niesfisch 10 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 Hallo, Durch eine Nachlässigkeit ist ein Domänencontroller in einer Unterdomäne sub.net.dom.de für längere Zeit nicht eingeschaltet gewesen. Nun ist die Tombstone Ablaufzeit überschritten und der DC, der auch noch der einzige in der Domäne war, repliziert nicht mehr mit der Gesamtstruktur net.dom.de. Ich hatte mich nun auf die von MS vorgeschlagene Handlungsweise mit dem Tool repadmin die verwaisten Objekte zu löschen eingelassen. Ich habe die Schema und Configuration Partition nach lingering Object durchsuche lassen. In der Configuration Partition fanden sich dann auch elf herumlungernde Objekte die ich entfernt habe. Trotzdem kommt nun die Replikation nicht in die Gänge und nach wie vor kommen solche Events: Verzeichnispartition: CN=Schema,CN=Configuration,DC=net,DC=dom,DC=de Quelldomänencontroller: CN=NTDS Settings,CN=Server4,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=net,DC=dom,DC=de Adresse des Quelldomänencontrollers: 4563fa5b-f424-4b43-8f8d-2db6b4496c60._msdcs.net.dom.de Standortübergreifende Übertragung (falls vorhanden): Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist. Benutzeraktion Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht. Zusätzliche Daten Fehlerwert: 8614 Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat. Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition. Verzeichnispartition: CN=Configuration,DC=net,DC=dom,DC=de Quelldomänencontroller: CN=NTDS Settings,CN=Server4,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=net,DC=dom,DC=de Adresse des Quelldomänencontrollers: 4563fa5b-f424-4b43-8f8d-2db6b4496c60._msdcs.net.dom.de Standortübergreifende Übertragung (falls vorhanden): Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist. Benutzeraktion Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht. Zusätzliche Daten Fehlerwert: 8614 Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat. Was kann ich nun noch für Anstrengungen unternehmen? Ich hatte in dem informativen Blog von Yusuf: Yusufs Directory Blog - Lingering Objects (veraltete Objekte) noch gelesen dann anschließend die Replikation wieder erzwungen werden muss. Dies gelingt mir leider nicht: C:\>"C:\Programme\Support Tools\repadmin.exe" /repl server1.sub.net.dom.de 4563FA5B-F424-4B43-8F8D-2DB6B4496C60 DC=net,DC=dom,DC=de /force DsReplicaSync() failed with status 8437 (0x20f5): Es wurde ein ungültiger Parameter für diesen Replikationsvorgang angegeben. Wäre für jeden Hinweis dankbar, da mir bis jetzt nur noch das Herabstufen des DCs und manuellen Löschen der Domäne einfällt. Da es nur den einen DC gibt wäre das dann Ende von Domäne sub... Danke und Gruß Andreas Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 Servus, dann müsste auf dem DC in dem Verzeichnisdienstprotokoll die EventID 1988 protokolliert werden. Es gilt die Lingering Objects (LOs) zu entfernen. Im ersten Schritt sollte man sich die veralteten Objekte anzeigen lassen. Die LOs kannst du dir mit dem folgenden Befehl (bei aktiviertem Strict Replication Consistency) anzeigen lassen: REPADMIN /removelingeringobjects <veralteter DC> <GUID eines “aktuellen” DCs> <Verzeichnispartition worin sich die veralteten Objekte befinden> /Advisory_Mode Falls herumlungernde Objekte existieren, werden für jedes Objekt die EventID 1946 auf dem DC protokolliert. Anschließend führst du dann den REPADMIN-Befehl erneut aus, aber diesmal ohne den Parameter /Advisory_Mode. Zitieren Link zu diesem Kommentar
niesfisch 10 Geschrieben 20. Mai 2009 Autor Melden Teilen Geschrieben 20. Mai 2009 Hallo, ich hatte schon mit REPADMIN /removelingeringobjects <veralteter DC> <GUID eines “aktuellen” DCs> <Verzeichnispartition worin sich die veralteten Objekte befinden> /Advisory_Mode 11 Objekte in der Partition "Configuration" ermittelt und anschließend gelöscht. Die Situation bleibt aber unverändert. Die EventID 1988 habe ich bis jetzt allerdings noch nie irgendwo gesehen. Auf dem veralteten DC gibts die 1925 und 2042. Andere DCs in der Gesamtstruktur bringen auch die 2042 und die 1864. Ich weiß nun nicht weiter Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 Es sollte sichergestellt werden, dass das DNS ordnungsgemäß funktioniert. Dann könntest du noch den folgenden Registry-Schlüssel setzen, falls du es damit noch nicht versucht haben solltest: "Allow Replication With Divergent and Corrupt Partner" Aber wenn dann die AD-Replikation stattgefunden hat, entferne diesen Schlüssel wieder. Zitieren Link zu diesem Kommentar
solinske 10 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 Hier musst du den Schlüssel estellen: HKLM\SYSTEM\Currentcontrolset\services\ntds\parameters\ Zitieren Link zu diesem Kommentar
niesfisch 10 Geschrieben 22. Mai 2009 Autor Melden Teilen Geschrieben 22. Mai 2009 ... Dann könntest du noch den folgenden Registry-Schlüssel setzen, falls du es damit noch nicht versucht haben solltest: "Allow Replication With Divergent and Corrupt Partner" Aber wenn dann die AD-Replikation stattgefunden hat, entferne diesen Schlüssel wieder. Welche theoretische Gefahr besteht denn die Replikation über die Registryeinstellung mit "corrupten-Partnern" zu erlauben? Kann ich vorab noch weitere Überprüfungen durchführen? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. Mai 2009 Melden Teilen Geschrieben 22. Mai 2009 Welche theoretische Gefahr besteht denn die Replikation über die Registryeinstellung mit "corrupten-Partnern" zu erlauben? Das du "veraltete", nicht mehr existierende Objekte erneut im AD hast. Kann ich vorab noch weitere Überprüfungen durchführen? Mehr Möglichkeiten als die in meinem Artikel aufgeführt sind gibt es nicht. Du kannst natürlich auch diesen DC, der in deinem Fall auch noch der einzigste DC in der Subdomäne ist, mit Gewalt entfernen und bereinigst anschließend noch die Metadaten des AD. Dazu entfernst du zuerst den DC und anschließend noch die Domäne aus den Metadaten. Oder du wendest dich an den MS-PSS. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.