christian1 10 Geschrieben 23. Februar 2004 Melden Teilen Geschrieben 23. Februar 2004 Schönen guten Abend allerseits. Ich hab da mal kurz ne Frage bezüglich Benutzerverwaltung unter w2k Server. Ein Benutzerprofil wurde aus nicht näher erkennbarem Grund "zerlegt". Nun dachte ich mir, ist ja nicht so tragisch, löscht du den Benutzernamen raus und legst ihn neu an. Aber leider kam es wieder anders als gedacht. Beim Eintippen des gleichen Benutzernamens kam natürlich die Meldung: Der Benutzer existiert bereits in der Organisation. (o.ä.). Das "normale" entfernen aus der OU ist demnach nicht so erfolgreich. Wie kann ich den Namen endgültig löschen, um ihn neu vergeben zu können. Hat das was mit der SID zu tun? Bin für jede Antwort dankbar. MfG Christian Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 23. Februar 2004 Melden Teilen Geschrieben 23. Februar 2004 Hast du mehr als einen DC? grizzly999 Zitieren Link zu diesem Kommentar
PhelanWolf 10 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 Dunkel erinnere ich mich das im AD gelöschte Daten (Userkonten usw.) bis zu 60 Tage noch irgendwo gespeichert sind....???!!! Zitieren Link zu diesem Kommentar
SMatthees 10 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 @PhelanWolf Ja, das habe ich auch in dunkler Erinnerung. Hat das nicht was mit dem Tombstone zu tun, oder habe ich da in meinem Kopf irgendwelche wirren Vertauensstellungen zwischen Win-Linux-Novell? :) Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 Ich habe eher vermutet, dass es mind. 2 DCs sind, und der Global Catalog die Löschung noch nicht repliziert bekommen hatte. grizzly999 Zitieren Link zu diesem Kommentar
PhelanWolf 10 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 Original geschrieben von SMatthees @PhelanWolf Ja, das habe ich auch in dunkler Erinnerung. Hat das nicht was mit dem Tombstone zu tun, oder habe ich da in meinem Kopf irgendwelche wirren Vertauensstellungen zwischen Win-Linux-Novell? :) Ja genau Tombstone!!!!!!!!!! Dachte mir doch das ich noch nicht alles vergessen habe *gg* :-) @grizzly ist es nicht egal ob er nen zweiten DC hat, den ich würde mal sagen die Objekte werden auf alle Fälle als Tombstoneobject gespeichert Hier ein Teil zum Thema Tombstone: A backup that is older than the tombstone lifetime set in Active Directory is not a good backup. At a minimum, perform at least two backups within the tombstone lifetime. The default tombstone lifetime is 60 days. Active Directory incorporates the tombstone lifetime into the backup and restore process as a means of protecting itself from inconsistent data. Deleting an object from Active Directory is a two-step process. When an object is deleted in Active Directory, the object gets converted into a tombstone, which is then replicated to the other domain controllers in the environment to inform them of the deletion. Active Directory purges the tombstone when the tombstone lifetime is reached. If you restore a domain controller to a state prior to the deletion of an object, and the tombstone for that object is not replicated to the restored domain controller before the tombstone expires, the object remains present only on the restored domain controller, resulting in inconsistent data. Thus, you must restore the domain controller prior to expiration of the tombstone, and allow inbound replication from a domain controller containing the tombstone to complete prior to expiration of the tombstone. Active Directory protects itself from restoring data older than the tombstone lifetime by disallowing the restore. As a result, the useful life of a backup is equivalent to the tombstone lifetime setting for the enterprise. und ein Link http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/ad/win2k_a_tombstonelifetime.asp Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 ich weiß, was die Tomstoen Lifetime ist. Aber ein gelöschtes Objekt kann man trotz Tombstone neu anlegen, außer es ist noch im GC. grizzly999 Zitieren Link zu diesem Kommentar
