Descrizione dello strumento Lingering Object Liquidator
Questo articolo descrive lo strumento LoL (Lingering Object Liquidator) per trovare e rimuovere oggetti persistenti.
Numero KB originale: 3141939
Introduzione
Lingering Object Liquidator (LOL) è uno strumento per automatizzare l'individuazione e la rimozione di oggetti persistenti. Lo strumento usa il metodo DRSReplicaVerifyObjects, che viene sfruttato dal repadmin /removelingeringobjects comando e dallo strumento repldiag in combinazione con la primitiva removeLingeringObject rootDSE usata da LDP.EXE.
Vantaggi e disponibilità
- Combina l'individuazione e la rimozione di oggetti persistenti in un'unica interfaccia.
- Lo strumento è disponibile nell'Area download Microsoft.
Funzionalità principali
- Rimuove tutti gli oggetti persistenti in tutti i controller di dominio senza alcuna richiesta.
- Esegue un confronto (n * (n-1)) in ogni controller di dominio nella foresta.
- Esegue il rilevamento della topologia, che consente di selezionare e scegliere controller di dominio da usare per il confronto degli oggetti persistente (origine e destinazione).
- Esporta un elenco di oggetti persistenti come file CSV, in modo che possa essere modificato offline e quindi importato nuovamente nello strumento per rimuovere gli oggetti, se necessario (utile per le operazioni di rimozione avanzate).
- Salva il contenuto dell'oggetto in un file di log nel caso in cui un nuovo oggetto debba essere idratato dall'oggetto persistente.
Requisiti degli strumenti
Scaricare ed eseguire Lingering Object Liquidator in un controller di dominio o in un computer membro nella foresta da cui si desidera rimuovere gli oggetti persistenti.
Microsoft .NET Framework 4.5.2 deve essere installato nel computer che esegue lo strumento.
Autorizzazioni: l'account utente che esegue lo strumento deve avere le credenziali di amministratore di dominio per ogni dominio nella foresta in cui risiede il computer in esecuzione. I membri del gruppo Enterprise Administrators dispongono di credenziali di amministratore di dominio in tutti i domini all'interno di una foresta per impostazione predefinita. Le credenziali di amministratore di dominio sono sufficienti in un singolo dominio o in una singola foresta di dominio.
È necessario abilitare la regola del firewall Remote Event Log Management (RPC) in qualsiasi controller di dominio che richiede l'analisi. In caso contrario, lo strumento restituisce un errore "Eccezione: il server RPC non è disponibile".
La liquidazione di oggetti persistenti negli ambienti Active Directory Lightweight Directory Services (AD LDS/ADAM) non è supportata.
scenario
Rilevamento di oggetti persistente
Eseguire lo strumento come amministratore di dominio (o come amministratore dell'organizzazione se si vuole analizzare l'intera foresta). A tale scopo, eseguire la procedura seguente.
Note
Se lo strumento non viene eseguito con privilegi elevati, verrà visualizzato l'errore 8453.
Nella sezione Rilevamento topologia selezionare Rileva topologia di Active Directory.
Rilevare la topologia di Active Directory popola gli elenchi Contesto di denominazione, Controller di dominio di riferimento e Controller di dominio di destinazione eseguendo una query sul controller di dominio locale. Il rilevamento accurato esegue una ricerca più completa di tutti i controller di dominio e sfrutta il localizzatore di controller di dominio e le chiamate DSBind. Tenere presente che il rilevamento accurato avrà probabilmente esito negativo se uno o più controller di dominio non sono raggiungibili.
Di seguito sono riportati i campi della scheda Oggetti persistente:
Contesto di denominazione
Contiene ogni contesto di denominazione di Active Directory nella foresta.
Controller di dominio di riferimento
Si tratta del controller di dominio che verrà confrontato con il controller di dominio di destinazione. Il controller di dominio di riferimento ospita una copia scrivibile della partizione.
Note
Tutti i controller di dominio nella foresta vengono visualizzati anche se non sono adatti come controller di dominio di riferimento (ChildDC2 è un controller di dominio di sola lettura e non è un controller di dominio di riferimento valido perché non ospita una copia scrivibile di un controller di dominio).
Controller di dominio di destinazione
Il controller di dominio di destinazione da cui devono essere rimossi gli oggetti persistenti.
Selezionare Rileva oggetti persistente per usare i controller di dominio selezionati per il confronto oppure selezionare Analizza intera foresta e Target ALL DCS per analizzare l'intero ambiente.
