یکی از نکات کلیدی و مباحث مهم در نگهداری object های اکتیودایرکتوری TSL یا Tombstone Lifetime می باشد که در این مقاله به ان اشاره خواهم کرد
TSL یکی از پارامترهایی است که برای مشخص کردن حذف ابجکت های اکتیودایرکتوری استفاده می شود. بهتر است آنرا با یک مثال توضیح دهم
شما در داخل اکتیودایرکتوری اقدام به حذف و delete یک کاربر( یا یک object دیگر) می نمایید . در حقیقت این آبجکت بصورت کامل حذف نشده و تا مدت زمانی در دیتابیس اکتیو باقی می ماند(شبیه به حذف یک فایل از هارددیسک که با flag=deleted نشان گذاری می شود) و با استفاده از TSL مشخص می شود که این آبجکت تا چه مدت زمان مجاز است در بانک اکتیونگهداری شود (پس TSL مدت زمان مجاز باقی ماندن آبجکت در دیتابیس اکتیو پس از حذف شدن می باشد)
این عمل توسط اکتیودایرکتوری انجام شده که بلافاصله پس از حذف صفل is-Deleted این شی را به true تغییر داده و این آبجکت به این صورت CN=<old RDN>\0ADEL:<objectGUID>تغییر نام میدهد.
از این لحظه به بعد ، ابجکت حذف شده به یک container به نام Deleted Objects که زیرمجموعه پارتیشن دایرکتوری Directory partition ویندوز می باشد منتقل می شود . حال می توان مقدار tombstone را بر روی این آبجکت مشاهده کرد . کافیست عملیات replication اکتیودایرکتوری نیز شروع شده تا این مقدار به سایر دامین کنترلرها اطلاع رسانی شود .اما نکته جالب آن است که بنا به نوع سیستم عامل مقادیری بصورت پیش فرض برای tombstone ها درنظر گرفته شده است . (لیست زیر)
در زیر مقادیر استاندارد را نشان میدهیم :
Windows 2000 (all SPs) = 60 days
Windows Server 2003 without SP = 60 days
Windows Server 2003 with Service Pack 1 = 180 days
Windows Server 2003 R2 with Service Pack 1 installed with two R2 discs = 60 days
Windows Server 2003 R2 with Service Pack 1 installed only with the first R2 CD = 180 days
Windows Server 2003 with Service Pack 2 = 180 days
Windows Server 2003 R2 with Service Pack 2 = 180 days
Windows Server 2008 = 180 days
Windows Server 2008 R2 = 180 days
حال چنانچه آبجکتی که حذف شده مقدار آن از حذ مجاز TSL بگذرد برای همیشه و بصورت دائم از دیتابیس اکتیودایرکتوری حذف خواهد شد . (عمل حذف نیز توسط مکانیزسمی بنام garbage collection انجام می شود که این عمل بصورت استاندارد بر روی همه DC ها و بصورت هر 12 ساعت یکبار اجرا می شود . )
اما نکته مهم دیگر زمان تنظیم شدن TSL است که با نصب اولین DC برای کل دامین های سطح فارست انجام می شود .
کاربران عضو گروه Enterprise admins حق تغییر مقدار TSL را دارند اما حق تغییر ان برای هر دامنه بصورت مجزا امکان پذیر نمی باشد ! با دستور زیر می توانید مقدار TSL را مشاهده کنید :
Dsquery * "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,
DC=kian,DC=Com" -attr tombstoneLifetime
با برنامه adsiedit هم می توانید اقدام به مشاهده و دسترسی TSL نمایید . کافیست وارد برنامه شده و به قسمت configuration دامنه متصل شوید. سپس در زیر بخش configuration /CN=services/Cn=windows NT/CN=Directory Service بروید .
با گرفتن properties این گزینه می توانید مقدار صفت tombstone را مشاهده کرد
تذکر:
+ اگر قصد خاموش کردن یا offline نمودن یک دامین کنترلر را دارید ، مدت offline بودن آن نباید بیشتر از زمان TSL باشد
+ در زمان بازیابی بکاپ های اکتیودایرکتوری مراقب باشید زمان backup شما نباید از زمان tombstone life بیشتر باشد
+ مقدار TSL را خیلی کم انتخاب نکنید زیرا در فرآیند عملیات replication بین دامین کنترلرها سبب بروز مشکلات و تاثیر منفی بر سرعت و ترافیک شما خواهد داشت .
