AD kann nicht replizieren , Tombstone-Ablaufzeit überschritten

[m1k2k 10]

Hallo Leute,

 

Habe vor ca. 8-10 Wochen einen Server (DC) nach USA geschickt, er war schon so weit vorbereitet, gestern lasse ich ihn anstecken (hatte zwischendurch einen Unfall und konnte nicht arbeiten) und ich erhalte im Repadmin diese Meldung:

 

CN=Schema,CN=Configuration,DC=***,DC=local

*\*-SRV1 via RPC

DC object GUID: f799fd86-890f-41d3-ad70-ef804935ce2f

Last attempt @ 2011-08-31 12:54:38 failed, result 8614 (0x21a6):

Active Directory kann mit diesem Server nicht replizieren, da die die seit der letzten Replikation abgelaufene Zeit die Tombstone-Ablaufze

it überschritten hat.

 

 

Was kann ich tun ? Ich kann auf den Server in USA zugreifen, Standleitung steht und sonst funktioniert auch alles (DNS, Ping) aber die AD Replikation nicht. Der Freigabenzugriff von USA auf DE geht auch nicht. Umgekehrt schon.

 

Kann jemand helfen?

 

Danke und Gruss

 

m1k

[m1k2k 10]

noch was...für mich wäre es glaube ich am einfachsten wenn ich das AD auf dem Server deinstalliere (DC zurückstufen auf normalen Memberserver).

Sollte ich dann den Servernamen ändern oder wird alles autom. und sauber ausm AD gelöscht? Vielleicht könnt ihr da auf die schnell paar Tips geben.

 

Danke

[NilsK 2.930]

Moin,

 

in dem Fall ist AD-Deinstallation und -Neuinstallation per dcpromo der sinnvollste Weg. Den Namen kannst du beibehalten, solltest aber zwischen den beiden dcpromo-Vorgängen (nach abgewarteter Replikation im Rest-AD) alle Verweise im DNS, in WINS und in Sites & Services auf den Namen manuell löschen.

 

Gruß, Nils

[m1k2k 10]

super! Danke für die Info...das war auch mein Grober Plan!

Gruss

[m1k2k 10]

DCPROMO will nicht:

 

The operation failed because:

Managing the network session with Server1 failed

 

"Logon Failure: The target account name is incorrect."

:confused:

[NilsK 2.930]

Moin,

 

du loggst dich direkt auf dem Server ein? Mit welchem Konto?

 

Gruß, Nils

[m1k2k 10]

Domain Admin Konto bin ich auf dem Server in USA eingeloggt.

 

Ähnliche Meldung kommt auch wenn ich via UNC Pfad Versuche eine Freigabe zu öffnen.

 

Auch wenn ich die GPMC öffne, sagt er mir das er keinen DC kontaktieren konnte.

 

Der DC in USA ist 2008 und in DE 2003.

:suspect:

[m1k2k 10]

Ich hab diesen Beitrag hier gefunden:

 

source: OS Support - OS Help from OS Experts

Quote:

Originally Posted by LauraEHunterMVP

 

- - - - - -

 

From a DC in your domain that is still online (there is no need to, nor would I recommend, powering the DC back on at this point), perform a metadata cleanup of the old DC as follows: Delete Failed DCs from Active Directory

 

If you wish to re-introduce this DC into your environment, power it up while NOT CONNECTED TO YOUR PRODUCTION NETWORK, and run dcpromo with the /forceremoval switch, after which you can reconnect it to your network and re-run dcpromo as though it is a normal member server that you are promoting for the first time.

 

- - - - - -

 

Default tombstone lifetime is 60 days; this can be lengthened or shortened, but 60 is the default.

As the DC has been offline for more than 60 days, the point here is that the OP -cannot- safely turn on that DC again without incurring a USN rollback state within his domain.

The appropriate steps here are:

Metadata cleanup/seize any necessary FSMO roles from an existing DC.

dcpromo /forceremoval on the tombstoned DC -while physically disconnected from the network-.

Do with the no-longer-tombstoned-DC as you will

 

- - - - - -

 

 

Was ich jetzt nicht verstanden habe ist die Vorgehensweise.

 

Wenn ich den Server nicht umbenenne und einfach "offline, also ohne Netzwerkkabel" dcpromo /Forceremoval ausführe und dann wieder dcpromo (online natürlich) mache, solls das gewesen sein?

 

Die Metadaten muss ich im jedenfall löschen oder?

[NilsK 2.930]

Moin,

 

wenn es nicht anders geht, musst du /forceremoval machen. Kann sein, dass das beim Überschreiten der TL immer nötig ist.

 

In dem Fall ist das Metadata Cleanup zwingend erforderlich, ebenso das Bereinigen von DNS und WINS. Auch wenn der Server seinen Namen behält.

 

Gruß, Nils

[m1k2k 10]

Danke erst mal für deine Antwort.

 

Eine Frage ist da noch. Einmal wird von Metadaten gesprochen und bei MS von Lingering .....ich denke damit ist beides gemeint aber sie werden unterschiedlich gelöscht, metadaten mit dem ntdsutil und lingering mit dem repadmin tool...

Bischen verwirrend....

 

Fixing Replication Lingering Object Problems (Event IDs 1388, 1988, 2042):

[m1k2k 10]

Da ich ja in DE bin und DCPROMO /forceremoval nicht offline machen kann, darf ich / kann ich das auch online machen ? Was hat das für Auswirkungen wenn ich es online mache? In dem einen Beitrag schlagen die vor es offline zu machen.

