Tombstone lifetime und EventId 2042 und 1925

Autsch – ein Domaintrust der funktioniert und doch nicht mehr richtig funktioniert…

Wie rettet man sowas, wenn die Replikation nicht mehr startet?

Wenn in einem Active Directory ein Server zu lange keine Verbindung mehr zum Rest der „Welt“ hat kann seine Tombstone lifetime erreicht werden. Das bedeutet leider, dasser dann nicht mehr in der Lage ist mit dem Rest der Domäne zu sprechen.

Wie merkt man Replikationsprobleme? Es gibt eine Reihe von Anzeichen:

  • Die Einstufung als Global Catalog Server wird nicht aktiv (sprich im DNS fehlen die GC Einträge und ein ntltest /dsgetdc:DOMAIN.TLD zeigt nicht GC in der Liste der Kennzeichen)
    C:\Users\Administrator>Nltest /dsgetdc:DOMAIN.TLD
               Domänencontroller: \\DC1.DOMAIN.TLD
          Adresse: \\192.168.70.7
         Domänen-GUID: 98v933c-3491-3a42-a3w7-d3af8820b565
         Domänenname: DOMAIN.TLD
      Gesamtstrukturname: DOMAIN.TLD
     DC-Standortname: Standort1
    Unserer Standortname: Standort1
            Kennzeichen: PDC GC DS LDAP KDC TIMESERV GTIMESERV BESCHREIBBAR DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS
    Der Befehl wurde ausgeführt.
  • Im Eventlog stehen Replikationsfehler und Tombstone lifetime Meldungen die auf eine verwaiste Bindung hinweisen (EventIds: 1925, 1926, 2042)

Wie repariere ich so etwas? Zunächst müssen unbedingt mit dcdiag die Fehler weiter eingrenzt werden. Außerdem muss unbedingt dafür gesorgt werden, dass das Netzwerk und insbesondere DNS sauber funktionieren!

Tödlich sind zum Beispiel fehlerhafte oder fehlende DNS Einträge. Außerdem sind auch falsche Einträge in %windir%\System32\Drivers\etc\hosts sehr beliebt für solche Fehler. Wenn hier zum Beispiel die eigene IP Adresse oder die eines DC eingetragen ist und die IP Adresse des Servers wurde geändert – das wird ein schwer zu findendes Problem, da man dann Kerberos Fehlermeldungen bekommt die auf den Unterschied zwischen dem angefragten Namen und der erhaltenen Antwort hinweisen. Hier ist hilfreich mit ping zu testen, nslookup geht nur auf DNS – dadurch findet man diesen Fehler einfach mit ping und nslookup, sollten sich die IP Adressen unterscheiden.

Auch sehr wichtig ist die gleiche Uhrzeit auf allen Servern! net time hilft hier weiter.

Hat man die grundlegenden Probleme gelöst, so kann man die Replikation wieder anwerfen indem man auf den diskonnektierten Servern in der Registry die Replikation mit defekten Replikationspartnern erlaubt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

Hier erstellt oder ändert man den DWORD Wert:

Allow Replication With Divergent and Corrupt Partner

auf 1 – nachdem die Replikation mit dem Replmon oder Repadmin wieder angestoßen und erfolgreich durchlaufen wurde sollte man diesen wieder auf 0 setzen. Allerdings sollte man sich zuerst diese Hinweise von Microsoft durch lesen und gegebenfalls zuerst alte Einträge löschen lassen:

http://technet.microsoft.com/en-us/library/cc787129(v=ws.10).aspx

Hilfreiche Links hierzu: