Informationen zu bleibenden Objekten in einer Windows Server Active Directory Gesamtstruktur

Dieser Artikel enthält einige Informationen zu bleibenden Objekten in einer Windows Server Active Directory Gesamtstruktur.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 910205

Zusammenfassung

Dieser Artikel enthält Informationen zu bleibenden Objekten in einer Active Directory-Gesamtstruktur. Der Artikel beschreibt insbesondere die Ereignisse, die auf das Vorhandensein von bleibenden Objekten hinweisen, die Ursachen für bleibende Objekte und die Methoden, die Sie verwenden können, um bleibende Objekte zu entfernen.

EINFÜHRUNG

Anhaltende Objekte können auftreten, wenn ein Domänencontroller nicht für ein Intervall repliziert wird, das länger als die Tombstone-Lebensdauer (Tombstone Lifetime, TSL) ist. Der Domänencontroller stellt dann erneut eine Verbindung mit der Replikationstopologie her. Objekte, die aus dem Active Directory-Verzeichnisdienst gelöscht werden, wenn der Domänencontroller offline ist, können als beibehaltene Objekte auf dem Domänencontroller verbleiben. Dieser Artikel enthält ausführliche Informationen zu den Ereignissen, die auf das Vorhandensein von bleibenden Objekten hinweisen, die Ursachen für bleibende Objekte und die Methoden, die Sie zum Entfernen von bleibenden Objekten verwenden können.

Weitere Informationen

Tombstone-Lebensdauer und Replikation von Löschungen

Wenn ein Objekt gelöscht wird, repliziert Active Directory das Löschen als Tombstone-Objekt. Ein Tombstone-Objekt besteht aus einer kleinen Teilmenge der Attribute des gelöschten Objekts. Durch die eingehende Replikation dieses Objekts erhalten andere Domänencontroller in der Domäne und in der Gesamtstruktur Informationen zum Löschen. Der Tombstone wird in Active Directory für einen bestimmten Zeitraum aufbewahrt. Dieser angegebene Zeitraum wird als TSL bezeichnet. Am Ende der TSL wird das Tombstone-Objekt endgültig gelöscht.

Der Standardwert der TSL hängt von der Version des Betriebssystems ab, das auf dem ersten Domänencontroller ausgeführt wird, der in einer Gesamtstruktur installiert ist. In der folgenden Tabelle sind die TSL-Standardwerte für verschiedene Windows-Betriebssysteme angegeben.

Erster Domänencontroller im Gesamtstrukturstamm Standard-Tombstone-Lebensdauer
Windows 2000 60 Tage
Windows Server 2003 60 Tage
Windows Server 2003 mit Service Pack 1 180 Tage

Hinweis

Der vorhandene TSL-Wert ändert sich nicht, wenn ein Domänencontroller auf Windows Server 2003 mit Service Pack 1 (SP1) aktualisiert wird. Der vorhandene TSL-Wert wird beibehalten, bis Sie ihn manuell ändern.

Nachdem der Tombstone endgültig gelöscht wurde, kann das Löschen des Objekts nicht mehr repliziert werden. Die TSL definiert, wie lange Domänencontroller in der Gesamtstruktur Informationen zu einem gelöschten Objekt aufbewahren. Die TSL definiert auch den Zeitraum, in dem alle direkten und transitiven Replikationspartner des ursprünglichen Domänencontrollers einen eindeutigen Löschvorgang erhalten müssen.

Wie bleibende Objekte auftreten

Wenn ein Domänencontroller für einen längeren Zeitraum als die TSL getrennt wird, verbleibt ein oder mehrere Objekte, die aus Active Directory auf allen anderen Domänencontrollern gelöscht werden, möglicherweise auf dem getrennten Domänencontroller. Solche Objekte werden als "lingering objects" bezeichnet. Da der Domänencontroller während der Zeit offline ist, in der der Tombstone aktiv ist, empfängt der Domänencontroller niemals die Replikation des Tombstones.

Wenn dieser Domänencontroller erneut mit der Replikationstopologie verbunden wird, fungiert er als Quellreplikationspartner, der über ein Objekt verfügt, das sein Zielpartner nicht besitzt.

