Compartir a través de

Id. de evento de replicación de Active Directory 1388 o 1988: se detecta un objeto persistente

  • Artículo

Este artículo le ayuda a solucionar problemas del identificador de evento de replicación de Active Directory 1388 y 1988.

Se aplica a: Windows Server (todas las versiones con soporte)
Número de KB original: 4469619

Resumen

Si un controlador de dominio de destino registra el identificador de evento 1388 o el identificador de evento 1988, se ha detectado un objeto persistente y existe una de estas dos condiciones en el controlador de dominio de destino:

  • Id. de evento 1388: la replicación entrante del objeto persistente se ha producido en el controlador de dominio de destino.
  • Id. de evento 1988: la replicación entrante de la partición de directorio del objeto persistente se ha bloqueado en el controlador de dominio de destino.

Identificador de evento 1388

Este evento indica que un controlador de dominio de destino que no tiene habilitada la coherencia de replicación estricta ha recibido una solicitud para actualizar un objeto que no reside en la copia local de la base de datos de Active Directory. En respuesta, el controlador de dominio de destino solicitó el objeto completo del asociado de replicación de origen. De este modo, se ha replicado un objeto persistente en el controlador de dominio de destino. Por lo tanto, el objeto persistente se introdujo en el directorio.

Importante

Cuando se produce el identificador de evento 1388, no puede usar liquidador de objetos persistentes v2 (LOLv2) ni la herramienta Repadmin para quitar objetos persistentes.

Para obtener información sobre cómo quitar objetos persistentes en este caso, vea:

Los procedimientos e información de este artículo se aplican a la eliminación de objetos persistentes de servidores de catálogo global, así como de controladores de dominio que no son servidores de catálogo globales.

El texto del evento identifica el controlador de dominio de origen y el objeto obsoleto (persistente). A continuación se muestra un ejemplo del texto del evento:

Nombre del registro: Servicio de directorio
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 3/5/2008 3:34:01 p. m.
Identificador de evento: 1388
Categoría de tarea: Replicación
Nivel: error
Palabras clave: clásica
Usuario: INICIO DE SESIÓN ANÓNIMO
Equipo: Descripción: DC3.contoso.com otro controlador de dominio (DC) ha intentado replicar en este controlador de dominio un objeto que no está presente en la base de datos local Servicios de dominio de Active Directory. Es posible que el objeto se haya eliminado y ya se haya recolectado elementos no utilizados (una duración de lápida o más desde que se eliminó el objeto) en este controlador de dominio. El conjunto de atributos incluido en la solicitud de actualización no es suficiente para crear el objeto. El objeto se volverá a solicitar con un conjunto de atributos completo y se volverá a crear en este controlador de dominio.

Controlador de dominio de origen (dirección de red específica del transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto:
CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID de objeto: a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a
Partición de directorio:
DC=contoso,DC=com
USN de la propiedad más alta de destino: 20510
Acción del usuario
Compruebe el deseo continuado de la existencia de este objeto. Para dejar de crear objetos similares futuros, se debe crear la siguiente clave del Registro.

Claves del Registro:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

Identificador de evento 1988

Este evento indica que un controlador de dominio de destino que tiene habilitada la coherencia de replicación estricta ha recibido una solicitud para actualizar un objeto que no existe en su copia local de la base de datos de Active Directory. En respuesta, el controlador de dominio de destino bloqueó la replicación de la partición de directorio que contiene ese objeto de ese controlador de dominio de origen. El texto del evento identifica el controlador de dominio de origen y el objeto obsoleto (persistente). A continuación se muestra un ejemplo del texto del evento:

Nombre del registro: Servicio de directorio
Origen: Microsoft-Windows-ActiveDirectory_DomainService
Fecha: 2/7/2008 8:20:11: Id. de evento: 1988
Categoría de tarea: Replicación
Nivel: error
Palabras clave: clásica
Usuario: INICIO DE SESIÓN ANÓNIMO
Equipo: DC5.contoso.com
Descripción:
Servicios de dominio de Active Directory Replicación encontró la existencia de objetos en la siguiente partición que se han eliminado de la base de datos de controladores de dominio locales (CONTROLADORES de dominio) Servicios de dominio de Active Directory. No todos los asociados de replicación directa o transitiva se replicaron en la eliminación antes de que pasara el número de duración de la piedra de exclusión. Los objetos que se han eliminado y no utilizados recopilados de una partición de Servicios de dominio de Active Directory, pero que siguen existiendo en las particiones grabables de otros controladores de dominio del mismo dominio o particiones de solo lectura de servidores de catálogo global en otros dominios del bosque se conocen como "objetos persistentes".

Este evento se registra porque el controlador de dominio de origen contiene un objeto persistente que no existe en los controladores de dominio locales Servicios de dominio de Active Directory base de datos. Este intento de replicación se ha bloqueado.

La mejor solución a este problema es identificar y quitar todos los objetos persistentes del bosque.

Controlador de dominio de origen (dirección de red específica del transporte):
4a8717eb-8e58-456c-995a-c92e4add7e8e._msdcs.contoso.com
Objeto: CN=InternalApps,CN=Users,DC=contoso,DC=com
GUID del objeto:
a21aa6d9-7e8a-4a8f-bebf-c3e38d0b733a

Diagnóstico

Un objeto que se ha eliminado permanentemente de AD DS (es decir, su lápida se ha recolectado de elementos no utilizados en todos los controladores de dominio conectados) permanece en un controlador de dominio desconectado. El controlador de dominio no pudo recibir la replicación directa o transitiva de la eliminación del objeto porque se desconectó (está sin conexión o experimenta un error de replicación entrante) de la topología de replicación durante un período que superó una duración de lápida. El controlador de dominio ahora se vuelve a conectar a la topología y ese objeto se ha actualizado en el controlador de dominio, lo que provoca una notificación de replicación al asociado de replicación que una actualización está lista para la replicación. El asociado de replicación respondió según su configuración de coherencia de replicación. Esta notificación se aplica a los intentos de replicación de un objeto grabable. Es posible que también exista una copia del objeto persistente grabable en un servidor de catálogo global.

Solución

Si se detecta la replicación de un objeto persistente, puede quitar el objeto de AD DS, junto con las réplicas de solo lectura del objeto, mediante loLv2 mediante la identificación de los controladores de dominio que podrían almacenar este objeto (incluidos los servidores de catálogo globales) y quitarlo mediante la herramienta LOLv2 o mediante la ejecución de un comando repadmin para quitar objetos persistentes en estos servidores (repadmin /removelingeringobjects). Este comando está disponible en controladores de dominio que ejecutan la versión compatible de Windows Server.

Para quitar objetos persistentes, haga lo siguiente:

  1. Use el texto del evento para identificar lo siguiente:
    1. Partición de directorio del objeto
    2. Controlador de dominio de origen que intentó la replicación del objeto persistente
  2. Use Repadmin para identificar el GUID de un controlador de dominio autoritativo.
  3. Use LOLv2 o Repadminpara quitar objetos persistentes.
  4. Habilite la coherencia estricta de la replicación, si es necesario.
  5. Asegúrese de que la coherencia estricta de la replicación está habilitada para los controladores de dominio recién promocionados, si es necesario.

Use Repadmin para identificar el GUID de un controlador de dominio autoritativo:

Para realizar el procedimiento que quita objetos persistentes, debe identificar el identificador único global (GUID) de un controlador de dominio actualizado que tiene una réplica grabable de la partición de directorio que contiene el objeto persistente que se ha notificado. La partición del directorio se identifica en el mensaje de evento. El GUID de objeto de un controlador de dominio se almacena en el atributo objectGUID del objeto CONFIGURACIÓN NTDS.

Requisitos:

  • La pertenencia a administradores de dominio en el dominio del controlador de dominio cuyo GUID desea identificar es el mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados de dominio y local.
  • Herramienta: Repadmin.exe

Pasos para identificar el GUID de un controlador de dominio:

  1. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    repadmin /showrepl <ServerName>
    Parámetro Descripción
    /showrepl Muestra el estado de replicación, incluido cuando el controlador de dominio especificado por ServerName> intentó por <última vez la replicación entrante de particiones de Active Directory. También muestra el GUID del controlador de dominio especificado.
    <ServerName> Nombre del controlador de dominio cuyo GUID desea mostrar.

  2. En la primera sección de la salida, busque la entrada objectGuid . Seleccione y copie el valor guid en un archivo de texto para que pueda usarlo en otro lugar.

Use LOLv2 o Repadmin para quitar objetos persistentes:

Requisitos:

  • La pertenencia a administradores de dominio en el dominio del controlador de dominio que tiene objetos persistentes o administradores de empresa si la partición de directorio que tiene objetos persistentes es la configuración o partición de directorio de esquema, es el mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados de dominio y local.

  • Sistema operativo: versión compatible de Windows Server.