PhelanWolf 10 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 @ grizzly anscheinend ist da ein Kommunikationsproblem bei mir aufgetreten. Nur der Absatz mit dem @ sollte für Dich sein, der Rest nur als allgemeine Erklärung :-). Von dem ich natürlich annahm das Sie Dir geläufig ist. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 @grizzly ist es nicht egal ob er nen zweiten DC hat, den ich würde mal sagen die Objekte werden auf alle Fälle als Tombstoneobject gespeichert Null problemo, hatte dan neinfach auch allgemien geschrieben, war allerdings vorher zeitlich seehr kurz angebunden. Nochmals zu obiger Frage: Nein, ist nicht ganz egal, ob er einen zweite/dritten/... DC hat. Wenn DC1 den GC hat, und ich lösche auf DC2 ein Objekt, lege es kurz darauf wieder neu an, ob Anlegen auf DC1 oder DC2 wäre egal, dann kann es sein, dass DC2 mit DC1=GC noch nicht repliziert hat. Da beim Anlegen eines Objektes aber im GC zuerst die Eindeutigkeit abgefragt wird, antwortet der GC, dass das Objekt (noch) existiert. Stimmt ja auch. Aus seiner Sicht ist das Objekt noch nicht gelöscht. Erst wenn der DC mit dem GC die Löschung repliziert bekommen hat, kann ich es ohne Fehlermeldung neu anlegen, obwohl es tombstoned noch auf allen DCs für 60 Tage real aber irrelevant vorhanden ist. Habe ich aber nur einen einzigen DC, dann ist dieser auch GC und damit immer aktuell. Hier tritt dieses Problem mit der Fehlermeldung nicht auf. grizzly999 Zitieren Link zu diesem Kommentar
christian1 10 Geschrieben 24. Februar 2004 Autor Melden Teilen Geschrieben 24. Februar 2004 Hallo zusammen und erstmal Danke für die Antworten. @grizzly999 Ja, es existieren 2 DCs. Wenn ich den Thread von PhelanWolf richtig verstehe, betrifft diesen Tombstone doch nur das Wiederherstellen einer AD ohne gelöschte User..... :suspect: , oder so ähnlich :D Wird das Entfernen eines Users, bzw. Objekts also nicht sofort für alle DCs übernommen ? Noch eine Bemerkung: Es handelt sich bei nur um eine Testumgebung zum Üben (Will ja auch mal MCSE werden :cool: ) Viele Fehler bekomme ich ja auch so bebacken, nur bei manchen ist es "haarig".... MfG Christian EDIT: Da ich ja nun wieder dran sitze: Jetzt hat er es wohl gefressen. War gestern demnach nur zu ungeduldig. Besten Dank für die Tipps. Die nächsten Fragen kommen bestimmt! :D Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 24. Februar 2004 Melden Teilen Geschrieben 24. Februar 2004 Wird das Entfernen eines Users, bzw. Objekts also nicht sofort für alle DCs übernommen ? Nein, das wird wie alle anderen Änderungen zu den anderen Partnern mit der normalen Verzögerung repliziert (bei Win2000 max 5 Min zum nächsten Partner, innerhalb eines Standortes max. 15 min). Tombstoned bedeutet folgendes: Der Datensatz des Objekts wird als gelöscht in der AD-Datenbank markiert, aber nicht rausgelöscht. Beim Setzen des Gelöscht-Attributs wird dieser Tomstone-Zeitstempel gesetzt. F: Warum wird das Objekt nicht sofort physisch rausgelöscht, sondern zuerst für 60 Tage als gelöscht markiert (wobei es nirgends mit normalen Tools zu sehen ist)? A: Ganz einfach. AD repliziert zwischen den DCs Objekte und deren Attributsänderungen. Was aber wirklich weg ist, kann nicht repliziert werden. Deshalb bleibt das Objekt mit dem "gelöscht-Flag" 60 Tage noch unsichtbar und ohne Wirkung drin, damit auch bei sehr großen ADS mit vielleicht langen Replikationslatenzen genügend Zeit bleibt, dass alle DCs das gelöscht-Flag repliziert bekommen. ;) grizzly999 Zitieren Link zu diesem Kommentar
christian1 10 Geschrieben 24. Februar 2004 Autor Melden Teilen Geschrieben 24. Februar 2004 Das ist genau der Grund sich in auf diesem Board zu bewegen: Nicht nur die Lösung, sondern auch die ERKLÄRUNG kommt! Vielen Dank für die Hilfe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.