Replikationsprobleme treten auf, wenn das Objekt auf dem Quelldomänencontroller aktualisiert wird. Wenn der Zielpartner in diesem Fall versucht, das Update eingehend zu replizieren, antwortet der Zieldomänencontroller auf eine von zwei Arten:

  • Wenn für den Zieldomänencontroller die strikte Replikationskonsistenz aktiviert ist, erkennt der Controller, dass das Objekt nicht aktualisiert werden kann. Der Controller beendet lokal die eingehende Replikation der Verzeichnispartition vom Quelldomänencontroller.

  • Wenn für den Zieldomänencontroller die strikte Replikationskonsistenz deaktiviert ist, fordert der Controller das vollständige Replikat des aktualisierten Objekts an. In diesem Fall wird das -Objekt wieder in das Verzeichnis eingeführt.

Ursachen für lange Trennungen

Die folgenden Bedingungen können zu langen Trennungen führen:

  • Ein Domänencontroller wird vom Netzwerk getrennt und in den Speicher abgelegt.

  • Die Lieferung eines vorab bereitgestellten Domänencontrollers an seinen Remotestandort dauert länger als eine TSL.

  • WAN-Verbindungen (Wide Area Network) sind für längere Zeit nicht verfügbar. Beispielsweise kann ein Domänencontroller an Bord eines Kreuzfahrtschiffs möglicherweise nicht repliziert werden, da das Schiff länger als die TSL auf See ist.

  • Das gemeldete Ereignis ist falsch positiv, da ein Administrator die TSL gekürzt hat, um die Garbage Collection gelöschter Objekte zu erzwingen.

  • Das gemeldete Ereignis ist falsch positiv, da die Systemuhr auf der Quelle oder auf dem Zieldomänencontroller fälschlicherweise erweitert oder ein Rollback ausgeführt wurde. Uhrabweichungen treten am häufigsten nach einem Systemneustart auf. Uhrschiefe kann aus den folgenden Gründen auftreten:

    • Es gibt ein Problem mit der Systemuhrbatterie oder mit der Hauptplatine.

    • Die Zeitquelle für einen Computer ist falsch konfiguriert. Er enthält einen Zeitquellserver, der mithilfe des Windows-Zeitdiensts (W32Time), eines Zeitservers eines Drittanbieters oder mithilfe von Netzwerkroutern konfiguriert wird.

    • Ein Administrator setzt die Systemuhr fort oder führt einen Rollback aus, um die Nutzungsdauer einer Systemstatussicherung zu verlängern oder die Garbage Collection gelöschter Objekte zu beschleunigen. Stellen Sie sicher, dass die Systemuhr die tatsächliche Zeit widerspiegelt. Stellen Sie außerdem sicher, dass Ereignisprotokolle keine ungültigen Ereignisse aus der Zukunft oder aus der Vergangenheit enthalten.

Hinweise darauf, dass ein Domänencontroller über bleibende Objekte verfügt

Ein veralteter Domänencontroller kann beibehaltene Objekte ohne spürbare Auswirkungen speichern, wenn die folgenden Bedingungen erfüllt sind:

  • Ein Administrator, eine Anwendung oder ein Dienst aktualisiert das anhaltende Objekt nicht.
  • Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mit demselben Namen in der Domäne zu erstellen.
  • Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mit demselben Benutzerprinzipalnamen (User Principal Name, UPN) in der Gesamtstruktur zu erstellen.

Selbst wenn es keinen spürbaren Effekt gibt, kann das Vorhandensein von bleibenden Objekten Probleme verursachen. Diese Probleme treten am wahrscheinlichsten auf, wenn ein bleibendes Objekt ein Sicherheitsprinzipal ist.

Ereignisse, die darauf hinweisen, dass in der Gesamtstruktur möglicherweise objekte vorhanden sind

Ereignis-ID Allgemeine Beschreibung
1862 Der lokale Domänencontroller hat in letzter Zeit keine Replikationsinformationen von mehreren Domänencontrollern (standortübergreifend) empfangen.
1863 Der lokale Domänencontroller hat in letzter Zeit keine Replikationsinformationen von mehreren Domänencontrollern (standortübergreifend) empfangen.
1864 Der lokale Domänencontroller hat in letzter Zeit keine Replikationsinformationen von mehreren Domänencontrollern empfangen (Zusammenfassung).
1311 Die Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC) konnte keine übergreifende Strukturtopologie erstellen.
2042 Es ist zu lange her, seit dieser Server zuletzt mit dem benannten Quellserver repliziert wurde.

Ereignisse, die angeben, dass in der Gesamtstruktur bleibende Objekte vorhanden sind

Ereignis-ID Allgemeine Beschreibung
1084 Auf dem Server ist kein solches Objekt vorhanden.
1388 Dieses Zielsystem hat ein Update für ein Objekt erhalten, das lokal vorhanden sein sollte, aber nicht.
1311 Ein anderer Domänencontroller hat ein Objekt repliziert, das auf diesem Domänencontroller nicht vorhanden ist.

Hinweis

Bleibende Objekte sind auf Domänencontrollern, die die Ereignis-ID 1988 protokollieren, nicht vorhanden. Der Quelldomänencontroller enthält das anhaltende Objekt.

Repadmin-Fehler, die angeben, dass in der Gesamtstruktur bleibende Objekte vorhanden sind

Ereignis-ID Allgemeine Beschreibung
8240 Auf dem Server ist kein solches Objekt vorhanden.
8606 Es wurden nicht genügend Attribute zum Erstellen eines Objekts angegeben.

Weitere Hinweise darauf, dass in der Gesamtstruktur bleibende Objekte vorhanden sind

  • Ein gelöschtes Benutzer- oder Gruppenkonto verbleibt in der globalen Adressliste (GAL) auf Servern, auf denen Microsoft Exchange Server ausgeführt wird. Daher treten, obwohl der Kontoname in der GAL angezeigt wird, Fehler auf, wenn Benutzer versuchen, E-Mail-Nachrichten zu senden.

  • Mehrere Kopien eines Objekts werden in der Objektauswahl oder in der GAL für ein Objekt angezeigt, das in der Gesamtstruktur eindeutig sein soll. Manchmal werden doppelte Objekte mit geänderten Namen angezeigt. Diese doppelten Objekte führen bei Verzeichnissuchen zu Verwirrung. Wenn beispielsweise der relative Distinguished Name von zwei Objekten nicht aufgelöst werden kann, fügt die Konfliktauflösung CNF:GUID an den Namen an. In diesem Beispiel stellt ein reserviertes Zeichen dar, CNF ist eine Konstante, * die eine Konfliktlösung angibt, und GUID stellt den objectGUID-Attributwert dar.

  • E-Mail-Nachrichten werden nicht an einen Benutzer übermittelt, dessen Active Directory-Konto aktuell zu sein scheint. Nachdem die Verbindung mit einem veralteten Domänencontroller oder globalen Katalogserver wiederhergestellt wurde, werden beide Instanzen des Benutzerobjekts im globalen Katalog angezeigt. Da beide Objekte dieselbe E-Mail-Adresse haben, können E-Mail-Nachrichten nicht zugestellt werden.

  • Eine universelle Gruppe, die nicht mehr vorhanden ist, wird weiterhin im Zugriffstoken eines Benutzers angezeigt. Obwohl die Gruppe nicht mehr vorhanden ist, hat der Benutzer möglicherweise Zugriff auf eine Ressource, die für diesen Benutzer nicht verfügbar sein soll, wenn ein Benutzerkonto die Gruppe weiterhin im Sicherheitstoken enthält.

  • Ein neues Objekt oder Exchange-Postfach kann nicht erstellt werden. Das Objekt wird jedoch nicht in Active Directory angezeigt. Eine Fehlermeldung meldet, dass das Objekt bereits vorhanden ist.

  • Suchvorgänge, die Attribute eines vorhandenen Objekts verwenden, finden möglicherweise fälschlicherweise mehrere Kopien eines Objekts mit demselben Namen. Ein Objekt wurde aus der Domäne gelöscht. Dieses Objekt verbleibt jedoch auf einem isolierten globalen Katalogserver.

