Durata del Tombstone Lifetime
Il Tombstone Lifetime viene utilizzato in Active Directory nei seguenti situazioni:
- Determinare quando un oggetto può essere eliminato fisicamente. A riguardo si veda How to search for deleted objects in Active Directory.
- Determinare il tempo di validità di un backup del system state di un Domain Controller. A riguardo si veda Useful shelf life of a system-state backup of Active Directory.
- Determinare il tempo oltre la Replica con un DC che contatta più gli altri DC viene interrotta definitivamente. A riguardo si veda Replication error 8614 The Active Directory cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime
La durata del Tombstone Lifetime (TSL) dipende dalla versione del sistema operativo del primo DC che è stato installato nella foresta Active Directory:
OS primo DC nella foresta |
Default tombstone lifetime |
Windows 2000 |
60 giorni |
Windows Server 2003 |
60 giorni |
Windows Server 2003 SP1 |
180 giorni |
Windows Server 2003 SP2 |
180 giorni |
Windows Server 2003 R2 |
60 giorni |
Windows Server 2003 R2 SP2 |
180 giorni |
Windows Server 2008 e successivi |
180 giorni |
E’ possibile trovare i riferimenti ai valori di default del TSL nei seguenti:
- Information about lingering objects in a Windows Server Active Directory forest
- The default tombstone lifetime (TSL) value remains at 60 days instead of increasing to 180 days in Windows Server 2003 R2
Come detto precedentemente la durata del TSL è determinata dal dalla versione del sistema operativo del primo DC che è stato installato nella foresta Active Directory, questo significa che anche aggiornando tale DC ad una versione successiva il TSL non viene modificato come specificato in Useful shelf life of a system-state backup of Active Directory:
“Windows Server 2003 Service Pack 1 (SP1) increases the attribute value from 60 to 180 days in the following scenarios:
- You use Windows Server 2003 SP1 slipstreamed media to upgrade a Microsoft Windows NT 4.0 domain to a Windows Server 2003 domain. When you perform the upgrade, you create a new forest.
- You promote a computer that is running Windows Server 2003 SP1 to a domain controller. When you promote the domain controller, you create a new forest.
The original release version of Windows Server 2003 SP1 does not modify the value of the tombstone lifetime attribute when the following conditions are true:
- You upgrade a Windows 2000 domain to a Windows Server 2003 domain by using Windows Server 2003 SP1 slipstreamed media.
- You install Windows Server 2003 SP1 on domain controllers that are running the original release version of Windows Server 2003.”
Questo significa che se la foresta Active Directory era stata creata con DC che aveva un versione di OS in cui il TLS per default era a 60 giorni se non si interviene manualmente continuerà ad essere tale anche se si aggiornano tutti i DC nella foresta ad una versione di OS che prevede una durata del TSL di 180 giorni.
Il TSL è determinato dall’attributo tombstoneLifetime che se non impostato ha il valore di default di 60 giorni. Per la precisione il tombstoneLifetime è un attributo dell’ogetto Directory Service nella partizione di configurazione che è comune a tutti i domini della foresta.
Per determinare la durata del TSL è possibile utilizzare ADSI Edit oppure dsquery come indicato nel seguente Determine the tombstone lifetime for the forest oppure usare PowerShell:
(get-adobject “cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=sysadmin,DC=local” –properties “tombstonelifetime”).tombstonelifetime
Per modificare il TSL è possibile usare ADSI Edit oppure PowerShell a rigurado si veda Modifying the Tombstone Lifetime for a Domain
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Fabrikam,DC=COM” -Partition “CN=Configuration,DC=sysadmin,DC=local” -Replace @{tombstoneLifetime=’210‘}
Per ulteriori approfondimenti si vedano anche: