none
В AD не удается удалить пользователей. RRS feed

  • Общие обсуждения

  • Здравствуйте коллеги! Имеется 2 кд, на одном из них имеется папка с юзерами, которой  нет на втором. При попытке удалить ее или пользователей - " Не удалось удалить объект по следующей причине: запрошенный объект имеет не уникальный идентификатор, поэтому его невозможно извлечь". 

    В журнале ошибка репликации 1988:

                 

    "В ходе репликации службы доменов Active Directory обнаружили существующие объекты в следующем разделе , который был удален из базы данных служб доменов Active Directory локальных контроллеров доменов.  Не все прямые или переходные партнеры репликации провели репликацию с удалением до того, как прошло количество дней, заданное как время жизни захоронения.  Объекты, удаленные и собранные как мусор из раздела доменных служб Active Directory, но все еще существующие на записываемых разделах других контроллеров доменов в том же домене, или разделах только для чтения глобальных серверов каталогов в других доменах леса, называются устаревшими объектами. 

    Исходный контроллер домена: 
    41124dda-a416-44d3-b1b5-f0fb5908e495._msdcs.gimnasium.com.ua 
    Объект: 
    CN=**,OU=**,OU=Students,DC=gimnasium,DC=com,DC=ua 
    GUID объекта: 
    5141dfa2-3a12-4aac-a0a1-88bc7a2d5ff7  Это событие попало в журнал, поскольку в исходном контроллере домена имеется устаревший объект, не существующий в базе данных служб доменов Active Directory локального контроллера домена.  Попытка репликации была заблокирована.
     Наилучшее решение этой проблемы - определить и удалить все устаревшие объекты из леса.
    Действие пользователя:
    Удалить устаревшие объекты:
     Подробный план действий по исправлению этой ошибки можно найти по адресу http://support.microsoft.com/?id=314282.

     Если и исходный, и конечный контроллеры домена основаны на Windows Server 2003, установите средства поддержки с установочного компакт-диска.  Чтобы отобразить список удаляемых объектов, не выполняя собственно удаление, запустите команду "repadmin /removelingeringobjects <исходный_контроллер_домена> <DSA_GUID_конечного_контроллера_домена> <контроллер_сети> /ADVISORY_MODE". В журналах событий на исходном контроллере доменов будут перечислены все устаревшие объекты.  Для удаления устаревших объектов с исходного контроллера домена выполните команду "repadmin /removelingeringobjects <исходный_контроллер_домена> <DSA_GUID_конечного_контроллера_домена> <контроллер_сети>".

     Если исходный или конечный контроллер домена является контроллером домена Windows 2000 Server, дополнительные сведения об удалении устаревших объектов с исходного контроллера домена можно найти по адресу http://support.microsoft.com/?id=314282 или получить у регионального представителя службы поддержки корпорации Майкрософт.

     Если необходимо, чтобы репликация служб доменов Active Directory работала непрерывно при любых условиях, а времени на удаление устаревших объектов нет, разрешите нестрогую проверку соответствия путем отключения следующего раздела реестра:

    Раздел реестра:
    HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

     Ошибки репликации между контроллерами доменов с общим разделом могут привести к тому, что пользовательские учетные записи и данные о компьютерах, отношения доверия, их пароли, группы безопасности, членства в группах безопасности и другие данные конфигурации служб доменов Active Directory будут различаться на разных контроллерах доменов, что, в свою очередь, может повлиять на возможность входа в систему, поиск нужных объектов и выполнение других ключевых действий. Эти несоответствия будут устранены после того, как будут устранены ошибки репликации.  Контроллеры доменов, которым не удалось выполнить входящую репликацию удаленных объектов в течение периода времени жизни захоронения, будут сохранять несогласованность до тех пор, пока устаревшие объекты не будут удалены администратором вручную с каждого локального контроллера домена.

     Чтобы предотвратить возникновение устаревших объектов, необходимо убедиться, что на всех контроллерах доменов в этом лесу запущены доменные службы Active Directory, что все они соединены покрывающим деревом репликации и выполняют входящую репликацию до истечения срока жизни захоронения."

    Пытался сделать как все описано по ссылке, через ldap - пишет объект не найден. Помогите разобраться!

Все ответы

  • Привет,

    Оба контролера на 2012?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор
  • Пытался сделать как все описано по ссылке, через ldap - пишет объект не найден. Помогите разобраться!

    Зачем LDAP? У вас - Windows 2000 на КД?

    Если нет, то для удаления застрявших объектов используется команда repadmin /removelingeringobjects.

    Как это делается - см., например, в Technet Library

    А лучше всего понизить второй КД  - придется это сделать принудительно и удалить потом  с него объект NTDS Settings (в AD Sites and Services, если КД стоит на Win2K8 и выше) - и повысить его заново: это проще, чем пытаться восстановить репликацию после истечения времени жизни захороненных объектов.

    И да, в процессе или после устранения проблемы, прежде всего, убедитесь, что репликация у вас работает без проблем - иначе через 60 или 180 дней получите аналогичную проблему.


    Слава России!

  • Да, оба на 2012.
  • repadmin /syncall и /showrepl  показывают, что ошибок нет, можно ли считать, что с репликой все в норме?
  • Да, репликация у вас работает. Можно искать и чистить застрявшие объекты.


    Слава России!


    • Изменено M.V.V. _ 23 мая 2014 г. 9:18
  • Сделал  RemoveLingeringObjects, пишет команда выполнена успешно, объект в ад остался и не удаляется, все то же.

     
  • Полагаю, что вы непарвильно указали в команде эталонный сервер и сервер, на котором нужно удалить затрявший объект: у команды весьма туманный синтаксис, там легко перепутать.


    Слава России!