Jump to content
Sign in to follow this  
Yoda

DC länger als 90 Tage nicht an Domäne angemeldet

Recommended Posts

Guten Morgen,

 

mir war mal so etwas im Ohr, das wenn sich ein Domain Controller länger als 90 Tage an der Domäne nicht mehr angemeldet hat bzw. synchronisiert hat wird dieser gesperrt.

Ist das richtig und was passiert genau nach den 90 Tagen.

Muss ich dann den DC neu ausetzten oder langt ein einfaches zurücksetzten des Computerkontos?

Was bedeutet dies für die restliche Domäne? Läuft die ohne Probleme weiter?

 

Problem ist das es bei uns 2 DC´s gibt, die zur Zeit in Kartonage verpackt auf dem Postweg sind und dies wohl über die 90 Tage raus geht.

 

Gruß

Yoda

Share this post


Link to post

Servus,

 

mir war mal so etwas im Ohr, das wenn sich ein Domain Controller länger als 90 Tage an der Domäne nicht mehr angemeldet hat bzw. synchronisiert hat wird dieser gesperrt.

Ist das richtig und was passiert genau nach den 90 Tagen.

 

es sind keine 90 Tage per default sondern 60 oder 180 Tage.

Je nachdem mit welcher Version der erste DC einer Gesamtstruktur erstellt worden ist.

Es wird auch nichts "gesperrt".

 

 

Muss ich dann den DC neu ausetzten oder langt ein einfaches zurücksetzten des Computerkontos?

 

Das zurücksetzen des Computerkontos hat damit überhaupt nichts zu tun.

Höchstens das neu aufsetzen. Das musst du aber auch nicht zwangsläufig tun.

Das Stichwort nennt sich: Lingering Objects

 

Siehe:

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)

 

 

Was bedeutet dies für die restliche Domäne? Läuft die ohne Probleme weiter?

 

Klar, die haben das Problem ja nicht.

 

Problem ist das es bei uns 2 DC´s gibt, die zur Zeit in Kartonage verpackt auf dem Postweg sind und dies wohl über die 90 Tage raus geht.

 

Wie jetzt? Sind die DCs 90 Tage unterwegs?

Share this post


Link to post

Der DC hat das gleiche Problem wie ein Client, wenn er länger als 90 Tage nicht an der Domäne angemeldet ist.

Rechnerkonten haben, genauso wie Userkonten, Passwörter. Im Gegensatz zu Userkonten hast du in der Regel keinen EInfluss auf diese Kennwörter und deren Verhalten. Das Kennwort wird im Hintergrund abgeglichen und alle 90 Tage erneuert.

Wenn dein Rechner jetzt länger als diese 90 Tage nicht an der Domäne angemeldet war ist inzwischen das Kennwort abgelaufen und er kann sich nicht mehr gegen die Domäne authehtifizieren.

 

Edit:

Verdammt der Yusuf, um Sekunden schneller ... ;)

Share this post


Link to post

Nur nochmals zur Erklärung:

 

Das entscheidende ist die Tombstone Lifetime.

Wenn man Objekte aus dem AD entfernt, wird das gelöschte Objekt mit einem Tombstone (Grabstein) versehen und fast alle Attribute (bis auf einige wenige) werden sofort vom Objekt entfernt (welche Attribute eines Objekts entfernt werden sollen und welche nicht, lässt sich im Schema definieren). Das Objekt wird dann im AD in den Container (den es in allen Verzeichnispartitionen gibt) "Deleted Objects" verschoben.

 

Wenn nun (alle 12 Stunden) der Garbage Collection Prozess anläuft, werden die Objekte

endgültig aus der Datenbank entfernt, die die Tombstone Lifetime überschritten haben.

 

Ist nun ein DC länger als die Tombstone Lifetime offline, bekommt dieser die Löschungen während dieser Zeit natürlich nicht mit. Auf den anderen DCs sind Objekte bereits endgültig gelöscht worden, die aber auf dem DC der offline war, noch vorhanden sind. Wenn nun auch noch ein Objekt (z.B. ein Benutzer) auf dem DC der offline war bearbeitet wird (du trägst eine Tel.-Nr. im Benutzerobjekt ein), versucht dieser die Änderung auf seine Replikationspartner zu replizieren. Die anderen DCs sagen aber dann, was willst du eigentlich von mir, dass Objekt das du mir geben möchtest kenn ich überhaupt nicht und habe es auch nicht und verweigert somit die Replikation.

 

Diese Objekte (Leichen) nennen sich dann Lingering Objects (herumlungernde Objekte).

Die Vorgehensweise was man in so einem Moment macht, steht im meinem vorher geposteten Link.

Share this post


Link to post

Hi @all,

 

ihr habt mir sehr weitergeholfen.

Werde mich mal näher mit dem Thema befassen.

Wie jetzt? Sind die DCs 90 Tage unterwegs?

 

Ich kann leider nicht näher drauf eingehen, aber zur zeit sieht es sehr stark aus, das die Server länger als geplant auf dem Postweg sind.

 

Danke und Gruß

Yoda

Share this post


Link to post
Es sind aber keine 90 Tage, sondern 30 ;).

 

Danke für die Richtigstellung. Mein schlechtes Zahlengedächtnis ist leider legändär... :( ;)

Share this post


Link to post
Ich kann leider nicht näher drauf eingehen, aber zur zeit sieht es sehr stark aus, das die Server länger als geplant auf dem Postweg sind.
Da sind tatsächlich fertig installierte und bereits zu einer Domäne gehörige DCs unterwegs?

Share this post


Link to post
Da sind tatsächlich fertig installierte und bereits zu einer Domäne gehörige DCs unterwegs?

 

Ja, wir haben diese hier in der Zentrale aufgesetzt und wenn die noch länger unterwegs sind, werde ich mich ins Auto setzten und weit weit wegfahren. :cry:

 

So wie ich es verstehe, haben wir es mit zwei Problemen zu tun:

 

1. Wenn sich der DC nicht innerhalb von 30 Tagen wieder am Netzwerk anmeldet, kann er sich nicht mehr an der Domäne authentifizieren.

 

2. Wenn er über die Tombestone Zeit hinausgeht, haben wir das Problem mit den Lingering Objects bzw. Replikation im allgemeinen.

 

Beides ist für mich gerade sehr sehr unberuhigend und möchte am liebsten gleich ins Auto steigen und flüchten. :D

 

Aber ich stehe meinen Mann und beiße mich da durch.

 

Gruß

Share this post


Link to post
1. Wenn sich der DC nicht innerhalb von 30 Tagen wieder am Netzwerk anmeldet, kann er sich nicht mehr an der Domäne authentifizieren.

 

2. Wenn er über die Tombestone Zeit hinausgeht, haben wir das Problem mit den Lingering Objects bzw. Replikation im allgemeinen.

 

Was sich beides - zwar mit sehr viel Arbeit - lösen lässt.

Besser wäre es gewesen, die Server nicht VOR der Reise zu DCs zu stufen, sondern erst, wenn sie an ihrem Ziel-Ort sind.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...