2K3 - Tombstone Lifetime

[HerrPaschulke]

Hi,

sind in einem AD Netz mit 10 Domain Controllern die sternförmig mit der Zentrale replizieren (hier steht der DC mit allen FSMOs und ein zweiter DC zur "Redundanz"). An jeder unserer Lokationen ein DC (globaler Katalog-Server). Jeder der Lokations-DCs repliziert mit beiden DCs in der Zentrale.
An einer Lokation bin ich gerade am Austausch eines DCs, sprich an dieser Lokation habe ich aktuell zwei DCs am laufen. Nun komme ich aus meinem dreiwöchigen Urlaub und sehe in Replmon dass der neue DC an dieser Lokation mit der Zentrale repliziert, jedoch nicht mit dem alten DC dieser Lokation (sprich dieser DC replizeirt eigentlich mit drei DCs, zwei in der Zentrale und dem alten)


Als Fehlermeldung kommt:

Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.


Er repliziert jedoch problemlos mit der zentrale

was ist da los? hat so was jemand schon mal gehabt?

ich würde sonst mal so vorgehen dass ich den alten DC dieser Lokation als Replikationspartner rausnehme und nur noch mit der Zentrale replizieren lasse. Später kann ich es ja nochmal versuchen mit dem alten DC.

Hat jemand n Tipp?

[Daim]

Buenos dias,

Zitat von HerrPaschulke Nun komme ich aus meinem dreiwöchigen Urlaub und sehe in Replmon dass der neue DC an dieser Lokation mit der Zentrale repliziert, jedoch nicht mit dem alten DC dieser Lokation (sprich dieser DC replizeirt eigentlich mit drei DCs, zwei in der Zentrale und dem alten)

es handelt sich dabei aber um eine Domäne. Sprich, alle DCs befinden sich in der gleichen Domäne?

Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

Wenn ich das richtig verstanden habe, repliziert der sich die beiden DCs (der alte und der neue DC) in der Aussenstelle nicht miteinander. Existiert denn bei beiden DCs ein Verbindungsobjekt jeweils zum anderen DC?

Prüfe beide DCs mit DCDIAG, NetDIAG und vorallem mit REPADMIN eingehender die AD-Replikation. Schließlich muss es irgendeinen Grund geben, warum sich beide DCs nicht miteinander replizieren wollen. Einen Blick in die Eventlogs der DCs solltest du dabei ebenfalls riskieren.

was ist da los?

Na, alles was nicht festgeschraubt ist.

ich würde sonst mal so vorgehen dass ich den alten DC dieser Lokation als Replikationspartner rausnehme und nur noch mit der Zentrale replizieren lasse. Später kann ich es ja nochmal versuchen mit dem alten DC.

So könntest du es auch versuchen. Aber trotzdem überprüfe beide DCs genauer.

Hat jemand n Tipp?

Du könntest auch auf eine andere Weise die beiden DCs sich miteinander zum replizieren bringen (Stichwort: Lingering Objects [1]).
Jedoch sehe ich bis jetzt noch keinen Bedarf dazu. Erst sollten die bisher besprochenen Punkte durchgeführt werden.

[1] Yusufs Directory Blog - Lingering Objects (veraltete Objekte)


Im übrigen:
Die Tombstone Lifetime (TSL) wird mit dem installieren des allerersten DCs in einer Gesamtstruktur und zwar für alle Domänen festgelegt.
Diese kann nicht pro Domäne konfiguriert werden. Natürlich kann aber der Wert der TSL jederzeit manuell verändert werden.

Die TSL legt fest, wie lange noch ein gelöschtes Objekt im Active Directory weiterhin gespeichert wird.
Denn ein Objekt wird erst nach Ablauf der TSL endgültig aus dem AD entfernt.

Die TSL beträgt unter:

- Windows 2000 (mit allen SPs) = 60 Tage
- Windows Server 2003 ohne SP = 60 Tage
- Windows Server 2003 mit Service Pack 1 = 180 Tage
- Windows Server 2003 R2 mit Service Pack 1 = 60 Tage
- Windows Server 2003 mit Service Pack 2 = 180 Tage
- Windows Server 2003 R2 mit Service Pack 2 = 180 Tage
- Windows Server 2008 = 180 Tage


Kontrollieren kann man die TSL mit ADSIEdit unterhalb der Root-Domäne im folgenden Container:
CN=Directory Services,CN=Windows NT,CN=Services,CN=Configuration

Dort findet man in den Eigenschaften des Containers das Attribut "tombstoneLifetime".
Ist dort ein Wert gesetzt, beträgt die TSL den eingetragenen Wert in Tagen. Steht im Attribut als Wert hingegen <Not Set>,
so beträgt die TSL den Standardwert von 60 Tagen.

Wenn mehrere DCs existieren, müssen sich die DCs mindestens einmal in der TSL mit ihren Replikationspartnern repliziert haben.

[NilsK]

Moin,

Zitat von HerrPaschulke sind in einem AD Netz mit 10 Domain Controllern die sternförmig mit der Zentrale replizieren (hier steht der DC mit allen FSMOs und ein zweiter DC zur "Redundanz"). An jeder unserer Lokationen ein DC (globaler Katalog-Server). Jeder der Lokations-DCs repliziert mit beiden DCs in der Zentrale.

das hört sich an, als hättet ihr die Replikationstopologie manuell angepasst. Ist das so? Oder beschreibst du hier nur das Site-Modell? Das wird nicht ganz deutlich.

Als Fehlermeldung kommt:

Wann genau kommt die Fehlermeldung? Von wo nach wo versuchst du dabei zu replizieren?

Gruß, Nils

[HerrPaschulke]

hi, sorry für die verspätete Antwort.


JA, eine Domäne


Doch der neue DC repliziert (bzw. sollte) auch mit dem alten. In Replmon zeigt der neue DC an der Aussenstelle keine Probleme an, jedoch haben alle anderen DCs nun ein Problem mit ihm (Tombstone) :-(

dcdiag und netdiag hier:

File-Upload.net - dcdiag.txt

File-Upload.net - netdiag.txt


repadmin? mit welcher option den?
–

Zitat von NilsK Moin, das hört sich an, als hättet ihr die Replikationstopologie manuell angepasst. Ist das so? Oder beschreibst du hier nur das Site-Modell? Das wird nicht ganz deutlich. Wann genau kommt die Fehlermeldung? Von wo nach wo versuchst du dabei zu replizieren? Gruß, Nils

das ist eigentlich unser site-modell

Fehlermeldung ist diese hier wenn ich versuche über replmon von der zentrale zum neuen Aussenstandort-DC zu replizieren:



Vom Aussenstandort-DC zur Zentrale scheint es zu gehen, keine Fehlermeldung (und der DC hat auch die aktuellen Änderungen übernommen die wir so täglich vorhehmen)
ich hoffe da ist hopf und malz noch nicht verloren

[NilsK]

Moin,

spricht etwas dagegen, den problematischen DC neu zu machen?

Gruß, Nils

[HerrPaschulke]

das reguläre runterstufen mit dcpromo hat leider auch nicht hingehauen weil der neue DC meint er müsste sich noch kurz mit einem anderen replizieren und landet auf ner Fehlermeldung

neu installieren kann ich die kiste nicht, aber runterstufen würde schon gehen. dachte nur jemand hat ne bessere idee :-)

wie bekomme ich einem DC beigebracht dass er kein DC mehr sein soll. (fällt mir grad auf anhieb nicht ein), die Bereinigung auf der Domain ist klar da hab ich ne doku (musste schon zwei mal die Domain bereinigen :-))
das wäre dies hier How to remove data in Active Directory after an unsuccessful domain controller demotion

[NilsK]

Moin,

in deinem Fall sind Reparaturversuche m.E. nur Zeitverschwendung. dcpromo /forceremoval bringt dich schneller zum Ziel.

faq-o-matic.net Wie kann ich Active Directory von einem DC gewaltsam entfernen?

Gruß, Nils

[HerrPaschulke]

ach ja richtig dcpromo /forceremoval wars. habe ich schon zwei mal angewendet aber leider nicht dokumentiert :-)

ja ich denke ich komme hier nicht drum rum... werde ich mal machen, melde mich dann wieder

PS: wenn ich den DC runtergestuft habe und die Bereinigung im AD vorgenommen habe, wie lange würdet ihr warten bis man den Server wieder zum DC raufstuffen kann? 1 Tag?

[NilsK]

Moin,

Zitat von HerrPaschulke PS: wenn ich den DC runtergestuft habe und die Bereinigung im AD vorgenommen habe, wie lange würdet ihr warten bis man den Server wieder zum DC raufstuffen kann? 1 Tag?

das hängt von deiner Replikationsstruktur ab. Es wäre sinnvoll (wenn auch je nach Situation nicht zwingend), eine Komplettreplikation abzuwarten. In den meisten Umgebungen reichen ein paar Stunden.

Gruß, Nils

[HerrPaschulke]

ich denke ich gehe auf nummer sicher ;-)

will die aktion nicht zwei mal durchführen müssen