Opis narzędzia Likwidatora obiektów utrzymujących się

2025-01-15

W tym artykule opisano narzędzie Lingering Object Liquidator (LoL) do znajdowania i usuwania utrzymujących się obiektów.

Oryginalny numer KB: 3141939

Wprowadzenie

Lingering Object Liquidator (LOL) to narzędzie do automatyzowania odnajdywania i usuwania utrzymujących się obiektów. Narzędzie używa metody DRSReplicaVerifyObjects, która jest używana przez repadmin /removelingeringobjects polecenie i narzędzie repldiag w połączeniu z elementem pierwotnym removeLingeringObject rootDSE używanym przez LDP.EXE.

Korzyści i dostępność

Łączy odnajdywanie i usuwanie utrzymujących się obiektów w jednym interfejsie.
Narzędzie jest dostępne w centrum pobierania firmy Microsoft.

Kluczowe cechy i funkcje

Usuwa wszystkie utrzymujące się obiekty we wszystkich kontrolerach domeny (DCs) bez monitowania.
Wykonuje porównanie (n* (n-1)) dla każdego kontrolera domeny w lesie.
Wykonuje wykrywanie topologii, co pozwala wybrać i wybrać kontrolery domeny do użycia na potrzeby porównania obiektów utrzymujących się (źródło i cel).
Eksportuje listę obiektów utrzymujących się jako plik CSV, dzięki czemu można go edytować w trybie offline, a następnie zaimportować z powrotem do narzędzia w celu usunięcia obiektów w razie potrzeby (przydatne w przypadku zaawansowanych operacji usuwania).
Zapisuje zawartość obiektu w pliku dziennika, jeśli nowy obiekt musi być nawodniony z obiektu utrzymującego się.

Wymagania dotyczące narzędzi

Pobierz i uruchom Lingering Object Liquidator na kontrolerze domeny lub komputerze członkowskim w lesie, z którego chcesz usunąć obiekty utrzymujące się.
Na komputerze z uruchomionym narzędziem musi być zainstalowany program Microsoft .NET Framework 4.5.2.
Uprawnienia: konto użytkownika, na którym uruchomiono narzędzie, musi mieć poświadczenia administratora domeny dla każdej domeny w lesie, w którym znajduje się wykonywany komputer. Członkowie grupy Administratorzy przedsiębiorstwa mają domyślnie poświadczenia administratora domeny we wszystkich domenach w lesie. Poświadczenia administratora domeny są wystarczające w jednej domenie lub jednym lesie domeny.
Należy włączyć regułę zapory zdalnego zarządzania dziennikami zdarzeń (RPC) na dowolnym kontrolerze domeny, który wymaga skanowania. W przeciwnym razie narzędzie zwraca błąd "Wyjątek: serwer RPC jest niedostępny".
Likwidacja obiektów utrzymujących się w środowiskach usług Active Directory Lightweight Directory Services (AD LDS / ADAM) nie jest obsługiwana.

Przewodnik

Wykrywanie obiektów utrzymujących się

Uruchom narzędzie jako administrator domeny (lub jako administrator przedsiębiorstwa, jeśli chcesz skanować cały las). W tym celu należy wykonać następujące czynności:

Uwaga 16.

Jeśli narzędzie nie zostanie uruchomione jako podniesione, zostanie wyświetlony błąd 8453.

Zrzut ekranu przedstawiający okno Lingering Object Liquidator ( Lingering Object Liquidator).

W sekcji Wykrywanie topologii wybierz pozycję Wykryj topologię usługi AD.

Wykrywanie topologii usługi AD wypełnia listę Nazewnictwa kontekstu, odwołania kontrolera domeny i docelowego kontrolera domeny, wysyłając zapytanie do lokalnego kontrolera domeny . Dokładne wykrywanie wykonuje bardziej wyczerpujące wyszukiwanie wszystkich kontrolerów domeny i korzysta z lokalizatora kontrolerów domeny i wywołań DSBind. Należy pamiętać, że dokładne wykrywanie prawdopodobnie zakończy się niepowodzeniem, jeśli co najmniej jeden kontroler domeny jest niedostępny.
Poniżej przedstawiono pola na karcie Obiekty utrzymujące się:

Kontekst nazewnictwa

Zawiera on każdy kontekst nazewnictwa usługi Active Directory w lesie.

