DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 314282 - Última revisão: quinta-feira, 29 de março de 2007 - Revisão: 8.7

Download do Hotfix Disponível
Visualizar e solicitar downloads de hotfix
 
 
Aviso
Este artigo se aplica ao Windows 2000. Suporte 2000 termina em 13 de julho de 2010.Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) é um ponto de partida para planejar uma estratégia de migração do Windows 2000. Para obter mais informações, consulte a Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .

Nesta página

Sintomas

Após você trazer online novamente um controlador de domínio ou servidor de catálogo global foi offline por um longo tempo, qualquer um dos seguintes problemas pode ocorrer:
  • Mensagens de email não são entregues a um usuário cujo objeto de usuário foi movido entre domínios. Após você trazer desatualizados controlador de domínio ou servidor de catálogo global online novamente, as duas instâncias do objeto de usuário aparecem no catálogo global. Os dois objetos têm o mesmo endereço de email, portanto, não é possível entregar mensagens de email.
  • Uma conta de usuário que não existe mais ainda aparece na lista de endereços global.
  • Um grupo universal não existe mais ainda aparece no token de acesso do usuário.
Esses problemas podem ocorrer se o controlador de domínio ou servidor de catálogo global foi offline por mais de valor da configuração Tombstone Lifetime.

Causa

Um controlador de domínio (que também pode ser um servidor de catálogo global) que estava offline por mais de valor do Tombstone Lifetime configuração (o valor padrão é 60 dias) pode conter objetos que foram excluídos em outros controladores de domínio ou servidores de catálogo global. Além disso, as marcas para exclusão para esses objetos talvez não exista mais. Quando você colocar o controlador de domínio desatualizados online novamente, não pode ser notificado de exclusões de objeto. Se qualquer um dos objetos são modificados, eles são reativados no resto do domínio.

Para objetos remanescentes replicam em contextos de nomeação de leitura/gravação, o comportamento padrão (afastado consistência de replicação) é para o controlador de domínio de recebimento recriar os objetos que já não estão presentes no banco de dados local (DIT). Esses objetos são replicados, em seguida, volta ao controlador de domínio de origem, efetivamente recriar os objetos excluídos. Se o objeto não deve existir no Active Directory em todos os (por exemplo, se o objeto foi reintroduzido por um controlador de domínio desatualizados), você pode excluir os objetos com as ferramentas padrão (como ADSIEdit ou Active Directory usuários e computadores do snap-in).

É fácil remover objetos remanescentes para contextos de nomeação de leitura/gravação. Este artigo descreve como remover objetos remanescentes já apareceu no catálogo global (e portanto somente leitura) contextos de nomeação. Para obter mais informações sobre problemas de marca para exclusão, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
216993  (http://support.microsoft.com/kb/216993/ ) Vida útil de prateleira de um backup do estado do sistema do Active Directory
Para obter mais informações sobre objetos remanescentes em cópias de leitura/gravação contextos de nomeação, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
317097  (http://support.microsoft.com/kb/317097/ ) Objetos remanescentes impedir a replicação do Active Directory ocorra

Resolução

Informações sobre o service pack

Para resolver esse problema, obtenha o service pack mais recente do Windows 2000. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
260910  (http://support.microsoft.com/kb/260910/ ) Como obter o service pack mais recente do Windows 2000

Informações sobre hotfix

Observação Antes de instalar esse hotfix, leia a seção "Mais informações" inteira neste artigo. A seção "Mais informações" contém informações importantes sobre como instalar e usar esse hotfix.

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas na hora universal coordenada (UTC). Quando você exibir as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.
   Date         Time   Version            Size    File name
   ------------------------------------------------------------
   16-Jan-2002  22:07  5.0.2195.4685     123,664  Adsldp.dll
   16-Jan-2002  22:07  5.0.2195.4762     130,320  Adsldpc.dll
   16-Jan-2002  22:07  5.0.2195.4016      62,736  Adsmsext.dll
   16-Jan-2002  22:07  5.0.2195.4797     356,112  Advapi32.dll
   16-Jan-2002  22:07  5.0.2195.4797      41,744  Basesrv.dll
   11-Dec-2001  03:33  5.0.2195.4571      82,704  Cmnquery.dll
   16-Jan-2002  22:07  5.0.2195.4141     133,904  Dnsapi.dll
   16-Jan-2002  22:07  5.0.2195.4379      91,408  Dnsrslvr.dll
   11-Dec-2001  03:33  5.0.2195.4534      41,744  Dsfolder.dll
   11-Dec-2001  03:33  5.0.2195.4534     156,944  Dsquery.dll
   11-Dec-2001  03:33  5.0.2195.4574     110,352  Dsuiext.dll
   16-Jan-2002  22:16  5.0.2195.4814     521,488  Instlsa5.dll
   16-Jan-2002  22:07  5.0.2195.4630     145,680  Kdcsvc.dll

