Jump to content

DC länger als 90 Tage nicht an Domäne angemeldet


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen,

 

mir war mal so etwas im Ohr, das wenn sich ein Domain Controller länger als 90 Tage an der Domäne nicht mehr angemeldet hat bzw. synchronisiert hat wird dieser gesperrt.

Ist das richtig und was passiert genau nach den 90 Tagen.

Muss ich dann den DC neu ausetzten oder langt ein einfaches zurücksetzten des Computerkontos?

Was bedeutet dies für die restliche Domäne? Läuft die ohne Probleme weiter?

 

Problem ist das es bei uns 2 DC´s gibt, die zur Zeit in Kartonage verpackt auf dem Postweg sind und dies wohl über die 90 Tage raus geht.

 

Gruß

Yoda

Link zu diesem Kommentar

Servus,

 

mir war mal so etwas im Ohr, das wenn sich ein Domain Controller länger als 90 Tage an der Domäne nicht mehr angemeldet hat bzw. synchronisiert hat wird dieser gesperrt.

Ist das richtig und was passiert genau nach den 90 Tagen.

 

es sind keine 90 Tage per default sondern 60 oder 180 Tage.

Je nachdem mit welcher Version der erste DC einer Gesamtstruktur erstellt worden ist.

Es wird auch nichts "gesperrt".

 

 

Muss ich dann den DC neu ausetzten oder langt ein einfaches zurücksetzten des Computerkontos?

 

Das zurücksetzen des Computerkontos hat damit überhaupt nichts zu tun.

Höchstens das neu aufsetzen. Das musst du aber auch nicht zwangsläufig tun.

Das Stichwort nennt sich: Lingering Objects

 

Siehe:

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)

 

 

Was bedeutet dies für die restliche Domäne? Läuft die ohne Probleme weiter?

 

Klar, die haben das Problem ja nicht.

 

Problem ist das es bei uns 2 DC´s gibt, die zur Zeit in Kartonage verpackt auf dem Postweg sind und dies wohl über die 90 Tage raus geht.

 

Wie jetzt? Sind die DCs 90 Tage unterwegs?

Link zu diesem Kommentar

Der DC hat das gleiche Problem wie ein Client, wenn er länger als 90 Tage nicht an der Domäne angemeldet ist.

Rechnerkonten haben, genauso wie Userkonten, Passwörter. Im Gegensatz zu Userkonten hast du in der Regel keinen EInfluss auf diese Kennwörter und deren Verhalten. Das Kennwort wird im Hintergrund abgeglichen und alle 90 Tage erneuert.

Wenn dein Rechner jetzt länger als diese 90 Tage nicht an der Domäne angemeldet war ist inzwischen das Kennwort abgelaufen und er kann sich nicht mehr gegen die Domäne authehtifizieren.

 

Edit:

Verdammt der Yusuf, um Sekunden schneller ... ;)

Link zu diesem Kommentar

Nur nochmals zur Erklärung:

 

Das entscheidende ist die Tombstone Lifetime.

Wenn man Objekte aus dem AD entfernt, wird das gelöschte Objekt mit einem Tombstone (Grabstein) versehen und fast alle Attribute (bis auf einige wenige) werden sofort vom Objekt entfernt (welche Attribute eines Objekts entfernt werden sollen und welche nicht, lässt sich im Schema definieren). Das Objekt wird dann im AD in den Container (den es in allen Verzeichnispartitionen gibt) "Deleted Objects" verschoben.

 

Wenn nun (alle 12 Stunden) der Garbage Collection Prozess anläuft, werden die Objekte

endgültig aus der Datenbank entfernt, die die Tombstone Lifetime überschritten haben.

 

Ist nun ein DC länger als die Tombstone Lifetime offline, bekommt dieser die Löschungen während dieser Zeit natürlich nicht mit. Auf den anderen DCs sind Objekte bereits endgültig gelöscht worden, die aber auf dem DC der offline war, noch vorhanden sind. Wenn nun auch noch ein Objekt (z.B. ein Benutzer) auf dem DC der offline war bearbeitet wird (du trägst eine Tel.-Nr. im Benutzerobjekt ein), versucht dieser die Änderung auf seine Replikationspartner zu replizieren. Die anderen DCs sagen aber dann, was willst du eigentlich von mir, dass Objekt das du mir geben möchtest kenn ich überhaupt nicht und habe es auch nicht und verweigert somit die Replikation.

 

Diese Objekte (Leichen) nennen sich dann Lingering Objects (herumlungernde Objekte).

Die Vorgehensweise was man in so einem Moment macht, steht im meinem vorher geposteten Link.

Link zu diesem Kommentar
Da sind tatsächlich fertig installierte und bereits zu einer Domäne gehörige DCs unterwegs?

 

Ja, wir haben diese hier in der Zentrale aufgesetzt und wenn die noch länger unterwegs sind, werde ich mich ins Auto setzten und weit weit wegfahren. :cry:

 

So wie ich es verstehe, haben wir es mit zwei Problemen zu tun:

 

1. Wenn sich der DC nicht innerhalb von 30 Tagen wieder am Netzwerk anmeldet, kann er sich nicht mehr an der Domäne authentifizieren.

 

2. Wenn er über die Tombestone Zeit hinausgeht, haben wir das Problem mit den Lingering Objects bzw. Replikation im allgemeinen.

 

Beides ist für mich gerade sehr sehr unberuhigend und möchte am liebsten gleich ins Auto steigen und flüchten. :D

 

Aber ich stehe meinen Mann und beiße mich da durch.

 

Gruß

Link zu diesem Kommentar
1. Wenn sich der DC nicht innerhalb von 30 Tagen wieder am Netzwerk anmeldet, kann er sich nicht mehr an der Domäne authentifizieren.

 

2. Wenn er über die Tombestone Zeit hinausgeht, haben wir das Problem mit den Lingering Objects bzw. Replikation im allgemeinen.

 

Was sich beides - zwar mit sehr viel Arbeit - lösen lässt.

Besser wäre es gewesen, die Server nicht VOR der Reise zu DCs zu stufen, sondern erst, wenn sie an ihrem Ziel-Ort sind.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...