Wie lang dürfen DCs getrennt werden?

[Muffel 11]

Ich habe gestern eine Datensicherung gemacht und nachgesehen, welche Tomstonelifetime aktiv ist. Da wurden mir 180 Tage angezeigt:

 

 

Daraufhin habe ich die beiden DC nach ziemlich genau 90 Tagen Trennung "zusammengeführt" und dann ging der Halligalli los, denn da wollte erst mal gar nichts. Dieser Fehler ist der Interessanteste:

 

 

Da erklärt mir der Server, er will nicht mehr replizieren, weil die Tombstonelifetime nur 60 Tage beträgt. Ja was denn nun, 180 (siehe oben) oder 60 (siehe Fehler) Tage? Da fragt man sich, ob der Eintrag, den man in ADSIEDIT sehen kann, von ActiveDirectory überhaupt ausgewertet wird. Offensichtlich nicht.

 

Alle "einfachen" Fehlerbehebungen wollten nicht. Dann habe ich auf dem Server ohne die Betriebsmaster den Schlüsselverteiler beendet und blockiert, mittels NETDOM RESETPWD das kennwort zurückgesetzt und dann gebootet. Da wollte er aber immer noch nicht. Daruafhin den GC auf dem zweiten DC deaktiviert und plötzlich funktionierte alles wieder. Schlüsselverteiler wieder gestartet, GC wieder aktiviert, alles repliziert wieder. So weit bestens.

 

Übrig bleibt eine Meldung, deren Relevanz ich nicht eintufen kann:

 

Ereignistyp:	Informationen
Ereignisquelle:	NTDS General
Ereigniskategorie:	DS-Schema 
Ereigniskennung:	1181
Datum:		25.11.2008
Zeit:		08:08:16
Benutzer:	NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer:	S9
Beschreibung:
Active Directory konnte die folgende Spalte aus der Datenbank nicht löschen, weil es von einem Index verwendet wird. Diese Spalte wurde ehemals von einem inzwischen gelöschtem Attribut verwendet. 

Spalte:
1258 
Attribute:
591734

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Wie bereinigt man das AD um diese Elemente und wer kann mir sagen was das für Elemente sein könnten?

 

BTW: In der Zeit, als die DCs getrennt waren, gab es keinerlei neue Rechner in der Domäne und niemand hat sein Kennwort geändert.

[NorbertFe 2.110]

Ich habe gestern eine Datensicherung gemacht und nachgesehen, welche Tomstonelifetime aktiv ist. Da wurden mir 180 Tage angezeigt:

 

Du hast auf beiden Servern nachgeschaut?

 

Daraufhin habe ich die beiden DC nach ziemlich genau 90 Tagen Trennung "zusammengeführt" und dann ging der Halligalli los, denn da wollte erst mal gar nichts. Dieser Fehler ist der Interessanteste:

 

Naja, wer nicht hören will... ;)

 

BTW: In der Zeit, als die DCs getrennt waren, gab es keinerlei neue Rechner in der Domäne und niemand hat sein Kennwort geändert.

 

Ein Rechner ändert sein Kennwort auch ohne dass er der Domäne neu beitreten muß. Woher weißt du, dass niemand sein Kennwort geändert hat?

 

Bye

Norbert

[Daim 12]

Ahoi,

 

Ich habe gestern eine Datensicherung gemacht und nachgesehen, welche Tomstonelifetime aktiv ist. Da wurden mir 180 Tage angezeigt:

 

kannst du das mit Sicherheit bestätigen, dass die Tombstone Lifetime nicht im nachhinein bearbeitet wurde?

Denn in deinem vorherigen Post hattest du geschrieben:

 

Ah Mist, die Installation des AD (und damit die Festlegung der Tombstone TTL) erfolgte noch zu Zeiten, also Windows Server 2003 ganz ohne ServicePacks unterwegs war. Also habe ich doch nur 60 Tage, die jetzt ganz sicher überschritten sind.

[Muffel 11]

kannst du das mit Sicherheit bestätigen, dass die Tombstone Lifetime nicht im nachhinein bearbeitet wurde?

 

Ich würde sagen ja, da zwischen Ende August (Zeitpunkt der letzten Synchronisation) und vor einigen Tagen niemand außer mir im AD rumgefummelt hat. Über ADSIEDIT hatte ich vor der Zusammenführung beide DC abgefragt, beide hatten 180 Tage.

 

Kann man im AD irgendwo abfragen, seit wann "es existiert"?