   27-Nov-2001  01:33  5.0.2195.4680     199,440  Kerberos.dll
   16-Jan-2002  22:07  5.0.2195.4829     708,880  Kernel32.dll
   04-Sep-2001  17:32  5.0.2195.4276      71,024  Ksecdd.sys
   09-Jan-2002  19:50  5.0.2195.4814     503,568  Lsasrv.dll
   09-Jan-2002  19:50  5.0.2195.4814      33,552  Lsass.exe
   08-Dec-2001  01:05  5.0.2195.4745     107,280  Msv1_0.dll
   16-Jan-2002  22:07  5.0.2195.4594     306,960  Netapi32.dll
   16-Jan-2002  22:07  5.0.2195.4686     359,184  Netlogon.dll
   16-Jan-2002  22:07  5.0.2195.4797     476,432  Ntdll.dll
   16-Jan-2002  22:07  5.0.2195.4827     916,240  Ntdsa.dll
   15-Jan-2002  09:34  5.0.2195.4839   1,688,192  Ntkrnlmp.exe
   15-Jan-2002  09:36  5.0.2195.4839   1,687,744  Ntkrnlpa.exe
   15-Jan-2002  09:36  5.0.2195.4839   1,708,480  Ntkrpamp.exe
   15-Jan-2002  09:34  5.0.2195.4839   1,665,856  Ntoskrnl.exe
   16-Jan-2002  22:07  5.0.2195.4827     388,368  Samsrv.dll
   16-Jan-2002  22:07  5.0.2195.4583     128,784  Scecli.dll
   16-Jan-2002  22:07  5.0.2195.4600     299,792  Scesrv.dll
   16-Jan-2002  22:07  5.0.2195.4600      48,400  W32time.dll
   06-Nov-2001  20:43  5.0.2195.4600      56,592  W32tm.exe
   16-Jan-2002  22:07  5.0.2195.4827     125,712  Wldap32.dll
				
Observação Esse hotfix foi substituído por uma correção cumulativa. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
326797  (http://support.microsoft.com/kb/326797/ ) Alguns hotfixes do Windows 2000 Active Directory pode causar um conflito com S326797 2000

Situação

A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicar a". Esse problema foi corrigido primeiro no Windows 2000 Service Pack 3.

Mais Informações

Esse hotfix adiciona suporte para remoção objetos remanescentes. Este procedimento requer o objectGUID de um controlador de domínio que possui uma cópia de leitura/gravação do objeto e o objectGUID do próprio objeto. Se você deve remover mais de um objeto, determine se qualquer um dos objetos são em uma relação pai/filho (você pode determinar isso de nomes distintos objetos de). Se for esse o caso, ordem as exclusões para que todos os objetos filho são excluídos antes de seus objetos pai.

A melhor maneira de identificar em qual domínio está localizado um objeto (e do que para determinar o nome de um controlador de domínio que possui uma cópia de leitura/gravação do objeto) é estabelecer o nome distinto do objeto. Você pode fazer isso procurando por nome (ou partes do nome) do usuário duplicado, grupo ou lista de distribuição usando a ferramenta Ldp.exe das ferramentas de suporte do:
  1. Inicie o LDP.exe.
  2. No menu conexão, clique em conectar.
  3. Digite o nome de um catálogo global. Digite 3268 como porta ao qual se conectar. Clique em OK.
  4. No menu conexão, clique em BIND. Digite as credenciais válidas se suas credenciais atuais não são suficientes para consultar todo o conteúdo do catálogo global. Clique em OK.
  5. No menu Exibir, clique em árvore. Digite o nome distinto da raiz da floresta. Clique em OK.
  6. Clique com o botão direito do mouse na raiz da floresta na lista de árvore e clique em Pesquisar.
  7. Crie um filtro da seguinte forma:
    ([attribute] = [value])
    Substitua os dados apropriados para [attribute] e [value]. Por exemplo, para criar um filtro para retornar resultados onde o atributo sAMAccountName tem um valor definido para uma conta de usuário chamada "testuser", digite (sAMAccountName=testuser) na caixa filtro. Cn, userPrincipalName, sAMAccountName, nome, email e os atributos sn são bons candidatos para localizar um objeto de usuário. Para objetos de grupo, use cn, sAMAccountName ou nome. Observe que você pode usar asteriscos (1) no campo [value] se necessário.

