Freigeben über

Beschreibung des Lingering Object Liquidator Werkzeugs

  • Artikel

In diesem Artikel wird das Tool Lingering Object Liquidator (LoL) zum Suchen und Entfernen von lingernden Objekten beschrieben.

Ursprüngliche KB-Nummer: 3141939

Einführung

Der Lingering Object Liquidator (LOL) ist ein Tool zur Automatisierung der Ermittlung und Entfernung von verweilenden Objekten. Das Tool verwendet die DRSReplicaVerifyObjects-Methode, die vom repadmin /removelingeringobjects Befehl und dem Repldiag-Tool in Kombination mit dem removeLingeringObject rootDSE-Grundtyp verwendet wird, der von LDP.EXE verwendet wird.

Vorteile und Verfügbarkeit

  • Kombiniert die Ermittlung und Entfernung von verweilenden Objekten in einer Schnittstelle.
  • Das Tool steht im Microsoft Download Center zur Verfügung.

Schlüsselfunktionen

  • Entfernt alle lingernden Objekte auf allen Domänencontrollern (DCs) ohne Aufforderung.
  • Führt einen (n * (n-1)-Vergleich über jeden DC in der Gesamtstruktur aus.
  • Führt die Topologieerkennung durch, mit der Sie DCs auswählen und auswählen können, die für den Vergleich deslingering-Objekts (Quelle und Ziel) verwendet werden sollen.
  • Exportiert eine Liste der objekte als CSV-Datei, sodass sie offline bearbeitet und dann wieder in das Tool importiert werden kann, um die Objekte bei Bedarf zu entfernen (nützlich für erweiterte Entfernungsvorgänge).
  • Speichert den Inhalt des Objekts in einer Protokolldatei, falls ein neues Objekt aus dem lingernden Objekt hydratisiert werden muss.

Toolsanforderungen

  • Laden Sie den Lingering Object Liquidator auf einem DC- oder Membercomputer in der Gesamtstruktur herunter, aus dem Sie die objekte entfernen möchten.

  • Microsoft .NET Framework 4.5.2 muss auf dem Computer installiert sein, auf dem das Tool ausgeführt wird.

  • Berechtigungen: Das Benutzerkonto, das das Tool ausführt, muss über Domänenadministrator-Anmeldeinformationen für jede Domäne in der Gesamtstruktur verfügen, in der sich der ausgeführte Computer befindet. Mitglieder der Gruppe "Unternehmensadministratoren" verfügen standardmäßig über Domänenadministratoranmeldeinformationen in allen Domänen innerhalb einer Gesamtstruktur. Domänenadministratoranmeldeinformationen sind in einer einzelnen Domäne oder einer einzelnen Domänenstruktur ausreichend.

  • Sie müssen die Firewallregel für die Remoteereignisprotokollverwaltung (REMOTE Event Log Management, RPC) für jeden dc aktivieren, der überprüft werden muss. Andernfalls gibt das Tool den Fehler "Ausnahme: Der RPC-Server ist nicht verfügbar" zurück.

    Screenshot der Remoteereignisprotokollverwaltung (REMOTE Event Log Management, RPC) Eigenschaftenfenster mit aktivierter Firewallregel.
    		Screenshot des Fensters

  • Die Liquidation von objekten in Active Directory Lightweight Directory Services (AD LDS / ADAM)-Umgebungen wird nicht unterstützt.

Exemplarische Vorgehensweise

Lingering-Objekterkennung

Führen Sie das Tool als Domänenadministrator (oder als Unternehmensadministrator aus, wenn Sie die gesamte Gesamtstruktur überprüfen möchten). Gehen Sie hierzu wie folgt vor.

Notiz

Wenn das Tool nicht mit erhöhten Rechten ausgeführt wird, erhalten Sie den Fehler 8453.

Screenshot des Fensters

  1. Wählen Sie im Abschnitt "Topologieerkennung" die Option "AD-Topologie erkennen" aus.

    Erkennen der AD-Topologie füllt die Namenskontext-, Verweis-DC- und Ziel-DC-Listen auf, indem sie den lokalen DC abfragen. Die gründlichere Erkennung führt eine umfassendere Suche aller DCs durch und nutzt DC Locator- und DSBind-Aufrufe. Beachten Sie, dass die gründliche Erkennung wahrscheinlich fehlschlägt, wenn mindestens ein DCs nicht erreichbar ist.

