Hope This Helps - AD und Dienste

DNS: HowTo - externer FQDN intern auflösen (DNS-Konfiguration)

nospam@example.com (Ralf Entner) — Fri, 11 Nov 2011 09:36:58 +0100

Problem
Man möchte den FQDN eines einzelnen externen Hosts auf eine interne IP-Adresse verweisen lassen um z.B. sein OWA sowohl intern als auch extern unter der gleichen URL zur Verfügung zu stellen.

Lösung
Folgende Vorgehensweise beschreibt die einrichtung der Lösung auf einen Micorosft DNS-Server:

neue primäre, AD-integrierte DNS-Zone namens "mail.hmcs.com" erstellen

keine dynamischen Updates erlauben" und auf alle DNS-Server der Domäne replizieren lassen

In der Zone eine Host (A) Eintrag erstellen und nur die IP-Adresse eintragen - keinen Namen!!

FERTIG!!!

Hier noch ein paar Screenshots von meiner Testumgebung zur besseren Erklärung:

Zone bereits erstellt - Host-Eintrag vorbereitet

Ansicht der vollständigen Konfiguration nach HOST-Eintrag

Fehlermeldung ADPREP /RODCPREP oder DCDIAG ForestDnsZones und DomainDnsZone

nospam@example.com (Ralf Entner) — Tue, 05 Apr 2011 10:56:52 +0200

Problem:
Beim Durchführen des ADPREP-Befehls kommt es zu folgender Fehlermeldung:

Adprep konnte kein Replikat für Partition DC=ForestDnsZones,DC=Root-Domäne erreichen.
ADPREP hat einen LDAP-Fehler festgestellt.
Fehlercode: 0x0. Erweiterter Server-Fehlercode: 0x0, Server-Fehlermeldung:(null).

und

Adprep konnte kein Replikat für Partition DC=DomainDnsZones,DC=Domäne,DC=de erreichen.
ADPREP hat einen LDAP-Fehler festgestellt.
Fehlercode: 0x0. Erweiterter Server-Fehlercode: 0x0, Server-Fehlermeldung:(null).

der Fehler kann aber auch beim ausführen des Befehls DCDIAG auffallen, der sich wie folgt äußert:

Starting test: NCSecDesc
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=DomainDnsZones,DC=Domäne,DC=TLD
Fehler: NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION besitzt
keine Replicating Directory Changes In Filtered Set
Zugriffsrechte für den Namenskontext:
DC=ForestDnsZones,DC=Domäne,DC=TLD
.................. DCON01 hat den Test NCSecDesc nicht bestanden.

Lösung:
Beim Verschieben und Neuerstellen der FSMO-Rollen auf einem anderen Server werden die Anwendungspartitionen ForestDnsZones und DomainDnsZone nicht angepaßt. Dadurch wird der neue Infrastructuremaster nicht in diese Partitionen übernommen und es kommt zu den Fehlermeldungen.
Da Microsoft weder einen Hinweis noch einen Protokoll-Eintrag zur Verfügung stellt, muß man hier manuell auf die Änderung durchführen, bzw. ein von Microsoft veröffentlichtes Skript verwenden.
Hier das Skript, dass bei mir zum erfolgreichen Umzug des "RoleOwners" für beide Partitionen geführt hat:

-------fixfsmo.vbs------------------
const ADS_NAME_INITTYPE_GC = 3
const ADS_NAME_TYPE_1779 = 1
const ADS_NAME_TYPE_CANONICAL = 2

set inArgs = WScript.Arguments

if (inArgs.Count = 1) then
' Assume the command line argument is the NDNC (in DN form) to use.
NdncDN = inArgs(0)
Else
Wscript.StdOut.Write "usage: cscript fixfsmo.vbs NdncDN"
End if

if (NdncDN <> "") then

' Convert the DN form of the NDNC into DNS dotted form.
Set objTranslator = CreateObject("NameTranslate")
objTranslator.Init ADS_NAME_INITTYPE_GC, ""
objTranslator.Set ADS_NAME_TYPE_1779, NdncDN
strDomainDNS = objTranslator.Get(ADS_NAME_TYPE_CANONICAL)
strDomainDNS = Left(strDomainDNS, len(strDomainDNS)-1)

Wscript.Echo "DNS name: " & strDomainDNS

' Find a domain controller that hosts this NDNC and that is online.
set objRootDSE = GetObject("LDAP://" & strDomainDNS & "/RootDSE")
strDnsHostName = objRootDSE.Get("dnsHostName")
strDsServiceName = objRootDSE.Get("dsServiceName")
Wscript.Echo "Using DC " & strDnsHostName

' Get the current infrastructure fsmo.
strInfraDN = "CN=Infrastructure," & NdncDN
set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo is " & objInfra.fsmoroleowner

' If the current fsmo holder is deleted, set the fsmo holder to this domain controller.

if (InStr(objInfra.fsmoroleowner, "\0ADEL:") > 0) then

' Set the fsmo holder to this domain controller.
objInfra.Put "fSMORoleOwner", strDsServiceName
objInfra.SetInfo

' Read the fsmo holder back.
set objInfra = GetObject("LDAP://" & strInfraDN)
Wscript.Echo "infra fsmo changed to:" & objInfra.fsmoroleowner

End if

End if

gestartet wird das ganze dann wie folgt (Anpassung des Domänennames ist nötig - hier als Beispiel: contoso.com):

cscript fixfsmo.vbs DC=DomainDnsZones,DC=contoso,DC=com

Quellen für weitere Informationen bzw. manuellen Umzug der Rolle:
smtp25.blogspot.com: Replicating Directory Changes in Filtered Set access rights for the naming context
dikmenoglu.de: DCDIAG: NCSecDesc Fehler
dikmenoglu.de: Die Infrastrukturmaster der Anwendungsverzeichnispartitionen
Microsoft KB949257: Error message when you run the "Adprep /rodcprep" command in Windows Server 2008: "Adprep could not contact a replica for partition DC=DomainDnsZones,DC=Contoso,DC=com"

GPO: Gruppenrichtlinie aus ADM-Voprlage wird nicht im vollständig angezeigt

nospam@example.com (Ralf Entner) — Fri, 07 Jan 2011 13:15:01 +0100

Problem:
Selbsterstellte, importierte ADM-Datei wird nicht im GPO-Editor angezeigt. Kategorie ist sichtbar, aber die Richtlinie nicht.

Lösung:
Nach dem Import einer Richtlinie ist i.d.R. nur der „Ordner-Name“ auf der linken Seite der Baum-Struktur zu sehen. Die Ansicht muss noch angepasst werden.

Windows 2000:
Ansicht -> „Haken“ entfernen bei => Nur Richtlinien anzeigen

Windows XP/2003:
Ansicht -> Filterung -> „Haken“ entfernen bei => Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen

Quelle: gruppenrichtlinien.de - ADM-Vorlagen

Profil anlegen über VPN ohne DC Kontakt bei Anmeldung

nospam@example.com (Christopher Pope) — Fri, 10 Sep 2010 08:54:54 +0200

Der Eintrag ist jetzt keine Wirkliche Problemlösung eher ein kleiner Trick , in meinem Job kann es vorkommen das für einen Außendienstmitarbeiter ein neues Profil auf dem Rechner angelegt werden muss. Wenn z.B. das lokale Profil defekt ist oder ein Kollege die Anpassung des Laptops auf den User verschlafen hat Nun stellt sich die Frage wie legt man ein lokales Profil an wenn man keinen Kontakt zum DC (Domain Controller) bei der Anmeldung hat ?

Ich hab es so gelöst :

Man meldet sich mit einem beliebigen lokalen User an dem Laptop an und startet eine VPN Verbindung ins Firmennetz , wenn diese steht führt man ein Programm mit dem "Ausführen als" Dialog aus , Windows XP legt in diesem Schritt das Profil des User auf der lokalen HDD mit den aktuellen Kontoinformationen an. Nun meldet man den lokalen User ab und man kann sich mit dem AD User ohne Probleme anmelden.

Weiterführende Links :

Aktivieren von RunAs

Alternativ dazu kann natürlich auch die Kommandozeile diese Aufgabe erfüllen -> RunAs

ActiveDirectory kein Zugriff / DNS-Zonen werden nicht geladen / Global Catalog Event 1026

nospam@example.com (Ralf Entner) — Wed, 28 Jul 2010 11:02:01 +0200

Problem:
Sie können sich nicht mehr an Ihrer Domäne anmelden. Die DNS-Zonen werden nicht mehr angezeigt.
In der Ereignisanzeige überschlagen sich die Meldungen wie folgt:

1869 - Active Directory has located a global catalog in the following site....
1655 - Active Directory attempted to communicate with the following global catalog and the attempts were unsuccessful... Additional Data Error value: 5 Access is denied.
1126 - Active Directory was unable to establish a connection with the global catalog.... Additional Data Error value:
8430 The directory service encountered an internal failure. / Internal ID: 3200c89

Es ist keine DNS-Auflösung möglich hier fallen vorallem folgende Events beim Starten des DNS-Servers auf:

Ereigniskennung 4000
Beschreibung: Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.
-und-
Ereignis-ID 4013
Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das Ereignis ist nicht protokolliert worden, so wird der Server angehalten, bis das Verzeichnis gestartet wird.

Lösung:
Das Problem ist, dass die DNS-Zonen nicht mehr aus der ActiveDirectory-Datenbank ausgelesen werden können, da der gesicherte Kanal zwischen AD und DNS nicht mehr funktioniert. Sollte die Kommunikation zwischen den beiden Diensten einige Zeit nicht stattfinden, dann können sie nicht mehr aufeinander zugreifen. Man muß diesen Kanal bzw. das Passwort neu initialisieren. Hierzu gibt es den Befehl "NLTEST", der bei den Support Tools integreiert ist.

1.) Support Tools für die entsprechende Serverversion herunterladen und installieren
2.) Folgenden Befehl ausführen:

nltest /sc_change_pwd:domain.name

wobei domain.name der FQDN der Domäne ist (z.B.: test.local)

Es ist KEIN Neustart des Servers nötig. Danach ist der DNS-Dienst wieder verfügbar. Bitte noch Dateireplikation und Verzeichnisreplikation überprüfen und ggf. die Dienste neu starten.

Quelle: eggheadcafe.com: Active Directory DNS broken, NTDS Global Catalog error 1126

Download Support Tools Server 2003: Microsoft: Windows Server 2003 Service Pack 2 32-bit Support Tools

Download Support Tools Server 2000: Microsoft: Windows 2000 Service Pack 4 Support Tools

Kein Zugriff von Windows Server 2008 auf NAS - 0x80070035

nospam@example.com (Ralf Entner) — Mon, 07 Jun 2010 16:47:41 +0200

Problem:
Beim Zugriff von einem Windows Server 2008 auf eine NAS-Freigabe wird folgender Fehler angezeigt:

Netzwerkpfad nicht gefunden
0x80070035

Lösung:
Das Problem hängt mit der NTLM-Authentifizierungseben bei Windows 2008 zusammen. Hier sind die Einstellungen einfach strenger als in den früheren Windows-Versionen. Man muß hier die Gruppenrichtlinien des einzelnen Servers/Clients anpassen.

1.) START - AUSFÜHREN - GPEDIT.MSC
2.) Computereinstellungen - Windows-Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen
3.) Hier dne Punkt "Netzwerksicherheit:LAN-Manager-Authentifizierungsebene"
4.) Diesen Punkt ändern auf "NM- und NTLM-Antworten senden"
5.) Gruppenrichtlinien-Editor schließen
6.) START - AUSFÜHREN - GPUPDATE

Danach ist der Zugriff möglich!

Quelle: Making Windows 7 PC's compatible with older Buffalo NAS products

Fehler beim Zugriff einer Serverfreigabe über den DNS-Alias (CNAME)

nospam@example.com (Ralf Entner) — Sun, 16 May 2010 21:25:49 +0200

Problem:
Es wird folgende Fehlermeldung angezeigt, wenn ein Clientcomputer eine Freigabe (z.B. Logon-Skript) auf einem Dateiserver über den Alias-Namen (DNS CNAME) zu öffnen versucht:

Systemfehler 52 ist aufgetreten.
Ein doppelter Name ist in dem Netzwerk vorhanden.

