Ошибка 1988 отображается в журнале событий службы каталогов контроллера домена Active Directory

В журнале событий службы каталогов контроллера домена отображается ошибка 1988:
 
Дополнительный текст в описании события указывает на исходный контроллер домена, обнаруженный устаревший объект и рекомендуемый курс действий. Полное описание события подробно описано.

Другие предупреждения и ошибки могут отображаться в журнале событий службы каталогов затронутого контроллера домена.

Устаревшие объекты удаляются и мусор собираются из базы данных AD на контроллере домена, но по-прежнему существуют по крайней мере на одном другом контроллере домена. Это происходит в результате сбоя постоянной репликации между контроллерами домена, как показано в следующем примере.

Предположим, что в домене имеется три контроллера домена. DC1, DC2 и DC3. На всех трех контроллерах домена включена строгая согласованность репликации, но все три контроллера домена могут реплицировать данные с разных партнеров. (Дополнительные сведения об этих концепциях см. ниже.) Их базы данных AD синхронизются. Затем следующие события происходят в хронологическом порядке:

1. Dc1 переключен в автономный режим, намеренно или по какой-либо неисправности.
2. В контроллере DC2 удаляется предустановительный объект с именем User1. DC3 реплицирует удаление из DC2 как объект отметки полного удаления. DC1 остается в автономном режиме и не получает объект отметки полного удаления.
3. Время жизни отметки полного удаления (TSL) проходит, а DC1 остается в автономном режиме. Объект отметки полного удаления User1 окончательно удаляется («мусор собран») из DC2 и DC3. User1 больше не существует на этих двух контроллерах домена.
4. Dc1 подключен к сети. Он содержит устаревший объект (User1), хотя на данный момент это не действует.
5. В контроллере DC1 выполняется редактирование атрибута User1.
6. DC2 и DC3 уведомлены об изменении (редактирование на User1).
7. Когда DC2 и DC3 пытается реплицировать изменение с DC1, каждый из них обнаруживает, что User1 не существует в их локальных базах данных.
8. Попытка репликации с dc1 предотвращается на DC2 и DC3, и в журналах событий службы каталогов регистрируется ошибка 1988.

Контроллер домена с ошибкой 1988 не является контроллером домена, который содержит устаревшие объекты. Эта ошибка указывает на то, что устаревшие объекты обнаружены на одном из партнеров репликации. Контроллер домена с этой ошибкой не реплицировать данные AD с контроллера домена партнера, указанного в ошибке, но может по-прежнему реплицироваться от других партнеров.

Эта ошибка подразумевает, что на локальном контроллере домена включена строгая согласованность репликации, так как попытка репликации не выполняется. По умолчанию включена строгая согласованность репликации. Он предназначен для обнаружения устаревших объектов и предотвращения их повторного включения в домен после удаления.

Эта ошибка также означает, что включена разнонамерная репликация . Если этот параметр включен, контроллер домена может реплицироваться от партнера, который недоступен дольше TSL леса. Различные параметры репликации поумолчанию не включены, но могут быть включены администратором вручную.

Не рекомендуется попытки устранить проблему путем отключения строгой согласованности репликации. Это позволяет реплицировать устаревшие объекты, что может привести к повторному вводу окончательно удаленных объектов в домен.

Вместо этого устаревшие объекты следует удалить из контроллеров домена, на которых они существуют. Описание события ошибки 1988 содержит инструкции по их удалите с помощью команд repadmin . Однако эти команды могут быть громоздкими, так как должен быть известен глобальный уникальный идентификатор (GUID) по крайней мере одного контроллера домена. Кроме того, одновременно можно отсканировать только один контекст именования. Корпорация Microsoft опубликовала инструмент ПОД названием «Lingering Object Liquidator (TED )», который значительно упрощает этот процесс. Он предоставляет графический интерфейс для местоположения и удаления устаревших объектов в лесу AD.

Ссылка выше содержит обзор инструмента, его требования и ссылку на страницу загрузки. Ниже приведено пошаговое руководство, включаемое в себя ФУНКЦИЮ «ДА», и необходимые для нее предварительные требования уже установлены на контроллере домена.

1. Убедитесь, что правило брандмауэра Remote Event Log Management (RPC) включено на всех сканированных контроллерах домена.
2. Запустите компьютер в 19:00.
3. Нажмите Определить топологию AD. Инструмент собирает информацию о контроллерах домена в лесу AD.
4. В раскрывающемся списке Контекст имен выберите контекст именования, в котором существует один или несколько устаревших объектов. Это получено из описания ошибки 1988. Другой способ: выберите [Сканировать все сетевые платы] , чтобы отсканировать все контексты именования на наличие устаревших объектов.
5. В раскрывающемся списке Reference DC выберите DC с ошибкой 1988 в журнале службы каталогов.
6. В раскрывающемся списке Целевой контроллер домена выберите контроллер домена, который содержит устаревшие объекты. Это определяется из описания ошибки 1988, но он упоминает исходный контроллер домена по его шестнадцатеричной GUID, а не его имени. Вы можете выбрать каждого партнера репликации для эталонного контроллера домена в свою очередь.
7. После того как для контроллера домена и целевого контроллера домена выбраны эталонный контроллер домена, нажмите Кнопка Обнаружить устаревшие объекты. Все обнаруженные устаревшие объекты перечислены и автоматически выбраны в верхней панели. Журнал сканирования производится на нижней панели и записывается в файл. Если устаревшие объекты не обнаружены, проверьте правило брандмауэра на шаге 1.
8. Если устаревшие объекты не удалены, очистите их.
9. Нажмите Удалить выбранные устаревшие объекты. Все выбранные устаревшие объекты удаляются.
10. При необходимости выполните дальнейшие проверки.