Wenn versucht wird, ein anhaltendes Objekt zu aktualisieren, das sich in einer beschreibbaren Verzeichnispartition befindet, werden Ereignisse auf dem Zieldomänencontroller protokolliert. Wenn sich die einzige Version eines noch erhaltenen Objekts jedoch in einer schreibgeschützten Verzeichnispartition auf einem globalen Katalogserver befindet, kann das Objekt nicht aktualisiert werden. Daher wird diese Art von Ereignis nicht ausgelöst.

Entfernen von bleibenden Objekten aus der Gesamtstruktur

Windows 2000-basierte Gesamtstrukturen

Weitere Informationen zum Entfernen von objekten in einer Windows 2000-basierten Domäne finden Sie in der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

314282 objekte bleiben möglicherweise erhalten, nachdem Sie einen veralteten globalen Katalogserver wieder online geschaltet haben.

Windows Server 2003-basierte Gesamtstrukturen

Weitere Informationen finden Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

892777 Supporttools für Windows Server 2003 Service Pack 1

Verhindern von bleibenden Objekten

Im Folgenden finden Sie Methoden, die Sie verwenden können, um das Anhalten von Objekten zu verhindern.

Methode 1: Aktivieren des Registrierungseintrags "Strict Replication Consistency"

Sie können den Registrierungseintrag Strict Replication Consistency aktivieren, damit verdächtige Objekte unter Quarantäne gesetzt werden. Anschließend können Die Verwaltungen diese Objekte entfernen, bevor sie sich in der Gesamtstruktur verteilen.

Wenn sich in Ihrer Umgebung ein beschreibbares, anhaltendes Objekt befindet und versucht wird, das Objekt zu aktualisieren, bestimmt der Wert im Registrierungseintrag Strict Replication Consistency, ob die Replikation fortgesetzt wird oder beendet wird. Der Registrierungseintrag Strict Replication Consistency befindet sich im folgenden Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Der Datentyp für diesen Eintrag ist REG_DWORD. Wenn Sie den Wert auf 1 festlegen, ist der Eintrag aktiviert. Die eingehende Replikation der angegebenen Verzeichnispartition aus der Quelle wird am Ziel beendet. Wenn Sie den Wert auf 0 festlegen, ist der Eintrag deaktiviert. Das Ziel fordert das vollständige Objekt vom Quelldomänencontroller an. Das beibehaltene Objekt wird im Verzeichnis als neues Objekt wiederbelebt.

Der Standardwert für den Registrierungseintrag Strict Replication Consistency wird durch die Bedingungen bestimmt, unter denen der Domänencontroller in der Gesamtstruktur installiert wurde.

Hinweis

Das Erhöhen der Funktionsebene der Domäne oder Gesamtstruktur ändert die Einstellung für die Replikationskonsistenz auf keinem Domänencontroller.

Standardmäßig ist der Wert des Registrierungseintrags Strict Replication Consistency auf Domänencontrollern, die in einer Gesamtstruktur installiert sind, 1 (aktiviert), wenn die folgenden Bedingungen erfüllt sind:

  • Die Windows Server 2003-Version von Winnt32.exe wird verwendet, um einen primären Windows NT 4.0-Domänencontroller (PDC) auf Windows Server 2003 zu aktualisieren. Dieser Computer erstellt die Stammdomäne der Gesamtstruktur einer neuen Gesamtstruktur.
  • Active Directory wird auf einem Server mit Windows Server 2003 installiert. Dieser Computer erstellt die Stammdomäne der Gesamtstruktur einer neuen Gesamtstruktur.

Standardmäßig ist der Wert des Registrierungseintrags Strict Replication Consistency auf Domänencontrollern 0 (deaktiviert), wenn die folgenden Bedingungen erfüllt sind:

  • Ein Windows 2000-basierter Domänencontroller wird auf Windows Server 2003 aktualisiert.
  • Active Directory wird auf einem Windows Server 2003-basierten Mitgliedsserver in einer Windows 2000-basierten Gesamtstruktur installiert.

Wenn Sie über einen Domänencontroller verfügen, auf dem Windows Server 2003 mit SP1 ausgeführt wird, müssen Sie die Registrierung nicht ändern, um den Wert des Registrierungseintrags Strict Replication Consistency festzulegen. Stattdessen können Sie das tool Repadmin.exe verwenden, um diesen Wert für einen Domänencontroller in der Gesamtstruktur oder für alle Domänencontroller in der Gesamtstruktur festzulegen.

