Beschreibung des Lingering Object Liquidator-Tools
In diesem Artikel wird das LoL-Tool (Lingering Object Liquidator) zum Suchen und Entfernen von bleibenden Objekten beschrieben.
Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 3141939
Einführung
Der Lingering Object Liquidator (LOL) ist ein Tool zum Automatisieren der Ermittlung und Entfernung von bleibenden Objekten. Das Tool verwendet die DRSReplicaVerifyObjects-Methode, die vom repadmin /removelingeringobjects Befehl und dem Repldiag-Tool in Kombination mit dem removeLingeringObject rootDSE-Grundtyp verwendet wird, der von LDP.EXE verwendet wird.
Vorteile und Verfügbarkeit
- Kombiniert die Ermittlung und Entfernung von bleibenden Objekten in einer Schnittstelle.
- Das Tool ist im Microsoft Download Center verfügbar.
Ausführliche Anweisungen zur Verwendung von Tools finden Sie in diesem ASKDS-Blogbeitrag .
Hauptmerkmale
- Entfernt alle objekte, die auf allen Domänencontrollern (Domänencontrollern, DCs) vorhanden sind, ohne dass sie dazu aufgefordert werden.
- Führt einen Vergleich (n * (n-1)) für jeden DC in der Gesamtstruktur aus.
- Führt die Topologieerkennung aus, mit der Sie DOmänencontroller auswählen und auswählen können, die für den Vergleich von lingernden Objekten (Quelle und Ziel) verwendet werden sollen.
- Exportiert eine Liste der beibehaltenen Objekte als CSV-Datei, sodass sie offline bearbeitet und dann wieder in das Tool importiert werden kann, um die Objekte bei Bedarf zu entfernen (nützlich für erweiterte Entfernungsvorgänge).
- Speichert den Inhalt des Objekts in einer Protokolldatei für den Fall, dass ein neues Objekt aus dem beibehaltenden Objekt aktiviert werden muss.
Anforderungen an Tools
Laden Sie den Lingering Object Liquidator herunter, und führen Sie es auf einem DC- oder Mitgliedscomputer in der Gesamtstruktur aus, aus dem Sie bleibende Objekte entfernen möchten.
Microsoft .NET Framework 4.5.2 muss auf dem Computer installiert sein, auf dem das Tool ausgeführt wird.
Berechtigungen: Das Benutzerkonto, das das Tool ausführt, muss über Domänenadministratoranmeldeinformationen für jede Domäne in der Gesamtstruktur verfügen, in der sich der ausführende Computer befindet. Mitglieder der Gruppe "Unternehmensadministratoren" verfügen standardmäßig über Domänenadministratoranmeldeinformationen in allen Domänen innerhalb einer Gesamtstruktur. Domänenadministratoranmeldeinformationen sind in einer einzelnen Domäne oder einer einzelnen Domänengesamtstruktur ausreichend.
Sie müssen die RPC-Firewallregel (Remote Event Log Management) auf jedem Domänencontroller aktivieren, der überprüft werden muss. Andernfalls gibt das Tool den Fehler "Ausnahme: Der RPC-Server ist nicht verfügbar" zurück.
Die Löschung von objekten in Active Directory Lightweight Directory Services (AD LDS/ADAM)-Umgebungen wird nicht unterstützt.
Exemplarische Vorgehensweise
Erkennung anhaltender Objekte
Führen Sie das Tool als Domänenadministrator aus (oder als Unternehmensadministrator, wenn Sie die gesamte Gesamtstruktur überprüfen möchten). Führen Sie dazu die folgenden Schritte aus.
Hinweis
Sie erhalten den Fehler 8453, wenn das Tool nicht mit erhöhten Rechten ausgeführt wird.
Wählen Sie im Abschnitt Topologieerkennung die Option Schnell aus.
Die schnelle Erkennung füllt die Listen Namenskontext, Verweis-DC und Zieldomänencontroller durch Abfragen des lokalen Domänencontrollers auf. Eine gründliche Erkennung führt eine umfassendere Suche nach allen DCs durch und nutzt DC Locator- und DSBind-Aufrufe. Beachten Sie, dass eine gründliche Erkennung wahrscheinlich fehlschlägt, wenn mindestens ein DCs nicht erreichbar ist.
