Informationen zu veralteten Objekten in einer Windows Server Active Directory-Gesamtstruktur

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 910205 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Dieser Artikel enthält Informationen zu veralteten Objekten in einer in einer Windows 2000-Gesamtstruktur oder in einer Windows Server 2003-Gesamtstruktur. Der Artikel beschreibt insbesondere die Ereignisse, die das Vorhandensein von veralteten Objekten, die Ursachen von veralteten Objekten und Methoden, die Sie zum Entfernen von verbleibenden Objekte verwenden können.

EINFÜHRUNG IN

Veraltete Objekte können auftreten, wenn ein Domänencontroller nicht für ein Zeitintervall repliziert, der länger ist als die Tombstone-Ablaufzeit (TLS). Der Domänencontroller erneut dann mit der Replikationstopologie. Objekte, die aus dem Active Directory-Verzeichnisdienst gelöscht werden, wenn der Domänencontroller offline ist, können auf dem Domänencontroller als veraltete Objekte bleiben. Dieser Artikel enthält ausführliche Informationen über die Ereignisse, die das Vorhandensein von veralteten Objekten, die Ursachen von veralteten Objekten und Methoden, die Sie zum Entfernen von verbleibenden Objekte verwenden können.

Weitere Informationen

Tombstone-Lebensdauer und die Replikation von Löschvorgängen

Wenn ein Objekt gelöscht wird, repliziert Active Directory den Löschvorgang als Tombstone-Objekt. Ein veraltetes Objekt besteht aus einer kleinen Teilmenge der Attribute des gelöschten Objekts. Durch dieses Objekt für eingehende-Replikation, empfangen andere Domänencontroller in der Domäne und in der Gesamtstruktur Informationen über das Löschen. Der Tombstone wird in Active Directory für einen angegebenen Zeitraum beibehalten. Diese Periode wird die TLS bezeichnet. Am Ende der TLS ist die Tombstone-Objekt endgültig gelöscht.

Der Standardwert für die TLS hängt von der Version des Betriebssystems, die auf dem ersten Domänencontroller ausgeführt wird, die in einer Gesamtstruktur installiert ist. Die folgende Tabelle gibt an, die TLS-Standardwerte für verschiedene Windows-Betriebssysteme.
Tabelle minimierenTabelle vergrößern
Erster Domänencontroller in der GesamtstrukturstammStandard-Tombstone-Lebensdauer
Windows 200060 Tage
Windows Server 200360 Tage
Windows Server 2003 mit Servicepack 1180 Tage
Hinweis: Der vorhandene TLS-Wert wird nicht geändert werden, wenn ein Domänencontroller auf Windows Server 2003 mit Servicepack 1 (SP1) aktualisiert wird. Der vorhandene TLS-Wert wird beibehalten, bis Sie manuell ändern.

Nach der Tombstone dauerhaft gelöscht wird, kann das Objekt löschen nicht mehr repliziert werden. Die TLS definiert, wie lange der Domänencontroller in der Gesamtstruktur Informationen zu einem gelöschten Objekt beizubehalten. Die TLS definiert auch die Zeit, die während, die alle direkten und transitiven Replikationspartner des ursprünglichen Domänencontrollers Löschen einer eindeutigen empfangen müssen.

Wie Sie veraltete Objekte auftreten

Wenn ein Domänencontroller für einen bestimmten Zeitraum getrennt ist, der länger ist als die TLS verbleiben ein oder mehrere Objekte, die aus Active Directory auf alle anderen Domänencontroller gelöscht werden, auf dem getrennten Domänencontroller. Solche Objekte werden als veraltete Objekte bezeichnet. Da der Domänencontroller offline während der Zeit, das der Tombstone aktiv ist ist, empfängt der Domänencontroller nie Replikation des Tombstones.

Wenn dieser Domänencontroller der Replikationstopologie wiederhergestellt ist, fungiert es als Replikationspartner Quelle, der ein Objekt besitzt, der dem Ziel-Partner nicht verfügt.

Replikationsprobleme auftreten, wenn das Objekt auf der Quell-Domänencontroller aktualisiert wird. Wenn der Ziel-Partner versucht, das Update eingehende-replizieren, reagiert der Zieldomänencontroller in diesem Fall in zwei Arten:
  • Wenn der Zieldomänencontroller Strict Replication Consistency aktiviert hat, erkennt der Controller, dass das Objekt nicht aktualisiert werden können. Der Controller lokal beendet eingehenden Replikation der Verzeichnispartition vom Quelldomänencontroller.
  • Wenn der Zieldomänencontroller Strict Replication Consistency deaktiviert hat, fordert der Domänencontroller das vollständige Replikat des aktualisierten-Objekts. In diesem Fall wird das Objekt in das Verzeichnis wieder hinzugefügt.

Ursachen für lange Trennungen

Die folgenden Bedingungen können dazu führen, dass lange Verbindungstrennungen:
  • Ein Domänencontroller ist nicht mit dem Netzwerk verbunden und wird im Speicher abgelegt.
  • Die Lieferung eines Pre-Staging Domänencontrollers an seine Remotespeicherort dauert länger als eine TLS.
  • Verbindungen Wide Area Network (WAN) sind für lange Zeiträume nicht verfügbar. Z. B. als Domänencontroller integrierte eine Lieferadresse Kreuzfahrt möglicherweise nicht replizieren kann, da die Lieferadresse am Sea länger als die TLS befindet.
  • Das gemeldete Ereignis ist eine falsche Angriffsmeldung, da ein Administrator die TLS zum Erzwingen der Garbagecollection der gelöschten Objekte gekürzt.
  • Das gemeldete Ereignis ist eine falsche Angriffsmeldung, da die Systemuhr auf die Quelle oder auf dem Zieldomänencontroller falsch erweiterte oder ein Rollback ausgeführt wird. Uhr Skews werden am häufigsten verwendeten nach einen Neustart des Systems. Uhr Skews können aus folgenden Gründen auftreten:
    • Es ist ein Problem mit der Uhr Systembatterie oder mit der Hauptplatine.
    • Die Zeitquelle für einen Computer ist nicht richtig konfiguriert. Dies umfasst einen Quelle-Zeitserver, der mithilfe von Windows-Zeitdienst (W32Time) konfiguriert ist, mithilfe von einen Fremdanbieter-Zeitserver oder mithilfe von Netzwerkrouter.
    • Ein Administrator verschiebt oder führt einen Rollback für die Systemuhr, die Nutzungsdauer des eine Sicherung des Systemstatus zu erweitern oder die Garbagecollection der gelöschten Objekte zu beschleunigen. Stellen Sie sicher, dass die Systemuhr die Istzeit widerspiegelt. Außerdem stellen Sie sicher, dass Ereignisprotokolle, keine ungültigen Ereignisse aus der Zukunft oder aus der Vergangenheit enthalten.

Angaben dazu, dass ein Domänencontroller hat veralteter Objekte

Ein veralteten Domänencontroller kann veraltete Objekte ohne nennenswerte Auswirkung speichern, wenn die folgenden Bedingungen erfüllt sind:
  • Ein Administrator, eine Anwendung oder einen Dienst aktualisiert das veraltete Objekt nicht.
  • Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt zu erstellen, das den gleichen Namen in der Domäne verfügt.
  • Ein Administrator, eine Anwendung oder ein Dienst versucht nicht, ein Objekt mithilfe der gleichen Benutzerprinzipalname (UPN) in der Gesamtstruktur erstellen.
Selbst wenn keine nennenswerten Auswirkungen vorhanden ist, kann das Vorhandensein von veralteten Objekten Probleme verursachen. Diese Probleme sind die am wahrscheinlichsten auftreten, wenn ein veraltetes Objekt ein Sicherheitsprinzipal ist.

Ereignisse, die möglicherweise veraltete Objekte darstellen, in der Gesamtstruktur

Tabelle minimierenTabelle vergrößern
Ereignis-IDAllgemeine Beschreibung
1862Der lokale Domänencontroller hat keine kürzlich Replikationsinformationen von mehreren Domänencontrollern (standortübergreifende) empfangen.
1863Der lokale Domänencontroller hat keine kürzlich Replikationsinformationen von mehreren Domänencontrollern (standortübergreifende) empfangen.
1864Der lokale Domänencontroller hat keine kürzlich Replikationsinformationen von mehreren Domänencontrollern (Zusammenfassung) empfangen.
1311Die Konsistenzprüfung (Knowledge Consistency Checker, KCC) konnte sich nicht um eine umfassende Strukturtopologie zu erstellen.
2042 zurückEs ist zu lange seit dieser Server mit dem benannten Quellserver zuletzt repliziert hat.
Weitere Informationen zu Ereignis-ID 2042 und Informationen dazu, wie Sie Probleme bei der Active Directory-Replikation beheben können finden Sie auf folgender Website von Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/4f504103-1a16-41e1-853a-c68b77bf3f7e1033.mspx

Ereignisse, die angeben, dass veraltete Objekte in der Gesamtstruktur vorhanden sind

Tabelle minimierenTabelle vergrößern
Ereignis-IDAllgemeine Beschreibung
1084Ein solches Objekt ist auf dem Server nicht vorhanden.
1388Das Zielsystem hat ein Update für ein Objekt, das sollte wurden vorhanden lokal war jedoch nicht empfangen.
1311Einen anderen Domänencontroller repliziert ein Objekt auf diesem Domänencontroller nicht vorhanden.
Hinweis: Veraltete Objekte sind nicht auf Domänencontrollern, die sich, Ereignis EREIGNISKENNUNG 1988 anmelden. Der Quell-Domänencontroller enthält das veraltete Objekt.

Repadmin-Fehler, die angeben, dass veraltete Objekte in der Gesamtstruktur vorhanden sind

Tabelle minimierenTabelle vergrößern
Ereignis-IDAllgemeine Beschreibung
8240Ein solches Objekt ist auf dem Server nicht vorhanden.
8606Nicht genügend Attribute wurden zum Erstellen eines Objekts zugewiesen.

Andere Anzeichen, dass veraltete Objekte in der Gesamtstruktur vorhanden sind

  • Ein Benutzer- oder Gruppenkonto, das gelöscht wurde bleibt in der globalen Adressliste (GAL) auf Servern, auf denen Microsoft Exchange Server ausgeführt werden. Daher zwar der Namen des Kontos in der GAL angezeigt wird, treten Fehler Wenn Benutzer versuchen, e-Mail-Nachrichten zu senden.
  • Mehrere Kopien eines Objekts angezeigt, in der Objektauswahl oder in der globalen ADRESSLISTE für ein Objekt, das in der Gesamtstruktur eindeutig sein sollte. Sie sehen manchmal doppelte Objekte, die Namen geändert haben. Diese doppelte Objekte bewirken, dass Verwechslungen auf Suchvorgänge in Verzeichnissen. Beispielsweise wenn der relativ definierte Name der zwei Objekte nicht aufgelöst werden kann, die Konfliktlösung fügt *CNF:GUID auf den Namen. In diesem Beispiel wird * stellt ein reserviertes Zeichen CNF ist eine Konstante, die eine Konfliktlösung und GUID steht für den Attributwert "objectGUID".
  • E-Mail-Nachrichten werden nicht an einen Benutzer zugestellt, dessen Active Directory-Konto angezeigt, wird aktuell sein. Nachdem ein veralteten Domänencontroller oder globalen Katalogserver wiederhergestellt ist, werden beide Instanzen des Benutzerobjekts im globalen Katalog angezeigt. Da beide Objekte dieselbe e-Mail-Adresse verfügen, können die e-Mail-Nachrichten nicht übermittelt werden.
  • Eine universelle Gruppe, die nicht mehr vorhanden ist, weiterhin im Zugriffstoken des Benutzers angezeigt werden. Obwohl die Gruppe nicht mehr vorhanden, ist Wenn Sie ein Benutzerkonto die Gruppe weiterhin in seiner Sicherheitstoken aufweist, kann der Benutzer Zugriff auf eine Ressource verfügen, die Sie nicht für diesen Benutzer.
  • Ein neues Objekt oder die Exchange-Postfach kann nicht erstellt werden. Aber das Objekt in Active Directory nicht angezeigt. Ein Fehlermeldung meldet, dass das Objekt bereits vorhanden ist.
  • Suchvorgänge, die Attribute eines vorhandenen Objekts verwenden, können mehrere Kopien eines Objekts mit dem gleichen Namen falsch finden. Ein Objekt wurde aus der Domäne gelöscht. Dieses Objekt bleibt jedoch in einer isolierten globalen Katalogserver.
Wenn versucht wird, ein veraltetes Objekt zu aktualisieren, das in eine schreibbare Verzeichnispartition befindet, werden Ereignisse auf dem Zieldomänencontroller protokolliert. Ist die einzige Version von veralteten Objekts in einer Nur-Lese-Verzeichnispartition auf einem globalen Katalogserver, kann jedoch nicht das Objekt aktualisiert werden. Daher wird diese Art von Ereignis nicht ausgelöst.

