Veraltete Objekte aus dem AD entfernen mit dem Lingering Object Liquidator

    Lingering Objects entstehen durch Replikationsprobleme des ADMicrosoft veröffent­lichte die Version 2 eines Programms, mit dem Admini­stratoren veral­tete Objekte aus dem Active Directory ent­fernen können. Im Gegen­satz zu den gängigen Bord­mitteln handelt es sich dabei um ein benutzer­freundliches Tool mit grafischer Ober­fläche.

    Im Detail geht es darum, dass Objekte nach ihrem Löschen für einen gewissen Zeitraum (per Vorgabe 60 oder 180 Tage, abhängig von der OS-Version) als "Tombstones" im AD bleiben. Erst nach Ablauf dieser Frist werden gelöschte Objekte durch den Garbage Collector komplett aus der Daten­bank eliminiert.

    Ursachen für Lingering Objects

    Dieser Mechanismus soll sicherstellen, dass alle DCs in einem Forest via Replikation über die Löschung informiert werden. Wenn jedoch bestimmte Objekte mindestens auf dem DC, auf dem sie gelöscht wurden, bereits endgültig verschwunden sind, aber einzelne Domänen-Controller diese immer noch als Live-Objekte führen, dann handelt es sich bei diesen um Lingering Objects.

    Verantwortlich für solche veralteten Einträge sind meist Replikations­probleme. Diese können etwa entstehen, wenn die Netzwerk­verbindung für eine längere Zeit unterbrochen ist oder wenn man die Systemzeit so weit vorstellt, dass Tombstones zu früh aus der der Datenbank verschwinden, um noch repliziert zu werden.

    Auch eine unsachgemäße Wiederherstellung der AD-Datenbank auf einem DC kann veraltete Objekte erzeugen. Das Einspielen eines alten Backups oder das Zurücksetzen auf einen Snapshot führt zu einem so genannten USN Rollback und in der Folge zur Unter­brechung der Replikation.

    Verbesserungen der Version 2

    Der Lingering Object Liquidator hilft dabei, veraltete Objekte nach Beheben der AD-Probleme aufzuräumen. Das Tool erschien in seiner ersten Version bereits vor 3 Jahren und erhielt nun ein Update.

    Zu den wichtigsten Fortschritten zählt, dass die Version 2.0 nun nicht mehr den Scan abbricht, wenn einer der Domänen-Controller unerreichbar ist. Dieser wird einfach ausgelassen und das Programm setzt mit dem Einlesen der anderen DCs fort. Verbessert wurde auch die Performance durch Multithreading sowie das Logging.

    Im ersten Schritt muss die Topologie des Active Directory ermittelt werden.

    Ermittlung der AD-Struktur und veralteter Objekte

    Die Bedienung der Software ist relativ einfach. Nach dem Start muss man im ersten Schritt die Topologie des Active Directory ermitteln. Dies erfolgt über den Button Detect AD Topology. Anschließend kann man einen Referenz-DC mit einem bestimmten oder mit allen DCs ("Targets") vergleichen.

    Die Liste der gefundenen Lingering Objects lässt sich über die zuständige Schaltfläche in eine Datei exportieren und (nach einer eventuell notwendigen Bearbeitung) wieder importieren. Die Haupt­funktion des Tools besteht aber darin, die veralteten Objekte zu löschen.

    Ein Referenz-DC lässt sich mit einem oder allen Domänen-Controllern vergleichen.

    Dabei sollte man aber Vorsicht walten lassen, weil es Microsoft zufolge auch False Positives melden kann, also Objekte als veraltet identifiziert, obwohl sie es nicht sind. Es empfiehlt sich daher eine eingehende Prüfung der Treffer, bevor man auf den Remove-Button klickt.

    Systemvoraussetzungen und Verfügbarkeit

    Die Instal­lation des Lingering Object Liquidator setzt das .NET Framework 4.5.2 oder später sowie mindestens Windows 7 x64 oder Server 2008 voraus. Außerdem benötigt das Tool den Zugriff auf die Ereignis­anzeige der betreffenden DCs, so dass man dort die zuständige Regel in der Firewall aktivieren muss.

    Über PowerShell lässt sich das so bewerkstelligen:

    Get-NetFirewallRule -DisplayName "Remote-Ereignisprotokollverwaltung (RPC)" |
    Enable-NetFirewallRule

    Die Software kann kostenlos von Microsofts Website heruntergeladen werden. Wie für andere derartige Tools gewährt der Hersteller dafür keinen Support.

    Keine Kommentare