよりも長くアクセスできないパートナーとのレプリケーションを防止できます。
repadmin /regkey * -allowdivergent
対象製品
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows 2008 Server R2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2文書のプロパティ
文書番号: 000218612
文書の種類: Solution
最終更新: 19 12月 2024
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。