Lo strumento esegue un confronto con tutti i controller di dominio per tutte le partizioni in modo associato quando tutti i campi vengono lasciati vuoti. In un ambiente di grandi dimensioni, questo confronto richiederà molto tempo (possibilmente anche giorni) come destinazione dell'operazione (n * (n-1)) numero di controller di dominio nella foresta per tutte le partizioni mantenute localmente. Per operazioni più brevi e mirate, selezionare un contesto di denominazione, un controller di dominio di riferimento e un controller di dominio di destinazione. Il controller di dominio di riferimento deve contenere una copia scrivibile del contesto di denominazione selezionato. Tenere presente che facendo clic su Arresta non si arresta effettivamente l'API lato server, si arresta solo il lavoro nello strumento sul lato client.
Durante l'analisi, diversi pulsanti sono disabilitati e la casella di stato contiene messaggi di diagnostica e operativi dallo strumento Lingering Object Liquidator. Durante questa fase di esecuzione, lo strumento viene eseguito in modalità di avviso e legge i dati del registro eventi segnalati in ogni controller di dominio di destinazione.
Al termine dell'analisi, la barra di stato viene aggiornata, i pulsanti vengono riabilitati e viene visualizzato il numero totale di oggetti persistenti. Nella casella di stato vengono visualizzate tutte le informazioni, gli avvisi e gli errori che si sono verificati durante l'analisi.
Se viene visualizzato l'errore 1396 o l'errore 8440 nel riquadro di stato, si usa una versione di anteprima beta anticipata dello strumento e deve essere aggiornata alla versione più recente.
- L'errore 1396 viene registrato se lo strumento usa erroneamente un controller di dominio di sola lettura come controller di dominio di riferimento.
- L'errore 8440 viene registrato quando il controller di dominio di riferimento di destinazione non ospita una copia scrivibile della partizione.
Note sul metodo di individuazione Lingering Object Liquidator:
- Usa il metodo DRSReplicaVerifyObjects in modalità consultiva.
- Viene eseguito per tutti i controller di dominio e tutte le partizioni.
- Raccoglie l'ID evento 1946 dell'oggetto persistente e visualizza gli oggetti nel riquadro contenuto principale.
- L'elenco può essere esportato in CSV per l'analisi offline (o la modifica per l'importazione).
- Supporta l'importazione e la rimozione di oggetti dall'importazione CSV (sfruttare per gli oggetti non individuabili tramite DRSReplicaVerifyObjects).
- Supporta la rimozione di oggetti da DRSReplicaVerifyObjects e dalla modifica di rootDSE LDAP rootDSE removeLingeringobjects.
Lo strumento usa il metodo DRSReplicaVerifyObjects (in modalità consultiva) usato dal
repadmin /removelingeringobjects /Advisory_Modecomando . Oltre ai normali eventi correlati alla modalità di consulenza registrati in ogni controller di dominio, vengono visualizzati ognuno degli oggetti persistenti all'interno del riquadro contenuto principale.
I risultati dell'analisi vengono registrati nel riquadro Risultati. Molti altri dettagli di tutte le operazioni vengono registrati nel file Date-TimeStamp> persistente<.log.txt nella stessa directory dell'eseguibile dello strumento.
Il pulsante Esporta consente di esportare un elenco di tutti gli oggetti persistenti elencati nel riquadro principale in un file CSV. Visualizzare il file in Excel, modificare se necessario e usare il pulsante Importa in un secondo momento per visualizzare gli oggetti senza dover eseguire una nuova analisi. La funzionalità Di importazione è utile anche se si individuano oggetti abbandonati (non individuabili con DRSReplicaVerifyObjects) che è necessario rimuovere.
Nota sugli oggetti persistenti temporanei:
Garbage Collection è un processo indipendente che viene eseguito in ogni controller di dominio ogni 12 ore per impostazione predefinita. Uno dei suoi processi consiste nel rimuovere gli oggetti eliminati ed esistenti come pietra definitiva per un numero di giorni superiore al numero di giorni di durata della rimozione definitiva. Esiste un periodo di 12 ore in sequenza in cui esiste un oggetto idoneo per l'operazione di Garbage Collection in alcuni controller di dominio, ma è già stato rimosso dal processo di Garbage Collection in altri controller di dominio. Questi oggetti verranno inoltre segnalati come oggetti persistenti dallo strumento; Tuttavia, non è necessaria alcuna azione, perché verranno rimosse automaticamente alla successiva esecuzione del processo di Garbage Collector nel controller di dominio.
Esistono due metodi supportati per rimuovere gli oggetti persistenti rilevati. Il metodo "removeLingeringObject" fa riferimento all'operazione di modifica rootDSE, che può essere usata per rimuovere singoli oggetti persistenti. Il metodo "DsReplicaVerifyObjects" selezionerà tutti gli oggetti persistenti contemporaneamente.
Per rimuovere singoli oggetti, selezionare un singolo oggetto o più oggetti con selezione multipla usando CTRL o MAIUSC. Premere CTRL per selezionare più oggetti oppure MAIUSC per selezionare un intervallo di oggetti e quindi selezionare Rimuovi oggetti persistenti selezionati.
