{"id":286,"date":"2015-07-07T08:34:16","date_gmt":"2015-07-07T06:34:16","guid":{"rendered":"http:\/\/blog.langlitz-it.de\/?p=286"},"modified":"2015-07-21T12:27:23","modified_gmt":"2015-07-21T10:27:23","slug":"event-ids-1388-1988-2042-windows-2003-active-directory","status":"publish","type":"post","link":"https:\/\/www.langlitz-it.de\/?p=286","title":{"rendered":"“Lingering Objects” – Windows Active Directory"},"content":{"rendered":"

Lingering Objects<\/em> – Was ist das eigentlich?<\/strong><\/p>\n

Vereinfacht ausgedr\u00fcckt sind \u201eLingering Objects\u201c<\/em> veraltete Active Directory<\/em> Objekte, die gel\u00f6scht wurden, aber von DCs, die w\u00e4hrend der \u201eTombstone Lifetime period\u201c<\/em> nicht repliziert wurden, wiederhergestellt worden sind.<\/p>\n

Wie kann das passieren? Wird ein Objekt im AD<\/em> gel\u00f6scht, existiert dieses immer noch im AD<\/em> als \u201eTombstone\u201c<\/em> (Grabstein). Dieser Tombstone<\/em> enth\u00e4lt nur die wichtigsten Attribute des Objektes und wird in den AD Container<\/em> “Deleted Objects<\/em>” verschoben. Der Inhalt dieses Containers ist \u00fcber die herk\u00f6mmlichen AD<\/em> Tools wie z.B. ADUC (Active Directory Users and Computers)<\/em> nicht sichtbar. Um sich den Inhalt anzusehen, ist ein LDAP<\/em> Tool wie z.B. LDP.exe<\/em> erforderlich. Das gel\u00f6schte Objekt bleibt bis zum Ablauf der Tombstone Lifetime period<\/em> (bis Windows 2003 60 Tage default, ab Windows 2003 SP1 180 Tage default) in diesem Container und wird erst nach Ablauf dieser Periode vom “garbage collection process”<\/em>, der per default alle 12 Stunden auf jedem DC<\/em> l\u00e4uft, aus dem AD<\/em> gel\u00f6scht.<\/p>\n

Nehmen wir an, ein DC ist f\u00fcr diesen Zeitraum offline. Vielleicht kann er auch (warum auch immer) \u00a0die Replikation nicht erfolgreich durchf\u00fchren. Kommt der DC nun nach Ablauf der Tombstone Lifetime period<\/em> wieder online, geht er davon aus, dass das Objekt zu den anderen DCs repliziert werden muss, weil diese es ja nicht mehr haben. Das Objekt nicht direkt zu l\u00f6schen, hat nat\u00fcrlich seine Berechtigung. W\u00fcrde es sofort aus der AD<\/em> Datenbank gel\u00f6scht, k\u00f6nnte es schnell passieren, dass andere DCs<\/em>, gerade bei einer weltweiten Umgebung, nichts von der L\u00f6schung mitbekommen w\u00fcrden und so eben auch diese Lingering Objects<\/em> entstehen w\u00fcrden.<\/p>\n

 <\/p>\n

Ein Beispiel<\/strong><\/p>\n

Im Standort Deutschland eines ADs<\/em> wird ein Benutzer gel\u00f6scht. Der DC<\/em> im Standort Kanada ist aber nun 60 Tage offline und kommt am 61sten Tag wieder online. Der DC in Kanada hat aber von der L\u00f6schung des Benutzers nichts mitbekommen und geht nun davon aus, dass dieser repliziert werden muss. Nun replizieren alle Partner den Benutzer und das Objekt ist im AD<\/em> wieder existent. Da der Global Catalog<\/em> in Kanada eine Read-only<\/em> Kopie der Dom\u00e4ne in Deutschland h\u00e4lt, wird eine schreibgesch\u00fctzte Kopie des eigentlich gel\u00f6schten Benutzers repliziert.<\/p>\n

Unter diesen Umst\u00e4nden erhalten Sie alle m\u00f6glichen skurrilen Fehler. Sie m\u00f6chten z.B. einen Benutzer erstellen, der so hei\u00dft wie der vermeintlich gel\u00f6schte und bekommen die Meldung, dass dieser schon existiert. Das Ph\u00e4nomen kann auch zu Inkonsistenzen im AD f\u00fchren. Durch Inkonsistenzen in der GAL k\u00f6nnte auch die Mail Zustellung gest\u00f6rt werden. Es k\u00f6nnte passieren, dass einzelne AD Partitionen nicht mehr repliziert werden. Und noch vieles mehr\u2026<\/p>\n

 <\/p>\n

Lingering Objects<\/em> verhindern<\/strong><\/p>\n

Um Lingering Objects<\/em> zu vermeiden, gibt es folgenden Registry Schl\u00fcssel<\/p>\n

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services \\ NTDS \\ Parameters\\Strict Replication Consistency<\/em><\/p>\n

Ist dieser Schl\u00fcssel auf 1 gesetzt, repliziert ein DC<\/em>, der l\u00e4nger als die Tombstone Lifetime<\/em> nicht mehr \u201eonline\u201c war, keine \u00a0veralteten Objekte zur\u00fcck an den \u201eaktuellen\u201c DC<\/em>. Damit wird die Entstehung von Lingering Objects<\/em> verhindert.<\/p>\n

In Windows 2000 war dieser Schl\u00fcssel noch per default auf \u201e0\u201c, also die Strict Replication Consistency<\/em> ausgeschaltet. Wurde eine Dom\u00e4ne oder ein Forest von Windows 2000 also irgendwann migriert, ist diese Funktion immer noch ausgeschaltet.<\/p>\n

Am einfachsten schalten Sie die Strict Replication Consistency<\/em> mit folgendem Befehl auf einem DC<\/em> ein:<\/p>\n

Repadmin \/regkey DCName +strict<\/em><\/p>\n

Mit dem Parameter \u2013strict<\/em> \u201ek\u00f6nnten\u201c Sie die Pr\u00fcfung auch ausschalten, was Sie aber nicht tun sollten.<\/p>\n

Sie k\u00f6nnen die Pr\u00fcfung auch auf allen DCs auf einmal setzen mit<\/p>\n

Repadmin \/regkey * +strict<\/em><\/p>\n

Achten Sie darauf, dass bei einer von Windows 2000 migrierten Dom\u00e4ne auch jeder neu eingerichtete DC automatisch den Schl\u00fcssel Strict Replication Consistency<\/em> auf \u201e0\u201c gesetzt hat!<\/p>\n

 <\/p>\n

Lingering Objects<\/em> finden<\/strong><\/p>\n

Wie finden Sie nun heraus, ob es in Ihrem AD Lingering Objects<\/em> gibt? Es gibt mehrere Events, die darauf hinweisen:<\/p>\n

