Informationen zu nicht mehr vorhandenen Objekten in einer Windows Server Active Directory-Gesamtstruktur

Dieser Artikel enthält einige Informationen zu nicht mehr vorhandenen Objekten in einer Windows Server Active Directory-Gesamtstruktur.

Ursprüngliche Produktversion:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   910205

Zusammenfassung

Dieser Artikel enthält Informationen zu nicht mehr vorhandenen Objekten in einer Active Directory-Gesamtstruktur. Genauer gesagt werden in diesem Artikel die Ereignisse beschrieben, die das Vorhandensein von nicht mehr verwendeten Objekten, die Ursachen von nicht mehr verwendeten Objekten und die Methoden angeben, mit deren Dementfernung sie nicht mehr erhalten bleibende Objekte entfernt werden können.

EINFÜHRUNG

Bleibende Objekte können auftreten, wenn ein Domänencontroller nicht für einen Zeitraum repliziert wird, der länger als die Lebensdauer des Tombstones (TSL) ist. Der Domänencontroller stellt dann erneut eine Verbindung mit der Replikationstopologie her. Objekte, die aus dem Active Directory-Verzeichnisdienst gelöscht werden, wenn der Domänencontroller offline ist, können auf dem Domänencontroller als veraltete Objekte verbleiben. Dieser Artikel enthält ausführliche Informationen zu den Ereignissen, die das Vorhandensein von nicht mehr verwendeten Objekten angeben, die Ursachen für nicht mehr auf dem Markt bleibende Objekte und die Methoden, die Sie verwenden können, um veraltete Objekte zu entfernen.

Weitere Informationen

Lebensdauer des Grabsteins und Replikation von Löschvorgängen

Wenn ein Objekt gelöscht wird, repliziert Active Directory den Löschvorgang als Tombstone-Objekt. Ein Grabsteinobjekt besteht aus einer kleinen Teilmenge der Attribute des gelöschten Objekts. Durch die eingehende Replikation dieses Objekts erhalten andere Domänencontroller in der Domäne und in der Gesamtstruktur Informationen zum Löschen. Der Grabstein wird in Active Directory für einen bestimmten Zeitraum aufbewahrt. Dieser angegebene Zeitraum wird als TSL bezeichnet. Am Ende der TSL wird das Grabsteinobjekt dauerhaft gelöscht.

Der Standardwert der TSL hängt von der Version des Betriebssystems ab, das auf dem ersten Domänencontroller ausgeführt wird, der in einer Gesamtstruktur installiert ist. In der folgenden Tabelle sind die Standard-TSL-Werte für verschiedene Windows-Betriebssysteme aufgeführt.

Erster Domänencontroller im Gesamtstrukturstamm Standardlebensdauer des Tombstones
Windows 2000 60 Tage
Windows Server 2003 60 Tage
Windows Server 2003 mit Service Pack 1 180 Tage

Hinweis

Der vorhandene TSL-Wert ändert sich nicht, wenn ein Domänencontroller auf Windows Server 2003 mit Service Pack 1 (SP1) aktualisiert wird. Der vorhandene TSL-Wert wird beibehalten, bis Sie ihn manuell ändern.

Nachdem der Grabstein endgültig gelöscht wurde, kann der Objektlöschvorgang nicht mehr repliziert werden. Die TSL definiert, wie lange Domänencontroller in der Gesamtstruktur Informationen zu einem gelöschten Objekt beibehalten. Die TSL definiert auch die Zeit, während der alle direkten und transitiven Replikationspartner des ursprünglichen Domänencontrollers einen eindeutigen Löschvorgang erhalten müssen.

Auftreten nicht mehr verwendeter Objekte

Wenn ein Domänencontroller für einen längeren Zeitraum als die TSL getrennt wird, verbleiben möglicherweise ein oder mehrere Objekte, die aus Active Directory auf allen anderen Domänencontrollern gelöscht werden, auf dem getrennten Domänencontroller. Solche Objekte werden als veraltete Objekte bezeichnet. Da der Domänencontroller während der Zeit, zu der der Grabstein aktiv ist, offline ist, erhält der Domänencontroller keine Replikation des Grabsteins.

Wenn dieser Domänencontroller erneut mit der Replikationstopologie verbunden wird, fungiert er als Quellreplikationspartner mit einem Objekt, über das sein Zielpartner nicht verfügt.

