(溫習)两个站点的域控制器不同步|exceeded tombstone lifetime

两个站点的域控制 器不同步|exceeded tombstone lifetime。当我同步AD站点的时候,出现附件的报错,错误信息为"The following error occurred during the attempt to synchronize naming context globaltti.net from domain controller CNRDC02 to domain controller CNRDC01: The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.This operation will not continue." 请问是什么原因,需要如何解决?
回答：根据您的描述，我对这个问题的理解是：手动复制失败。这一错误说明您有一台DC长期不在线，再次期间其他DC上删除了部分AD对象，当不在线的DC再次上线后，其复制数据内包含应该已经被删除的数据，从而出现这一错误。

对于您遇到的情况，您有两个选择：
1，这台长时间没有联系的DC上在过去60天内没有做过更改，没有网络中缺少的数据（比如添加了一批用户帐号）。这种情况下，您可以把这台DC当作一台下线的DC，在Active Directory内删除相关数据，然后将这台DC强行降级，退出域，稍后再加入域中。
2，这台DC在过去60天内做了有必要保存的更改，需要同步到目前的域内。

如果是第一种情况，请参考下面两篇文章删除这一DC的相关信息：
域控制器降级失败后如何删除 Active Directory 中的数据
http://support.microsoft.com/kb/216498/zh-cn
How can I delete a failed Domain Controller object from Active Directory?
http://www.petri.co.il/delete_failed_dcs_from_ad.htm

如果是第二种情况，步骤相对复杂一些，请参考下面的文章：
Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042)
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/4a1f420d-25d6-417c-9d8b-6e22f472ef3c.mspx
您看到的文章来自活动目录seo http://gnaw0725.blogbus.com

您可以根据以下步骤操作：
1. 首先请您确认这个DC是否能够联系上GC，请您使用NSlookup命令来尝试解析GC的SRV记录，具体方法请您参考：
How to verify that SRV DNS records have been created for a domain controller
http://support.microsoft.com/?id=816587
2. 在长时间没有复制的DC上运行net time \\PDC_IP，使DC的时间与PDC同步。
3. 在长时间没有开机的DC上运行以下命令：
repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition /advisory mode

ServerName为长时间没有开机的DC的DNS名称，ServerGUID为DC的GUID名称，DirectoryPartition为分区名称，类似DC=example,DC=com。

确定DC的GUID请运行以下命令
repadmin /showrepl ServerName

4. 运行Regedit.exe 编辑注册表，定位到以下位置：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
编辑Strict Replication Consistency，改为1。

注意：在对注册表进行操作前，应先备份注册表，“注册表编辑器”使用不当可造成严重问题，这些问题可能需要重新安装操作系统。Microsoft 不保证能够解决因为“注册表编辑器”使用不当而产生的问题。使用“注册表编辑器”需要您自担风险。

5. 然后在两台DC上都进行如下操作：
运 行regedit，找到HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner，将这个键值设置为1。
如果没有，请您手动新建Allow Replication With Divergent and Corrupt Partner，类型为DW（双字节值）。

在做完以上操作后，重启DC，查看DC的复制情况。

Sean Cai 蔡怡林 MCSE2000 微软全球技术支持中心
活动目录同步的更多文章请参考
活动目录域控制器同步复制故障排查|反复出现1925 13508 begin_of_the_skype_highlighting              1925 13508      end_of_the_skype_highlighting警告错误活动目录域
域中立即强制同步客户端时钟|活动目录域windows时间服务活动目录域
dns公网外网和dns内网同步复制如何设置活动目录域
如何设置配置DNS同步复制|辅助区域从主区域复制活动目录域