  2. Im Folgenden sind die Felder auf der Registerkarte "Lingering Objects" aufgeführt:

    Namenskontext

    Sie enthält jeden Active Directory-Benennungskontext in der Gesamtstruktur.

    Screenshot des Namenskontextfelds auf der Registerkarte

    Referenz DC

    Dies ist der DC, den Sie mit dem Ziel-DC vergleichen. Der Verweis DC hostt eine schreibbare Kopie der Partition.

    Screenshot des Felds

    Notiz

    Alle DCs in der Gesamtstruktur werden angezeigt, auch wenn sie nicht als Referenz-DCs geeignet sind (ChildDC2 ist ein RODC und kein gültiger Verweis-DC, da keine schreibbare Kopie eines DC gehostet wird).

    Ziel-DC

    Das Ziel-DC, aus dem Objekte entfernt werden sollen.

    Screenshot des Felds

  3. Wählen Sie " Lingering Objects " aus, um die ausgewählten DCs für den Vergleich zu verwenden, oder wählen Sie " Gesamte Gesamtstruktur scannen" und "Alle Ziel-DCs " aus, um die gesamte Umgebung zu scannen.

    Das Tool führt einen Vergleich mit allen DCs für alle Partitionen in paarweiser Weise aus, wenn alle Felder leer bleiben. In einer großen Umgebung dauert dieser Vergleich viel Zeit (möglicherweise sogar Tage), da die Vorgangsziele (n * (n-1)) Anzahl der DCs in der Gesamtstruktur für alle lokal gehaltenen Partitionen verwendet werden. Wählen Sie für kürzere, gezielte Vorgänge einen Namenskontext aus, verweisen Sie auf DC und Ziel-DC. Der Referenz-DC muss eine schreibbare Kopie des ausgewählten Namenskontexts enthalten. Beachten Sie, dass das Klicken auf "Beenden" die serverseitige API nicht beendet, sondern nur die Arbeit im clientseitigen Tool beendet.

    Screenshot des Fensters

    Während des Scans werden mehrere Schaltflächen deaktiviert, und das Statusfeld enthält Diagnose- und Betriebsmeldungen aus dem Tool "Lingering Object Liquidator". Während dieser Ausführungsphase wird das Tool in einem Empfehlungsmodus ausgeführt und liest die Ereignisprotokolldaten, die für jedes Ziel-DC gemeldet werden.

    Wenn der Scan abgeschlossen ist, wird die Statusleiste aktualisiert, Schaltflächen werden wieder aktiviert, und die Gesamtanzahl der lingernden Objekte wird angezeigt. Im Statusfeld werden alle Informationen, Warnungen und Fehler angezeigt, die während der Überprüfung aufgetreten sind.

    Screenshot des Fensters

    Wenn fehler 1396 oder Fehler 8440 im Statusbereich angezeigt wird, verwenden Sie eine frühe Betavorschauversion des Tools und sollten auf die neueste Version aktualisieren.

    • Fehler 1396 wird protokolliert, wenn das Tool einen RODC falsch als Referenz-DC verwendet.
    • Fehler 8440 wird protokolliert, wenn der Zielverweis DC keine schreibbare Kopie der Partition hostet.

    Hinweise zur Lingering Object Liquidator Discovery-Methode:

    • Nutzt die DRSReplicaVerifyObjects-Methode im Advisory Mode.
    • Wird für alle DCs und alle Partitionen ausgeführt.
    • Erfasst die Objektereignis-ID 1946 und zeigt Objekte im Hauptinhaltsbereich an.
    • Die Liste kann für die Offlineanalyse (oder Änderung für den Import) in CSV exportiert werden.
    • Unterstützt das Importieren und Entfernen von Objekten aus dem CSV-Import (Verwendung von Objekten, die nicht mithilfe von DRSReplicaVerifyObjects erkannt werden können).
    • Unterstützt das Entfernen von Objekten durch DRSReplicaVerifyObjects und LDAP rootDSE removeLingeringobjects Modification.