    Para obter mais informações sobre sintaxe de filtro do protocolo (LDAP), visite o seguinte site:
    http://msdn2.microsoft.com/en-us/library/aa746475.aspx (http://msdn2.microsoft.com/en-us/library/aa746475.aspx)
  8. Clique em subárvore como o escopo da pesquisa.
  9. Clique em Opções. Na caixa de diálogo Opções de pesquisa, mova para o final do controle de atributos.
  10. Acrescente objectGUID; à lista. Clique em OK.
  11. Clique em Executar para executar a consulta.
  12. Exiba os resultados. Você deve identificar quais objetos exibidos devem ser removido do catálogo global. Uma indicação que ter encontrado um objeto incorreto é o objeto não existe em uma cópia de leitura/gravação do contexto de nomenclatura.
  13. Se for necessário, especifique novamente a consulta e execute novamente.
  14. Se você identificou o objeto remanescentes, anote seu nome distinto e o objectGUID.
Após obter o nome distinto do objeto, identificar o domínio no qual ele foi localizado observando o "dc =" parte do nome distinto. Por exemplo, o domínio de cn = FirstName LastName, cn = users, dc = name1, dc = name2, dc = com é name1. name2. com. Em seguida, localize um controlador de domínio para o domínio (ele também pode ser um servidor de catálogo global).

Execute o comando repadmin /showreps dc-name (onde dc-name é o nome do controlador de domínio que você localizado). Repadmin.exe está incluído com as ferramentas de suporte. De saída, observe o objectGuid do controlador de domínio:
C:\>repadmin /showreps alguns-DC
Seu DC Site\some
Opções DSA: (nenhuma)
objectGuid: d1fa2207-ae85-466f-88fd-908f1c623ea7
Instale o hotfix descrito neste artigo em todos os servidores de catálogo global tem lingering objetos. O hotfix não é necessário em controladores de domínio identificar como contendo cópias de leitura/gravação dos objetos remanescentes, a menos que também são servidores de catálogo global que contêm objetos remanescentes. Cada servidor de catálogo global no qual você pretende executar a operação de exclusão deve ter conectividade de rede para o controlador de domínio que você identificou.

Para alguns objetos

Se você tiver apenas alguns objetos e catálogos globais, siga estas etapas para excluir os objetos usando LDP.exe:
  1. Faça logon cada servidor de catálogo global que possui o hotfix instalado (e que contém uma cópia do objeto remanescentes) usando credenciais de administrador corporativo.
  2. Inicie o LDP.exe e conecte à porta 389 no controlador de domínio local (deixe a caixa de servidor vazia).
  3. No menu conexão, clique em BIND. Deixe todas as caixas vazias (você já fez logon como um administrador de empresas).
  4. No menu Browse, clique em Modificar.
  5. Deixe a caixa DN vazio.
  6. Na caixa atributo, digite RemoveLingeringObject.
  7. Tipo < GUID = como o valor.
  8. Acrescente o GUID do controlador de domínio que você adquiriu do comando repadmin /showreps dcname anteriormente.

    Observação Neste exemplo, dcname é um controlador de domínio que hospeda o contexto de nomeação gravável do objeto remanescentes.
  9. Acrescentar >: < GUID =. Não omita os espaços.
  10. Acrescente o GUID do objeto remanescentes.
  11. Acrescentar >.
  12. O valor completo deve ser semelhante ao:
    <GUID=85dd0fee-de1b-461c-b9c0-27e9e8249484>: <GUID=eeeb70e5-4501-4895-a572-94a87e8f8ac7>
  13. Clique em operação Substituir e clique em ENTER na interface. Agora o comando aparece na lista de entrada.
  14. Clique em Executar para executar a solicitação. O lado direito da janela LDP.exe contém o resultado da solicitação. Deve parecer semelhante a esta:
    *** Modificar chamada...
    ldap_modify_s (ld, '(null)', [1] attrs);
    Modificado "".

