Removing Lingering Objects


Active-Directory-logo

Removing Lingering Objects

Lingering objects se produc atunci cand anumite DC-uri nu se replica intr-un interval de timp mai lung decat TSL (Tombstone Lifetime). Dupa ce replicarea este din nou functionala, acest domain controller poate avea obiecte care au fost sterse din Active Directory cat timp el nu s-a putut replica iar aceste obiecte se numesc lingering objects.

Atunci cand stergem un obiect din AD acesta nu este sters din database-ul din AD. In schimb este marcat ca si un Tombstone Object iar valoarea atributului isDeleted va fi TRUE, si mutat intr-un container special CN=Deleted Objects. Cand un obiect este marcat ca si tombstone, acesta nu va mai avea toate atributele pe care le avea inainte de a fi sters. Din nou nu este efectiv sters ci doar marcat ca sters. Va avea un set limitat de atribute si va fi pastrat in functie de cat este valoare TSL configurata in forest.

Atributele limitate de pe un tombstone object

attributeID
attributeSyntax
dnReferenceUpdate
dNSHostName
flatName
governsID
groupType
instanceType
lDAPDisplayName
legacyExchangeDN
mS-DS-CreatorSID
mSMQOwnerID
nCName
objectClass
objectGUID
objectSid
oMSyntax
proxiedObejctName
replPropertyMetaData
sAMAccountName
securityIdentifier
sIDHistory
subClassOf
systemFlags
trustPartner
trustDirection
trustType
trustAttributes
userAccountControl
uSNChanged
uSNCreated
whenCreated
msDS-AdditionalSam­AccountName
msDS-Auxiliary-Classes
msDS-Entry-Time-To-Die
msDS-IntId
msSFU30NisDomain
nTSecurityDescriptor
uid

Atunci cand apar lingering objects in Active Directory exista doua posibilitati:

  1. Daca avem enabled Strict Replication Consistency DC-ul destinatie va primi un update notification pentru un obiect care nu exista din punctul lui de vedere. Avand optiunea SRC enabled va bloca replicarea inbound de la DC-ul care inca are acel obiect. SRC este un mecanism de protectie pentru a preveni inconsitenta obiectelor in AD.
  2. Daca Strict Replication Consistency este Disabled, atunci cand DC-ul destinatie primeste un notificare de tip update, acesta va cere toate informatiile despre acel obiect (Full Replica).

Daca obiectul existent de pe DC-ul sursa nu este updatat, fapt care face DC-ul sursa sa trimita update notifications la partenerii de replicare atunci nu se va intampla nimic care sa evidentieze existenta obiectelor lingering in AD.

DC-ul destinatie va inregistra evenimentul cu ID 1988 in care se va afisa obiectul si DC-ul sursa care il contine.

zLingering 1988

Urmatoarele evenimete arata ca ar putea exista obiecte de tip lingering in AD:

1862 The local domain controller has not recently received replication information from several domain controllers (intersite).

1863 The local domain controller has not recently received replication information from several domain controllers (intersite).

1864 The local domain controller has not recently received replication information from several domain controllers (summary).

1311 The Knowledge Consistency Checker (KCC) was not able to build a spanning tree topology.

2042 It has been too long since this server last replicated with the named source server. 

1084 There is no such object on the server.

1388 This destination system received an update for an object that should have been present locally but was not.

1311 Another domain controller replicated an object not present on this domain controller.

 Odata identificat obiectul sau obiectele, naming contextul care contine obiectele si pe ce domain controller se afla acestea, se va folosi comanda repadmin cu parametrul removelingeringobjects. In exemplul anterior dubdc03.contoso.com contine obiectele care incearca sa fie replicate in AD.

repadmin /removelingeringobjects dubdc03.contoso.com 667f7037-8198-4357-8f15-8f709f04b6e2 DC=europe,DC=contoso,DC=com /advisory_mode

In exemplul anterior dubdc03.contoso.com contine obiectele care incearca sa fie replicate in AD.

667f7037-8198-4357-8f15-8f709f04b6e2 reprezinta GUID-ul DSA. Sunt multe metode de a gasi guidul. De exemplu ruland repadmin /showreps

DC=europe,DC=contoso,DC=com – este naming contextul unde se afla obiectul

advisory_mode – obiectele nu vor fi sterse si vor fi afisate in event log. Pentru a se sterge se omite acest parametru.

zLingering 1946

Rulam comanda fara advisory_mode si vedem urmatoarele evenimente:

zLingering 1945

Din acest moment replicarea isi va relua cursul daca a fost oprita de SRC la DC-urile destinatie.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s