Durata del Tombstone Lifetime

Il Tombstone Lifetime viene utilizzato in Active Directory nei seguenti situazioni:

  1. Determinare quando un oggetto può essere eliminato fisicamente. A riguardo si veda How to search for deleted objects in Active Directory.
  2. Determinare il tempo di validità di un backup del system state di un Domain Controller. A riguardo si veda Useful shelf life of a system-state backup of Active Directory.
  3. Determinare il tempo oltre la Replica con un DC che contatta più gli altri DC viene interrotta definitivamente. A riguardo si veda Replication error 8614 The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime

La durata del Tombstone Lifetime (TSL) dipende dalla versione del sistema operativo del primo DC che è stato installato nella foresta Active Directory:

OS primo DC nella foresta

Default tombstone lifetime

Windows 2000

60 giorni

Windows Server 2003

60 giorni

Windows Server 2003 SP1

180 giorni

Windows Server 2003 SP2

180 giorni

Windows Server 2003 R2

60 giorni

Windows Server 2003 R2 SP2

180 giorni

Windows Server 2008 e successivi

180 giorni

 

E’ possibile trovare i riferimenti ai valori di default del TSL nei seguenti:

Come detto precedentemente la durata del TSL è determinata dal dalla versione del sistema operativo del primo DC che è stato installato nella foresta Active Directory, questo significa che anche aggiornando tale DC ad una versione successiva il TSL non viene modificato come specificato in Useful shelf life of a system-state backup of Active Directory:

“Windows Server 2003 Service Pack 1 (SP1) increases the attribute value from 60 to 180 days in the following scenarios:

  • You use Windows Server 2003 SP1 slipstreamed media to upgrade a Microsoft Windows NT 4.0 domain to a Windows Server 2003 domain. When you perform the upgrade, you create a new forest.
  • You promote a computer that is running Windows Server 2003 SP1 to a domain controller. When you promote the domain controller, you create a new forest.

The original release version of Windows Server 2003 SP1 does not modify the value of the tombstone lifetime attribute when the following conditions are true:

  • You upgrade a Windows 2000 domain to a Windows Server 2003 domain by using Windows Server 2003 SP1 slipstreamed media.
  • You install Windows Server 2003 SP1 on domain controllers that are running the original release version of Windows Server 2003.”

Questo significa che se la foresta Active Directory era stata creata con DC che aveva un versione di OS in cui il TLS per default era a 60 giorni se non si interviene manualmente continuerà ad essere tale anche se si aggiornano tutti i DC nella foresta ad una versione di OS che prevede una durata del TSL di 180 giorni.

Il TSL è determinato dall’attributo tombstoneLifetime che se non impostato ha il valore di default di 60 giorni. Per la precisione il tombstoneLifetime è un attributo dell’ogetto Directory Service nella partizione di configurazione che è comune a tutti i domini della foresta.

Per determinare la durata del TSL è possibile utilizzare ADSI Edit oppure dsquery come indicato nel seguente Determine the tombstone lifetime for the forest oppure usare PowerShell:

(get-adobject “cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=sysadmin,DC=local” –properties “tombstonelifetime”).tombstonelifetime

Per modificare il TSL è possibile usare ADSI Edit oppure PowerShell a rigurado si veda Modifying the Tombstone Lifetime for a Domain

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Fabrikam,DC=COM” -Partition “CN=Configuration,DC=sysadmin,DC=local” -Replace @{tombstoneLifetime=’210‘}

Per ulteriori approfondimenti si vedano anche: