Jump to content

Tombstone-Ablaufzeit überschritten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Gemeinde,

 

habe hier eine älteres Image eines 1.DC, beim Versuch mit repadmin /sync vom 2.DC zu replizieren kommt die Meldung: Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

 

Kann man da noch etwas machen?

 

Habt Dank für Aufmerksamkeit und Rat.

 

Edgar

Link zu diesem Kommentar

Edgar ich sags ja ungern aber ich glaub das wars mit deinem AD...:(

 

Du hast den DC schon im normal Modus gestartet oder?

 

Hättest du lieber nicht tun sollen, möchte dich da nur an unseren langen Beitrag hier an Boarde erinnern wo Grizzly schon auf sein How-To dazu verwiesen hat.

 

http://www.mcseboard.de/tipps-links-5/images-datensicherung-taugen-2-96494.html

 

Willkommen bei QITCON: Image-Technik und das USN-Rollback-Problem

 

Eine letzte Rettung ….

 

Falls man vor einem ausgefallenen DDC sitzt und anstelle einer richtigen Sicherung jetzt nur ein Image in peto hat, dann gibt es noch eine letzte Möglichkeit, dem Domänencontroller glaubhaft zu machen, man habe den Systemstatus aus einer früheren Sicherung zurückgespielt.

 

Achtung: Für das nachfolgend beschriebene Vorgehen darf das Image nur im Verzeichnisdienstwiederherstellungs-Modus (F8) gestartet werden. Auf keinen Fall normal starten. Wenn der DC normal startet und bei der Replikation das USN-Rollback-Problem hervorruft, war's das !!! Dann hilft auch diese Prozedur nichts mehr.

 

LG Gadget

Link zu diesem Kommentar

Hallo Kohn,

 

danke für den Tipp, ich habe es mir schon gedacht, an den Beitrag habe ich mich nicht erinnert.

 

Es ist nicht mein AD, das gehört jemand anderen. :) Ich werde ihm und seiner Leitung mal deinen Tipp zeihgen, das von Grizzly und eine Neuinstallation vorschlagen. Das wird für den lokalen Admin (und wohl auch für mich) eine Wochenendarbeit.

 

 

Gruß

 

Edgar

Link zu diesem Kommentar
Der Standardzeitraum für die Beibehaltung einer Kopie eines gelöschten Objekts in Active Directory, die so genannte Tombstone-Lebensdauer, wurde von 60 Tagen auf 180 Tage erweitert. Eine längere Tombstone-Lebensdauer erhöht die Wahrscheinlichkeit, dass ein gelöschtes Objekt im lokalen Verzeichnis eines getrennten Domänencontrollers bleibt, wenn das Objekt dauerhaft von Onlinedomänencontrollern gelöscht wird. Die Tombstone-Lebensdauer wird nicht automatisch geändert, wenn Sie auf Windows Server 2003 mit SP1 aktualisieren. Sie kann jedoch nach dem Update manuell geändert werden. Für mit Windows Server 2003 mit SP1 installierte neue Gesamtstrukturen gilt eine Standard-Tombstone-Lebensdauer von 180 Tagen. Weitere Informationen zur Tombstone-Lebensdauer finden Sie im Artikel zur Funktionsweise des Datenspeichers auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=38339 (möglicherweise in englischer Sprache).

 

Vielleicht ist es möglich, diese Änderung irgendwie offline im Image zu ändern, vor dem ersten Boot?

 

Ich habe keine Ahnung, ob das irgendwie geht (so nachträglich)...

 

Gruß

Monarch

Link zu diesem Kommentar

Die Leute mit dem Hut auf hatten erst die Tränen in den Augen, haben dann doch dem Wochenendsatz ihres Hausadmins und auch meiner Bezahlung zugestimmt. Wir machen uns also bei strahlenden Wette ein schönes Weekend an der Ostsee, installieren nebenbei eine Domäne usw.

 

Habr Dank für die Hilfen.