Para muitos objetos

Se você tiver muitos objetos para excluir e muitos servidores de catálogo global, pode ser mais fácil de usar os seguintes scripts:
  1. Cole o seguinte texto abaixo em um novo arquivo chamado Walkservers.cmd em uma nova pasta:
    para /f Condition na (servidor lista.txt) faça walkobjects
  2. Cole o seguinte texto em um arquivo chamado Walkobjects.cmd:
    para /f "delims =" @ Condition na (objeto lista.txt) faça cscript //NoLogo MODIFYROOTDSE.VBS %1 "%% eu" >> update-%1.log


    Observação Isso é uma única linha de comando. Quebras de linha são inseridas aqui para legibilidade.
  3. Cole o seguinte texto em um arquivo chamado Modifyrootdse.vbs:
    '********************************************************************
    '*
    '* File:        MODIFYROOTDSE.VBS
    '* Created:     January 2002
    '* Version:     1.0
    '*
    '* Main Function: Writes Active Directory information to clean up 
    '* objects as per: Q314282.
    '* Usage: Modifyrootdse.vbs <TargetServer> <GUID PAIR>
    '* Parameter are fed into the script using a pair of batch files.
    '*
    '* Copyright (C) 2002 Microsoft Corporation
    '*
    '********************************************************************
    
    OPTION EXPLICIT
    ON ERROR RESUME NEXT
    
    Dim objDomain
    Dim ObjValue, strServerName, adsLdapPath 
    Dim i
    
    'Get the command-line arguments
        if Wscript.arguments.count <> 2 Then
         Print "Invalid Number of Parameters. Use with WalkServers.CMD and WalkObjects.CMD"
        WScript.quit
    End If
    
        strServerName = Wscript.arguments.item(0)
        ObjValue = Wscript.arguments.item(1)
    
        adsLdapPath = "LDAP://" & strServerName & "/RootDSE"
    
        Set objDomain = GetObject(adsLdapPath)
        If Err.Number <> 0 Then
            WScript.Echo "Error opening ROOTDSE. Error number is: " & Err.Number & ". Error description is: " & Err.Description & "."
        Set objDomain = Nothing
            WScript.quit
        End If
    
        objDomain.Put "RemoveLingeringObject", ObjValue
        objDomain.Setinfo
    
        If Err.Number = 0 Then
           WScript.Echo "Object " & ObjValue & " was removed."
    Else
           WScript.Echo "Object " & ObjValue & " could not be removed. Error number is: " & Err.Number & ". Error description is: " & Err.Description & "."
        End If
    WScript.Quit
    						
    Observação: se você iniciar Modifyrootdse.vbs manualmente, certifique-se de que coloque quaisquer parâmetros que contêm espaços entre aspas.

  4. Crie uma lista de todos os servidores de catálogo global que contêm objetos remanescentes. Coloque os nomes de servidor em um arquivo lista.txt Server na mesma pasta. Use os nomes de domínio totalmente qualificado para evitar pesquisas de sufixo DNS.
  5. Adicione os pares GUID obtido anteriormente esse procedimento para um arquivo lista.txt Object. Adicione um par por linha. Use a seguinte sintaxe:
    <GUID = DC GUID >: < GUID = GUID do objeto >
    Um exemplo de entrada aparência semelhante à seguinte:
    <GUID=85dd0fee-de1b-461c-b9c0-27e9e8249484>: <GUID=eeeb70e5-4501-4895-a572-94a87e8f8ac7>
    Aqui, o primeiro valor é o GUID do controlador de domínio gravável que é usado para confirmar que o objeto original não existe mais. O segundo valor é o GUID do objeto remanescentes para ser removido.
  6. Execute o arquivo caminhar servers.cmd. Os scripts de geram um arquivo de log é denominado Update-server-name .log para cada servidor de catálogo global listado no arquivo lista.txt Server. Os arquivos de log contêm uma linha para cada objeto que está a ser excluído.
Observe que erros nos arquivos de log não indicam necessariamente um problema porque objetos remanescentes podem não existir em todos os servidores de catálogo global. No entanto, as mensagens de erro do formulário "operação recusada" ou "Erro de operação" indicam um problema com os GUIDs ou com a sintaxe do valor. Se esses erros ocorrem, verifique se esses itens:
  • Certifique-se de que o controlador de domínio GUIDs são GUIDs corretos para controladores de domínio que contêm uma cópia gravável do domínio que contém o objeto.
  • Certifique-se de que o objeto GUIDs identificar objetos remanescentes em contextos de nomeação (somente leitura) catálogo global.
  • Verifique se o hotfix está instalado em todos os controladores de domínio e servidores de catálogo global que use esse procedimento. Verifique se reiniciado os servidores depois de instalado o hotfix.