 

Gruss Michi

[Daim 12]

Servus,

 

wenn es nicht anders geht, musst du /forceremoval machen. Kann sein, dass das beim Überschreiten der TL immer nötig ist.

 

genau so ist es!

 

Die Replikationspartner möchten mit diesem DC nicht mehr reden (replizieren). Der DC der jedoch heruntergestuft werden soll, muss sich aber während des herunterstufen ordnungsgemäß von seinen Replikationspartnern verabschieden (der DC muss ja aus den Metadaten des AD entfernt werden). Wenn diese nunmal jegliche Kommunikation mit dem "scheinbar" veralteten DC verweigern, muss man den DC mit Gewalt (DCPROMO /FORCEREMOVAL) herunterstufen und anschließend die Metadaten bereinigen.

 

Warum jedoch die Fehlermeldung nach so kurzer Zeit erscheint, ist die andere Frage (die mich persönlich brennend interessiert). Vom Aufwand her würde sich die Suche danach nicht rechnen, daher ist das re-promoten die schnellste Variante.

 

 

@m1k2k

 

Einmal wird von Metadaten gesprochen und bei MS von Lingering

 

Mit "Metadaten" sind die Daten im AD bzw. das AD selbst gemeint und Lingering Objects sind veraltete/herumlungernde Objekte. Diese entstehen auf einem DC immer dann, wenn dieser sich länger als die Tombstone-Lifetime nicht mehr mit seinen Replikationspartnern repliziert hat.

 

Aus: LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte)

 

Wie entstehen Lingering Objects (veraltete Objekte)?

Die Namensauflösung spielt wie so oft, bei der Replikation eine wichtige Rolle. Denn Windows 2000 sowie Windows Server 2003 Domänencontroller führen vor der eigentlichen Replikation DNS-Lookups durch. Es wird versucht den GUID-Teil des CNAME-Records das sich in der Zone _msdcs.<Root-Domäne> befindet, des Replikationspartners, in eine IP-Adresse aufzulösen.

Somit wird sichergestellt, dass der Replikationspartner erreicht und aufgelöst werden kann. Falls Lookups nicht durchgeführt werden können, kann keine Replikation stattfinden und somit besteht die Gefahr, dass veraltete Objekte entstehen.

 

Folgende Fehlersituationen können dazu führen, dass ein DC länger keine Replikation durchführen kann:

 

• Falls keine Netzwerkkonnektivität zur Domäne besteht.

• Wenn sich auf dem DC unbemerkt Replikations-Probleme eingeschlichen haben.

• Die Replikation wegen einer Fehlkonfiguration nicht durchgeführt werden kann.

• Die Namensauflösung nicht ordnungsgemäß funktioniert.

• Bei fehlgeschlagener Authentifizierung oder Autorisierung.

• Die In-Bound (eingehende) Replikation deaktiviert/blockiert ist.

• Ein Problem mit dem Datenbankspeicher besteht (die ausgeführten Transaktionen werden evtl. nicht zeitgerecht abgearbeitet und führen zu Timeouts).

• die Systemuhr bzw. das Datum falsch ist

[Daim 12]

Da ich ja in DE bin und DCPROMO /forceremoval nicht offline machen kann, darf ich / kann ich das auch online machen ? Was hat das für Auswirkungen wenn ich es online mache?

 

DCPROMO /FORCEREMOVAL macht nichts anderes, als die AD-Daten LOKAL auf dem DC zu entfernen. Mit dieser "gewaltsamen" Variante bekommt eben das AD nichts davon mit und die Informationen über den gewaltsam heruntergestuften DC bleiben weiterhin im AD bestehen. Es existiert dann eine "Leiche" im AD, die es selbstverständlich zu entfernen gilt, in dem man die Metadaten des AD bereinigt.

 

Du könntest genauso gut den DC ohne DCPROMO /FORCEREMOVAL auszuführen neu installieren. Aber die Metadaten des AD musst du in jedem Fall bereinigen.

[m1k2k 10]

Hallo Yusuf!

Erst mal vielen Dank für deine Antwort, wie immer eine Freude :D

 

Gut, dann werde ich wohl den /Forceremoval ausführen und dann die Metadaten mit dem ntdsutil entfernen, oder?!

 

Eine Sache noch, Default ist ja 60 Tage eingestellt, das Log schreibt mir das die letze erfolgreiche Replizierung am 29.06.2011 war...am 30.08.2011 hab ich ihn wieder online gebracht , d.h. es waren exakt 62 Tage dazwsichen...hab ich ja wirklich Pech gehabt :(...******* Motorradunfall *grrrr*

[m1k2k 10]

Hallo nochmal,

 

habe nun alle Schritte ausgeführt. Alles erfolgreich verlaufen und die Replikationen laufen wieder ohne Fehlermeldung durch!

 

Nun wollte ich DCPROMO erneut ausführen, erhalte aber die Meldung das der RID Master nicht erreichbar ist (kann ich von USA aus nicht erreichen, das Problem ist mir bekannt).

 

Ich erhalte nun die Meldung: You will not be able to install a writable replica domain controller at this time because the RID master ***** is offline. Do you want to continue? YES NO

 

Nun meine Frage:

 

Was wäre die Folge wenn ich YES auswähle, was kann der DC dann nicht??

 

Kann ich den RID Master ohne weiteres auf einen anderen DC verschieben der aus diesem Netz erreichbar ist?

 

Als ich den Server in DE seinerzeit noch hergerichtet habe, war das mit dem RID Master kein Problem...da er jetzt in USA steht, schlägt das Problem auf.

 

Danke für Hilfe.

 

Gruss