So erkennen und entfernen Sie die objekte in einer Windows Server Active Directory-Gesamtstruktur

Dieser Artikel enthält Informationen zum Anhalten von Objekten in einer ad DS-Gesamtstruktur (Active Directory-Domäne Services). Im Artikel werden insbesondere die Ereignisse erläutert, die auf das Vorhandensein von verharrenden Objekten, die Ursachen für das Anhalten von Objekten und die Methoden hinweisen, die Sie zum Entfernen von lingernden Objekten verwenden können.

Ursprüngliche KB-Nummer: 910205

Übersicht

Es handelt sich um Objekte, die nach dem Löschen wieder in der AD DS-Gesamtstruktur angezeigt werden. Dieses Verhalten kann auftreten, wenn ein Domänencontroller die Replikation von Änderungen an oder von anderen Domänencontrollern in der Gesamtstruktur für eine Zeit beendet und dann erneut repliziert wird. Dieses Verhalten tritt aufgrund der Art und Weise auf, in der die Gesamtstruktur Objektlöschungen unter mehreren Domänencontrollern repliziert.

Replizieren von Objektlöschungen über eine Gesamtstruktur

Wenn Sie ein Objekt in einer AD DS-Gesamtstruktur löschen, generiert AD DS ein Tombstone-Objekt, um das gelöschte Objekt darzustellen. Das Tombstone-Objekt enthält eine kleine Teilmenge der Attribute des gelöschten Objekts. Andere Domänencontroller in der Domäne und die Gesamtstruktur verwenden die eingehende Replikation, um das Tombstone-Objekt zu empfangen und ihre Gesamtstrukturinformationen zu aktualisieren, um die Löschung zu berücksichtigen. Das Tombstone-Objekt verbleibt in der Gesamtstruktur für einen bestimmten Zeitraum, der als Grabsteinlebensdauer (Tombstone Lifetime, TSL) bezeichnet wird. Am Ende des TSL löscht AD DS das Tombstone-Objekt endgültig. Alle direkten und transitiven Replikationspartner des ursprünglichen Domänencontrollers müssen eine Kopie des Tombstone-Objekts innerhalb der TSL erhalten.

Der Standardwert der TSL hängt von der Version des Betriebssystems ab, das auf dem ersten Domänencontroller ausgeführt wird, der in einer Gesamtstruktur installiert ist. Für alle derzeit unterstützten Versionen von Windows Server beträgt die Standard-TSL 180 Tage.

Notiz

Der vorhandene TSL-Wert ändert sich nicht, wenn Sie einen Domänencontroller auf eine neuere Version von Windows Server aktualisieren. Der vorhandene TSL-Wert wird beibehalten, bis Sie ihn manuell ändern.

So tritt das Anhalten von Objekten auf

Das Anhalten von Objekten kann auftreten, wenn ein Domänencontroller die Replikation von Änderungen an oder aus der verbleibenden Replikationstopologie für eine Zeit beendet und dann erneut repliziert wird (z. B. wenn der Server physisch getrennt und verschoben und dann erneut verbunden werden muss). Wenn ein Domänencontroller nicht länger als die TSL repliziert wird, empfängt der Domänencontroller möglicherweise kein oder mehrere Tombstone-Objekte. Daher kann ein oder mehrere Objekte, die aus der Gesamtstruktur auf allen anderen Domänencontrollern gelöscht werden, auf dem getrennten Domänencontroller beibehalten werden. Solche Objekte werden als lingernde Objekte bezeichnet.

Wenn der getrennte Domänencontroller erneut repliziert wird, fungiert er als Quellreplikationspartner mit einem Objekt, über das sein Zielpartner nicht verfügt. Der Zieldomänencontroller antwortet, indem eine der folgenden Aktionen ausgeführt wird:

• Wenn der Registrierungsschlüssel auf dem Zieldomänencontroller aktiviert ist, erkennt dieser Strict Replication Consistency Domänencontroller, dass es das Objekt nicht aktualisieren kann. Der Zieldomänencontroller stoppt lokal die eingehende Replikation der Verzeichnispartition vom Quelldomänencontroller.

• Wenn der Registrierungsschlüssel auf dem Zieldomänencontroller deaktiviert ist, fordert dieser Strict Replication Consistency Domänencontroller das vollständige Replikat des Objekts an. Mit diesem Vorgang wird das Objekt wieder in die Gesamtstruktur eingeführt. Aus administrativer Sicht wird ein objekt, das Sie gelöscht haben, wieder angezeigt.

