Beschrijving van het hulpprogramma Lingering Object Liquidator

2025-01-15

In dit artikel wordt het hulpprogramma Lingering Object Liquidator (LoL) beschreven voor het zoeken en verwijderen van achtergebleven objecten.

Oorspronkelijk KB-nummer: 3141939

Inleiding

De Lingering Object Liquidator (LOL) is een hulpmiddel om de detectie en verwijdering van achtergebleven objecten te automatiseren. Het hulpprogramma maakt gebruik van de methode DRSReplicaVerifyObjects, die wordt gebruikt door de repadmin /removelingeringobjects opdracht en het repldiag-hulpprogramma in combinatie met de primitief removeLingeringObject rootDSE die wordt gebruikt door LDP.EXE.

Voordelen en beschikbaarheid

Combineert detectie en verwijdering van achtergebleven objecten in één interface.
Het hulpprogramma is beschikbaar via het Microsoft Downloadcentrum.

Belangrijkste functies

Hiermee verwijdert u alle achtergebleven objecten op alle domeincontrollers (DC's) zonder dat u hierom wordt gevraagd.
Voert een vergelijking (n * (n-1)) uit op elke DC in het forest.
Hiermee voert u topologiedetectie uit, waarmee u DC's kunt kiezen en kiezen die moeten worden gebruikt voor Lingering-objectvergelijking (bron en doel).
Hiermee exporteert u een lijst met achtergebleven objecten als csv-bestand, zodat het offline kan worden bewerkt en vervolgens weer in het hulpprogramma kan worden geïmporteerd om de objecten indien nodig te verwijderen (handig voor geavanceerde verwijderingsbewerkingen).
Hiermee wordt de inhoud van het object opgeslagen in een logboekbestand voor het geval een nieuw object moet worden gehydrateerd van het achtergebleven object.

Vereisten voor hulpprogramma's

Download en voer Lingering Object Liquidator uit op een DC of lidcomputer in het forest waaruit u achtergebleven objecten wilt verwijderen.
Microsoft .NET Framework 4.5.2 moet zijn geïnstalleerd op de computer waarop het hulpprogramma wordt uitgevoerd.
Machtigingen: het gebruikersaccount waarop het hulpprogramma wordt uitgevoerd, moet domeinbeheerderreferenties hebben voor elk domein in het forest waarin de computer zich bevindt. Leden van de groep Ondernemingsadministrators hebben standaard domeinbeheerdersreferenties in alle domeinen binnen een forest. Domeinbeheerdersreferenties zijn voldoende in één domein of één domeinforest.
U moet de RPC-firewallregel (Remote Event Log Management) inschakelen op elke domeincontroller die moet worden gescand. Anders retourneert het hulpprogramma de fout 'Uitzondering: de RPC-server is niet beschikbaar'.
De liquidatie van achtergebleven objecten in Active Directory Lightweight Directory Services -omgevingen (AD LDS/ADAM) wordt niet ondersteund.

Walkthrough

Lingering object detection

Voer het hulpprogramma uit als domeinbeheerder (of als ondernemingsbeheerder als u het hele forest wilt scannen). Daarvoor voert u de volgende stappen uit.

Notitie

U krijgt fout 8453 als het hulpprogramma niet als verhoogd wordt uitgevoerd.

Schermopname van het venster Lingering Object Liquidator.

Selecteer In de sectie Topologiedetectie de optie AD-topologie detecteren.

Detectie van AD-topologie vult de lijsten naamgevingscontext, referentiedomeincontroller en doeldomeincontroller in door een query uit te voeren op de lokale domeincontroller. Grondige detectie voert een uitgebreidere zoekopdracht uit van alle DC's en maakt gebruik van DC Locator en DSBind-aanroepen. Houd er rekening mee dat grondige detectie waarschijnlijk mislukt als een of meer DC's niet bereikbaar zijn.
Hier volgen de velden op het tabblad Lingering Objects:

Naamgevingscontext

Deze bevat elke Active Directory-naamgevingscontext in het forest.

Naslagdomeincontroller

Dit is de domeincontroller die u vergelijkt met de doel-DC. De referentiedomeincontroller fungeert als host voor een beschrijfbare kopie van de partitie.

Notitie

Alle DC's in het forest worden weergegeven, zelfs als ze niet geschikt zijn als referentie-DC's (ChildDC2 is een RODC en is geen geldige referentiedomeincontroller omdat deze geen schrijfbare kopie van een DC host).

Doeldomeincontroller

De doeldomeincontroller waaruit de objecten blijven hangen, moeten worden verwijderd uit.
Selecteer Lingering-objecten detecteren om de geselecteerde DC's voor de vergelijking te gebruiken of selecteer Hele forest scannen en ALLE DC's targeten om de hele omgeving te scannen.