Entfernen von veraltete Objekten aus der Gesamtstruktur

Windows 2000-Gesamtstrukturen

Weitere Informationen zum Entfernen von verbleibenden Objekte in einer Windows 2000-Domäne klicken Sie auf die folgende KB-Artikelnummer:
314282Veraltete Objekte bleiben, nachdem Sie einen veralteten Katalogserver wieder online schalten

Windows Server 2003-Gesamtstrukturen

Informationen zum Entfernen von verbleibenden Objekte aus Windows Server 2003-Gesamtstrukturen finden Sie auf folgender Website von Microsoft:
http://technet2.microsoft.com/WindowsServer/en/Library/77dbd146-f265-4d64-bdac-605ecbf1035f1033.mspx
Weitere Informationen finden Sie die folgende KB-Artikelnummer:
892777Windows Server 2003 Service Pack 1 Supporttools

Veraltete Objekte verhindern

Im folgenden werden die Methoden, die Sie verwenden können, um zu verhindern, dass veraltete Objekte.

Methode 1: Aktivieren des Registrierungseintrags Strict Replication Consistency

Sie können den Registrierungseintrag Strict Replication Consistency aktivieren, damit verdächtige Objekte unter Quarantäne gestellt werden. Dann können Serveranmeldung hinzuzufügen, diese Objekte entfernen, bevor Sie in der Gesamtstruktur verteilt.

Wenn ein schreibbare veraltetes Objekt sich in Ihrer Umgebung befindet, und es versucht wird, das Objekt zu aktualisieren, der Wert im Registrierungseintrag Strict Replication Consistency bestimmt, ob die Replikation wird fortgesetzt oder beendet. Der Registrierungseintrag Strict Replication Consistency befindet sich in den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Für diesen Eintrag der Datentyp ist REG_DWORD. Wenn Sie den Wert auf 1 festlegen, wird der Eintrag aktiviert. Die eingehende Replikation der angegebenen Verzeichnispartition aus der Quelle wird auf dem Zielserver beendet. Wenn Sie den Wert auf 0 festlegen, wird der Eintrag deaktiviert. Das Ziel fordert das vollständige Objekt von der Quell-Domänencontroller. Das veraltete Objekt wird als neues Objekt im Verzeichnis revived.

Der Standardwert für den Registrierungseintrag Strict Replication Consistency wird durch die Bedingungen bestimmt, unter denen der Domänencontroller in der Gesamtstruktur installiert wurde.

Hinweis: Heraufstufen der Funktionsebene der Domäne oder der Gesamtstruktur wird die Replikation Konsistenz Einstellung auf einem beliebigen Domänencontroller nicht geändert werden.

Standardmäßig lautet der Wert des Registrierungseintrags Strict Replication Consistency auf Domänencontrollern, die in einer Gesamtstruktur installiert sind 1 (aktiviert), wenn die folgenden Bedingungen erfüllt sind:
  • Die Windows Server 2003-Version von Winnt32.exe wird verwendet, um einen primären Domänencontroller (PDC) von Windows NT 4.0 auf Windows Server 2003 aktualisieren. Dieser Computer wird die Gesamtstruktur-Stammdomäne einer neuen Gesamtstruktur erstellt.
  • Active Directory ist auf einem Server installiert, auf dem Windows Server 2003 ausgeführt wird. Dieser Computer wird die Gesamtstruktur-Stammdomäne einer neuen Gesamtstruktur erstellt.
Standardmäßig lautet der Wert des Registrierungseintrags Strict Replication Consistency auf Domänencontrollern 0 (deaktiviert), wenn die folgenden Bedingungen erfüllt sind:
  • Ein Windows 2000-Domänencontroller wird auf Windows Server 2003 aktualisiert.
  • Active Directory ist auf einem Windows Server 2003-Mitgliedsserver in einer Windows 2000-Gesamtstruktur installiert.
Wenn Sie einen Domänencontroller, auf dem Windows Server 2003 mit SP1 ausgeführt wird verfügen, müssen Sie die Registrierung bearbeiten, um den Wert des Registrierungseintrags Strict Replication Consistency festlegen. Stattdessen können Sie das Programm "Repadmin.exe", um diesen Wert für einen Domänencontroller in der Gesamtstruktur oder für alle Domänencontroller in der Gesamtstruktur festzulegen.