Replikationsprobleme treten auf, wenn das Objekt auf dem Quelldomänencontroller aktualisiert wird. In diesem Fall antwortet der Zieldomänencontroller auf zwei Arten, wenn der Zielpartner versucht, das Update zu replizieren:

  • Wenn auf dem Zieldomänencontroller die Strikte Replikationskonsistenz aktiviert ist, erkennt der Controller, dass das Objekt nicht aktualisiert werden kann. Der Controller beendet lokal die eingehende Replikation der Verzeichnispartition vom Quelldomänencontroller.

  • Wenn auf dem Zieldomänencontroller die strikte Replikationskonsistenz deaktiviert ist, fordert der Controller das vollständige Replikat des aktualisierten Objekts an. In diesem Fall wird das Objekt erneut in das Verzeichnis eingeführt.

Ursachen für lange Verbindungen

Die folgenden Bedingungen können zu langen Trennungen führen:

  • Ein Domänencontroller wird vom Netzwerk getrennt und im Speicher gespeichert.

  • Die Lieferung eines vordefinierten Domänencontrollers an seinen Remotestandort dauert länger als eine TSL.

  • Fernnetzverbindungen (Wide Area Network, WAN) sind für längere Zeiträume nicht verfügbar. Beispielsweise kann ein Domänencontroller an Bord eines Bootens möglicherweise nicht repliziert werden, da das Boot länger auf See ist als die TSL.

  • Das gemeldete Ereignis ist ein falsch positives Ergebnis, da ein Administrator die TSL verkürzt hat, um die Garbage Collection gelöschter Objekte zu erzwingen.

  • Das gemeldete Ereignis ist ein falsch positives Ergebnis, da die Systemuhr auf der Quelle oder auf dem Zieldomänencontroller fälschlicherweise erweitert oder zurückgesetzt wurde. Uhrverschrägungen werden nach einem Systemneustart am häufigsten verwendet. Uhrschrägungen können aus den folgenden Gründen auftreten:

    • Es liegt ein Problem mit dem Akku der Systemuhr oder mit der Hauptplatine vor.

    • Die Zeitquelle für einen Computer ist falsch konfiguriert. Es enthält einen Zeitquellenserver, der mithilfe des Windows-Zeitdiensts (W32Time), mithilfe eines Zeitservers eines Drittanbieters oder mithilfe von Netzwerkroutern konfiguriert wird.

    • Ein Administrator setzt die Systemuhr vor oder setzt sie zurück, um die Nutzungsdauer einer Systemstatussicherung zu verlängern oder die Garbage Collection gelöschter Objekte zu beschleunigen. Stellen Sie sicher, dass die Systemuhr die tatsächliche Uhrzeit widerspiegelt. Stellen Sie außerdem sicher, dass Ereignisprotokolle keine ungültigen Ereignisse aus der Zukunft oder aus der Vergangenheit enthalten.

Hinweise darauf, dass ein Domänencontroller nicht mehr auf dem Domänencontroller enthaltene Objekte hat

Ein veralteter Domänencontroller kann veraltete Objekte ohne erkennbaren Effekt speichern, wenn die folgenden Bedingungen zutreffen:

  • Ein Administrator, eine Anwendung oder ein Dienst aktualisiert das veraltete Objekt nicht.
  • Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mit demselben Namen in der Domäne zu erstellen.
  • Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mithilfe desselben Benutzerprinzipalnamens (UPN) in der Gesamtstruktur zu erstellen.

Selbst wenn keine erkennbaren Auswirkungen auftreten, kann das Vorhandensein von nicht mehr verwendeten Objekten Probleme verursachen. Diese Probleme treten höchstwahrscheinlich auf, wenn es sich bei einem veralteten Objekt um einen Sicherheitsprinzipal handelt.

Ereignisse, die darauf hinweisen, dass in der Gesamtstruktur möglicherweise nicht mehr enthaltene Objekte vorhanden sind

Ereignis-ID Allgemeine Beschreibung
1862 Der lokale Domänencontroller hat kürzlich keine Replikationsinformationen von mehreren Domänencontrollern (standortübergreifenden) empfangen.
1863 Der lokale Domänencontroller hat kürzlich keine Replikationsinformationen von mehreren Domänencontrollern (standortübergreifenden) empfangen.
1864 Der lokale Domänencontroller hat kürzlich keine Replikationsinformationen von mehreren Domänencontrollern erhalten (Zusammenfassung).
1311 Die Knowledge Consistency Checker (KCC) konnte keine übergreifende Strukturtopologie erstellen.
2042 Es ist zu lang, seit dieser Server zuletzt mit dem benannten Quellserver repliziert wurde.