Het hulpprogramma maakt een vergelijking met alle DC's voor alle partities op paarse wijze wanneer alle velden leeg blijven. In een grote omgeving duurt deze vergelijking veel tijd (mogelijk zelfs dagen) als de bewerkingsdoelen (n * (n-1)) aantal DC's in het forest voor alle lokaal bewaarde partities. Voor kortere, gerichte bewerkingen selecteert u een naamgevingscontext, verwijzingsdomeincontroller en doel-DC. De referentiedomeincontroller moet een beschrijfbare kopie van de geselecteerde naamgevingscontext bevatten. Houd er rekening mee dat als u op Stoppen klikt, de API aan de serverzijde niet daadwerkelijk wordt gestopt, wordt het werk in het hulpprogramma aan de clientzijde gestopt.

Tijdens de scan worden verschillende knoppen uitgeschakeld en bevat het statusvak diagnostische en operationele berichten van het hulpprogramma Lingering Object Liquidator. Tijdens deze uitvoeringsfase wordt het hulpprogramma uitgevoerd in een adviesmodus en worden de gebeurtenislogboekgegevens gelezen die op elke doeldomeincontroller worden gerapporteerd.

Wanneer de scan is voltooid, worden de statusbalk bijgewerkt, worden knoppen opnieuw ingeschakeld en wordt het totale aantal achtergebleven objecten weergegeven. In het statusvak worden alle informatie, waarschuwingen en fouten weergegeven die zijn opgetreden tijdens de scan.

Als u fout 1396 of fout 8440 in het statusvenster ziet, gebruikt u een vroege bèta-preview-versie van het hulpprogramma en moet u bijwerken naar de nieuwste versie.
- Fout 1396 wordt geregistreerd als het hulpprogramma een RODC onjuist gebruikt als referentiedomeincontroller.
- Fout 8440 wordt geregistreerd wanneer de doelreferentiedomeincontroller geen beschrijfbare kopie van de partitie host.
Opmerkingen over de detectiemethode Lingering Object Liquidator:
- Maakt gebruik van de methode DRSReplicaVerifyObjects in de adviesmodus.
- Wordt uitgevoerd voor alle DC's en alle partities.
- Verzamelt de gebeurtenis-id 1946 van het object en geeft objecten weer in het hoofdinhoudsvenster.
- Lijst kan worden geëxporteerd naar CSV voor offlineanalyse (of wijziging voor importeren).
- Ondersteunt het importeren en verwijderen van objecten uit CSV-import (gebruik voor objecten die niet kunnen worden gedetecteerd met DRSReplicaVerifyObjects).
- Ondersteunt het verwijderen van objecten door DRSReplicaVerifyObjects en LDAP rootDSE removeLingeringobjects wijziging.
Het hulpprogramma maakt gebruik van de methode DRSReplicaVerifyObjects (in de adviesmodus) die wordt gebruikt door de repadmin /removelingeringobjects /Advisory_Mode opdracht. Naast de normale gebeurtenissen in de adviesmodus die zijn vastgelegd op elke domeincontroller, worden alle achtergebleven objecten in het hoofdinhoudsvenster weergegeven.

De resultaten van de scan worden vastgelegd in het deelvenster Resultaten. Nog veel meer details van alle bewerkingen worden vastgelegd in het linger<Date-TimeStamp>.log.txt-bestand in dezelfde map als het uitvoerbare bestand van het hulpprogramma.

Met de knop Exporteren kunt u een lijst met alle achtergebleven objecten in het hoofdvenster exporteren naar een CSV-bestand. Bekijk het bestand in Excel, wijzig indien nodig en gebruik de knop Importeren later om de objecten weer te geven zonder een nieuwe scan uit te voeren. De functie Importeren is ook handig als u verlaten objecten ontdekt (niet detecteerbaar met DRSReplicaVerifyObjects) die u moet verwijderen.

Een opmerking over tijdelijke achtergebleven objecten:

Garbagecollection is een onafhankelijk proces dat standaard elke 12 uur op elke domeincontroller wordt uitgevoerd. Een van de taken is het verwijderen van objecten die zijn verwijderd en bestaan als een tombstone voor meer dan het aantal dagen van de tombstone-levensduur. Er is een doorlopende periode van 12 uur waarin een object dat in aanmerking komt voor garbagecollection bestaat op sommige DC's, maar al is verwijderd door het garbagecollection-proces op andere DC's. Deze objecten worden ook door het gereedschap als achtergebleven objecten gerapporteerd; Er is echter geen actie vereist, omdat deze automatisch worden verwijderd wanneer het garbagecollectionproces de volgende keer wordt uitgevoerd op de DC.
Er zijn twee ondersteunde methoden om de gedetecteerde achtergebleven objecten te verwijderen. De methode removeLingeringObject verwijst naar de wijzigingsbewerking rootDSE, die kan worden gebruikt om afzonderlijke achtergebleven objecten te verwijderen. Met de methode DsReplicaVerifyObjects worden alle achtergebleven objecten tegelijk geselecteerd.

Als u afzonderlijke objecten wilt verwijderen, selecteert u één object of meerdere objecten met behulp van Ctrl of Shift. Druk op Ctrl om meerdere objecten te selecteren of Shift om een bereik met objecten te selecteren en selecteer vervolgens Geselecteerde achtergebleven objecten verwijderen.