Im Folgenden sind die Felder auf der Registerkarte Lingering Objects aufgeführt:
Benennungskontext
Referenz-DC
Dies ist der DC, den Sie mit dem Zieldomänencontroller vergleichen. Der Referenzdomänencontroller hostet eine schreibbare Kopie der Partition.
Hinweis
Alle DOmänencontroller in der Gesamtstruktur werden auch dann angezeigt, wenn sie als Verweis-DCs ungeeignet sind (ChildDC2 ist ein RODC und kein gültiger Verweis-DC, da er keine beschreibbare Kopie eines DC hostet).
Ziel-DC
Der Zieldomänencontroller, aus dem beibehaltene Objekte entfernt werden sollen.
Klicken Sie auf Erkennen, um diese Domänencontroller für den Vergleich zu verwenden, oder lassen Sie alle Felder leer, um die gesamte Umgebung zu überprüfen.
Das Tool vergleicht alle DOmänencontroller für alle Partitionen paarweise, wenn alle Felder leer bleiben. In einer großen Umgebung dauert dieser Vergleich viel Zeit (möglicherweise sogar Tage), da der Vorgang (n * (n-1)) die Anzahl von DCs in der Gesamtstruktur für alle lokal gehaltenen Partitionen anzielt. Wählen Sie für kürzere, gezielte Vorgänge einen Namenskontext aus, verweisen Sie auf DC und Zieldomänencontroller. Der Referenz-DC muss eine beschreibbare Kopie des ausgewählten Namenskontexts enthalten. Beachten Sie, dass das Klicken auf Beenden die serverseitige API nicht beendet, sie beendet lediglich die Arbeit im clientseitigen Tool.
Während der Überprüfung werden mehrere Schaltflächen deaktiviert, und die aktuelle Anzahl der objekte wird auf der status Leiste unten auf dem Bildschirm angezeigt, zusammen mit dem aktuellen Tool status. Während dieser Ausführungsphase wird das Tool in einem Empfehlungsmodus ausgeführt und liest die Ereignisprotokolldaten, die auf jedem Zieldomänencontroller gemeldet werden.
Wenn die Überprüfung abgeschlossen ist, wird die status Leiste aktualisiert, Schaltflächen werden wieder aktiviert, und die Gesamtanzahl der objekte wird angezeigt. Der Bereich Ergebnisse am unteren Rand des Fensters wird mit allen Fehlern aktualisiert, die während der Überprüfung aufgetreten sind.
Wenn im Bereich status fehler 1396 oder 8440 angezeigt wird, verwenden Sie eine frühe Beta-Vorschauversion des Tools und sollten auf die neueste Version aktualisieren. – Fehler 1396 wird protokolliert, wenn das Tool einen RODC fälschlicherweise als Referenzdomänencontroller verwendet hat. – Fehler 8440 wird protokolliert, wenn der Zielverweisdomänencontroller keine beschreibbare Kopie der Partition hostet.
Hinweise zur Lingering Object Liquidator-Ermittlungsmethode
- Nutzt die DRSReplicaVerifyObjects-Methode im Empfehlungsmodus.
- Wird für alle DCs und alle Partitionen ausgeführt.
- Erfasst die Ereignis-ID 1946 für das anhaltende Objekt und zeigt Objekte in Standard Inhaltsbereich an.
- Die Liste kann zur Offlineanalyse (oder Änderung für den Import) in CSV exportiert werden.
- Unterstützt das Importieren und Entfernen von Objekten aus dem CSV-Import (Nutzung für Objekte, die mit DRSReplicaVerifyObjects nicht erkannt werden können).
- Unterstützt das Entfernen von Objekten durch DRSReplicaVerifyObjects und LDAP rootDSE removeLingeringobjects-Änderung.
Das Tool nutzt die Von DRSReplicaVerifyObjects verfügbar gemachte Advisory Mode-Methode, die sowohl als auch
repadmin /removelingeringobjects /Advisory_Moderepldiag /removelingeringobjectsverwendet wird. Zusätzlich zu den normalen Ereignissen im Zusammenhang mit dem Advisory Mode, die auf jedem DC protokolliert werden, werden die einzelnen objekte im Standard Inhaltsbereich angezeigt.