Mensagem de erro quando executando Walkservers.cmd para modificar muitos objetos remanescentes no ambiente

Objeto <GUID=ae856ce5-839a-4e44-b2fb-f37082ca2555>: <GUID=514f7510-451a-4297-8129-9b4c8ab79axx> não pôde ser removido. Número de erro é:-2147016672. Descrição do erro é:.

Causa

Este erro ocorre porque o script é executado contra o GUID de um controlador de domínio que não contenha uma partição gravável que contém o objeto remanescentes. Verifique o local do objeto remanescentes pela ferramenta Ldp.exe.

Exemplo

No exemplo a seguir, o objeto remanescentes que causa a mensagem de erro a ser removido está localizado no domínio corp.company.local. No entanto, é associado um controlador de domínio no domínio company.local não tem uma partição gravável para corp.company.local <GUID=ae856ce5-839a-4e44-b2fb-f37082ca2555> do arquivo lista.txt objetos.
ldap_search_s(ld, "DC=company,DC=local", 2, "(cn=User*)", attrList,  0, &msg)
Result <0>: (null)
Matched DNs: 
Getting 4 entries:
>> Dn: CN=User\, Joe,OU=Exec,OU=Corporate Users,DC=corp,DC=company,DC=local
	1> canonicalName: corp.company.local/Corporate Users/Exec/User, Joe; 
	1> cn: User, Joe; 
	1> description: CEO; 
	1> displayName: User, Joe; 
	1> distinguishedName: CN=User\, Joe,OU=Exec,OU=Corporate Users,DC=corp,DC=company,DC=local; 
	4> objectClass: top; person; organizationalPerson; user; 
	1> objectGUID: 814226ed-3414-4193-b96d-3a5ea4bf9351; 
	1> name: User, Joe; 
>> Dn: CN=User\, Joe,OU=Migration,DC=corp,DC=company,DC=local
	1> canonicalName: corp.company.local/Migration/User, Joe; 
	1> cn: User, Joe; 
	1> description: Disabled Account; 
	1> displayName: User, Joe; 
	1> distinguishedName: CN=User\, Joe,OU=Migration,DC=corp,DC=company,DC=local; 
	4> objectClass: top; person; organizationalPerson; user; 
	1> objectGUID: 514f7510-451a-4297-8129-9b4c8ab79axx; 
	1> name: User, Joe; 
Obter o GUID do servidor no domínio corp.company.local executando o seguinte comando:
repadmin /showreps DC-name
Neste comando, o DC-name é um espaço reservado para nome de um controlador de domínio no domínio corp.company.local. Altere o GUID do arquivo lista.txt Objects para coincidir com o GUID do controlador de domínio no domínio corp.company.local. Neste exemplo, o arquivo lista.txt objetos aparecerão como:
<GUID=c4fd9c30-b433-40a1-a862-9fdf1f804dc8> : <GUID=514f7510-451a-4297-8129-9b4c8ab79a7c>
o primeiro GUID é o GUID do controlador de domínio no domínio corp.company.local. A segunda GUID é o GUID do objeto remanescentes de pesquisa do protocolo (LDAP).

Quando você executar servers.cmd caminhar, o comando agora será concluído com êxito sem erro-2147016672.

Se você não pode resolver erros nos arquivos de log usando esses métodos, você pode estar ocorrendo um problema diferente. Contato Atendimento Microsoft para obter assistência adicional.

Para obter mais informações sobre como obter um hotfix para Windows 2000 Datacenter Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
265173  (http://support.microsoft.com/kb/265173/ ) O Produto Datacenter Program e o Windows 2000 Datacenter Server
Para obter mais informações sobre como instalar diversos hotfixes ao reiniciar somente uma vez, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
296861  (http://support.microsoft.com/kb/296861/ ) Como instalar múltiplas atualizações ou hotfixes do Windows com apenas uma reinicialização
Para obter mais informações sobre como instalar o Windows 2000 e hotfixes do Windows 2000 ao mesmo tempo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento:
249149  (http://support.microsoft.com/kb/249149/ ) Instalando hotfixes do Microsoft Windows 2000 e Windows 2000

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbmt kbhotfixserver kbqfe kbbug kbdirservices kbfix kbwin2000presp3fix kbwin2000sp3fix KB314282 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 314282  (http://support.microsoft.com/kb/314282/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store