La barra di stato viene aggiornata con gli oggetti persistenti e lo stato dell'operazione di rimozione:
Lo strumento esegue il dump di un elenco di attributi per ogni oggetto prima della rimozione e lo registra insieme ai risultati della rimozione dell'oggetto nel file di log removedLingeringObjects.log.txt . Questo file di log si trova nella stessa posizione dell'eseguibile dello strumento: C:\tools\LingeringObjects\removedLingeringObjects<DATE-TIMEStamp>.log.txt.
Contenuto di esempio del file di log:
the obj DN: <GUID=<GUID>>; <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com objectClass:top, person, organizationalPerson, user; sn:Schenk; whenCreated:20121126224220.0Z; name:<CN_Name>; objectSid:<SID>;primaryGroupID:513; sAMAccountType:805306368; uSNChanged:32958; objectCategory:<GUID=<GUID>>;CN=Person,CN=Schema,CN=Configuration,DC=root,DC=contoso,DC=com; whenChanged:20121126224322.0Z; cn:<CN_Name>; uSNCreated:32958; l:Boulder; distinguishedName:<GUID=<GUID>>; <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com; displayName:<CN_Name>; st:Colorado; dSCorePropagationData:16010101000000.0Z; userPrincipalName:<User_Name>@root.contoso.com; givenName:<User_Name>; instanceType:0; sAMAccountName:<Account_Name>; userAccountControl:650; objectGUID:<GUID>; value is :<GUID=<GUID>>:<GUID=<GUID>> Lingering Obj CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com is removed from the directory, mod response result code = Success --------------------------------------------- RemoveLingeringObject returned SuccessDopo aver identificato tutti gli oggetti, possono essere rimossi in blocco selezionando tutti gli oggetti e quindi Rimuovi o esportati in un file CSV. Il file CSV può essere importato di nuovo in un secondo momento per eseguire la rimozione in blocco. Tenere presente che è presente un pulsante Rimuovi tutto che sfrutta il
repadmin /removelingeringobjectmetodo di rimozione persistente degli oggetti.
Supporto: anche se questo strumento è stato testato accuratamente in molti ambienti, viene fornito così come è. Non sarà disponibile alcun supporto Tecnico Microsoft ufficiale.
Accedere al lab virtuale TechNet per la risoluzione dei problemi di Active Directory Lingering Objects se si vuole provare a usare questo strumento in un ambiente lab contenente oggetti persistenti.
Workflow
Ulteriori informazioni
| Metodo di rimozione | Funzionalità di rimozione e partizione/oggetto | Dettagli |
|---|---|---|
| Liquidatore oggetto persistente | Rimozione per oggetto e per partizione Sfrutta: - Modifica di LDAP rootDSE removeLingeringObjects - Metodo DRSReplicaVerifyObjects |
- Basato su GUI - Visualizza rapidamente tutti gli oggetti persistenti nella foresta a cui viene aggiunto il computer in esecuzione - Individuazione predefinita tramite il metodo DRSReplicaVerifyObjects - Metodo automatizzato per rimuovere gli oggetti persistenti da tutte le partizioni - Rimuove gli oggetti persistenti da tutti i controller di dominio (inclusi i controller di dominio di sola lettura) ma non i collegamenti persistenti - Controller di dominio Windows Server 2008 e versioni successive (non funzioneranno con i controller di dominio di Windows Server 2003) |
| Repldiag /removelingeringobjects | Rimozione per partizione Sfrutta: - Metodo DRSReplicaVerifyObjects |
- Solo riga di comando - Metodo automatizzato per rimuovere gli oggetti persistenti da tutte le partizioni - Individuazione predefinita tramite DRSReplicaVerifyObjects - Visualizza gli oggetti individuati negli eventi nei controller di dominio - Non rimuove i collegamenti persistenti. Non rimuove ancora oggetti persistenti dai controller di dominio di sola lettura( ). |
| Primitive rootDSE removelingeringObjects LDAP (più comunemente eseguite usando LDP.EXE o uno script di importazione LDIFDE) | Rimozione per oggetto | - Richiede un metodo di individuazione separato - Rimuove un singolo oggetto per esecuzione, a meno che non venga creato uno script. |
| Repadmin /removelingeringobjects | Rimozione per partizione Sfrutta: - Metodo DRSReplicaVerifyObjects |
- Solo riga di comando - Individuazione predefinita tramite DRSReplicaVerifyObjects - Visualizza gli oggetti individuati negli eventi nei controller di dominio - Richiede molte esecuzioni se è necessaria una pulizia abbinata completa (n * (n-1)). Lo strumento repldiag e lo strumento Lingering Object Liquidator automatizzano questa attività. |