 

Fruß

 

Edger

 

Edit: Wir sind schon dabei, ein tolles wetter, leicht kühl noch, es wird aber wärmer. Leider hat der Serverraum keinen Ausgang zur Terrasse. Ob wir den Server mit nach draussen nehmen? :D ;)

Link zu diesem Kommentar

Hi Edgar,

 

habe hier eine älteres Image eines 1.DC, beim Versuch mit repadmin /sync vom 2.DC zu replizieren kommt die Meldung: Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

 

ob ein USN-Rollback besteht, kannst Du z.B. mit dem REPADMIN Befehl der im Artikel den Kohn gepostet hat überprüfen.

 

Kann man da noch etwas machen?

 

Falls ein USN-Rollback besteht, heißt es DCPROMO mit dem Schalter /FORCEREMOVAL auszuführen. Denn der DC kann sich schließlich nicht mehr ordnungsgemäß replizieren. Anschließend säuberst Du das AD mit NTDSUTIL - METADATA CLEANUP von dieser Leiche.

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

Die Fehlermeldung die du erhalten hast sagt dir, dass der DC eben nicht in der Tombstone Lifetime (TLS) sich mit einem anderen DC repliziert hat.

Wieviele Tage die Tombstone Lifetime beträgt, hängt davon ab, mit welcher Version der allererste DC in der Gesamtstruktur installiert wurde.

Das Geheimnis der Tombstone Lifetime - faq-o-matic.net

 

Wenn sich der DC nicht mit anderen DCs während der TLS repliziert, können veraltete Objekte entstehen.

Bekannt auch als Lingering Objects. Dieses kannst du aber mit einigem Aufwand gerade biegen und die DCs erneut zum replizieren bringen.

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)

 

Wenn aber ein USN-Rollback besteht ---> DCPROMO :(

Link zu diesem Kommentar

Die Fehlermeldung die du erhalten hast sagt dir, dass der DC eben nicht in der Tombstone Lifetime (TLS) sich mit einem anderen DC repliziert hat.

Wieviele Tage die Tombstone Lifetime beträgt, hängt davon ab, mit welcher Version der allererste DC in der Gesamtstruktur installiert wurde.

Das Geheimnis der Tombstone Lifetime - faq-o-matic.net

Kleine Ergänzung, da ja mittlerweile auch das SP2 draußen ist. Wenn man das SP2 auf dem allerersten DC in der Gesamtstruktur installiert, so wird der Wert auch auf 180 Tage gesetzt.

Das habe ich zumindestens auf meinem DC beobachtet:

->Neu installierter W2k3Server dann Upgrade durch SP1 (als es rauskam) und zum Schluss Upgrade durch SP2 (als es rauskam).

Link zu diesem Kommentar
Kleine Ergänzung, da ja mittlerweile auch das SP2 draußen ist. Wenn man das SP2 auf dem allerersten DC in der Gesamtstruktur installiert, so wird der Wert auch auf 180 Tage gesetzt.

Das habe ich zumindestens auf meinem DC beobachtet:

->Neu installierter W2k3Server dann Upgrade durch SP1 (als es rauskam) und zum Schluss Upgrade durch SP2 (als es rauskam).

 

Ohhauuweiiaa... das ist ein wichtiger Hinweis, der mir noch nicht aufgefallen war.

Da haben die Jungs es mit dem SP2 endlich gefixed, na das wurde aber auch Zeit.

 

Danke für den Hinweis :-)

Link zu diesem Kommentar

Hallo Kameraden,

 

danke nochmals für eure Hilfe, Rat. Wir haben neu installiert, führen zur Zeit noch Restarbeiten durch. Es ist auch eine Erfahrung für den Hausadmin, in Zukunft wird er der Sicherung des Systemstatus Aufmerksamkeit schenken. Er will seine Herren nun um die Bezahlung eines Lehrganges angehen, ich bin da eher skeptisch.

 

Einen schönen tag wünsche ich allen.

 

Edgar

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...