Jump to content

Tombstone Lifetime


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

sind in einem AD Netz mit 10 Domain Controllern die sternförmig mit der Zentrale replizieren (hier steht der DC mit allen FSMOs und ein zweiter DC zur "Redundanz"). An jeder unserer Lokationen ein DC (globaler Katalog-Server). Jeder der Lokations-DCs repliziert mit beiden DCs in der Zentrale.

An einer Lokation bin ich gerade am Austausch eines DCs, sprich an dieser Lokation habe ich aktuell zwei DCs am laufen. Nun komme ich aus meinem dreiwöchigen Urlaub :mad: und sehe in Replmon dass der neue DC an dieser Lokation mit der Zentrale repliziert, jedoch nicht mit dem alten DC dieser Lokation (sprich dieser DC replizeirt eigentlich mit drei DCs, zwei in der Zentrale und dem alten)

 

 

Als Fehlermeldung kommt:

 

Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

 

 

Er repliziert jedoch problemlos mit der zentrale :suspect:

 

was ist da los? hat so was jemand schon mal gehabt?

 

ich würde sonst mal so vorgehen dass ich den alten DC dieser Lokation als Replikationspartner rausnehme und nur noch mit der Zentrale replizieren lasse. Später kann ich es ja nochmal versuchen mit dem alten DC.

 

Hat jemand n Tipp?

Link zu diesem Kommentar

Buenos dias,

 

Nun komme ich aus meinem dreiwöchigen Urlaub :mad: und sehe in Replmon dass der neue DC an dieser Lokation mit der Zentrale repliziert, jedoch nicht mit dem alten DC dieser Lokation (sprich dieser DC replizeirt eigentlich mit drei DCs, zwei in der Zentrale und dem alten)

 

es handelt sich dabei aber um eine Domäne. Sprich, alle DCs befinden sich in der gleichen Domäne?

 

 

Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

 

Wenn ich das richtig verstanden habe, repliziert der sich die beiden DCs (der alte und der neue DC) in der Aussenstelle nicht miteinander. Existiert denn bei beiden DCs ein Verbindungsobjekt jeweils zum anderen DC?

 

Prüfe beide DCs mit DCDIAG, NetDIAG und vorallem mit REPADMIN eingehender die AD-Replikation. Schließlich muss es irgendeinen Grund geben, warum sich beide DCs nicht miteinander replizieren wollen. Einen Blick in die Eventlogs der DCs solltest du dabei ebenfalls riskieren.

 

 

was ist da los?

 

Na, alles was nicht festgeschraubt ist. :p

 

 

ich würde sonst mal so vorgehen dass ich den alten DC dieser Lokation als Replikationspartner rausnehme und nur noch mit der Zentrale replizieren lasse. Später kann ich es ja nochmal versuchen mit dem alten DC.

 

So könntest du es auch versuchen. Aber trotzdem überprüfe beide DCs genauer.

 

 

Hat jemand n Tipp?

 

Du könntest auch auf eine andere Weise die beiden DCs sich miteinander zum replizieren bringen (Stichwort: Lingering Objects [1]).

Jedoch sehe ich bis jetzt noch keinen Bedarf dazu. Erst sollten die bisher besprochenen Punkte durchgeführt werden.

 

[1] Yusufs Directory Blog - Lingering Objects (veraltete Objekte)

 

 

Im übrigen:

Die Tombstone Lifetime (TSL) wird mit dem installieren des allerersten DCs in einer Gesamtstruktur und zwar für alle Domänen festgelegt.

Diese kann nicht pro Domäne konfiguriert werden. Natürlich kann aber der Wert der TSL jederzeit manuell verändert werden.

 

Die TSL legt fest, wie lange noch ein gelöschtes Objekt im Active Directory weiterhin gespeichert wird.

Denn ein Objekt wird erst nach Ablauf der TSL endgültig aus dem AD entfernt.

 

Die TSL beträgt unter:

 

- Windows 2000 (mit allen SPs) = 60 Tage

- Windows Server 2003 ohne SP = 60 Tage

- Windows Server 2003 mit Service Pack 1 = 180 Tage

- Windows Server 2003 R2 mit Service Pack 1 = 60 Tage

- Windows Server 2003 mit Service Pack 2 = 180 Tage

- Windows Server 2003 R2 mit Service Pack 2 = 180 Tage

- Windows Server 2008 = 180 Tage

 

 

Kontrollieren kann man die TSL mit ADSIEdit unterhalb der Root-Domäne im folgenden Container:

CN=Directory Services,CN=Windows NT,CN=Services,CN=Configuration

 

Dort findet man in den Eigenschaften des Containers das Attribut "tombstoneLifetime".