De statusbalk wordt bijgewerkt met de achtergebleven objecten en de status van de verwijderingsbewerking:

Het hulpprogramma dumpt een lijst met kenmerken voor elk object voordat het wordt verwijderd en registreert dit samen met de resultaten van het verwijderen van het object in het removedLingeringObjects.log.txt logboekbestand. Dit logboekbestand bevindt zich op dezelfde locatie als het uitvoerbare bestand van het hulpprogramma: C:\tools\LingeringObjects\removedLingeringObjects<DATE-TIMEStamp>.log.txt.

Voorbeeldinhoud van het logboekbestand:
```
the obj DN: <GUID=<GUID>>;  <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com  
objectClass:top, person, organizationalPerson, user;  
sn:Schenk;  
whenCreated:20121126224220.0Z;  
name:<CN_Name>;  
objectSid:<SID>;primaryGroupID:513;  
sAMAccountType:805306368;  
uSNChanged:32958;  
objectCategory:<GUID=<GUID>>;CN=Person,CN=Schema,CN=Configuration,DC=root,DC=contoso,DC=com;  
whenChanged:20121126224322.0Z;  
cn:<CN_Name>;  
uSNCreated:32958;  
l:Boulder;  
distinguishedName:<GUID=<GUID>>;  <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com;  
displayName:<CN_Name>;  
st:Colorado;  
dSCorePropagationData:16010101000000.0Z;  
userPrincipalName:<User_Name>@root.contoso.com;  
givenName:<User_Name>;  
instanceType:0;  
sAMAccountName:<Account_Name>;  
userAccountControl:650;  
objectGUID:<GUID>;  
value is   :<GUID=<GUID>>:<GUID=<GUID>>
Lingering Obj CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com is removed from the directory, mod response result code = Success  
---------------------------------------------  
RemoveLingeringObject returned Success
```
Nadat alle objecten zijn geïdentificeerd, kunnen ze bulksgewijs worden verwijderd door alle objecten te selecteren en vervolgens te verwijderen of te exporteren naar een CSV-bestand. Het CSV-bestand kan later opnieuw worden geïmporteerd om bulksgewijs te verwijderen. Houd er rekening mee dat er een knop Alles verwijderen is die gebruikmaakt van de repadmin /removelingeringobject methode voor het verwijderen van objecten.

Ondersteuning: Hoewel dit hulpprogramma in veel omgevingen grondig is getest, wordt het aan u aangeboden. Er wordt geen officiële Microsoft-ondersteuning geboden.

Krijg toegang tot active Directory Lingering Objects TechNet Virtual Lab als u wilt oefenen met dit hulpprogramma in een testomgeving die achtergebleven objecten bevat.

Workflow

Schermopname van de werkstroom van de Lingering Objects.

Meer informatie

Verwijderingsmethode	Mogelijkheden voor object/partitie en verwijdering	DETAILS
Lingering Object Liquidator	Verwijdering per object en per partitie Maakt gebruik van: - Aanpassing LDAP-rootDSE removeLingeringObjects - methode DRSReplicaVerifyObjects	- OP BASIS VAN GUI - Hiermee worden snel alle achtergebleven objecten in het forest weergegeven waaraan de uitvoeringscomputer is gekoppeld - Ingebouwde detectie via de methode DRSReplicaVerifyObjects - Geautomatiseerde methode voor het verwijderen van achtergebleven objecten uit alle partities - Hiermee verwijdert u achtergebleven objecten van alle DC's (inclusief RODC's), maar geen achtergebleven koppelingen - Windows Server 2008 en hoger DC's (werkt niet tegen Windows Server 2003-DC's)
Repldiag /removelingeringobjects	Verwijdering per partitie Maakt gebruik van: - methode DRSReplicaVerifyObjects	- Alleen opdrachtregel - Geautomatiseerde methode voor het verwijderen van achtergebleven objecten uit alle partities - Ingebouwde detectie via DRSReplicaVerifyObjects - Geeft gedetecteerde objecten weer in gebeurtenissen op DC's - Hiermee verwijdert u geen achtergebleven koppelingen. Hiermee verwijdert u nog geen achtergebleven objecten uit RODC's.
LDAP RemoveLingeringObjects rootDSE primitive (meestal uitgevoerd met behulp van LDP.EXE of een LDIFDE-importscript)	Verwijdering per object	- Vereist een afzonderlijke detectiemethode - Hiermee verwijdert u één object per uitvoering, tenzij een script is uitgevoerd.
Repadmin /removelingeringobjects	Verwijdering per partitie Maakt gebruik van: - methode DRSReplicaVerifyObjects	- Alleen opdrachtregel - Ingebouwde detectie via DRSReplicaVerifyObjects - Geeft gedetecteerde objecten weer in gebeurtenissen op DC's - Vereist veel uitvoeringen als een uitgebreide (n * (n-1)) pairwise opschoning vereist is. Het repldiag-hulpprogramma en het hulpprogramma Lingering Object Liquidator automatiseren deze taak.