Das Verweilen von Objekten führt nicht immer zu spürbaren Symptomen. Unter den folgenden Bedingungen bleibt das Anhalten von Objekten möglicherweise nicht erkannt:

• Ein Administrator, eine Anwendung oder ein Dienst aktualisiert das verweilende Objekt nicht.
• Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mit demselben Namen in der Domäne zu erstellen.
• Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mithilfe desselben Benutzerprinzipalnamens (UPN) in der Gesamtstruktur zu erstellen.

Ursachen für lange Trennungen

Die einfachste Möglichkeit, das Anhalten von Objekten zu vermeiden, besteht darin, Domänencontroller daran zu hindern, die Verbindung mit der Replikationstopologie für Zeiträume zu trennen, die größer als die TSL sind. Wenn ein Domänencontroller für einen längeren Zeitraum getrennt werden muss, beachten Sie das Potenzial für das Anhalten von Objekten.

Die folgenden Bedingungen können zu langen Trennungen führen:

• Ein Administrator entfernt einen Domänencontroller aus dem Netzwerk und versetzt ihn dann in den Speicher.

• Ein Administrator stellt einen Domänencontroller vor und sendet ihn an einen Remotestandort. Allerdings läuft die TSL ab, bevor der Domänencontroller den Remotestandort erreicht.

• Der Domänencontroller kann über längere Zeit keine Verbindung mit einem WAN (Wide Area Network) herstellen. Beispielsweise kann ein Domänencontroller an Bord eines Kreuzfahrtschiffs möglicherweise nicht länger repliziert werden als die TSL, wenn das Schiff auf See ist.

Unter den folgenden Bedingungen kann das Anhalten von Objekten auch dann angezeigt werden, wenn der Domänencontroller für weniger als die Standard-TSL offline war:

• Ein Administrator verkürzt die TSL, um die Garbage Collection von gelöschten Objekten zu erzwingen.

• Die Systemuhr auf dem Quell- oder Zieldomänencontroller ist falsch erweitert oder zurückgesetzt. Uhrverkniffen sind nach einem Neustart des Domänencontrollers am häufigsten und können aus folgenden Gründen auftreten:

  • Der Systemuhr-Akku oder die Hauptplatine haben ein Problem.

  • Die Zeitquelle für einen Computer ist falsch konfiguriert. Eine solche Quelle könnte einen Zeitquellserver enthalten, der mithilfe des Windows-Zeitdiensts (W32Time), mithilfe eines Zeitservers eines Drittanbieters oder mithilfe von Netzwerkroutern konfiguriert ist.

  • Ein Administrator wechselt oder setzt die Systemuhr zurück, um die Nutzungsdauer einer Systemstatussicherung zu verlängern oder die Garbage Collection von gelöschten Objekten zu beschleunigen. Stellen Sie sicher, dass die Systemuhr die tatsächliche Zeit wiedergibt. Stellen Sie außerdem sicher, dass Ereignisprotokolle keine ungültigen Ereignisse aus der Zukunft oder Vergangenheit enthalten.

Zeigt an, dass eine Gesamtstruktur objekte enthält

Selbst wenn es keinen spürbaren Effekt gibt, kann das Vorhandensein von verweilenden Objekten Zu Problemen führen. Diese Probleme treten am wahrscheinlichsten auf, wenn ein sich befindendes Objekt ein Sicherheitsprinzipal ist.

Ereignisse, die angeben, dass die Gesamtstruktur möglicherweise noch objekte enthält

Ereignis-ID	Allgemeine Beschreibung
1862 oder 1863	Der lokale Domänencontroller hat kürzlich keine Replikationsinformationen von mehreren Domänencontrollern (standortintern) erhalten.
1864	Der lokale Domänencontroller hat kürzlich keine Replikationsinformationen von mehreren Domänencontrollern (Zusammenfassung) erhalten.
1,311	Die Wissenskonsistenzüberprüfung (Knowledge Consistency Checker, KCC) konnte keine übergreifende Strukturtopologie erstellen.
20:42	Es ist zu lang, seit dieser Server zuletzt mit dem benannten Quellserver repliziert wurde.