Odwołanie do kontrolera domeny

Jest to kontroler domeny, który porównasz z docelowym kontrolerem domeny. Odwołanie kontrolera domeny hostuje zapisywalną kopię partycji.

Uwaga 16.

Wszystkie kontrolery domeny w lesie są wyświetlane, nawet jeśli są nieodpowiednie jako kontrolery domeny odniesienia (ChildDC2 jest kontrolerem RODC i nie jest prawidłowym kontrolerem domeny odwołania, ponieważ nie hostuje zapisywalnej kopii kontrolera domeny).

Docelowy kontroler domeny

Docelowy kontroler domeny, z którego mają być usuwane obiekty utrzymujące się.
Wybierz pozycję Wykryj obiekty utrzymujące się, aby użyć wybranych kontrolerów domeny dla porównania, lub wybierz pozycję Skanuj cały las i docelowe wszystkie kontrolery domeny, aby skanować całe środowisko.

Narzędzie wykonuje porównanie ze wszystkimi kontrolerami domeny dla wszystkich partycji w sposób sparowany, gdy wszystkie pola są puste. W dużym środowisku to porównanie zajmie dużo czasu (prawdopodobnie nawet dni), ponieważ cele operacji (n * (n-1)) liczba kontrolerów domeny w lesie dla wszystkich partycji przechowywanych lokalnie. Aby uzyskać krótsze operacje docelowe, wybierz kontekst nazewnictwa, odwołanie do kontrolera domeny i docelowy kontroler domeny. Kontroler domeny odwołania musi przechowywać zapisywalną kopię wybranego kontekstu nazewnictwa. Należy pamiętać, że kliknięcie przycisku Zatrzymaj nie powoduje zatrzymania interfejsu API po stronie serwera, powoduje zatrzymanie pracy w narzędziu po stronie klienta.

Podczas skanowania wyłączono kilka przycisków, a pole stanu zawiera komunikaty diagnostyczne i operacyjne z narzędzia Lingering Object Liquidator. W tej fazie wykonywania narzędzie działa w trybie doradczym i odczytuje dane dziennika zdarzeń zgłaszane na każdym docelowym kontrolerze domeny.

Po zakończeniu skanowania aktualizacje paska stanu, przyciski są ponownie włączone, a łączna liczba utrzymujących się obiektów jest wyświetlana. W polu stanu są wyświetlane wszystkie informacje, ostrzeżenia i błędy, które wystąpiły podczas skanowania.

Jeśli w okienku stanu zostanie wyświetlony błąd 1396 lub błąd 8440, używasz wczesnej wersji beta-preview narzędzia i powinna zostać zaktualizowana do najnowszej wersji.
- Błąd 1396 jest rejestrowany, jeśli narzędzie niepoprawnie używa kontrolera RODC jako kontrolera domeny odniesienia.
- Błąd 8440 jest rejestrowany, gdy docelowy kontroler domeny odwołania nie hostuje zapisywalnej kopii partycji.
Uwagi dotyczące metody odnajdywania Lingering Object Liquidator:
- Wykorzystuje metodę DRSReplicaVerifyObjects w trybie doradczym.
- Uruchamia wszystkie kontrolery domeny i wszystkie partycje.
- Zbiera utrzymujące się zdarzenie obiektu o identyfikatorze 1946 i wyświetla obiekty w głównym okienku zawartości.
- Listę można wyeksportować do pliku CSV na potrzeby analizy offline (lub modyfikacji importu).
- Obsługuje importowanie i usuwanie obiektów z importu CSV (wykorzystanie dla obiektów, które nie można odnaleźć przy użyciu drSReplicaVerifyObjects).
- Obsługuje usuwanie obiektów przez drSReplicaVerifyObjects i ldap rootDSE removeLingeringobjects modyfikacji.
Narzędzie korzysta z metody DRSReplicaVerifyObjects (w trybie doradczym), która jest używana przez repadmin /removelingeringobjects /Advisory_Mode polecenie . Oprócz normalnych zdarzeń związanych z trybem doradczym zalogowanych na każdym kontrolerze domeny wyświetla każdy z utrzymujących się obiektów w głównym okienku zawartości.

