Błąd 1988 pojawia się w dzienniku zdarzeń usługi katalogowej kontrolera domeny Active Directory

Błąd 1988 pojawia się w dzienniku zdarzeń usługi katalogowej kontrolera domeny (DC):
 
Kolejny tekst w opisie zdarzenia wskazuje źródłowy kontroler DOMENY, wykryty obiekt pokutujący oraz zalecany przebieg działania. Pełny opis zdarzenia jest długi.

W dzienniku zdarzeń usługi katalogowej danego kontrolera DC mogą pojawić się inne ostrzeżenia i błędy.

Obiekty pokutujące są usuwane i gromadzone śmieci z bazy danych usługi AD na kontrolerze domeny, ale nadal istnieją na co najmniej jednym innym kontrolerze domeny. Dzieje się tak w wyniku trwałej awarii replikacji między kontrolerami domen, jak pokazano w poniższym przykładzie.

Załóżmy, że w domenie znajdują się trzy kontrolery domen; PRĄD STAŁY 1, DC2 i DC3. Ścisła spójność replikacji jest włączona we wszystkich trzech kontrolerach domeny, ale wszystkie trzy mogą być replikowany z rozbieżnymi partnerami. (Więcej informacji na temat tych koncepcji można znaleźć poniżej). Ich bazy danych AD są zsynchronizowane. Następujące zdarzenia występują następnie w kolejności chronologicznej:

1. Dc1 jest w trybie offline, umyślnie lub przez jakiś awarię.
2. Istniejący wcześniej obiekt o nazwie User1 jest usuwany na kontrolerze DC2. Dc3 replikuje usunięcie z DC2 jako obiekt reliktu. Kontroler DC1 pozostaje w trybie offline i nie odbiera obiektu reliktu.
3. Okres istnienia reliktu (TSL) przechodzi, a KONTROLER DC1 pozostaje w trybie offline. Obiekt reliktu Użytkownika 1 zostaje trwale usunięty ("zebrane śmieci") z kontrolerów DC2 i DC3. Użytkownik 1 nie istnieje już na tych dwóch kontrolerach domen.
4. Kontroler DC1 jest wprowadzany do trybu online. Zawiera obiekt pokutający (User1), chociaż na razie nie ma to żadnego wpływu.
5. Edycja odbywa się w atrybucie User1 na kontrolerze DC1.
6. Dc2 i DC3 są powiadamiane o zmianie (edycja na User1).
7. Kiedy kontrolery DC2 i DC3 próbują replikować zmianę z dc1, każdy z nich wykrywa, że Użytkownik1 nie istnieje w lokalnych bazach danych.
8. Próba replikacji z DC1 jest zapobiegana na kontrolerach DC2 i DC3, a błąd 1988 jest rejestrowany w dziennikach zdarzeń usługi katalogowej.

Kontroler dc z błędem 1988 nie jest kontrolerem dc, który zawiera obiekty pokutujące. Błąd oznacza, że obiekty pokutujące są wykrywane na jednym z partnerów replikacji. Kontroler domeny z tym błędem nie replikuje danych AD z kontrolera domeny partnera wskazanego w błędzie, ale może nadal replikować się od innych partnerów.

Ten błąd oznacza, że na lokalnym kontrolerze domeny włączono ścisłą spójność replikacji , ponieważ próba replikacji nie wystąpiła. Ścisła spójność replikacji jest domyślnie włączona. Służy do wykrywania obiektów pokutującej i zapobiegania ponownemu wprowadzaniu ich do domeny po usunięciu.

Błąd oznacza również, że replikacja rozbieżna jest włączona. Kiedy ta opcja jest włączona, kontroler domeny może replikować się od partnera, który jest nieosiągalny przez dłuższy czas niż TSL lasu. Replikacja rozbieżna niejest domyślnie włączona, ale może być włączana ręcznie przez administratora.

Nie zaleca się próby rozwiązania problemu poprzez wyłączenie ścisłej spójności replikacji. Umożliwia to replikację obiektów pokutujących, potencjalnie przywracając trwale usunięte obiekty do domeny.

Zamiast tego obiekty pokutujące powinny zostać usunięte z kontrolerów domen, na których istnieją. Opis zdarzenia błędu 1988 zawiera instrukcje dotyczące usuwania ich za pomocą poleceń repadmin . Polecenia te mogą być jednak uciążliwe, ponieważ musi być znany unikatowy identyfikator globalnie (GUID) co najmniej jednego kontrolera domeny. Co więcej, jednocześnie można skanować tylko jeden kontekst nazewnictwa. Firma Microsoft opublikowała narzędzie likwidujące obiekty pokutujące (FALCON), które znacznie upraszcza ten proces. Zapewnia graficzny interfejs do lokalizowania i usuwania obiektów pokutujących w lesie usługi AD.

Powyższe łącze zawiera omówienie narzędzia, jego wymagań i łącze do strony pobierania. Poniższe instrukcje zakładają, że MENU DVD i jego wymagania wstępne są już zainstalowane na kontrolerze domeny.

1. Upewnij się, że reguła zapory zdalnego zarządzania dziennikami zdarzeń (RPC) jest włączona we wszystkich skanowanych kontrolerach domen.
2. Uruchom APLIKACJĘ DOKUJĄCĄ.
3. Kliknij opcję Wykryj topologię AD. Narzędzie gromadzi informacje na temat kontrolerów domen w lesie AD.
4. Z listy rozwijanej Kontekst nazewnictwa wybierz kontekst nazewnictwa, w którym istnieje co najmniej jeden obiekt pokutujący. Wynika to z opisu błędu 1988. Można również wybrać opcję [Scan All NCs] , aby przeskanować wszystkie konteksty nazewnictwa pod kątem obiektów pokutujących.
5. Z listy rozwijanej Referencyjny kontroler DC wybierz kontroler domeny z błędem 1988 w dzienniku usługi katalogowej.
6. Z listy rozwijanej Docelowego kontrolera domeny wybierz kontroler domeny, który zawiera obiekty pokutujące. Ustalono to na podstawie opisu błędu 1988, ale wymienia źródłowy kontroler domeny za pomocą szesnastkowy guiD, a nie jego nazwy. Z kolei można wybrać każdego partnera replikacji referencyjnego kontrolera domeny.
7. Po wybraniu referencyjnego kontrolera domeny i docelowego kontrolera domeny kliknij opcję Wykryj obiekty pokutującej. Wszystkie wykryte obiekty pokutującej są wyświetlane i automatycznie zaznaczone w górnym okienku. Dziennik skanowania jest produkowany w dolnym okienku i zapisywany w pliku. Jeśli nie zostaną wykryte żadne obiekty pokutującej, sprawdź regułę zapory w kroku 1.
8. Jeśli nie zostaną usunięte żadne obiekty pokutuające, wyczyść je.
9. Kliknij przycisk Usuń zaznaczone obiekty pokutuające. Wszystkie wybrane obiekty pokutowane zostaną usunięte.
10. Wykonaj dalsze skanowanie w razie potrzeby.