Yoda 10 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Guten Morgen, mir war mal so etwas im Ohr, das wenn sich ein Domain Controller länger als 90 Tage an der Domäne nicht mehr angemeldet hat bzw. synchronisiert hat wird dieser gesperrt. Ist das richtig und was passiert genau nach den 90 Tagen. Muss ich dann den DC neu ausetzten oder langt ein einfaches zurücksetzten des Computerkontos? Was bedeutet dies für die restliche Domäne? Läuft die ohne Probleme weiter? Problem ist das es bei uns 2 DC´s gibt, die zur Zeit in Kartonage verpackt auf dem Postweg sind und dies wohl über die 90 Tage raus geht. Gruß Yoda Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 nennt sich glaube ich Tombstone.... ja wenn der eine gekickt wird gibts Probleme Zitieren Link zu diesem Kommentar
Yoda 10 Geschrieben 13. Juni 2007 Autor Melden Teilen Geschrieben 13. Juni 2007 Danke für die Info. Wießt du zufällig welche Probleme auftreten können? Gruß Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Servus, mir war mal so etwas im Ohr, das wenn sich ein Domain Controller länger als 90 Tage an der Domäne nicht mehr angemeldet hat bzw. synchronisiert hat wird dieser gesperrt. Ist das richtig und was passiert genau nach den 90 Tagen. es sind keine 90 Tage per default sondern 60 oder 180 Tage. Je nachdem mit welcher Version der erste DC einer Gesamtstruktur erstellt worden ist. Es wird auch nichts "gesperrt". Muss ich dann den DC neu ausetzten oder langt ein einfaches zurücksetzten des Computerkontos? Das zurücksetzen des Computerkontos hat damit überhaupt nichts zu tun. Höchstens das neu aufsetzen. Das musst du aber auch nicht zwangsläufig tun. Das Stichwort nennt sich: Lingering Objects Siehe: Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte) Was bedeutet dies für die restliche Domäne? Läuft die ohne Probleme weiter? Klar, die haben das Problem ja nicht. Problem ist das es bei uns 2 DC´s gibt, die zur Zeit in Kartonage verpackt auf dem Postweg sind und dies wohl über die 90 Tage raus geht. Wie jetzt? Sind die DCs 90 Tage unterwegs? Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Der DC hat das gleiche Problem wie ein Client, wenn er länger als 90 Tage nicht an der Domäne angemeldet ist. Rechnerkonten haben, genauso wie Userkonten, Passwörter. Im Gegensatz zu Userkonten hast du in der Regel keinen EInfluss auf diese Kennwörter und deren Verhalten. Das Kennwort wird im Hintergrund abgeglichen und alle 90 Tage erneuert. Wenn dein Rechner jetzt länger als diese 90 Tage nicht an der Domäne angemeldet war ist inzwischen das Kennwort abgelaufen und er kann sich nicht mehr gegen die Domäne authehtifizieren. Edit: Verdammt der Yusuf, um Sekunden schneller ... ;) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Das Kennwort wird im Hintergrund abgeglichen und alle 90 Tage erneuert. Es sind aber keine 90 Tage, sondern 30 ;). In Windows 2000, XP und 2003 erneuert das System sein Computerkennwort alle 30 Tage. Effects of machine account replication on a domain Edit:Verdammt der Yusuf, um Sekunden schneller ... ;) So ist er eben ;). Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Nur nochmals zur Erklärung: Das entscheidende ist die Tombstone Lifetime. Wenn man Objekte aus dem AD entfernt, wird das gelöschte Objekt mit einem Tombstone (Grabstein) versehen und fast alle Attribute (bis auf einige wenige) werden sofort vom Objekt entfernt (welche Attribute eines Objekts entfernt werden sollen und welche nicht, lässt sich im Schema definieren). Das Objekt wird dann im AD in den Container (den es in allen Verzeichnispartitionen gibt) "Deleted Objects" verschoben. Wenn nun (alle 12 Stunden) der Garbage Collection Prozess anläuft, werden die Objekte endgültig aus der Datenbank entfernt, die die Tombstone Lifetime überschritten haben. Ist nun ein DC länger als die Tombstone Lifetime offline, bekommt dieser die Löschungen während dieser Zeit natürlich nicht mit. Auf den anderen DCs sind Objekte bereits endgültig gelöscht worden, die aber auf dem DC der offline war, noch vorhanden sind. Wenn nun auch noch ein Objekt (z.B. ein Benutzer) auf dem DC der offline war bearbeitet wird (du trägst eine Tel.-Nr. im Benutzerobjekt ein), versucht dieser die Änderung auf seine Replikationspartner zu replizieren. Die anderen DCs sagen aber dann, was willst du eigentlich von mir, dass Objekt das du mir geben möchtest kenn ich überhaupt nicht und habe es auch nicht und verweigert somit die Replikation. Diese Objekte (Leichen) nennen sich dann Lingering Objects (herumlungernde Objekte). Die Vorgehensweise was man in so einem Moment macht, steht im meinem vorher geposteten Link. Zitieren Link zu diesem Kommentar
Yoda 10 Geschrieben 13. Juni 2007 Autor Melden Teilen Geschrieben 13. Juni 2007 Hi @all, ihr habt mir sehr weitergeholfen. Werde mich mal näher mit dem Thema befassen. Wie jetzt? Sind die DCs 90 Tage unterwegs? Ich kann leider nicht näher drauf eingehen, aber zur zeit sieht es sehr stark aus, das die Server länger als geplant auf dem Postweg sind. Danke und Gruß Yoda Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Das wär mir aber ein erheblich zu großes Sicherheitsrisiko..... :shock: Christoph Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Es sind aber keine 90 Tage, sondern 30 ;). Danke für die Richtigstellung. Mein schlechtes Zahlengedächtnis ist leider legändär... :( ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Ich kann leider nicht näher drauf eingehen, aber zur zeit sieht es sehr stark aus, das die Server länger als geplant auf dem Postweg sind.Da sind tatsächlich fertig installierte und bereits zu einer Domäne gehörige DCs unterwegs? Zitieren Link zu diesem Kommentar
RanCyyD 10 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Oder hat sie sich ins Auto gepackt und flüchtet gerade? :suspect: :D Zitieren Link zu diesem Kommentar
Yoda 10 Geschrieben 13. Juni 2007 Autor Melden Teilen Geschrieben 13. Juni 2007 Da sind tatsächlich fertig installierte und bereits zu einer Domäne gehörige DCs unterwegs? Ja, wir haben diese hier in der Zentrale aufgesetzt und wenn die noch länger unterwegs sind, werde ich mich ins Auto setzten und weit weit wegfahren. So wie ich es verstehe, haben wir es mit zwei Problemen zu tun: 1. Wenn sich der DC nicht innerhalb von 30 Tagen wieder am Netzwerk anmeldet, kann er sich nicht mehr an der Domäne authentifizieren. 2. Wenn er über die Tombestone Zeit hinausgeht, haben wir das Problem mit den Lingering Objects bzw. Replikation im allgemeinen. Beides ist für mich gerade sehr sehr unberuhigend und möchte am liebsten gleich ins Auto steigen und flüchten. :D Aber ich stehe meinen Mann und beiße mich da durch. Gruß Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 Wir fühlen mit dir, viel Erfolg. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. Juni 2007 Melden Teilen Geschrieben 13. Juni 2007 1. Wenn sich der DC nicht innerhalb von 30 Tagen wieder am Netzwerk anmeldet, kann er sich nicht mehr an der Domäne authentifizieren. 2. Wenn er über die Tombestone Zeit hinausgeht, haben wir das Problem mit den Lingering Objects bzw. Replikation im allgemeinen. Was sich beides - zwar mit sehr viel Arbeit - lösen lässt. Besser wäre es gewesen, die Server nicht VOR der Reise zu DCs zu stufen, sondern erst, wenn sie an ihrem Ziel-Ort sind. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.