Ereignisse, die angeben, dass in der Gesamtstruktur nicht mehr enthaltene Objekte vorhanden sind

Ereignis-ID Allgemeine Beschreibung
1084 Es gibt kein solches Objekt auf dem Server.
1388 Dieses Zielsystem hat ein Update für ein Objekt erhalten, das lokal vorhanden sein sollte, aber nicht.
1311 Ein anderer Domänencontroller hat ein Objekt repliziert, das auf diesem Domänencontroller nicht vorhanden ist.

Hinweis

Bleibende Objekte sind auf Domänencontrollern, die die Ereignis-ID 1988 protokollieren, nicht vorhanden. Der Quelldomänencontroller enthält das veraltete Objekt.

Repadmin-Fehler, die darauf hinweisen, dass in der Gesamtstruktur veraltete Objekte vorhanden sind

Ereignis-ID Allgemeine Beschreibung
8240 Es gibt kein solches Objekt auf dem Server.
8606 Es wurden nicht genügend Attribute zum Erstellen eines Objekts angegeben.

Weitere Anzeichen dafür, dass sich in der Gesamtstruktur nicht mehr enthaltende Objekte befinden

  • Ein gelöschtes Benutzer- oder Gruppenkonto verbleibt in der globalen Adressliste (GAL) auf Servern, auf denen Microsoft Exchange Server. Obwohl der Kontoname in der GAL angezeigt wird, treten daher Fehler auf, wenn Benutzer versuchen, E-Mail-Nachrichten zu senden.

  • Mehrere Kopien eines Objekts werden in der Objektauswahl oder in der GAL für ein Objekt angezeigt, das in der Gesamtstruktur eindeutig sein sollte. Manchmal werden doppelte Objekte mit geänderten Namen angezeigt. Diese doppelten Objekte führen bei Verzeichnissuchen zu Verwirrung. Wenn beispielsweise der relative Distinguished Name von zwei Objekten nicht aufgelöst werden kann, hängt die Konfliktauflösung CNF:GUID an den Namen an. In diesem Beispiel wird ein reserviertes Zeichen, CNF ist eine Konstante, die eine Konfliktauflösung angibt, und * GUID stellt den objectGUID-Attributwert dar.

  • E-Mail-Nachrichten werden nicht an einen Benutzer zugestellt, dessen Active Directory-Konto aktuell zu sein scheint. Nachdem ein veralteter Domänencontroller oder globaler Katalogserver erneut verbunden wurde, werden beide Instanzen des Benutzerobjekts im globalen Katalog angezeigt. Da beide Objekte dieselbe E-Mail-Adresse haben, können E-Mail-Nachrichten nicht zugestellt werden.

  • Eine universelle Gruppe, die nicht mehr vorhanden ist, wird weiterhin im Zugriffstoken eines Benutzers angezeigt. Obwohl die Gruppe nicht mehr vorhanden ist, hat der Benutzer möglicherweise Zugriff auf eine Ressource, die für diesen Benutzer nicht verfügbar sein soll, wenn die Gruppe in einem Benutzerkonto weiterhin im Sicherheitstoken enthalten ist.

  • Ein neues Objekt oder ein neues Exchange-Postfach kann nicht erstellt werden. Das Objekt wird jedoch nicht in Active Directory angezeigt. Eine Fehlermeldung meldet, dass das Objekt bereits vorhanden ist.

  • Suchen, die Attribute eines vorhandenen Objekts verwenden, können fälschlicherweise mehrere Kopien eines Objekts mit demselben Namen finden. Ein Objekt wurde aus der Domäne gelöscht. Dieses Objekt verbleibt jedoch auf einem isolierten globalen Katalogserver.

Wenn versucht wird, ein veraltetes Objekt zu aktualisieren, das sich in einer beschreibbaren Verzeichnispartition befindet, werden Ereignisse auf dem Zieldomänencontroller protokolliert. Wenn sich die einzige Version eines nicht mehr vorhandenen Objekts jedoch in einer schreibgeschützten Verzeichnispartition auf einem globalen Katalogserver befindet, kann das Objekt nicht aktualisiert werden. Daher wird diese Art von Ereignis nicht ausgelöst.

