Tombstone-Ablaufzeit überschritten

[lefg 276]

Hallo Gemeinde,

 

habe hier eine älteres Image eines 1.DC, beim Versuch mit repadmin /sync vom 2.DC zu replizieren kommt die Meldung: Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

 

Kann man da noch etwas machen?

 

Habt Dank für Aufmerksamkeit und Rat.

 

Edgar

[Gadget 37]

Edgar ich sags ja ungern aber ich glaub das wars mit deinem AD...:(

 

Du hast den DC schon im normal Modus gestartet oder?

 

Hättest du lieber nicht tun sollen, möchte dich da nur an unseren langen Beitrag hier an Boarde erinnern wo Grizzly schon auf sein How-To dazu verwiesen hat.

 

http://www.mcseboard.de/tipps-links-5/images-datensicherung-taugen-2-96494.html

 

Willkommen bei QITCON: Image-Technik und das USN-Rollback-Problem

 

Eine letzte Rettung ….

 

Falls man vor einem ausgefallenen DDC sitzt und anstelle einer richtigen Sicherung jetzt nur ein Image in peto hat, dann gibt es noch eine letzte Möglichkeit, dem Domänencontroller glaubhaft zu machen, man habe den Systemstatus aus einer früheren Sicherung zurückgespielt.

 

Achtung: Für das nachfolgend beschriebene Vorgehen darf das Image nur im Verzeichnisdienstwiederherstellungs-Modus (F8) gestartet werden. Auf keinen Fall normal starten. Wenn der DC normal startet und bei der Replikation das USN-Rollback-Problem hervorruft, war's das !!! Dann hilft auch diese Prozedur nichts mehr.

 

LG Gadget

[lefg 276]

Hallo Kohn,

 

danke für den Tipp, ich habe es mir schon gedacht, an den Beitrag habe ich mich nicht erinnert.

 

Es ist nicht mein AD, das gehört jemand anderen. :) Ich werde ihm und seiner Leitung mal deinen Tipp zeihgen, das von Grizzly und eine Neuinstallation vorschlagen. Das wird für den lokalen Admin (und wohl auch für mich) eine Wochenendarbeit.

 

 

Gruß

 

Edgar

[Gadget 37]

Aber wart mal die Tombstone Meldung heisst aber imho nicht 100 prozentig darauf hin, dass ein USN-Rollback stattgefunden hat.

 

Hat der betroffende DC den das sp1 für 2k3 drauf?

 

ist es denn überhaupt ein 2k3 Server? u. wieviele DC´s gibts in der Domäne?

 

1. DC du meinst den FSMO-Rollenhalter?

[lefg 276]

Das SP1 für w2k3 ist drauf,. (Kann ich Hoffnung schöpfen?) :)

[Gadget 37]

Naja das SP1 würde dir nen USN-Rollback im Eventlog melden

 

Detecting a USN rollback on a Windows Server 2003 domain controller that has Windows Server 2003 SP1 or the 875495 hotfix installed

 

How to detect and recover from a USN rollback in Windows Server 2003

 

Was für Eventlog-Einträge bekommst du denn?

[Monarch 10]

Der Standardzeitraum für die Beibehaltung einer Kopie eines gelöschten Objekts in Active Directory, die so genannte Tombstone-Lebensdauer, wurde von 60 Tagen auf 180 Tage erweitert. Eine längere Tombstone-Lebensdauer erhöht die Wahrscheinlichkeit, dass ein gelöschtes Objekt im lokalen Verzeichnis eines getrennten Domänencontrollers bleibt, wenn das Objekt dauerhaft von Onlinedomänencontrollern gelöscht wird. Die Tombstone-Lebensdauer wird nicht automatisch geändert, wenn Sie auf Windows Server 2003 mit SP1 aktualisieren. Sie kann jedoch nach dem Update manuell geändert werden. Für mit Windows Server 2003 mit SP1 installierte neue Gesamtstrukturen gilt eine Standard-Tombstone-Lebensdauer von 180 Tagen. Weitere Informationen zur Tombstone-Lebensdauer finden Sie im Artikel zur Funktionsweise des Datenspeichers auf der Microsoft-Website unter http://go.microsoft.com/fwlink/?LinkId=38339 (möglicherweise in englischer Sprache).

 

Vielleicht ist es möglich, diese Änderung irgendwie offline im Image zu ändern, vor dem ersten Boot?

 

Ich habe keine Ahnung, ob das irgendwie geht (so nachträglich)...

 

Gruß

Monarch

[lefg 276]

Was für Eventlog-Einträge bekommst du denn?

Keine über ein stattgefundenes Rollback. Alle hinsichtlich der Tombstone.

 

Ich habe hier noch eine ntbackup vom 26.10.06 gefunden. Ob da mal den Systemstate restore?

[lefg 276]

Die Leute mit dem Hut auf hatten erst die Tränen in den Augen, haben dann doch dem Wochenendsatz ihres Hausadmins und auch meiner Bezahlung zugestimmt. Wir machen uns also bei strahlenden Wette ein schönes Weekend an der Ostsee, installieren nebenbei eine Domäne usw.

 

Habr Dank für die Hilfen.

 

Fruß

 

Edger

 

Edit: Wir sind schon dabei, ein tolles wetter, leicht kühl noch, es wird aber wärmer. Leider hat der Serverraum keinen Ausgang zur Terrasse. Ob wir den Server mit nach draussen nehmen? :D ;)

[Daim 12]

Hi Edgar,

 

habe hier eine älteres Image eines 1.DC, beim Versuch mit repadmin /sync vom 2.DC zu replizieren kommt die Meldung: Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufzeit überschritten hat.

 

ob ein USN-Rollback besteht, kannst Du z.B. mit dem REPADMIN Befehl der im Artikel den Kohn gepostet hat überprüfen.

 

Kann man da noch etwas machen?

 

Falls ein USN-Rollback besteht, heißt es DCPROMO mit dem Schalter /FORCEREMOVAL auszuführen. Denn der DC kann sich schließlich nicht mehr ordnungsgemäß replizieren. Anschließend säuberst Du das AD mit NTDSUTIL - METADATA CLEANUP von dieser Leiche.

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

Die Fehlermeldung die du erhalten hast sagt dir, dass der DC eben nicht in der Tombstone Lifetime (TLS) sich mit einem anderen DC repliziert hat.

Wieviele Tage die Tombstone Lifetime beträgt, hängt davon ab, mit welcher Version der allererste DC in der Gesamtstruktur installiert wurde.

Das Geheimnis der Tombstone Lifetime - faq-o-matic.net

 

Wenn sich der DC nicht mit anderen DCs während der TLS repliziert, können veraltete Objekte entstehen.

Bekannt auch als Lingering Objects. Dieses kannst du aber mit einigem Aufwand gerade biegen und die DCs erneut zum replizieren bringen.

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)

 

Wenn aber ein USN-Rollback besteht ---> DCPROMO :(

[Necron 71]

Die Fehlermeldung die du erhalten hast sagt dir, dass der DC eben nicht in der Tombstone Lifetime (TLS) sich mit einem anderen DC repliziert hat.

Wieviele Tage die Tombstone Lifetime beträgt, hängt davon ab, mit welcher Version der allererste DC in der Gesamtstruktur installiert wurde.

Das Geheimnis der Tombstone Lifetime - faq-o-matic.net

Kleine Ergänzung, da ja mittlerweile auch das SP2 draußen ist. Wenn man das SP2 auf dem allerersten DC in der Gesamtstruktur installiert, so wird der Wert auch auf 180 Tage gesetzt.

Das habe ich zumindestens auf meinem DC beobachtet:

->Neu installierter W2k3Server dann Upgrade durch SP1 (als es rauskam) und zum Schluss Upgrade durch SP2 (als es rauskam).

[Daim 12]

Kleine Ergänzung, da ja mittlerweile auch das SP2 draußen ist. Wenn man das SP2 auf dem allerersten DC in der Gesamtstruktur installiert, so wird der Wert auch auf 180 Tage gesetzt.

Das habe ich zumindestens auf meinem DC beobachtet:

->Neu installierter W2k3Server dann Upgrade durch SP1 (als es rauskam) und zum Schluss Upgrade durch SP2 (als es rauskam).

 

Ohhauuweiiaa... das ist ein wichtiger Hinweis, der mir noch nicht aufgefallen war.

Da haben die Jungs es mit dem SP2 endlich gefixed, na das wurde aber auch Zeit.

 

Danke für den Hinweis :-)

[Necron 71]

 

Leider habe ich auf den MS Seiten nichts dazu gefunden, was die Annahme unterstützen würde.

[Daim 12]

Ich werde es auf alle Fälle nachstellen und damit hätten wir in jedemfall den Beweis ;)

[lefg 276]

Hallo Kameraden,

 

danke nochmals für eure Hilfe, Rat. Wir haben neu installiert, führen zur Zeit noch Restarbeiten durch. Es ist auch eine Erfahrung für den Hausadmin, in Zukunft wird er der Sicherung des Systemstatus Aufmerksamkeit schenken. Er will seine Herren nun um die Bezahlung eines Lehrganges angehen, ich bin da eher skeptisch.

 

Einen schönen tag wünsche ich allen.

 

Edgar