Réplication AD et Tombstone LifeTime

 

L’attribut tombstone lifetime dans active directory determine la durée de vie des objets supprimés dans active directory. Cet attribut permet la suppression des objets lors de la réplication et préviens tout retour des objets supprimés lors des opérations de restauration.

Par défaut cette valeur et de 180 jours pour les domaines 2003 SP1 et ultérieur. Cependant cette valeur peut être modifiée et pour en connaitre la valeur dans votre domaine il suffit d’exécuter la commande:

dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<forestDN>” –scope base –attr tombstonelifetime

Tout ceci pour en venir à un problème que j’ai rencontré récemment. Un jour, sans crier gare, deux des contrôleurs de domaines racine de la forêt se sont mis à ne plus répliquer en affichant dans le journal d’évènement l’erreur 2042 : It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source...

Biensur ceci s’est produit du jour au lendemain, donc impossible d’avoir dépassé la durée de vie tombstone, en fait le problème s’est déclenché suite à une perte d’électricité qui a duré toute la nuit (même les onduleurs ont rendu l’âme) et au redémarrage les horloges internes des serveurs avaient reculé de 2 ans en arrière (certainement à cause d’une batterie morte).

Dans ce cas de figure 2 possibilités s’offraient à moi: 
                  - Reconstruire les DC from scratch : le hic ici c’est que je n’avais pas de 3ème DC d’où régénérer mes contrôleurs de domaines.
                  - Autoriser la réplication depuis des partenaires divergent

J’ai opté pour la deuxième solution.

Avant tout il faut supprimer les objets persistant (Lingering) pour ceci depuis le contrôleur de domaine posant problème exécuter la commande:
repadmin /removelingeringobjects ServerName ServerGUID DirectoryPartition (Pour plus de détails se référer à l’article technet: https://technet.microsoft.com/en-us/library/cc780362(WS.10).aspx )

Ensuite il suffit de positionner la clé de registre permettant la réplication avec les partenaires divergents :

Dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters créer une valeur DWORD “Allow Replication With Divergent and Corrupt Partner” et lui donner la valeur 1.

Et le tour est joué. clip_image001

ps: Une fois la réplication terminé il faut s’assurer de remettre la valeur précédant à 0.