Tombstone Lifetime (TL) identifizieren und ändern

Die Tombstone Lifetime bestimmt, wie lange ein gelöschtes Objekt im Container Deleted Objects einer Active Directory-Domäne aufbewahrt wird, bevor es durch den Garbage Collector endgültig und unwiederbringlich aus der Active Directory-Datenbank gelöscht wird. Das Attribut tombstoneLifetime wird bei der Installation des ersten Domänencontrollers einer Gesamtstruktur festgelegt und gilt für alle Domänen einer Gesamtstruktur. Separate Werte für einzelne Domänencontroller oder Domänen sind nicht möglich. Das Attribut tombstoneLifetime gehört zum Objekt CN=Directory Service, das Sie in folgendem beispielhaften Pfad finden:

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Certbase,DC=De

Je nachdem, welches Betriebssystem auf dem ersten Domänencontroller einer Gesamtstruktur installiert ist, wird die Tombstone Lifetime standardmäßig mit einem der folgenden Werte festgelegt.

Weist das Attribut tombstoneLifetime den Wert "not set" auf, beträgt die Grabstein Lebensdauer 60 Tage. Bei einer Aktualisierung des ersten Domänencontrollers auf ien neueres Betriebssystem, wird die Tombstone Lifetime nicht verändert.

Zum Einsehen und ändern kann beispielsweise der in Windows Server integrierte ADSI-Editor verwendet werden:

Alternativ kann zur Abfrage auch das Befehlszeilenprogramm DSQuery.exe genutzt werden:

Dsquery * "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=CertBase,DC=De" -attr tombstoneLifetime

Auch mit dem Active Directory-Modul für die PowerShell kann die Tombstone Lifetime gelesen und geschrieben werden:

Lesen:

Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=CertBase,DC=De" -Properties tombstoneLifetime | Select tombstoneLifetime | FL

Schreiben:

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Domäne,DC=de" -Partition "CN=Configuration,DC=Certbase,DC=de" -Replace:@{"tombstoneLifetime" = Wert}