Das Event 1864 ist ein solcher Hinweis:<\/p>\n

<\/pre>\n
Event ID 1864\r\nSource NTDS Replication\r\nUser NT AUTHORITY\\ANONYMOUS LOGON\r\nThis is the replication status for the following directory partition on the local domain controller.\r\nDirectory partition:\r\nDC=DomainDnsZones,DC=domain,DC=com\r\n\r\nThe local domain controller has not recently received replication information from a number of domain controllers. The count of domain controllers is shown, divided into the following intervals.\r\nMore than 24 hours:\r\n2\r\nMore than a week:\r\n1\r\nMore than one month:\r\n1\r\nMore than two months:\r\n1\r\nMore than a Tombstone Lifetime:\r\n1\r\nTombstone Lifetime (days):\r\n60<\/pre>\n
Dieses Event zeigt an, wie viele DCs an einem Tag, einer Woche, einem Monat, zwei Monaten oder mehr als die Tombstone Liftime<\/em> nicht mehr erfolgreich repliziert haben. Der letzte Eintrag \u201eMore than a Tombstone Lifetime\u201c ist der entscheidende. Leider teilt das Event nicht mit, um welchen DC es sich dabei handelt \ud83d\ude41<\/p>\n
Das n\u00e4chste Indiz ist das Event 2042:<\/p>\n
Event 2042\r\nSource: NTDS Replication<\/pre>\n
Dieses Event zeigt an, dass die strict replication <\/em>enabled ist, der Quell DC nicht w\u00e4hrend der Tombstone Lifetime<\/em> repliziert hat und die Replikation deshalb von dem Quell DC<\/em> deaktiviert wurde. Das Event liefert die GUID des DCs<\/em> im CNAME<\/em> (Alias) Format, wie er im DNS zu finden ist: 4255b1a3-56e3-21e4-4b3d-4609-bce1cdd3bfcb._msdcs.domain.com<\/em>. Damit kann der betroffene DC<\/em> leicht identifiziert werden.<\/p>\n
Dann gibt es noch das Event 1388:<\/p>\n
Event 1388\r\nSource: NTDS Replication<\/pre>\n
Description: Another domain controller (DC) has attempted to replicate into this DC an object which is not present in the local Active Directory database. The object may have been deleted and already garbage collected (a Tombstone Lifetime or more has past since the object was deleted) on this DC.<\/pre>\n
Und 1988:<\/p>\n
Event 1988\r\nSource: NTDS Replication<\/pre>\n
Description: Active Directory Replication encountered the existence of objects in the following partition that have been deleted from the local domain controllers (DCs) Active Directory database.\u00a0\u00a0This event is being logged because the source DC contains a lingering object which does not exist on the local DCs Active Directory database.\u00a0\r\nSource DC (Transport-specific network address):\u00a0\r\n4255b1a3-56e3-21e4-4b3d-4609-bce1cdd3bfcb._msdcs.domain.com<\/pre>\n
 <\/p>\n
Lingering Objects<\/em> entfernen<\/strong><\/p>\n
Wie kann man diese Lingering Objects<\/em> nun entfernen. Am besten mit dem Repadmin<\/em> Tool.<\/p>\n
repadmin \/removelingeringobjects ZielDC QuellDCGUID DomainPartition \/advisory_mode<\/em><\/p>\n
Der ZielDC<\/em> ist der DC<\/em> auf dem die Lingering Objects<\/em> existieren. Im Event 1988 ist dies der Wert des Source DCs<\/em><\/p>\n
QuellDCGUID<\/em> ist die GUID<\/em> des \u201eaktuellen\u201c Quell DCs<\/em>. Um diese herauszufinden, \u00f6ffnen Sie das SnapIn<\/em> Active Directory Sites and Services.<\/em> Gehen Sie auf die NTDS Settings<\/em> des QuellDCs<\/em> und sehen Sie sich unter den Eigenschaften den DNS Alias<\/em> an. Dies ist die GUID<\/em>, die Sie ben\u00f6tigen.<\/p>\n
Als Domainpartition<\/em> geben Sie noch die Partition an, die eben nicht repliziert wurde. Sicherheitshalber k\u00f6nnen Sie dies noch einmal mit repadmin \/showreps<\/em> \u00fcberpr\u00fcfen.<\/p>\n
Verwenden Sie am besten immer beim ersten Aufruf den Parameter \/advisory_mode<\/em>, da damit nichts entfernt, sondern nur das Ergebnis des Befehls angezeigt wird. Erst wenn alles erfolgreich war, sollten Sie den Befehl ohne \/advisory_mode<\/em> aufrufen.<\/p>\n
Nach erfolgreichem Aufruf erhalten Sie die R\u00fcckmeldung:<\/p>\n
RemoveLingeringObjects sucessfull on ZielDC.<\/em><\/p>\n
 <\/p>\n
Viel Erfolg!<\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Lingering Objects – Was ist das eigentlich? Vereinfacht ausgedr\u00fcckt sind \u201eLingering Objects\u201c veraltete Active Directory Objekte, die gel\u00f6scht wurden, aber von DCs, die w\u00e4hrend der \u201eTombstone Lifetime period\u201c nicht repliziert wurden, wiederhergestellt worden sind. Wie kann das passieren? Wird ein … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[101,501,102,103,502,505,504,503,104,507,506,105],"_links":{"self":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/286"}],"collection":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=286"}],"version-history":[{"count":18,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/286\/revisions"}],"predecessor-version":[{"id":1196,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=\/wp\/v2\/posts\/286\/revisions\/1196"}],"wp:attachment":[{"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.langlitz-it.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}