Weitere Informationen zur Verwendung von Repadmin.exe zum Festlegen der strikten Replikationskonsistenz finden Sie auf der folgenden Microsoft-Website:
https://technet.microsoft.com/library/cc780362(WS.10).aspx

Methode 2: Überwachen der Replikation mithilfe eines Befehlszeilenbefehls

Führen Sie die folgenden Schritte aus, um die Replikation mit dem repadmin /showrepl Befehl zu überwachen:

  1. Klicken Sie auf Start und auf Ausführen, geben Sie „cmd“ ein, und klicken Sie dann auf OK.

  2. Geben Sie repadmin /showrepl * /csv >showrepl.csv ein, und drücken Sie dann die Eingabetaste.

  3. Öffnen Sie in Microsoft Excel die datei Showrepl.csv.

  4. Wählen Sie die Spalte A + RPC und die Smtp-Spalte aus.

  5. Klicken Sie im Menü Bearbeiten auf Löschen.

  6. Wählen Sie die Zeile aus, die sich direkt unter den Spaltenüberschriften befindet.

  7. Klicken Sie im Menü Windows auf Bereich fixieren.

  8. Wählen Sie das vollständige Arbeitsblatt aus.

  9. Zeigen Sie im Menü Daten auf Filter, und klicken Sie dann auf Automatisch filtern.

  10. Klicken Sie in der Überschrift der Spalte Letzter Erfolg auf den Pfeil nach unten, und klicken Sie dann auf Aufsteigend sortieren.

  11. Klicken Sie in der Überschrift der Spalte src DC auf den Pfeil nach unten, und klicken Sie dann auf Benutzerdefiniert.

  12. Klicken Sie im Dialogfeld Benutzerdefinierter AutoFilter auf enthält nicht.

  13. Geben Sie im Feld rechts von enthält nicht den Wert del ein.

    Hinweis

    Dieser Schritt verhindert, dass gelöschte Domänencontroller in den Ergebnissen angezeigt werden.

  14. Klicken Sie in der Überschrift der Spalte Letzter Fehler auf den Pfeil nach unten und dann auf Benutzerdefiniert.

  15. Klicken Sie im Dialogfeld Benutzerdefinierter AutoFilter auf Ungleich.

  16. Geben Sie im Feld rechts von ungleich 0 ein.

  17. Beheben Sie die angezeigten Replikationsfehler.

Methode 3: Entfernen von Domänencontrollern

Sie können fehlerhafte Domänencontroller aus der Gesamtstruktur entfernen, bevor die TSL abläuft.

Methode 4: Erhöhen der TSL

Windows 2000 Server

Erhöhen Sie die TSL auf 180 Tage, indem Sie das Adsiedit-Tool verwenden. Gehen Sie dazu wie folgt vor:

  1. Erweitern Sie im Tool Adsiedit die Optionen KonfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, klicken Sie mit der rechten Maustaste auf CN=Directory Service, und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Attribut .
  3. Klicken Sie in der Liste Auswählen der anzuzeigenden Eigenschaften auf Optional.
  4. Klicken Sie in der Liste Eigenschaft zum Anzeigen auswählen auf TombstoneLifetime.
  5. Geben Sie im Feld Attribut bearbeiten den Wert 180 ein, klicken Sie auf Festlegen, und klicken Sie dann auf OK. Windows Server 2003

Erhöhen Sie die TSL auf 180 Tage, indem Sie das Adsiedit-Tool verwenden. Gehen Sie dazu wie folgt vor:

  1. Erweitern Sie im Tool Adsiedit die Optionen KonfigurationDomainControllerName, CN=Configuration, DC=ForestRootDomain, CN=Services, CN=Windows NT, klicken Sie mit der rechten Maustaste auf CN=Directory Service, und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Attribut Editor.
  3. Klicken Sie in der Liste Attribut auf TombstoneLifetime, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Feld Wert den Wert 180 ein, und klicken Sie dann auf OK.

Datensammlung

Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter Sammeln von Informationen mithilfe von TSS für Active Directory-Replikationsprobleme beschriebenen Schritte ausführen.