|
|||
|
|
|
| Home |
| Over |
| Hobby's |
| Software |
| Hardware |
| ICT Hotlist |
| Doel |
Reageer:
ICT-Hotlist Thema
Terug naar de ICT-Hotlist...Hoe is de Active Directory Tombstone Lifetime vast te stellen?
Microsoft Active Directory is een multi-master database die gerepliceerd wordt tussen meerdere Domain Controllers. Om zeker te zijn dat objecten volledig gerepliceerd zijn voordat de vernietiging wordt gestart (purge), worden objecten gemarkeerd om te worden verwijderd (soft delete).De Active Directory Tombstone Lifetime bepaald hoe lang de verwijderde items nog bestaan in de Active Directory voordat zij worden vernietigd. De standaardwaarde was origineel 60 dagen, echter is dit verlengt naar 180 dagen vanaf nieuwe Active Directory forests gemaakt met Windows 2003 SP1 of nieuwer. Dit heeft ook consequenties voor de down-tijd van Domain Controllers. Een Domain Controller die langer dan de Active Directory Tombstone Lifetime off-line is, mag niet opgestart worden.
Hoe is de Active Directory Tombstone Lifetime waarde te bepalen?
Dit topic beschrijft twee manieren:- gebruikmakend van AdsiEdit
- gebruikmakend van PowerShell 2.0 of nieuwer
Het bepalen van de Active Directory Tombstone Lifetime met AdsiEdit
- Start AdsiEdit
- Navigeer naar Configuration [<FQDN server>] | CN=Services | CN=Windows NT | CN=Directory Service
Voorbeeld: CN=Configuration,DC=NLAALDC1,DC=local | CN=Services | CN=Windows NT | CN=Directory Service - Rechtsklik en selecteer Properties
- Selecteer tombstoneLifetime
- Wanneer de waarde niet gedefinieerd is, is de tombstone lifetime instelling 60 dagen (Dit is de standaard voor AD forests die geïnstalleerd zijn met 2003 of ouder).
Het bepalen van de Active Directory Tombstone Lifetime met PowerShell 2.0 of nieuwer
###############################################################################################
# This PowerShell script determines the Active Directory Tombstone Lifetime Setting
#
# System requirements: - Run this script on a Domain Controller (AD DS/LDS role) or (preferred)
# Windows workstation with RSAT
# - PowerShell 2.0 or newer
# (C)Copyrights 2016 - 2025 vanSoest.it by J.P.G. van Soest
###############################################################################################
# Load the Active Directory PowerShell module.
Import-Module ActiveDirectory
# Clear the screen so the data is nicely presented.
cls
Write-Output "This PowerShell script determines the Active Directory Tombstone Lifetime Setting" # Connect to the Active directory Configuration Partition $ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext
$DirectoryServicesConfigPartition = Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Properties *
# Extract the correct values $TombstoneLifetime = $DirectoryServicesConfigPartition.tombstoneLifetime $ADCreated = $DirectoryServicesConfigPartition.Created # if no value exists, it is an Active Directory created with Windows 2003 or older. Default is 60 days. if (!$TombstoneLifetime){ $TombstoneLifetime = 60 } # Format output Write-Output "Active Directory is created at $ADCreated and it's Tombstone Lifetime is set to $TombstoneLifetime days."
Dit script vereist een geïnstalleerde PowerShell Active Directory module. De PowerShell AD module is geïnstalleerd:
# This PowerShell script determines the Active Directory Tombstone Lifetime Setting
#
# System requirements: - Run this script on a Domain Controller (AD DS/LDS role) or (preferred)
# Windows workstation with RSAT
# - PowerShell 2.0 or newer
# (C)Copyrights 2016 - 2025 vanSoest.it by J.P.G. van Soest
###############################################################################################
# Load the Active Directory PowerShell module.
Import-Module ActiveDirectory
# Clear the screen so the data is nicely presented.
cls
Write-Output "This PowerShell script determines the Active Directory Tombstone Lifetime Setting" # Connect to the Active directory Configuration Partition $ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext
$DirectoryServicesConfigPartition = Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Properties *
# Extract the correct values $TombstoneLifetime = $DirectoryServicesConfigPartition.tombstoneLifetime $ADCreated = $DirectoryServicesConfigPartition.Created # if no value exists, it is an Active Directory created with Windows 2003 or older. Default is 60 days. if (!$TombstoneLifetime){ $TombstoneLifetime = 60 } # Format output Write-Output "Active Directory is created at $ADCreated and it's Tombstone Lifetime is set to $TombstoneLifetime days."
- standaard, op een Windows Server 2008 R2, 2012 R2 of nieuwer wanneer de AD DS of AD LDS server roles worden geïnstalleerd
- standaard, wanneer een Windows Server 2008 R2 of nieuwer een domain controller wordt door het starten van Dcpromo.exe
- als onderdeel van de Remote Server Administration Tools (RSAT) feature op een Windows Server 2008 R2 server
- als onderdeel van de RSAT feature op een Windows 7, 8.1 of 10/11 computer
Dit script gebruiken op een Windows 7, 8.1 of 10/11 desktop?
Dan moet U wellicht de Active Directory module laden door RSAT te configureren. Lees meer over het installeren en configureren van RSAT afhankelijk van Uw Windows desktop versie hier
U mag stemmen over dit artikel:
Scripts en programmeervoorbeelden disclaimer
Tenzij anders vermeld, zijn de scriptcode en programmeervoorbeelden auteursrechtelijk beschermde (copyright) freeware. U mag deze wijzigen, zolang een verwijzing naar de oorspronkelijke code en een hyperlink naar de bronpagina is opgenomen in de gewijzigde code en documentatie. Het is echter niet toegestaan om (kopieën van) de scripts en programmeervoorbeelden te publiceren op uw eigen site, blog, vlog, of te distribueren op papier of een andere drager, zonder voorafgaande schriftelijke toestemming.Bij veel van de technieken gebruikt in deze scripts, met inbegrip van maar niet beperkt tot register-wijzigen of wijzigingen aan systeembestanden of instellingen, bestaat een risico dat een werkend besturingssysteem onbruikbaar wordt en gegevens verloren kunnen raken. Zorg ervoor dat U gecontroleerd heeft dat U beschikt over volledige back-ups en de bijbehorende herstelsoftware voordat U deze scripts of programmavoorbeelden gebruikt. Het gebruik van deze scripts en programmeervoorbeelden is volledig Uw eigen risico. Alle aansprakelijkheidsclaims tegen de auteur met betrekking tot materiële of niet-materiële verliezen als gevolg van het gebruik, misbruik of niet-gebruik van de verstrekte informatie of het gebruik van onjuiste of onvolledige informatie, zijn uitgesloten. Alle inhoud is onderhevig aan verandering en geleverd zonder verplichting.
