O erro 1988 é exibido no registro de eventos do serviço de diretório de um controlador de domínio do Active Directory

O erro 1988 é exibido no registro de eventos do Serviço de diretório de um controlador de domínio (DC):
 
Um texto adicional na descrição do evento indica o DC de origem, o objeto persistente detectado e um curso de ação recomendado. A descrição completa do evento é longa.

Outros avisos e erros podem aparecer no registro de eventos do Serviço de diretório de um DC afetado.

Objetos persistentes são excluídos e o lixo é coletado do banco de dados do AD em um DC, mas ainda existem em pelo menos um outro DC. Isso ocorre como resultado de uma falha de replicação persistente entre os DCs, conforme mostrado no exemplo a seguir.

Suponha que haja três DCs em um domínio; DC1, DC2 e DC3. A consistência rigorosa de replicação é habilitada em todos os três DCs, mas todos os três têm permissão para replicar com parceiros divergentes. (Consulte abaixo para obter mais informações sobre esses conceitos.) Os bancos de dados do AD estão sincronizados. Em seguida, os seguintes eventos ocorrem em ordem cronológica:

1. O DC1 é colocado off-line, deliberadamente ou por algum tipo de defeito.
2. Um objeto preexistente com o nome User1 é excluído no DC2. O DC3 replica a exclusão do DC2 como um objeto de marca de exclusão. O DC1 permanece off-line e não recebe o objeto da marca de exclusão.
3. A duração da marca de exclusão (TSL) é aprovada e o DC1 permanece off-line. O objeto da marca de exclusão User1 é excluído permanentemente ("lixo coletado") do DC2 e DC3. O User1 não existe mais nesses dois DCs.
4. O DC1 é colocado on-line. Ele contém um objeto persistente (User1), embora isso não tenha efeito por enquanto.
5. Uma edição é feita a um atributo de User1 no DC1.
6. DC2 e DC3 são notificados sobre uma alteração (a edição para User1).
7. Quando o DC2 e o DC3 tentarem replicar a alteração do DC1, cada um detecta que o Usuário 1 não existe em seus bancos de dados locais.
8. A tentativa de replicação do DC1 é impedida no DC2 e no DC3, e o erro 1988 é registrado em seus registros de eventos do Serviço de diretório.

O DC com o erro 1988 não é o DC que contém objetos persistentes. O erro indica que objetos persistentes são detectados em um de seus parceiros de replicação. Um DC com esse erro não replica dados do AD do DC parceiro indicado no erro, mas ainda pode replicar de outros parceiros.

Esse erro implica que a consistência rígida de replicação está habilitada no DC local, pois a tentativa de replicação não ocorre. A consistência rígida da replicação é habilitada por padrão. Ele tem como objetivo detectar objetos persistentes e impedir que eles sejam reintroduzidos no domínio após a exclusão.

O erro também implica que a replicação divergente está habilitada. Quando isso é ativado, um DC pode replicar de um parceiro inacessível por mais tempo do que o TSL da floresta. A replicação divergente nãoestá habilitada por padrão, mas pode ser ativada manualmente por um administrador.

Não é recomendável tentar resolver o problema desabilitando a consistência rígida de replicação. Isso permite que objetos persistentes sejam replicados, possivelmente reintroduzindo objetos excluídos permanentemente no domínio.

Em vez disso, objetos persistentes devem ser removidos dos DCs nos quais eles existem. A descrição do evento do erro 1988 contém instruções para removê-los usando comandos repadmin . No entanto, esses comandos podem ser complicados, pois o GUID (Globally Unique Identifier, identificador globalmente exclusivo) de pelo menos um DC deve ser conhecido. Além disso, apenas um contexto de nomenclatura pode ser verificado por vez. A Microsoft publicou uma ferramenta, o LoL (Lingering Object Liquidator, liquidador de objetos persistentes), que simplifica muito esse processo. Ele fornece uma interface gráfica para localizar e remover objetos persistentes em uma floresta do AD.

O link acima fornece uma visão geral da ferramenta, seus requisitos e um link para sua página de download. O passo a passo a seguir pressupõe que a LOL e seus pré-requisitos já estejam instalados em um DC.

1. Certifique-se de que a regra de firewall RPC (Remote Event Log Management) esteja habilitada em todos os DCs examinados.
2. Inicie a LOL.
3. Clique em Detectar topologia do AD. A ferramenta coleta informações sobre os DCs na floresta do AD.
4. Na lista drop-down Contexto de nomenclatura, selecione o contexto de nomenclatura no qual existe um ou mais objetos persistentes. Isso é obtido com a descrição do erro 1988. Como alternativa, selecione [Scan All NCs] para verificar todos os contextos de nomenclatura de objetos persistentes.
5. Na lista drop-down Dc de referência, selecione o DC que tem o erro 1988 em seu registro de serviço de diretório.
6. Na lista suspensa Target DC , selecione um DC que contém objetos persistentes. Isso é determinado a partir da descrição do erro 1988, mas menciona o DC de origem por seu GUID hexadecimal em vez de seu nome. Por sua vez, você pode selecionar cada parceiro de replicação do DC de referência.
7. Depois que um DC de referência e o DC de destino forem escolhidos, clique em Detectar objetos persistentes. Todos os objetos persistentes detectados são listados e selecionados automaticamente no painel superior. Um registro da verificação é produzido no painel inferior e gravado em um arquivo. Se nenhum objeto persistente for detectado, verifique a regra de firewall na etapa 1.
8. Se algum objeto persistente não for removido, limpe-os.
9. Clique em Remover objetos persistentes selecionados. Todos os objetos persistentes selecionados são removidos.
10. Faça verificações adicionais conforme necessário.