Ereignisse, die angeben, dass die Gesamtstruktur objekte enthält

Ereignis-ID	Allgemeine Beschreibung
1084	Ein solches Objekt ist auf dem Server nicht vorhanden.
1388	Dieses Zielsystem hat eine Aktualisierung für ein Objekt erhalten, das lokal vorhanden sein sollte, aber nicht.
1,311	Ein anderer Domänencontroller replizierte ein Objekt, das auf diesem Domänencontroller nicht vorhanden ist.

Notiz

• In Domänencontrollern, die ereignis-ID 1988 protokollieren, sind keine Lingering-Objekte vorhanden. Der Quelldomänencontroller enthält daslingerde Objekt.
• Wenn Aktualisierungen eines anhaltenden Objekts von einem Domänencontroller in einen anderen repliziert werden, hängt das Ereignisprotokollierungsverhalten des Domänencontrollers davon ab, ob die Verzeichnispartition, die daslinger objekt enthält, schreibbar ist. Wenn sich das in dem Zieldomänencontroller gespeicherte Objekt in einer schreibbaren Partition befindet, protokolliert der Domänencontroller ein Ereignis. Wenn sich das verweilende Objekt in einer schreibgeschützten Partition befindet, kann das Objekt nicht aktualisiert werden, und der Domänencontroller protokolliert kein Ereignis.

Repadmin-Fehler, die darauf hindeuten, dass die Gesamtstruktur über anhaltende Objekte verfügt

Ereignis-ID	Allgemeine Beschreibung
8240	Ein solches Objekt ist auf dem Server nicht vorhanden.
8,606	Zum Erstellen eines Objekts wurden nicht genügend Attribute angegeben.

Andere Hinweise darauf, dass der Wald noch objekte enthält

• Die globale Adressliste (GAL) von Microsoft Exchange Server enthält ein Benutzer- oder Gruppenkonto, das gelöscht wurde. In diesem Fall wird der Kontoname in der GAL angezeigt, aber Fehler treten auf, wenn Benutzer versuchen, E-Mail-Nachrichten zu senden.

• Ein Objekt sollte in der Gesamtstruktur eindeutig sein, es werden jedoch mehrere Kopien des Objekts in der Objektauswahl oder in der GAL angezeigt. Solche Fälle können doppelte Objekte enthalten, die geänderte Namen haben. Diese doppelten Objekte verwechseln Verzeichnissuchen. Wenn eine Suche beispielsweise die relativen Distinguished Names von zwei Objekten nicht auflösen kann, fügt die Konfliktauflösungsfunktion *CNF:<GUID> an einen der Namen an. In diesem Beispiel stellt ein reserviertes Zeichen dar, eine Konstante, * CNF die eine Konfliktauflösung angibt und <GUID> den ObjectGUID-Attributwert darstellt.

• Ein Benutzer verfügt über ein aktuelles Konto, aber das Konto wurde umbenannt. Der Benutzer empfängt keine E-Mail-Nachrichten. Beide Instanzen des Benutzerobjekts (die aktuelle und eine ältere Version) werden in der GAL angezeigt. Da beide Objekte dieselbe E-Mail-Adresse haben, können E-Mail-Nachrichten nicht zugestellt werden.

• Eine universelle Gruppe, die nicht mehr vorhanden ist, wird weiterhin im Zugriffstoken eines Benutzers angezeigt. Daher hat der Benutzer möglicherweise Zugriff auf eine Ressource, die Für diesen Benutzer nicht verfügbar sein soll.

• Sie können kein neues Objekt oder ein neues Exchange-Postfach erstellen. Das Objekt wird jedoch nicht in der Gesamtstruktur angezeigt. Eine Fehlermeldung meldet, dass das Objekt bereits vorhanden ist.

• Suchvorgänge, die Attribute eines vorhandenen Objekts verwenden, finden möglicherweise fälschlicherweise mehrere Kopien eines Objekts, die denselben Namen verwenden. Ein Objekt wurde aus der Domäne gelöscht, dieses Objekt verbleibt jedoch in einem globalen Katalogserver, der isoliert war.

Entfernen von lingernden Objekten aus der Gesamtstruktur

Wählen Sie eine der folgenden Methoden aus, um bleibende Objekte zu entfernen.

Methode 1: Verwenden von LOLv2

Die bevorzugte Methode zum Erkennen und Entfernen von lingernden Objekten ist die Verwendung von Lingering Object Liquidator v2 (LoLv2). Informationen zum Herunterladen des Tools finden Sie unter Lingering Object Liquidator (LoL)

Weitere Informationen zur Verwendung von LoLv2 finden Sie in den folgenden Artikeln:

• Einführung in Lingering Object Liquidator v2
• Beschreibung des Lingering Object Liquidator Werkzeugs

Methode 2: Verwenden des Repadmin-Tools

Wenn Sie LoLv2 nicht verwenden können, können Sie das Repadmin-Tool (Repadmin.exe) verwenden. Weitere Informationen finden Sie in den Schritten zum Entfernen von lingernden Objekten mithilfe von Repadmin.For more information, see Steps to use Repadmin to remove lingering objects.

Verhindern des Anhaltens von Objekten

Verwenden Sie eine der folgenden Methoden, um zu verhindern, dass Objekte in Der Gesamtstruktur bleiben.

Methode 1: Aktivieren des Registrierungseintrags "Strict Replication Consistency"

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie Änderungen vornehmen, damit Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie unter: Sichern und Wiederherstellen der Registrierung Windows.

Sie können den Strict Replication Consistency Registrierungseintrag auf jedem Domänencontroller aktivieren, sodass verdächtige Objekte auf dem Quelldomänencontroller unter Quarantäne gestellt werden. Anschließend können Administratoren diese Objekte entfernen, bevor sich die Objekte in der gesamten Gesamtstruktur verteilen.

Wenn sich ein schreibbares Objekt in Ihrer Umgebung befindet und versucht wird, das Objekt zu aktualisieren, bestimmt der Wert im Strict Replication Consistency Registrierungseintrag, ob die Replikation fortgesetzt oder beendet wird. Der Strict Replication Consistency Registrierungseintrag befindet sich im folgenden Registrierungsunterschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

• Name: Strict Replication Consistency
• Datentyp: REG_DWORD
• Werte:
  • 0 (deaktiviert). Der Zieldomänencontroller fordert das vollständige Objekt vom Quelldomänencontroller an. Das verweilende Objekt wird wieder als neues Objekt in der Gesamtstruktur angezeigt.
  • 1 (aktiviert). Der Zieldomänencontroller stoppt die eingehende Replikation der relevanten Verzeichnispartition vom Quelldomänencontroller.

Der Standardwert Strict Replication Consistency hängt von der Windows-Version des ersten Domänencontrollers in der Gesamtstruktur ab. Dieser Computer erstellt die Gesamtstrukturstammdomäne einer neuen Gesamtstruktur.

• Wenn die Gesamtstruktur durch Höherstufung eines Servers mit Windows Server 2003 oder einer höheren Version erstellt wurde, ist der Standardwert Strict Replication Consistency 1 (aktiviert) auf jedem Domänencontroller, den Sie der Gesamtstruktur hinzufügen.

• Wenn die Gesamtstruktur durch Bewerben eines Servers mit Windows 2000 Server erstellt wurde, ist der Standardwert Strict Replication Consistency 0 (deaktiviert) auf jedem Domänencontroller, den Sie der Gesamtstruktur hinzufügen. Führen Sie in diesem Fall die Schritte unter "Sicherstellen der strengen Replikationskonsistenz" auf neu heraufgestuften Domänencontrollern aus.

Notiz

Der Strict Replication Consistency Wert eines Domänencontrollers ändert sich nicht, wenn Sie die Funktionale Ebene der Domäne oder der Gesamtstruktur erhöhen.

Die bevorzugte Methode zum Aktivieren Strict Replication Consistency ist die Verwendung von Repadmin. Weitere Informationen dazu finden Sie in den folgenden Artikeln:

• Schritte zur Verwendung von Repadmin zum Aktivieren der strengen Replikationskonsistenz

• Ereignis-ID 1388 oder 1988: Ein anhaltendes Objekt wird erkannt.

Methode 2: Überprüfen der Replikation mithilfe eines Befehlszeilenbefehls

Führen Sie die folgenden Schritte aus, um die Replikation mithilfe des repadmin /showrepl Befehls zu überprüfen:

1. Öffnen Sie ein Eingabeaufforderungsfenster (wählen Sie "Start ausführen"> aus, geben Sie cmd ein, und wählen Sie dann "OK" aus).