Entfernen nicht mehr verwendeter Objekte aus der Gesamtstruktur

Windows 2000-basierte Gesamtstrukturen

Weitere Informationen zum Entfernen nicht mehr vorhandener Objekte in einer Windows 2000-basierten Domäne finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu sehen:

314282 Bleibende Objekte bleiben möglicherweise erhalten, nachdem Sie einen veralteten globalen Katalogserver wieder online isiert haben.

Windows Server 2003-basierte Gesamtstrukturen

Klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu sehen:

892777 Windows Server 2003 Service Pack 1 Support Tools

Verhindern von nicht mehr verwendeten Objekten

Im Folgenden finden Sie Methoden, die Sie verwenden können, um veraltete Objekte zu verhindern.

Methode 1: Aktivieren des Registrierungseintrags "Strikte Replikationskonsistenz"

Sie können den Registrierungseintrag "Strikte Replikationskonsistenz" aktivieren, damit verdächtige Objekte unter Quarantäne gestellt werden. Anschließend können Die Verwaltungen diese Objekte entfernen, bevor sie in der Gesamtstruktur verteilt werden.

Wenn sich in Ihrer Umgebung ein beschreibbares objekt befindet und versucht wird, das Objekt zu aktualisieren, bestimmt der Wert im Registrierungseintrag "Strikte Replikationskonsistenz", ob die Replikation fortgesetzt oder beendet wird. Der Registrierungseintrag "Strikte Replikationskonsistenz" befindet sich im folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Der Datentyp für diesen Eintrag ist REG_DWORD. Wenn Sie den Wert auf 1 festlegen, wird der Eintrag aktiviert. Die eingehende Replikation der angegebenen Verzeichnispartition von der Quelle wird am Ziel beendet. Wenn Sie den Wert auf 0 festlegen, ist der Eintrag deaktiviert. Das Ziel fordert das vollständige Objekt vom Quelldomänencontroller an. Das veraltete Objekt wird im Verzeichnis als neues Objekt angezeigt.

Der Standardwert für den Registrierungseintrag "Strikte Replikationskonsistenz" wird durch die Bedingungen bestimmt, unter denen der Domänencontroller in der Gesamtstruktur installiert wurde.

Hinweis

Durch das Erhöhen der Funktionsebene der Domäne oder Gesamtstruktur wird die Replikationskonsistenzeinstellung auf keinem Domänencontroller geändert.

Standardmäßig ist der Wert des Registrierungseintrags "Strikte Replikationskonsistenz" auf Domänencontrollern, die in einer Gesamtstruktur installiert sind, 1 (aktiviert), wenn die folgenden Bedingungen zutreffen:

  • Die Windows Server 2003-Version von Winnt32.exe wird verwendet, um einen primären Windows NT 4.0-Domänencontroller (PDC) auf Windows Server 2003 zu aktualisieren. Dieser Computer erstellt die Stammdomäne der Gesamtstruktur einer neuen Gesamtstruktur.
  • Active Directory wird auf einem Server mit Windows Server 2003 installiert. Dieser Computer erstellt die Stammdomäne der Gesamtstruktur einer neuen Gesamtstruktur.

Standardmäßig ist der Wert des Registrierungseintrags "Strikte Replikationskonsistenz" auf Domänencontrollern 0 (deaktiviert), wenn die folgenden Bedingungen zutreffen:

  • Ein Windows 2000-basierter Domänencontroller wird auf Windows Server 2003 aktualisiert.
  • Active Directory wird auf einem Windows Server 2003-basierten Mitgliedsserver in einer Windows 2000-basierten Gesamtstruktur installiert.

Wenn Sie über einen Domänencontroller verfügen, auf dem Windows Server 2003 mit SP1 ausgeführt wird, müssen Sie die Registrierung nicht so ändern, dass der Wert des Registrierungseintrags "Strict Replication Consistency" festgelegt wird. Stattdessen können Sie mit dem tool Repadmin.exe diesen Wert für einen Domänencontroller in der Gesamtstruktur oder für alle Domänencontroller in der Gesamtstruktur festlegen.

