La modalità “Tombstone” indica un valore numerico che Active Directory mantiene come riferimento per marcare un elemento eliminato. Questo indicatore, specificato nei parametri di ADSI Edit in giorni, indica dopo quanto tempo un elemento rimosso può essere ripristinato.

Parlando di un Domain Controller, questo valore è il termine massimo entro il quale il Domain Controller può tornare a replicare nuovamente con i relativi partner. Superato questo limite temporale, il DC viene marcato come scomparso, e non più utilizzabile.

In tutto questo c’è una logica: dopo un certo numero di giorni dopo l’eliminazione o assenza di un oggetto, è plausibile considerare che quel determinato oggetto non sia più necessario.

Di default, il tempo limite per il ripristino di un’entità è di 180 giorni.
Terminato questo tempo, a meno relazioni esistenti con altri oggetti, l’entità in questione viene definitivamente cancellata.

Vediamo quindi la risoluzione.

Esistono alcuni tools che ci confermano o meno la mancanza o impossibilità di replica. Lanciamo il comando di replica immediata manuale per accertarci della situazione:

repadmin /syncall

Un esempio della mancanza di replica, per diversi motivi, potrebbe essere:

C:\Users\Administrator>repadmin /syncall
CALLBACK MESSAGE: Error contacting server 122ac448-ca1f-4b0a-a026-3d32e9acd9a4._msdcs.virtual.lab (network error): 1722 (0x6ba):
    The RPC server is unavailable.
CALLBACK MESSAGE: SyncAll Finished.

SyncAll reported the following errors:
Error contacting server 122ac448-ca1f-4b0a-a026-3d32e9acd9a4._msdcs.virtual.lab (network error): 1722 (0x6ba):
    The RPC server is unavailable

In questo caso, andiamo a verificare la situazione generale:

repadmin /showrepl

In relazione alla risposta che generalmente evidenzia problemi in essere, andiamo a modificare il valore di Tombstone.

Apriamo ADSI Edit, dagli Strumenti di Amministrazione, e colleghiamoci alla console di configurazione:

Andiamo quindi all’interno del percorso dedicato per la modifica. Tombstone è un normale attributo, modificabile cliccando con il tasto destro su “CN=Windows NT” e selezionando “Proprietà”:

Modifichiamo il valore numerico in modo che sia superiore all’intervallo temporale passato e confermiamo.
ADSI Edit potrebbe non permettere l’accesso alla partizione Configuration in caso ci siano problemi sulla SYSVOL; in questo caso dovremo forzare l’aggiornamento con una chiave di registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\

Apriamo la chiave SysvolReady per la modifica e impostiamo il valore a “1“. Riavviamo il server, a questo punto dovremmo poter avere accesso alla partizione che ci interessa su ADSI Edit e potremo eseguire le modifiche.

Al termine, riavviando i Domain Controller uno per volta, avremo conferma delle repliche con un /replsummary:

C:\Users\Administrator>repadmin /showrepl

Repadmin: running command /showrepl against full DC localhost
Sede\AD
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: d31ef4d9-8b2b-4570-a66d-d29d4b74ce82
DSA invocationID: d31ef4d9-8b2b-4570-a66d-d29d4b74ce82

==== INBOUND NEIGHBORS ======================================

DC=virtual,DC=lab
    Sede\AD2 via RPC
        DSA object GUID: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4
        Last attempt @ 2023-12-07 22:26:04 was successful.

CN=Configuration,DC=virtual,DC=lab
    Sede\AD2 via RPC
        DSA object GUID: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4
        Last attempt @ 2023-12-07 22:26:04 was successful.

CN=Schema,CN=Configuration,DC=virtual,DC=lab
    Sede\AD2 via RPC
        DSA object GUID: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4
        Last attempt @ 2023-12-07 22:26:04 was successful.

DC=DomainDnsZones,DC=virtual,DC=lab
    Sede\AD2 via RPC
        DSA object GUID: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4
        Last attempt @ 2023-12-07 22:26:30 was successful.

DC=ForestDnsZones,DC=virtual,DC=lab
    Sede\AD2 via RPC
        DSA object GUID: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4
        Last attempt @ 2023-12-07 22:26:04 was successful.

In caso occorra, è possibile rilanciare nuovamente un

repadmin /resync

per verificare lo stato del riallineamento manuale:

C:\Users\Administrator>repadmin /syncall
CALLBACK MESSAGE: The following replication is in progress:
    From: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4._msdcs.virtual.lab
    To  : d31ef4d9-8b2b-4570-a66d-d29d4b74ce82._msdcs.virtual.lab
CALLBACK MESSAGE: The following replication completed successfully:
    From: 122ac448-ca1f-4b0a-a026-3d32e9acd9a4._msdcs.virtual.lab
    To  : d31ef4d9-8b2b-4570-a66d-d29d4b74ce82._msdcs.virtual.lab
CALLBACK MESSAGE: SyncAll Finished.
SyncAll terminated with no errors.

Un recupero di uno o più Domain Controller in modalità Tombstone è una situazione di emergenza. Nel corso dei 180 giorni di “limbo”, le attività fatte sull’Active Directory posso essere tante e di diversa natura; potrebbero permanere problemi di replica delle partizioni o di alcuni oggetti.

Personalmente, consiglio questo metodo per rimettere in piedi eventuali problemi di login, join a dominio e attività quotidiane, ma prevedete la sostituzione del membro in Tombstone nell’immediato.