Quando un domain controller è spento o non raggiungibile per troppo tempo, soglia di Tombstone, viene considerato non più affidabile e non può più replicare con gli altri domain controller.
Tombstone, questo sconosciuto. Quando un oggetto viene eliminato da Active Directory diventa invisibile ma rimane ancora al suo interno fino al termine del count-down per la rimozione definitiva. La durata di rimozione definitiva è molto importante: rappresenta il periodo di tempo durante il quale è possibile ripristinare un oggetto AD eliminato e anche la quantità massima di tempo per cui un domain controller DC può rimanere scollegato dagli altri DC. I DC non in grado di eseguire la replica per un periodo più lungo rispetto alla durata di rimozione definitiva disattiveranno automaticamente la replica in ingresso e in uscita per evitare di replicare oggetti residui, ovvero gli oggetti AD eliminati da un DC, ma che rimangono sugli altri per problemi di replica.
Quando questo avviene utenti, gruppi e oggetti del dominio non sono più sincronizzati. Questo disallineamento può essere causa di disservizi e problemi. Ovviamente, come sempre accade, doveva capitare allo sfigato di turno che stava cercando di migrare un vecchio dominio non più utilizzato su Azure e accendendo le macchine si trova la sorpresa!
Tentativo di risoluzione 1: replica forzata.
E’ necessario valutare lo stato della replica partendo da un domain controller buono (otterremo un sacco di errori ma anche il dato che vi interessa (GUID):
repadmin /showrepl
copiare la GUID dal DC buono:
Default-First-Site-Name\good-dc DSA Options: IS_GC Site Options: (none) DSA object GUID: 23896396-6c02-44ac-aa28-97e825216b85 DSA invocationID: 75d0a679-a0ef-4a88-a08c-ce92615a9b4a
Rimuovere dal DC danneggiato tutti gli oggetti non più esistenti in Active Directory:
repadmin /removelingeringobjects "bad-dc.contoso.local" 23896396-6c02-44ac-aa28-97e825216b85 "DC=contoso,DC=local"
Step finale: replicare la partizione di AD sul domain controller danneggiato:
repadmin /replicate "bad-dc.contoso.local" "good-dc.contoso.local" "DC=contoso,DC=local" /force repadmin /replicate "bad-dc.contoso.local" "good-dc.contoso.local" "CN=Configuration,DC=contoso,DC=local" /force repadmin /replicate "bad-dc.contoso.local" "good-dc.contoso.local" "CN=Schema,CN=Configuration,DC=contoso,DC=local" /force repadmin /replicate "bad-dc.contoso.local" "good-dc.contoso.local" "DC=DomainDnsZones,DC=contoso,DC=local" /force repadmin /replicate "bad-dc.contoso.local" "good-dc.contoso.local" "DC=ForestDnsZones,DC=contoso,DC=local" /force
Se tutto è andato come da programma i problemi di replica saranno un lontano ricordo e gli account creati su un DC verranno replicati sul secondo.
Ma se così non fosse ?
Tentativo di risoluzione 2: modifica manuale del valore di Tombstone.
E’ possibile modificare il valore di Tombstone portandolo dal default di 60 giorni ad un valore più alto. Per farlo è sufficiente utilizzare lo strumento ADSIedit.
- Da prompt digitare: adsiedit.msc.
- Nella finestra che si apre cliccare con il pulsante destro del mouse su ADSI Edit nel riquadro di sinistra e selezionare Connect to:
- Nella sezione Select a Well known Naming Context selezionare Configuration dall’elenco a discesa.
- Espandere Configuration > CN= Configuration,DC=<forest_root_domain> > CN=Services > CN=Windows NT > CN=Servizio directory e selezionare Proprietà.
- Nella scheda Attribute Editor individuare la voce tombstoneLifetime. Il valore di questo attributo rappresenta la durata di rimozione definitiva della foresta attuale in giorni.
- Per modificare la durata di rimozione definitiva cliccare su Edit.
- Digitare la durata di TombstoneLifetime desiderata e cliccare su OK. Cliccare di nuovo su OK per uscire dalla finestra delle proprietà.
La modifica ha effetto immediato e la replica tra i domain controller ricomincerà senza intoppi!
buongiorno il comando repadmin /removelingerinobjects non viene riconosciuto, tutti gli altri si