Weitere Informationen zur Verwendung von "Repadmin.exe" legen Sie Strict Replication Consistency finden Sie auf folgender Website von Microsoft:
http://technet.microsoft.com/en-us/library/cc780362(WS.10).aspx

Methode 2: Überwachen der Replikation mit einen Befehlszeilenbefehl

Zur Überwachung von Replikationen mit den Befehl Repadmin/showrepl, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Cmd ein, und klicken Sie dann auf OK.
  2. Geben Sie Repadmin/showrepl * /csv > showrepl.csv, und drücken Sie anschließend die [EINGABETASTE].
  3. Öffnen Sie in Microsoft Excel die showrepl.CSV Datei.
  4. Wählen Sie die Spalte A + RPC und SMTP-Spalte.
  5. Klicken Sie im Menü Bearbeiten auf Löschen.
  6. Wählen Sie die Zeile, die sich unmittelbar unter die Spaltenüberschriften.
  7. Klicken Sie im Menü Fenster fixieren.
  8. Wählen Sie die vollständige Kalkulationstabelle.
  9. Klicken Sie im Menü Daten auf Filter zeigen Sie und klicken Sie dann auf Auto-Filter.
  10. Klicken Sie auf die Überschrift der Spalte Last Success auf den Pfeil nach unten, und klicken Sie dann auf Aufsteigend sortieren.
  11. Klicken Sie auf die Überschrift der Spalte Src DC auf den Pfeil nach unten, und klicken Sie dann auf Benutzerdefiniert.
  12. Klicken Sie im Dialogfeld Benutzerdefinierter AutoFilter auf nicht enthält.
  13. Geben Sie im Feld rechts neben enthält keinedel.

    Hinweis: Diese Schritt wird verhindert, dass die gelöschten Domänencontrollern in den Ergebnissen angezeigt werden können.
  14. Klicken Sie auf die Überschrift der Spalte Letzter Fehler auf den Pfeil nach unten, und klicken Sie dann auf Benutzerdefiniert.
  15. Klicken Sie im Dialogfeld Benutzerdefinierter AutoFilter auf stimmt nicht überein.
  16. Geben Sie im Feld rechts neben ist nicht gleich0.
  17. Beheben Sie die Replikationsfehler, die angezeigt werden.

Methode 3: Entfernen von Domänencontrollern

Sie können Fehler bei Domänencontrollern aus der Gesamtstruktur entfernen, bevor die TLS abläuft.

Methode 4: Erhöhen der TLS

Windows 2000 Server

Erhöhen Sie die TLS auf 180 Tage mit das Tool ADSIEdit. Gehen Sie hierzu folgendermaßen vor:
  1. Erweitern Sie in das Tool ADSIEdit Configuration DomainControllerNameCN = Configuration, DC = ForestRootDomain, erweitern Sie CN = Services, erweitern Sie CN = Windows NT, klicken Sie mit der rechten Maustaste auf CN = Directory Service, und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Attribut.
  3. Klicken Sie in der Liste Select which Properties to view auf Optional.
  4. Klicken Sie in der Liste Select a Property to view auf TombstoneLifetime.
  5. Geben Sie im Feld Attribut bearbeiten180, klicken Sie auf Festlegen, und klicken Sie dann auf OK.
Windows Server 2003

Erhöhen Sie die TLS auf 180 Tage mit das Tool ADSIEdit. Gehen Sie hierzu folgendermaßen vor:
  1. Erweitern Sie in das Tool ADSIEdit Configuration DomainControllerNameCN = Configuration, DC = ForestRootDomain, erweitern Sie CN = Services, erweitern Sie CN = Windows NT, klicken Sie mit der rechten Maustaste auf CN = Directory Service, und klicken Sie dann auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Attribut-Editor.
  3. Klicken Sie in der Liste AttributTombstoneLifetime, und klicken Sie dann auf Bearbeiten.
  4. Geben Sie im Feld Wert180, und klicken Sie dann auf OK.

Eigenschaften

Artikel-ID: 910205 - Geändert am: Montag, 16. April 2007 - Version: 1.7
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Microsoft Windows Server 2003 Service Pack 2
Keywords: 
kbmt kbhowto kbinfo kbexpertiseadvanced kbwinservds kbactivedirectory KB910205 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 910205
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com