  • El método preferido para quitar objetos persistentes es usar LOLv2. En algunos casos, donde no se puede usar LOLv2, puede usar Repadmin.exe

Más información sobre LOLv2:

Pasos para usar Repadmin para quitar objetos persistentes:

  1. Abra un símbolo del sistema como administrador: en el menú Inicio, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, proporcione credenciales de administradores de dominio o administradores de empresa, si es necesario, y haga clic en Continuar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode
    Parámetro Descripción
    /removelingeringobjects Quita los objetos persistentes del controlador de dominio especificado por <ServerName> para la partición de directorio especificada por <DirectoryPartition>.
    <ServerName> Nombre del controlador de dominio que tiene objetos persistentes, como se identifica en el mensaje de evento (id. de evento 1388 o id. de evento 1988). Puede usar el nombre del sistema de nombres de dominio (DNS) o el nombre distintivo, por ejemplo, el nombre distintivo CN=DC5,OU=Controladores de dominio,DC=contoso,DC=com o el nombre DC5.contoso.comDNS .
    <ServerGUID> GUID de un controlador de dominio que tiene una réplica grabable actualizada de la partición de directorio que contiene el objeto persistente.
    <DirectoryPartition> Nombre distintivo de la partición de directorio que se identifica en el mensaje de evento, por ejemplo:
    • Para la partición del directorio de dominio sales en el contoso.com bosque: DC=sales,DC=contoso,DC=com
    • Para la partición del directorio de configuración en el contoso.com bosque: CN=configuration,DC=contoso,DC=com
    • Para la partición del directorio de esquema en el contoso.com bosque: CN=schema,CN=configuration,DC=contoso,DC=com
    /advisory_mode Registra los objetos persistentes que se quitarán para que pueda revisarlos, pero no los quita.

  3. Repita el paso 2 sin /advisory_mode eliminar los objetos persistentes identificados de la partición del directorio.

  4. Repita los pasos 2 y 3 para cada controlador de dominio que pueda tener objetos persistentes.

Nota:

El <parámetro ServerName> usa la sintaxis DC_LIST para repadmin, que permite el uso de * para todos los controladores de dominio del bosque y gc: para todos los servidores de catálogo global del bosque. Para ver la sintaxis de DC_LIST, escriba repadmin /listhelp. Para obtener información sobre la sintaxis de los /regkey parámetros y /removelingeringobjects , escriba repadmin /experthelp.

Habilite la coherencia estricta de la replicación:

Para asegurarse de que los objetos persistentes no se pueden replicar si se producen, habilite la coherencia estricta de la replicación en todos los controladores de dominio. La configuración de coherencia de replicación se almacena en el Registro en cada controlador de dominio. Sin embargo, en los controladores de dominio que ejecutan la versión compatible de Windows Server, puede usar Repadmin para habilitar la coherencia de replicación estricta en uno o todos los controladores de dominio.

Use Repadmin para habilitar la coherencia estricta de la replicación:

Use este procedimiento para quitar objetos persistentes en un controlador de dominio que ejecuta la versión compatible de Windows Server.

La pertenencia a administradores de dominio, o equivalente, es el mínimo necesario para completar este procedimiento en un único controlador de dominio. La pertenencia a administradores de empresa, o equivalente, es el mínimo necesario para completar este procedimiento en todos los controladores de dominio del bosque. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados de dominio y local.

Pasos para usar Repadmin para habilitar la coherencia estricta de la replicación:

  1. Abra un símbolo del sistema como administrador: en el menú Inicio, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, proporcione credenciales de administradores de dominio o administradores de empresa, si es necesario, y haga clic en Continuar.

  2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    repadmin /regkey <DC_LIST> +strict
    Parámetro Descripción
    /regkey Habilita (+) y deshabilita (-) el valor de la entrada del Registro De coherencia de replicación estricta en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
    <DC_LIST> Nombre de un único controlador de dominio o * para aplicar el cambio a todos los controladores de dominio del bosque. Para el nombre del controlador de dominio, puede usar el nombre DNS, el nombre distintivo del objeto de equipo del controlador de dominio o el nombre distintivo del objeto de servidor del controlador de dominio, por ejemplo, el nombre distintivo CN=DC5,OU=Controladores de dominio,DC=contoso,DC=com o el nombre DC5.contoso.comDNS .
    +strict Habilita la entrada del Registro de coherencia de replicación estricta.

  3. Si no usa * para aplicar el cambio a todos los controladores de dominio, repita el paso 2 para cada controlador de dominio en el que quiera habilitar la coherencia estricta de replicación.

Nota:

Para obtener más opciones de nomenclatura e información sobre la sintaxis del <parámetro DC_LIST> , en el símbolo del sistema, escriba repadmin /listhelp. Para obtener información sobre la sintaxis de los /regkey parámetros y /removelingeringobjects , escriba repadmin /experthelp.

Use Regedit para habilitar la coherencia estricta de la replicación:

Como alternativa al uso de Repadmin, puede habilitar la coherencia estricta de la replicación editando el registro directamente. La configuración de la coherencia de replicación se almacena en la entrada Coherencia de replicación estricta en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Los valores de la entrada del Registro Strict Replication Consistency son los siguientes:

  • Valor: 1 (0 para deshabilitar)

  • Valor predeterminado: 1 (habilitado) en un nuevo Windows Server; de lo contrario, 0.

