當我們在域中刪除一個對象時,對象實際上並沒有完全的刪除掉,而是被移到了一個特殊的容器當中,這個刪除的操作同樣會複製到其它的域控中。最終什麼時候刪除,便由域控的系統版本來決定:
1、如果是Windows 2000 Server的域控,那麼默認是60天;
2、如果是Windows Server 2003的域控,那麼默認是180天;
3、如果是Windows Server 2003 R2的域控,那麼默認是60天;
4、如果是Windows Server 2008 (R2)的域控,那麼默認是180天;
每個域控上會有一個garbage collection的程序去監控這個時間,默認它12小時運行一次,一旦超過了墓碑時間,這個對象就從域的數據庫中徹底清除了。這個過程,都非常的流暢和清晰。但如果我們遇到以下這樣的一種場景,事情就值得玩味了。
假設環境中,有一臺域控A因爲網絡或是硬件的原因,離線超過了墓碑時間,而在這個過程中,其它域控刪除了並清除了softice這個用戶對象,等域控A恢復狀態,回到網絡中,它上面softice這個對象做了更新,會不會複製給其它域控?
要回答這個問題,同樣要依據域控的系統來定:
1、如果是Windows 2000 Server SP4的域控,那麼默認情況,softice這個用戶對象會複製給其它的域控;
2、如果是Windows Server 2003 (R2)或是Windows Server 2008 (R2)的域控,那麼默認情況,softice這個用戶對象不會複製給其它的域控,這個對象將成爲一個孤立的對象;
其實,上面的處理規則,都是與一個選項開關有關,這個開關控制着是否啓用嚴格複製(strict replication),UI界面改不了這個設置,要改的話,找註冊表吧,它的位置在
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\strict replication consistency
如果這個值設爲1,那麼就不會複製,當然,這個值爲0時,對象將被複制。
回答了上面的問題,事情只能說是處理了一半,針對於孤立對象我們當然要儘量保持不讓他去複製,而對於其它的對象,他是否會正常複製呢?
1、對於Windows Server 2000的域來說,其它正常的對象的更新,它會複製;
2、對於Windows Server 2003以及以後的域控來說,默認不會複製,Windows Server 2003的域控會去記錄他與複製夥伴發生複製的最後時間節點,如果下一次需要發生複製時,首先將現在的時間與上一次成功複製的時間相減看是否大於墓碑時間,大過了,就不復制了;
這一個行爲,我們也可以通過註冊表來調節,註冊表項如下
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Allow Replication With Divergent and Corrupt Partner
如果這個值設爲1,那麼就不會複製,當然,這個值爲0時,對象將被複制。
明白了怎麼回事,最後給點建議,如果一臺域控離線時間超過了墓碑時間,並且上面有孤立對象,就直接把它降級再提升爲域控吧。