Wyniki skanowania są rejestrowane w okienku Wyniki. Wiele dodatkowych szczegółów wszystkich operacji jest rejestrowanych w pliku date-timestamp>.log.txt<w tym samym katalogu co plik wykonywalny narzędzia.

Przycisk Eksportuj umożliwia wyeksportowanie listy wszystkich utrzymujących się obiektów wymienionych w okienku głównym do pliku CSV. Wyświetl plik w programie Excel, zmodyfikuj w razie potrzeby i użyj przycisku Importuj później, aby wyświetlić obiekty bez konieczności wykonywania nowego skanowania. Funkcja Importuj jest również przydatna w przypadku odnajdywania porzuconych obiektów (niezaznawalnych w przypadku obiektów DRSReplicaVerifyObjects), które należy usunąć.

Uwaga dotycząca przejściowych obiektów utrzymujących się:

Odzyskiwanie pamięci to niezależny proces uruchamiany na każdym kontrolerze domeny co 12 godzin. Jednym z jego zadań jest usunięcie obiektów, które zostały usunięte i istniały jako grobowiec przez większą niż liczba dni istnienia grobowca. Istnieje okres 12-godzinny, w którym obiekt uprawniony do odzyskiwania pamięci istnieje na niektórych kontrolerach domeny, ale został już usunięty przez proces odzyskiwania pamięci na innych kontrolerach domeny. Te obiekty będą również zgłaszane jako obiekty utrzymujące się przez narzędzie; jednak nie jest wymagana żadna akcja, ponieważ zostaną one automatycznie usunięte przy następnym uruchomieniu procesu modułu odśmiecniania pamięci na kontrolerze domeny.
Istnieją dwie obsługiwane metody usuwania wykrytych obiektów utrzymujących się. Metoda "removeLingeringObject" odwołuje się do operacji modyfikowania rootDSE, która może służyć do usuwania pojedynczych obiektów utrzymujących się. Metoda "DsReplicaVerifyObjects" wybierze jednocześnie wszystkie utrzymujące się obiekty.

Aby usunąć poszczególne obiekty, zaznacz pojedynczy obiekt lub zaznacz wiele obiektów za pomocą Ctrl lub Shift . Naciśnij Ctrl , aby zaznaczyć wiele obiektów lub shift , aby wybrać zakres obiektów, a następnie wybierz pozycję Usuń zaznaczone obiekty utrzymujące się.

Pasek stanu jest aktualizowany przy użyciu obiektów utrzymujących się i stanu operacji usuwania:

Narzędzie zrzutuje listę atrybutów dla każdego obiektu przed usunięciem i rejestruje je wraz z wynikami usunięcia obiektu w pliku dziennika removedLingeringObjects.log.txt . Ten plik dziennika znajduje się w tej samej lokalizacji co plik wykonywalny narzędzia: C:\tools\LingeringObjects\removedLingeringObjects<DATE-TIMEStamp>.log.txt.

Przykładowa zawartość pliku dziennika:
```
the obj DN: <GUID=<GUID>>;  <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com  
objectClass:top, person, organizationalPerson, user;  
sn:Schenk;  
whenCreated:20121126224220.0Z;  
name:<CN_Name>;  
objectSid:<SID>;primaryGroupID:513;  
sAMAccountType:805306368;  
uSNChanged:32958;  
objectCategory:<GUID=<GUID>>;CN=Person,CN=Schema,CN=Configuration,DC=root,DC=contoso,DC=com;  
whenChanged:20121126224322.0Z;  
cn:<CN_Name>;  
uSNCreated:32958;  
l:Boulder;  
distinguishedName:<GUID=<GUID>>;  <SID=<SID>>;CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com;  
displayName:<CN_Name>;  
st:Colorado;  
dSCorePropagationData:16010101000000.0Z;  
userPrincipalName:<User_Name>@root.contoso.com;  
givenName:<User_Name>;  
instanceType:0;  
sAMAccountName:<Account_Name>;  
userAccountControl:650;  
objectGUID:<GUID>;  
value is   :<GUID=<GUID>>:<GUID=<GUID>>
Lingering Obj CN=<CN_Name>,OU=<OU_Name>,DC=root,DC=contoso,DC=com is removed from the directory, mod response result code = Success  
---------------------------------------------  
RemoveLingeringObject returned Success
```
Po zidentyfikowaniu wszystkich obiektów można je usunąć zbiorczo, zaznaczając wszystkie obiekty, a następnie usuwając lub wyeksportowając je do pliku CSV. Plik CSV można później zaimportować ponownie do usunięcia zbiorczego. Należy pamiętać, że istnieje przycisk Usuń wszystko, który wykorzystuje repadmin /removelingeringobject metodę usuwania obiektu utrzymującego się.

Obsługa: chociaż to narzędzie zostało dokładnie przetestowane w wielu środowiskach, jest ono udostępniane tobie w takim stanie, w jakim się znajduje. Nie będzie dostępnej oficjalnej pomocy technicznej firmy Microsoft.

Uzyskaj dostęp do laboratorium wirtualnego TechNet Podczas rozwiązywania problemów z obiektami utrzymującymi się w usłudze Active Directory, jeśli chcesz ćwiczyć korzystanie z tego narzędzia w środowisku laboratoryjnym zawierającym obiekty utrzymujące się.

Przepływ pracy

Zrzut ekranu przedstawiający przepływ pracy obiektów utrzymujących się.

Więcej informacji

Metoda usuwania	Możliwości obiektów/partycji i usuwania	Szczegóły
Likwidator obiektu utrzymującego	Usuwanie poszczególnych obiektów i partycji Wykorzystuje: - RemoveLingeringObjects modyfikacja katalogu rootDSE LDAP - DRSReplicaVerifyObjects, metoda	- Oparty na graficznym interfejsie użytkownika - Szybko wyświetla wszystkie utrzymujące się obiekty w lesie, do którego jest przyłączony wykonywany komputer — Wbudowane odnajdywanie za pomocą metody DRSReplicaVerifyObjects - Automatyczna metoda usuwania utrzymujących się obiektów ze wszystkich partycji - Usuwa utrzymujące się obiekty ze wszystkich kontrolerów domeny (w tym kontrolerów RODC), ale nie utrzymujące się łącza — Windows Server 2008 i nowsze kontrolery domeny (nie będą działać z kontrolerami domeny systemu Windows Server 2003)
Repldiag /removelingeringobjects	Usuwanie poszczególnych partycji Wykorzystuje: - DRSReplicaVerifyObjects, metoda	- Tylko wiersz polecenia - Automatyczna metoda usuwania utrzymujących się obiektów ze wszystkich partycji — Wbudowane odnajdywanie za pomocą funkcji DRSReplicaVerifyObjects - Wyświetla odnalezione obiekty w zdarzeniach na kontrolerach domeny - Nie usuwa utrzymujących się łączy. Nie usuwa obiektów utrzymujących się z kontrolerów RODC (jeszcze).
Ldap RemoveLingeringObjects rootDSE pierwotne (najczęściej wykonywane przy użyciu LDP.EXE lub skryptu importu LDIFDE)	Usuwanie poszczególnych obiektów	— Wymaga oddzielnej metody odnajdywania - Usuwa pojedynczy obiekt na wykonanie, chyba że skrypty.
Repadmin /removelingeringobjects	Usuwanie poszczególnych partycji Wykorzystuje: - DRSReplicaVerifyObjects, metoda	- Tylko wiersz polecenia — Wbudowane odnajdywanie za pomocą funkcji DRSReplicaVerifyObjects - Wyświetla odnalezione obiekty w zdarzeniach na kontrolerach domeny - Wymaga wielu wykonań, jeśli wymagane jest kompleksowe (n-1)) czyszczenie parowe. Narzędzie repldiag i narzędzie Lingering Object Liquidator automatyzują to zadanie.