    Das Tool nutzt die DRSReplicaVerifyObjects-Methode (im Advisory Mode), die repadmin /removelingeringobjects /Advisory_Mode vom Befehl verwendet wird. Zusätzlich zu den normalen ereignisbezogenen Ereignissen im Beratenden Modus, die bei jedem DC angemeldet sind, werden jedes der lingernden Objekte im Hauptinhaltsbereich angezeigt.

    Screenshot des Fensters

    Die Ergebnisse des Scans werden im Ergebnisbereich protokolliert. Viele weitere Details aller Vorgänge werden in der datei<"Date-TimeStamp>.log.txt " im selben Verzeichnis wie die ausführbare Datei des Tools protokolliert.

    Mit der Schaltfläche "Exportieren " können Sie eine Liste aller im Hauptbereich aufgelisteten Objekte in eine CSV-Datei exportieren. Zeigen Sie die Datei in Excel an, ändern Sie dies bei Bedarf, und verwenden Sie später die Schaltfläche "Importieren ", um die Objekte anzuzeigen, ohne einen neuen Scan durchführen zu müssen. Das Importfeature ist auch hilfreich, wenn Sie verlassene Objekte entdecken (nicht mit DRSReplicaVerifyObjects auffindbar), die Sie entfernen müssen.

    Eine Notiz zu vorübergehenden verharrenden Objekten:

    Garbage Collection ist ein unabhängiger Prozess, der standardmäßig alle 12 Stunden auf jedem DC ausgeführt wird. Einer seiner Aufträge besteht darin, Objekte zu entfernen, die gelöscht wurden und als Grabstein für mehr als die Grabsteinlebensdauer von Tagen vorhanden sind. Es gibt einen rollierenden Zeitraum von 12 Stunden, in dem ein Objekt, das für die Garbage Collection berechtigt ist, auf einigen DCs vorhanden ist, aber bereits vom Garbage Collection-Prozess auf anderen DCs entfernt wurde. Diese Objekte werden auch als lingernde Objekte durch das Tool gemeldet; Es ist jedoch keine Aktion erforderlich, da sie automatisch entfernt werden, wenn der Garbage Collector-Prozess das nächste Mal auf dem DC ausgeführt wird.

  4. Es gibt zwei unterstützte Methoden zum Entfernen der erkannten lingernden Objekte. Die Methode "removeLingeringObject" bezieht sich auf den RootDSE-Änderungsvorgang, der verwendet werden kann, um einzelne lingernde Objekte zu entfernen. Die "DsReplicaVerifyObjects"-Methode wählt alle objekte gleichzeitig aus.

    Wenn Sie einzelne Objekte entfernen möchten, wählen Sie ein einzelnes Objekt oder mehrere Objekte mithilfe der STRG - oder UMSCHALTTASTE aus. Drücken Sie STRG , um mehrere Objekte auszuwählen, oder UMSCHALT , um einen Bereich von Objekten auszuwählen, und wählen Sie dann "Ausgewählte objekte entfernen" aus.

    Screenshot des Fensters

    Die Statusleiste wird mit den lingernden Objekten und dem Status des Entfernungsvorgangs aktualisiert:

    Screenshot der Statusleiste des Lingering Object Liquidator.

    Das Tool speichert eine Liste der Attribute für jedes Objekt vor dem Entfernen und protokolliert diese zusammen mit den Ergebnissen der Objektentfernung in der removedLingeringObjects.log.txt Protokolldatei. Diese Protokolldatei befindet sich am gleichen Speicherort wie die ausführbare Datei des Tools: C:\tools\LingeringObjects\removedLingeringObjects<DATE-TIMEStamp>.log.txt.