  • Tipo de datos: REG_DWORD

Requisitos:

  • La pertenencia a Administradores de dominio, o equivalente, es lo mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados de dominio y local.
  • Herramienta: Regedit.exe

Nota:

Te recomendamos que no modifiques directamente el Registro a menos que no haya ninguna otra alternativa. Ni el editor del Registro ni Windows validan las modificaciones del Registro antes de que se apliquen. Como resultado, se pueden almacenar valores incorrectos. Esto puede dar lugar a errores irrecuperables en el sistema. Cuando sea posible, en lugar de modificar el Registro directamente, usa la directiva de grupo u otras herramientas de Windows, como Microsoft Management Console (MMC) para realizar las tareas. Si tienes que modificar el registro, ten mucha precaución.

Pasos para usar Regedit para habilitar la coherencia estricta de la replicación

  1. Abra Regedit como administrador: haga clic en Inicio y, a continuación, en Iniciar búsqueda, escriba regedit. En la parte superior del menú Inicio , haga clic con el botón derecho en regedit.exe y, a continuación, haga clic en Ejecutar como administrador. En el cuadro de diálogo Control de cuentas de usuario, proporcione credenciales de administradores de dominio y, a continuación, haga clic en Aceptar.

  2. Vaya a la entrada Coherencia de replicación estricta en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

  3. Establezca el valor en la entrada Coherencia de replicación estricta en 1.

Asegúrese de que la coherencia estricta de la replicación está habilitada para los controladores de dominio recién promocionados

Si va a actualizar un bosque creado originalmente con un equipo que ejecuta Windows 2000 Server, debe asegurarse de que el bosque está configurado para habilitar la coherencia estricta de replicación en controladores de dominio recién promocionados para ayudar a evitar objetos persistentes. Después de actualizar el bosque como se describe en (Actualizar Dominio de Active Directory a Windows Server 2008 y Windows Server 2008 R2 AD DS Domains), todos los nuevos controladores de dominio que agregue posteriormente al bosque se crean con una coherencia de replicación estricta deshabilitada. Sin embargo, puede implementar un cambio de configuración de bosque que haga que los nuevos controladores de dominio tengan habilitada la coherencia estricta de replicación. Para asegurarse de que los nuevos controladores de dominio que agregue al bosque tengan habilitada la coherencia de replicación estricta, puede usar la herramienta Ldifde.exe para crear un objeto en la partición del directorio de configuración del bosque. Este objeto es responsable de habilitar la coherencia estricta de la replicación en cualquier controlador de dominio nuevo que se promueva en el bosque.

El objeto que se crea es un GUID operativo con el nombre siguiente:

CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>

Puede usar el procedimiento siguiente en cualquier controlador de dominio del bosque para agregar este objeto a la partición del directorio de configuración.

La pertenencia a Administradores de empresa, o equivalente, es lo mínimo necesario para completar este procedimiento. Revise los detalles sobre el uso de las cuentas y pertenencias a grupos adecuadas en Grupos predeterminados de dominio y local.

Pasos para crear el objeto que garantiza la coherencia estricta de la replicación en los nuevos controladores de dominio

  1. En un editor de texto, como el Bloc de notas, cree el siguiente archivo de texto:

    Dn:
    CN=94fdebc6-8eeb-4640-80de-ec52b9ca17fa,CN=Operations,CN=ForestUpdates,CN=Configuration,DC=<ForestRootDomain>
    changetype: add
    objectClass: contenedor
    showInAdvancedViewOnly: TRUE
    name: 94fdebc6-8eeb-4640-80de-ec52b9ca17fa
    objectCategory: CN=Container,CN=Schema,CN=Configuration,DC=<ForestRootDomain>

  2. Donde <ForestRootDomain> contiene todos los componentes de dominio (DC=) del dominio raíz del bosque, por ejemplo, para el contoso.com bosque, DC=contoso,DC=com; para el fineartschool.net bosque, DC=fineartschool,DC=net.

  3. Abra un símbolo del sistema como administrador: en el menú Inicio, haga clic con el botón derecho en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, proporcione las credenciales de administradores de empresa, si es necesario, y haga clic en Continuar.

  4. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

    ldifde -i -f <Path>\<FileName>
    Parámetro Descripción
    -i Especifica el modo de importación. Si no se especifica el modo de importación, el modo predeterminado es exportar.
    -f Identifica el nombre del archivo de importación o exportación.
    <Path>\<FileName> Ruta de acceso y nombre del archivo de importación que creó en el paso 1, por ejemplo, C:\ldifde.txt.

    Para obtener información sobre el uso de Ldifde, consulte LDIFDE.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de replicación de Active Directory.