Das Attribut „tombstoneLifetime“ im Active Directory bestimmt, wie lange ein gelöschtes Objekt in der Active-Directory-Datenbank bestehen bleibt (Tombstone = Grabstein), bis es von dem „Garbage Collection“ Prozess auf einem DC endgültig gelöscht bzw. entfernt wird. Seit Windows 2000 lag die Tomstone Lifetime bei 60 Tagen; mit dem Service Pack 1 für Windows Server 2003 wurde sie auf 180 Tage erweitert. Allerdings gibt es einige Besonderheiten zu entdecken.
Das tombstoneLifetime-Attribut findet man (beispielsweise mit ADSIEdit) unter:
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<Domain>,DC=<TLD>
Die Tombstone Lifetime gilt für den ganzen Forest und kann nicht für jede Domäne separat eingestellt werden. Entscheidend ist, wie der erste DC eines Forests installiert wurde. Letztlich sieht die TombstoneLifetime auf den einzelnen Serverversionen wie folgt aus:
- Neu installierter Windows 2000 DC (mit allen SPs) : 60 Tage (Attribut = <not set>)
- Upgrade von NT / 2000 DC auf 2003 DC : 60 Tage (Attribut = <not set>)
- Upgrade von NT / 2000 DC auf 2003 SP1 DC : 60 Tage (Attribut = <not set>)
- Upgrade von NT / 2000 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = <not set>)
- Neu installierter Windows 2003 DC : 60 Tage (Attribut = <not set>)
- Upgrade von 2003 DC auf 2003 SP1 DC : 60 Tage (Attribut = <not set>)
- Upgrade von 2003 DC auf 2003 SP1 / R2 DC : 60 Tage (Attribut = <not set>)
- Neu installierter Windows 2003 SP1 DC : 180 Tage (Attribut = 180)
- Neu installierter Windows 2003 R2 DC (NUR CD1) : 180 Tage (Attribut : 180)
Wichtig ist: Wenn man sich das Attribut mit ADSI Edit anschaut, und es steht auf „<not set>“, bedeutet dies immer, dass die Tombstone Lifetime 60 Tage beträgt. Erst wenn dort ein anderer Wert angezeigt wird, gilt dieser – egal, ob er manuell oder über das System eingetragen wurde. Die Systemvorgabe wird bei der Installation des ersten Domänencontroller im Forest durch den Active-Directory-Installationsassistenten (dcpromo) aus der Datei „schema.ini“ vom Verzeichnis %windir%\system32 erzeugt. Diese Datei enthält Angaben zum Basisschema der jeweiligen Betriebssystemversion. Installiert man den Server von einer Windows-Server-2003-CD, hat die schema.ini korrekterweise keinen Eintrag zur Tombstone Lifetime. Installiert man den Server von einer CD mit Windows Server 2003 SP1 (slipstreamed), so existiert in der Schema.ini der Eintrag "tombstoneLifetime=180". Das ist ebenfalls richtig.
Der schema.ini-Eintrag sieht wie folgt aus:
; Explict TSL default set in W2K3 SP1 to increase shelf-life of backups and allow longer
; disconnection times.
tombstoneLifetime=180
Installiert man den Domänencontroller mit der ersten CD von Windows Server 2003 R2 (bevor man die zweite CD installiert), so existiert der Eintrag "tombstoneLifetime=180" noch. Nach der Installation der zweiten R2-CD verschwindet der Eintrag aus der schema.ini. Dieses ist sicherlich so nicht beabsichtigt und scheint ein Bug zu sein.
Das kann man auch einfach auf den CDs kontrollieren. Auf der ersten R2-CD im Pfad „i386“ existiert in der schema.ini der Eintrag „tombstoneLifetime=180“. In der schema.ini-Datei, die sich auf der zweiten R2-CD in den Pfaden
„\CMPNENTS\R2\PACKAGES\COREBINS\I386\SCHEMA.INI" sowie „\CMPNENTS\R2\ADPREP“ befindet, existiert dieser Eintrag nicht. Da diese Datei bei der Installation der zweiten CD die bereits im System vorhandene Datei überschreibt, läuft ein Active Directory, das auf dieser Basis installiert wird, wieder mit einer Tombstone Lifetime von 60 Tagen. Entscheidend ist stets die schema.ini-Dateiversion des ersten installierten Domänencontrollers.
Installiert man also den Server mit der ersten R2-CD, stuft ihn zum Domänencontroller und installiert danach die zweite R2 CD, bleibt der Wert „180“ erhalten. Installiert man den Server mit der ersten und der zweiten R2-CD, stuft ihn zum Domänencontroller, ist der Wert <not set> definiert, was 60 Tage bedeutet.
http://faq-o-matic.net/?p=607