    Beispielinhalt der Protokolldatei:

    the obj DN: <GUID=<GUID>>;  <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com  
objectClass:top, person, organizationalPerson, user;  
sn:Schenk;  
whenCreated:20121126224220.0Z;  
name:<CN_Name>;  
objectSid:<SID>;primaryGroupID:513;  
sAMAccountType:805306368;  
uSNChanged:32958;  
objectCategory:<GUID=<GUID>>;CN=Person,CN=Schema,CN=Configuration,DC=root,DC=contoso,DC=com;  
whenChanged:20121126224322.0Z;  
cn:<CN_Name>;  
uSNCreated:32958;  
l:Boulder;  
distinguishedName:<GUID=<GUID>>;  <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com;  
displayName:<CN_Name>;  
st:Colorado;  
dSCorePropagationData:16010101000000.0Z;  
userPrincipalName:<User_Name>@root.contoso.com;  
givenName:<User_Name>;  
instanceType:0;  
sAMAccountName:<Account_Name>;  
userAccountControl:650;  
objectGUID:<GUID>;  
value is   :<GUID=<GUID>>:<GUID=<GUID>>
Lingering Obj CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com is removed from the directory, mod response result code = Success  
---------------------------------------------  
RemoveLingeringObject returned Success

    Nachdem alle Objekte identifiziert wurden, können sie durch Auswählen aller Objekte und dann entfernen oder in eine CSV-Datei exportiert werden. Die CSV-Datei kann später erneut importiert werden, um die Massenentfernung durchzuführen. Beachten Sie, dass es eine Schaltfläche "Alle entfernen" gibt, die die repadmin /removelingeringobject Methode zum Entfernen von Objekten nutzt.

Support: Obwohl dieses Tool in vielen Umgebungen gründlich getestet wurde, wird es Für Sie bereitgestellt. Es wird kein offizieller Microsoft-Support bereitgestellt.

Greifen Sie auf die Problembehandlung von Active Directory Lingering Objects TechNet Virtual Lab zu, wenn Sie dieses Tool in einer Laborumgebung verwenden möchten, in der sich objekte befinden.

Workflow

Screenshot des Workflows der

Weitere Informationen

Removal-Methode Objekt-/Partitions- und Entfernungsfunktionen Details
Lingering Object Liquidator Entfernen pro Objekt und Partition

Nutzt:
- RemoveLingeringObjects LDAP rootDSE-Änderung
- DRSReplicaVerifyObjects-Methode
- GUI-basiert
- Zeigt schnell alle in der Gesamtstruktur befindlichen Objekte an, mit denen der ausgeführte Computer verbunden ist.
- Integrierte Ermittlung über die DRSReplicaVerifyObjects-Methode
- Automatisierte Methode zum Entfernen vonlingern Objekten aus allen Partitionen
- Entfernt lingernde Objekte von allen DCs (einschließlich RODCs), aber keine links bleibenden
– Windows Server 2008 und höhere DCs (funktionieren nicht für Windows Server 2003-DCs)
Repldiag /removelingeringobjects Entfernung pro Partition

Nutzt:
- DRSReplicaVerifyObjects-Methode
- Nur Befehlszeile
- Automatisierte Methode zum Entfernen vonlingern Objekten aus allen Partitionen
- Integrierte Ermittlung über DRSReplicaVerifyObjects
- Zeigt ermittelte Objekte in Ereignissen auf DCs an
- Entfernt nicht das Anhalten von Links. Entfernt das Anhalten von Objekten von RODCs (noch) nicht.
ROOTDSE-Grundtyp "LDAP RemoveLingeringObjects" (am häufigsten mithilfe von LDP.EXE oder einem LDIFDE-Importskript ausgeführt) Entfernen pro Objekt
– Erfordert eine separate Ermittlungsmethode.
– Entfernt ein einzelnes Objekt pro Ausführung, es sei denn, skripted.
Repadmin /removelingeringobjects Entfernung pro Partition

Nutzt:
- DRSReplicaVerifyObjects-Methode
- Nur Befehlszeile
- Integrierte Ermittlung über DRSReplicaVerifyObjects
- Zeigt ermittelte Objekte in Ereignissen auf DCs an
- Erfordert viele Ausführungen, wenn eine umfassende (n * (n-1)) paarweise Bereinigung erforderlich ist.

Das Tool "Repldiag" und das Tool "Lingering Object Liquidator" automatisieren diese Aufgabe.