Die Ergebnisse der Überprüfung werden im Bereich Ergebnisse protokolliert. Viele weitere Details zu allen Vorgängen werden in der linger-Datei<Date-TimeStamp>.log.txt im selben Verzeichnis wie die ausführbare Datei des Tools protokolliert.
Mit der Schaltfläche Exportieren können Sie eine Liste aller im bereich Standard aufgeführten Objekte in eine CSV-Datei exportieren. Zeigen Sie die Datei in Excel an, ändern Sie sie bei Bedarf, und verwenden Sie später die Schaltfläche Importieren, um die Objekte anzuzeigen, ohne eine neue Überprüfung durchführen zu müssen. Das Importfeature ist auch nützlich, wenn Sie verlassene Objekte ermitteln (die mit DRSReplicaVerifyObjects nicht auffindbar sind), die Sie entfernen müssen.
Ein Hinweis zu vorübergehenden objekten:
Die Garbage Collection ist ein unabhängiger Prozess, der standardmäßig alle 12 Stunden auf jedem Domänencontroller ausgeführt wird. Eine seiner Aufgaben besteht darin, Objekte zu entfernen, die gelöscht wurden und für mehr als die Tombstone-Lebensdauer der Tage als Tombstone vorhanden sind. Es gibt einen rollierenden 12-Stunden-Zeitraum, in dem ein Objekt, das für die Garbage Collection geeignet ist, auf einigen DCs vorhanden ist, aber bereits durch den Garbage Collection-Prozess auf anderen DCs entfernt wurde. Diese Objekte werden auch vom Tool als beibehaltenes Objekt gemeldet, es ist jedoch keine Aktion erforderlich, da sie automatisch entfernt werden, wenn der Garbage Collector-Prozess das nächste Mal auf dem DC ausgeführt wird.
Um einzelne Objekte zu entfernen, wählen Sie ein einzelnes Objekt aus, oder wählen Sie mehrere Objekte mithilfe der STRG- oder UMSCHALTTASTE mehrfach aus. Drücken Sie STRG, um mehrere Objekte auszuwählen, oder die UMSCHALTTASTE, um einen Objektbereich auszuwählen, und wählen Sie dann Entfernen aus.
Der status-Balken wird mit der neuen Anzahl der bleibenden Objekte und dem status des Entfernungsvorgangs aktualisiert:
Das Tool sichert vor dem Entfernen eine Liste der Attribute für jedes Objekt und protokolliert dies zusammen mit den Ergebnissen der Objektentfernung in der removedLingeringObjects.log.txt Protokolldatei. Diese Protokolldatei befindet sich am selben Speicherort wie die ausführbare Datei des Tools. C:\tools\LingeringObjects\removedLingeringObjects<DATE-TIMEStamp.log.txt
Beispielinhalt der Protokolldatei:
der obj DN: <GUID=0bb376aa1c82a348997e5187ff012f4a>; <SID=01050000000000515000000609701d7b0ce8f6a3e529d669f040000;> CN=<CN_Name,OU>=<OU_Name,DC>=root,DC=contoso,DC=com
objectClass:top, person, organizationalPerson, user;
sn:Schenk;
whenCreated:20121126224220.0Z;
name:<CN_Name>;
objectSid:S-1-5-21-3607205728-1787809456-1721586238-1183; primaryGroupID:513;
sAMAccountType:805306368;
uSNChanged:32958;
objectCategory:<GUID=11ba1167b1b0af429187547c7d089c61>; CN=Person,CN=Schema,CN=Configuration,DC=root,DC=contoso,DC=com;
whenChanged:20121126224322.0Z;
cn:<CN_Name>;
uSNCreated:32958;
l:Findling;
distinguishedName:<GUID=0bb376aa1c82a348997e5187ff012f4a>; <SID=01050000000000515000000609701d7b0ce8f6a3e529d669f040000;> CN=<CN_Name,OU>=<OU_Name,DC>=root,DC=contoso,DC=com;
displayName:<CN_Name>;
st:Colorado;
dSCorePropagationData:16010101000000.0Z;
userPrincipalName:<User_Name>@root.contoso.com;
givenName:<User_Name>;
instanceType:0;
sAMAccountName:<Account_Name>;
userAccountControl:650;
objectGUID:aa76b30b-821c-48a3-997e-5187ff012f4a;
value is :<GUID=70ff33ce-2f41-4bf4-b7ca-7fa71d4ca13e>:<GUID=aa76b30b-821c-821c-148a3-997e-5187ff012f4a> Lingering Obj CN=<CN_Name,OU>=<OU_Name,DC>=root,DC=contoso,DC=com wird aus dem Verzeichnis entfernt, Mod-Antwortergebniscode = Erfolg
---------------------------------------------
RemoveLingeringObject hat Erfolg zurückgegebenNachdem alle Objekte identifiziert wurden, können sie per Massenvorgang entfernt werden, indem sie alle Objekte auswählen und dann entfernen oder in eine CSV-Datei exportiert werden. Die CSV-Datei kann später erneut importiert werden, um die Massenentfernung durchzuführen. Beachten Sie, dass es eine Schaltfläche "Alle entfernen" gibt, die die
repadmin /removelingeringobjectMethode zum Entfernen von fortbestehenden Objekten nutzt.
Unterstützung: Obwohl dieses Tool in vielen Umgebungen gründlich getestet wurde, wird es Ihnen unverändert zur Verfügung gestellt: Es wird kein offizieller Microsoft-Support bereitgestellt.
Bei Fragen oder Feedback zum Tool:
Fügen Sie einen Kommentar zu diesem Blogbeitrag hinzu, oder übermitteln Sie eine Idee auf unserer UserVoice Feedback-Seite. Stellen Sie sicher, dass Sie die Idee mit der Kategorie "Lingering Object Liquidator" codieren.
Greifen Sie auf das TechNet Virtual Lab troubleshooting Active Directory Lingering Objects zu, wenn Sie dieses Tool in einer Labumgebung mit bleibenden Objekten üben möchten.
Workflow
Weitere Informationen
| Entfernungsmethode | Objekt-/Partitions-&- und Entfernungsfunktionen | Details |
|---|---|---|
| Lingering Object Liquidator | Entfernen pro Objekt und Partition Nutzt: – RemoveLingeringObjects LDAP rootDSE-Änderung – DRSReplicaVerifyObjects-Methode |
– GUI-basiert – Zeigt schnell alle objekte in der Gesamtstruktur an, mit der der ausführende Computer verknüpft ist – Integrierte Ermittlung über die DRSReplicaVerifyObjects-Methode – Automatisierte Methode zum Entfernen von bleibenden Objekten aus allen Partitionen – Entfernt bleibende Objekte aus allen DOmänencontrollern (einschließlich RODCs), aber keine bleibenden Links. – DCs mit Windows Server 2008 und höher (funktionieren nicht für Windows Server 2003-DCs) |
| Repldiag /removelingeringobjects | Entfernen pro Partition Nutzt: – DRSReplicaVerifyObjects-Methode |
– Nur Befehlszeile – Automatisierte Methode zum Entfernen von bleibenden Objekten aus allen Partitionen – Integrierte Ermittlung über DRSReplicaVerifyObjects – Zeigt ermittelte Objekte in Ereignissen auf DCs an. – Entfernt keine bleibenden Links. Entfernt (noch) keine objekte aus RODCs. |
| LDAP RemoveLingeringObjects rootDSE-Grundtyp (am häufigsten mit LDP.EXE oder einem LDIFDE-Importskript ausgeführt) | Entfernen pro Objekt | – Erfordert eine separate Ermittlungsmethode – Entfernt ein einzelnes Objekt pro Ausführung, sofern kein Skript erstellt wurde. |
| Repadmin /removelingeringobjects | Entfernen pro Partition Nutzt: – DRSReplicaVerifyObjects-Methode |
– Nur Befehlszeile – Integrierte Ermittlung über DRSReplicaVerifyObjects – Zeigt ermittelte Objekte in Ereignissen auf DCs an. – Erfordert viele Ausführungen, wenn eine umfassende (n * (n-1)) paarweise Bereinigung erforderlich ist. Diese Aufgabe wird mit dem Repldiag-Tool und dem Lingering Object Liquidator-Tool automatisiert. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für