Ist dort ein Wert gesetzt, beträgt die TSL den eingetragenen Wert in Tagen. Steht im Attribut als Wert hingegen <Not Set>,

so beträgt die TSL den Standardwert von 60 Tagen.

 

Wenn mehrere DCs existieren, müssen sich die DCs mindestens einmal in der TSL mit ihren Replikationspartnern repliziert haben.

Link zu diesem Kommentar

Moin,

 

sind in einem AD Netz mit 10 Domain Controllern die sternförmig mit der Zentrale replizieren (hier steht der DC mit allen FSMOs und ein zweiter DC zur "Redundanz"). An jeder unserer Lokationen ein DC (globaler Katalog-Server). Jeder der Lokations-DCs repliziert mit beiden DCs in der Zentrale.

 

das hört sich an, als hättet ihr die Replikationstopologie manuell angepasst. Ist das so? Oder beschreibst du hier nur das Site-Modell? Das wird nicht ganz deutlich.

 

Als Fehlermeldung kommt:

 

Wann genau kommt die Fehlermeldung? Von wo nach wo versuchst du dabei zu replizieren?

 

Gruß, Nils

Link zu diesem Kommentar
  • 2 Wochen später...

hi, sorry für die verspätete Antwort.

 

 

JA, eine Domäne

 

 

Doch der neue DC repliziert (bzw. sollte) auch mit dem alten. In Replmon zeigt der neue DC an der Aussenstelle keine Probleme an, jedoch haben alle anderen DCs nun ein Problem mit ihm (Tombstone) :-(

 

dcdiag und netdiag hier:

 

File-Upload.net - dcdiag.txt

 

File-Upload.net - netdiag.txt

 

 

repadmin? mit welcher option den?

Moin,

 

 

 

das hört sich an, als hättet ihr die Replikationstopologie manuell angepasst. Ist das so? Oder beschreibst du hier nur das Site-Modell? Das wird nicht ganz deutlich.

 

 

 

Wann genau kommt die Fehlermeldung? Von wo nach wo versuchst du dabei zu replizieren?

 

Gruß, Nils

 

das ist eigentlich unser site-modell

 

Fehlermeldung ist diese hier wenn ich versuche über replmon von der zentrale zum neuen Aussenstandort-DC zu replizieren:

 

q9vu27.jpg

 

Vom Aussenstandort-DC zur Zentrale scheint es zu gehen, keine Fehlermeldung (und der DC hat auch die aktuellen Änderungen übernommen die wir so täglich vorhehmen)

ich hoffe da ist hopf und malz noch nicht verloren :)

Link zu diesem Kommentar

das reguläre runterstufen mit dcpromo hat leider auch nicht hingehauen weil der neue DC meint er müsste sich noch kurz mit einem anderen replizieren und landet auf ner Fehlermeldung :(

 

neu installieren kann ich die kiste nicht, aber runterstufen würde schon gehen. dachte nur jemand hat ne bessere idee :-)

 

wie bekomme ich einem DC beigebracht dass er kein DC mehr sein soll. (fällt mir grad auf anhieb nicht ein), die Bereinigung auf der Domain ist klar da hab ich ne doku (musste schon zwei mal die Domain bereinigen :-))

das wäre dies hier How to remove data in Active Directory after an unsuccessful domain controller demotion

Link zu diesem Kommentar

ach ja richtig dcpromo /forceremoval wars. habe ich schon zwei mal angewendet aber leider nicht dokumentiert :-)

 

ja ich denke ich komme hier nicht drum rum... werde ich mal machen, melde mich dann wieder

 

PS: wenn ich den DC runtergestuft habe und die Bereinigung im AD vorgenommen habe, wie lange würdet ihr warten bis man den Server wieder zum DC raufstuffen kann? 1 Tag?

Link zu diesem Kommentar

Moin,

 

PS: wenn ich den DC runtergestuft habe und die Bereinigung im AD vorgenommen habe, wie lange würdet ihr warten bis man den Server wieder zum DC raufstuffen kann? 1 Tag?

 

das hängt von deiner Replikationsstruktur ab. Es wäre sinnvoll (wenn auch je nach Situation nicht zwingend), eine Komplettreplikation abzuwarten. In den meisten Umgebungen reichen ein paar Stunden.

 

Gruß, Nils

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...