Tombstone Lifetime exeeded oder ein anderes Problem

[Gismo79 10]

Hi,

 

ich weiss nicht genau wo das Problem liegt aber ich vermute ein Tombstone problem. Ich bin mir aber nicht sicher.

 

Folgendermassen sieht unsere Umgebung aus:

5x Domain Controller die sich alle gegenseitig replizieren, dass ganze sind Windows 2003 Server. Zusätzlich nutzen wir DFS auf allen DC´s......

 

Angefangen hat das ganze mit Internet problemen bei einem DC, hier hatten wir Probleme und der Server war ca. 60 Tage nicht am Netz. Nachdem das Internet wieder funktioniert hatte gab es auch erstmal 2 Tage oder so kein Problem mit dem DC, nach 2 Tagen hat es dann angefangen das User die an diesem Server angemeldet waren nicht mehr auf das DFS zugreifen konnten. Wenn man von dem Server aus auf das DFS zugreifen möchte dann bekommt man auch ein "Zugriff Verweigert". Nach Analyse in den Logfiles ist herraus gekommen das hier ein Kerberos Problem ist und das der Server wohl die ACL´s nicht mehr wirklich mit bekommt. Ich hab mir dann die Site Replication angeschaut weil ich schon so einen Verdacht hatte und hab nach einem DCdiag folgendes raus bekommen:

 

SIEHE ANHANG !!!!

 

Meine Vermutung liegt jetzt an einem Tombstone Replikation Problem. Was denkt ihr darüber ???

 

Wenn es ein Tombstone Problem sein sollte ist jetzt die Frage wie ich das am besten lösen kann. Hab mich da schon etwas schlau gemacht in der hinsicht und das scheint ja nicht ganz einfach zu sein bzw. mit eine paar Risiken verbunden.

 

Folgende wollte ich vorgehn wenn es ein Tombstone Problem sein sollte:

 

1. DC hardcore mässig wieder zum normalen Memberserver machen

2. AD berreinigen.

 

Siehe hierzu:

 

1. Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

 

2. How to remove data in Active Directory after an unsuccessful domain controller demotion

 

Die Frage die sich mir stellt ist: Wie gefährlich ist das ganze für die AD ? Ich meine ich fummel ja hier in der Produktiv AD rum, einen DC zu demoten dürfte ja erstmal nicht so das Problem sein aber ich mach mir leichte Sorgen das hier durchzuführen How to remove data in Active Directory after an unsuccessful domain controller demotion.

 

Hat sowas von euch schonmal jemand gemacht ? Gab es dabei Probleme ?

 

 

Danke

 

Gruß

 

gismo

test.txt

[frommi 10]

Hi,

 

ich weiss nicht genau wo das Problem liegt aber ich vermute ein Tombstone problem. Ich bin mir aber nicht sicher.

 

Folgendermassen sieht unsere Umgebung aus:

5x Domain Controller die sich alle gegenseitig replizieren, dass ganze sind Windows 2003 Server. Zusätzlich nutzen wir DFS auf allen DC´s......

 

Schau doch mal in Active Directory, welchen Wert die Tombstone Lifetime bei dir hat. Die kann unterschiedlich groß sein (je nach dem, mit welcher OS/Patch-Kombination du die Domäne erstellt hast). Öffne mal adsiedit und schau dir folgendes Attribute an tombstoneLifeTime in cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=<ForestRootDN>

 

 

nach 2 Tagen hat es dann angefangen das User die an diesem Server angemeldet waren nicht mehr auf das DFS zugreifen konnten. Wenn man von dem Server aus auf das DFS zugreifen möchte dann bekommt man auch ein "Zugriff Verweigert". Nach Analyse in den Logfiles ist herraus gekommen das hier ein Kerberos Problem ist und das der Server wohl die ACL´s nicht mehr wirklich mit bekommt. Ich hab mir dann die Site Replication angeschaut weil ich schon so einen Verdacht hatte und hab nach einem DCdiag folgendes raus bekommen:[/Quote]

 

Welche Events bekommst du denn im Eventlog angezeigt?

 

SIEHE ANHANG ![/Quote]

 

Ich warte noch auf die Freischaltung...

 

Hat sowas von euch schonmal jemand gemacht ? Gab es dabei Probleme ?[/Quote]

 

Gemacht schon - birgt auch keine großen Probleme. Du bereinigst nur den Verzeichnisdienst von Referenzen auf den DC, den du "gewaltsam" runtergestuft hast. Geh einfach Schritt für Schritt nach dem KB Artikel vor und lösche so die Metadaten vom DC. Den alten DC kannst du dann platt machen bzw. herunterstufen und neu heraufstufen.

–

Angefangen hat das ganze mit Internet problemen bei einem DC, hier hatten wir Probleme und der Server war ca. 60 Tage nicht am Netz. Nachdem das Internet wieder funktioniert hatte gab es auch erstmal 2 Tage oder so kein Problem mit dem DC, nach 2 Tagen hat es dann angefangen das User die an diesem Server angemeldet waren nicht mehr auf das DFS zugreifen konnten. Wenn man von dem Server aus auf das DFS zugreifen möchte dann bekommt man auch ein "Zugriff Verweigert". Nach Analyse in den Logfiles ist herraus gekommen das hier ein Kerberos Problem ist und das der Server wohl die ACL´s nicht mehr wirklich mit bekommt. Ich hab mir dann die Site Replication angeschaut weil ich schon so einen Verdacht hatte und hab nach einem DCdiag folgendes raus bekommen:

 

SIEHE ANHANG !!!!

 

Okay, DCdiag sagt ja schon ganz eindeutig, dass die letzte Replikation schon länger als die letzte TombstoneLifeTime her ist. In diesem Fall kannst du den Verzeichnisdienst bereinigen und den Server runterstufen.

 

Je nach dem wie "flink" ihr mit der Behebung solcher Probleme seid, würde ich die tombstoneLifeTime auf einen höheren Wert setzen (meist liegt die bei 180 Tagen) - das gibt euch mehr Zeit bei solchen Problemen. Wobei ich mich schon wundere, dass Probleme solcher Art mit der Verbindung von Standorten und einem DC überhaupt 60 Tage liegen bleiben ;)

[Gismo79 10]

@frommi

 

Danke für deine Info´s, ich wundere mich auch warum sowas länger als 60 Tage liegen bleibt :) Aber das ist ein anderes Thema........ Ich hab da schon aufgehört mich drüber aufzuregen :)

 

Ok, dann werde ich das mal so versuchen. Ich hoffe halt wirklich das mir das AD nicht um die ohren fliegt :)

[Daim 12]

Salve,

 

Hat sowas von euch schonmal jemand gemacht ?

 

du könntest den DC auch in diesem Stadium noch dazu bringen, sich mit seinen Replikationspartnern wieder ordnungsgemäß zu replizieren. Jedoch verlangt das einen hohen Administrationsaufwand und viel Geduld. Das Stichwort lautet nämlich: Lingering Objects (zu deutsch: Herumlungernde Objekte).

 

Siehe dazu den folgenden Artikel:

 

Yusufs Directory Blog - Lingering Objects (veraltete Objekte)

 

 

Gab es dabei Probleme ?

 

Wenn man alles richtig macht und sich dabei an die Artikel hält, schafft man es wieder das sich der DC repliziert oder auf die andere Art, der DC sauber aus den Metadaten des AD entfernt wird. Das gewaltsame entfernen des DCs aus dem AD wäre dabei sicher die schnellere Variante. Bei mehreren DCs würde ich auch diesen Weg wählen.

 

Führe dazu auf dem DC das DCPROMO /FORCEREMOVAL aus um die AD-Informationen lokal vom DC zu entfernen. Anschließend ist der DC ein Arbeitsgruppenserver. Danach musst du die Metadaten des AD noch mit NTDSUTIL oder ADSIEdit bereinigen.

 

Siehe (nicht vom Titel beirren lassen, dort wird auch 2003 erwähnt):

 

Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

 

 

–

 

 

@frommi

 

(meist liegt die bei 180 Tagen)

 

Eben nicht. Sonst müssten ja beim erstellen der Gesamtstrukturen alle mit einem "Windows Server 2003 --> SP1 <--" installiert worden sein. Da viele Unternehmen bereits seit Windows 2000 oder direkt mit Windows Server 2003 (ohne SP1) ihre AD-Umgebung installiert haben, liegt eben die Tombstone Lifetime i.d.R. bei 60 Tagen. ;)

 

Für die Allgemeinheit: ;)

 

Yusufs Directory Blog - Die Tombstone Lifetime

[Gismo79 10]

Alles klar, ich denke ich werds mit der Hardcore Methode machen ;) Wir haben uns auch grade dazu enschieden den DC nicht mehr zum DC zu machen. Wir werden den DC als ganz normalen Memberserver weiter laufen lassen und die Anmeldung usw.... über nen RADIUS Server laufen zu lassen.....