2. Führen Sie an der Eingabeaufforderung den folgenden Befehl aus:

   repadmin /showrepl * /csv >showrepl.csv
   

3. Öffnen Sie in Microsoft Excel die Showrepl.csv Datei.

4. Wählen Sie die Spalte A + RPC und die SMTP-Spalte und dann "Löschen bearbeiten">aus.

5. Wählen Sie die Zeile aus, die sich unmittelbar unter den Spaltenüberschriften befindet, und wählen Sie dann den Fensterausschnitt>fixieren aus.

6. Wählen Sie das gesamte Arbeitsblatt aus, und wählen Sie dann "Datenfilter>automatisch filtern>" aus.

7. Wählen Sie in der Überschrift der Spalte "Letzter Erfolg " den Abwärtspfeil und dann " Aufsteigend sortieren" aus.

8. Wählen Sie in der Überschrift der Spalte "src DC " den Abwärtspfeil und dann " Benutzerdefiniert" aus.

9. Im Dialogfeld "Benutzerdefinierter AutoFilter" enthält die Option keine Option.

10. Geben Sie im Feld rechts neben "del" den Wert "del" ein.

    Notiz

    Dieser Schritt verhindert, dass gelöschte Domänencontroller in den Ergebnissen angezeigt werden.

11. Wählen Sie in der Überschrift der Spalte "Letzter Fehler " den Abwärtspfeil und dann " Benutzerdefiniert" aus.

12. Im Dialogfeld "Benutzerdefinierter AutoFilter" ist die Option nicht gleich.

13. Geben Sie im Feld rechts neben "0" den Wert "0" ein.

14. Überprüfen Sie die gefilterte Tabelle auf Replikationsfehler. Dies sind die Probleme, die Sie beheben müssen.

Methode 3: Entfernen von Domänencontrollern

Wenn Sie einen Domänencontroller entfernen und ersetzen müssen oder vermuten, dass ein Domänencontroller fehlschlägt, stellen Sie sicher, dass der Zeitraum, in dem der Domänencontroller offline ist, kleiner als die TSL ist.

Methode 4: Erhöhen der TSL

Sie können entweder Windows PowerShell oder ADSI Edit verwenden, um die TSL auf 180 Tage zu erhöhen.

Um PowerShell zum Erhöhen der TSL zu verwenden, öffnen Sie ein Administratives PowerShell-Fenster, und führen Sie dann die folgenden Befehle in Folge aus:

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext” -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime=’180′}

ADSI Edit ist im Menü "Extras" in Server-Manager verfügbar. Führen Sie die folgenden Schritte aus, um die TSL zu ändern:

1. Stellen Sie in ADSI Edit eine Verbindung mit der Konfigurationspartition der Gesamtstruktur her. Gehen Sie hierzu folgendermaßen vor:
   1. Klicken Sie im linken Bereich mit der rechten Maustaste auf ADSI-Bearbeitung, und wählen Sie dann "Verbinden" aus.
   2. Wählen Sie unter "Verbindungseinstellungen" einen bekannten Namenskontext und dann "Konfiguration" aus.
   3. Wählen Sie OK aus.
2. Wechseln Sie in der Navigationsstruktur zu CN=Configuration>CN=Services>CN=Windows NT>CN=Directory Service.
3. Klicken Sie mit der rechten Maustaste auf CN=Verzeichnisdienst, und wählen Sie dann "Eigenschaften" aus.
4. Wählen Sie die Registerkarte "Attribut " aus.
5. Wählen Sie in der Liste "Auswählen, welche Eigenschaften angezeigt werden sollen" die Option "Optional" aus.
6. Wählen Sie in der Liste "Wählen Sie eine Eigenschaft zum Anzeigen " aus, und wählen Sie "TombstoneLifetime" aus.
7. Geben Sie im Feld "Attribut bearbeiten" 180 ein, wählen Sie "Festlegen" und dann "OK" aus.

Sammeln von Daten für Microsoft-Support

Wenn Sie Unterstützung von Microsoft-Support benötigen, empfehlen wir, die Informationen zu sammeln, indem Sie die in "Sammeln von Informationen" genannten Schritte ausführen, indem Sie TSS für Active Directory-Replikationsprobleme verwenden.