Wednesday, August 23rd, 2006...1:02 am

tombstoneLifetime a Windows 2003 R2

Jump to Comments

Obiekty usuwane w katalogu Active Directory przechowywane sa przez okreslony czas jako obiekty typu tombstone. Obiekt taki zawiera ograniczony zestaw atrybutow obiekt usunietego (zestaw ten moze byc rozszerzany w razie potrzeby poprzez ustawienieodpowiedniej wartosci atrybutu searchFlags). Ulatwia to znacznie ewentualne odtworzenia takiego, oraz pozwala mechanizmom katalogu Active Directory na usuniecie z katalogu ewentualnych odwolan do usunietego obiektu, przed jego fizycznym usunieciem z bazy katalogu. Przechowywanie usunietego obiektu w tej formie pozwala rowniezn na zrelikowanie infomracji o jego usunieciu do wszystkich kontrolerow domeny w rama domeny \ lasu. Czaszycia tych obiektow wyznacza rowniez praktyczny czas waznosci danych w kopii zapasowej katalogu Active Directory.

Obiekty typu tombstone przechowywane sa w katalogu przez czas okreslony wartoscia atrybutu tombstoneLifetime obiektu CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=,DC=. W przypadku gdy wartosc tego atrybutu nie jest podana, przyjmowany jest domyslny czas 60 dni. Jako ze domyslny czas 60 dni wprowadozny w Windows 2003 byl niewystarczajcy zostal on podniesiony do 180 dni w Windows 2003 SP1.

Wszystko wydaje sie byc wiec w porzdku, jednak w ramach dyskusji prowadzonej na grupach dyskusyjnych okazalo sie ze istenieje problem z Windows 2003 R2, ktory w okreslonym przypadku powoduje ze dla nowo tworzonego lasu Active Directory w oparciu o nosnik Windows 2003 R2 czas zycia obiektow tombstone wynosi 60 zamiast 180 dni. Problem ten wystepuje wtedy gdy promocja lasu odbywa sie na kontorlerze opartym o Windows 2003 SP1 z zainstalowanymi plikami z drugiego CD dystrybucji WIndows 2003 R2. Na skutek bledu w pliku inicjalizujacym schamat AD,wartosc atrybutu tombstoneLifetime nie jest ustawiana, co sprowadza sie do domyslnej wartosci 60 dni.

Rozwiazanie problemu jest proste, dowolnym narzedziem pozwalajacym na modyfikacje katalogu AD (ldp.exe, adsiedit.msc, admod.exe) nalezy wprowadzic odpowiednia wartosc atrybutu do katalogu.

Informacje o problemie podsumowujace dyskusje z grup dyskusyjnych mozna znalezc w blogu Joe i jorge. PS. Przepraszam za chwilowy brak PL znakow w tresci. Jak tylko rozwiaze sie maly problem z konfiguracja postaram sie je uzupelnic.

Leave a Reply