Weitere Informationen zur Verwendung von Repadmin.exe zum Festlegen der strikten Replikationskonsistenz finden Sie auf der folgenden Microsoft-Website:
https://technet.microsoft.com/library/cc780362(WS.10).aspx

Methode 2: Überwachen der Replikation mithilfe eines Befehlszeilenbefehls

Führen Sie die folgenden Schritte aus, um die Replikation mithilfe repadmin /showrepl des Befehls zu überwachen:

  1. Klicken Sie auf Start und auf Ausführen, geben Sie „cmd“ ein, und klicken Sie dann auf OK.

  2. Geben repadmin /showrepl * /csv >showrepl.csv Sie ein, und drücken Sie dann die EINGABETASTE.

  3. Öffnen Sie in Microsoft Excel die Showrepl.csv Datei.

  4. Wählen Sie die Spalte A + RPC und die Spalte SMTP aus.

  5. Klicken Sie im Menü Bearbeiten auf Löschen.

  6. Wählen Sie die Zeile aus, die sich unmittelbar unter den Spaltenüberschriften befindet.

  7. Klicken Sie im Menü "Windows" auf "Bereich fixieren".

  8. Wählen Sie die vollständige Kalkulationstabelle aus.

  9. Zeigen Sie im Menü "Daten" auf "Filter", und klicken Sie dann auf "Automatisch filtern".

  10. Klicken Sie in der Überschrift der Spalte "Letzter Erfolg" auf den Pfeil nach unten, und klicken Sie dann auf aufsteigend sortieren.

  11. Klicken Sie in der Überschrift der Spalte src DC auf den Pfeil nach unten, und klicken Sie dann auf Benutzerdefiniert.

  12. Im Dialogfeld "Benutzerdefinierter AutoFilter" enthält der Klick keine .

  13. Geben Sie del in das Feld rechts neben nicht ein.

    Hinweis

    Dieser Schritt verhindert, dass gelöschte Domänencontroller in den Ergebnissen angezeigt werden.

  14. Klicken Sie in der Überschrift der Spalte "Letzter Fehler" auf den Pfeil nach unten, und klicken Sie dann auf "Benutzerdefiniert".

  15. Klicken Sie im Dialogfeld "Benutzerdefinierter AutoFilter" auf "Nicht gleich".

  16. Geben Sie in das Feld rechts neben nicht gleich, geben Sie 0 ein.

  17. Beheben Sie die angezeigten Replikationsfehler.

Methode 3: Entfernen von Domänencontrollern

Sie können fehlerhafte Domänencontroller aus der Gesamtstruktur entfernen, bevor die TSL abläuft.

Methode 4: Erhöhen der TSL

Windows 2000 Server

Erhöhen Sie die TSL mithilfe des Tools Adsiedit auf 180 Tage. Führen Sie dazu die folgenden Schritte aus:

  1. Erweitern Sie im #A0 "Configuration DomainControllerName", erweitern Sie "CN=Configuration", "DC=ForestRootDomain", "CN=Services", "CN=Windows NT", klicken Sie mit der rechten Maustaste auf "CN=Verzeichnisdienst", und klicken Sie dann auf "Eigenschaften".
  2. Klicken Sie auf die Registerkarte "Attribut".
  3. Klicken Sie in der Liste auswählen, welche Eigenschaften angezeigt werden soll, auf Optional.
  4. Klicken Sie in der Liste "Eigenschaft auswählen" auf "TombstoneLifetime".
  5. Geben Sie im Feld Attribut bearbeiten 180 ein, klicken Sie auf "Festlegen" und dann auf "OK". Windows Server 2003

Erhöhen Sie die TSL mithilfe des Tools Adsiedit auf 180 Tage. Führen Sie dazu die folgenden Schritte aus:

  1. Erweitern Sie im #A0 "Configuration DomainControllerName", erweitern Sie "CN=Configuration", "DC=ForestRootDomain", "CN=Services", "CN=Windows NT", klicken Sie mit der rechten Maustaste auf "CN=Verzeichnisdienst", und klicken Sie dann auf "Eigenschaften".
  2. Klicken Sie auf die Registerkarte "Attribut-Editor".
  3. Klicken Sie in der Attributliste auf "TombstoneLifetime" und dann auf "Bearbeiten".
  4. Geben Sie im Feld Wert 180 ein, und klicken Sie dann auf OK.