Lösung:
1.) Erstellen Sie den CNAME-Eintrag für den Dateiserver auf dem entsprechenden DNS-Server, wenn der CNAME-Eintrag nicht bereits vorhanden ist.
2.) Wenden Sie auf dem Dateiserver die folgende Registrierungsänderung an.Starten Sie den Registrierungseditor (Regedt32.exe).
3.) Suchen Sie den folgenden Registrierungsschlüssel und klicken Sie darauf

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

4.) Klicken Sie in dem Menü "Bearbeiten" auf "Wert hinzufügen", und fügen Sie dann den folgenden Registrierungswert hinzu:

Wertname: DisableStrictNameChecking
Datentyp: REG_DWORD
Basis: Dezimal
Wert: 1

5.) Beenden Sie den Registrierungseditor und starten Sie den Dateiserver neu

Quelle: Microsoft KB Artikel-ID: 281308

Event 2103 - AD-Datenbank wurde anhand eines Verfahrens nicht unterstützte Wiederherstellung wiederhergestellt

nospam@example.com (Ralf Entner) — Tue, 23 Feb 2010 15:24:37 +0100

Problem
Nach einem Restore eines DCs aus einem Snapshot oder ähnlichen Wiederherstellungsvorgängen wird im Eventlog folgender Eintrag protokolliert:

Ereignistyp: Fehler
Ereignis Quelle: NTDS Allgemein
Ereigniskategorie: Steuerung
Ereignis-ID: 2103
Beschreibung: Die Active Directory-Datenbank wurde anhand eines Verfahrens nicht unterstützte Wiederherstellung wiederhergestellt. Active Directory können Benutzer anmelden, während das Problem weiterhin besteht. Als Ergebnis wurde der Netlogon-Dienst angehalten. Benutzer Aktion Siehe vorherige Ereignisprotokolle Einzelheiten. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Wenn man eine manuelle Replikation unter AD Standort und Dienste durchführt erhält man die Fehlermeldung:

Der Quellserver nimmt keine Replikationsanforderung entgegen

Lösung
Durch die "unspupportete" Wiederherstellung der AD Datenbank wird diese als "not writeable" gesetzt und es ist keine Replikation möglich. Mit folgendem Workaround kann man die Replikation wieder ans laufen bekommen...

• HKLM\System\CurrentControlSet\Services\NTDS\Parameters
?“Dsa Not Writable” von 4 auf 0 setzen
?REG_DWORD “Ignore USN Rollback” anlegen und auf 0 setzen (Damit wird ein erneutes Auftreten des Fehlers unterdrückt)

• Server neu starten (NetLogon sollte nun laufen)

• Replikation wieder aktivieren:
?repadmin /options “Servername” -DISABLE_OUTBOUND_REPL
?repadmin /options “Servername” -DISABLE_INBOUND_REPL

Quellen:
How to resolve ActiveDirectory_DomainService event 2103 USN Rollback
Hyper-V, ADS-Controller und angewendete Snapshots [Update]

WSUS 3.0 Migration von Windows Server 2003 auf Windows Server 2008 (R2)

nospam@example.com (Ralf Entner) — Tue, 09 Feb 2010 14:27:49 +0100

WSUS 3.0 Migration von Windows Server 2003 auf Windows Server 2008 (R2)

Auf dem alten Server
1.) WSUS API Samples and Tools downloaden: WSUS API Samples and Tools (Sie finden die Installationsdatei auch am Ende des Artikels)
2.) In den Ordner C:\Program Files\Update Services 3.0 API Samples and Tools\WsusMigrate\WsusMigrationExport wechseln
3.) Ausführen von wsusmigrationexport.exe settings.xml
4.) Die MSDE Instanz stoppen, Update Dienst stoppen
5.) WSUS Verzeichnisse sichern (z.B.: NTBACKUP)
Achtung: Nur Windows Server 2008 unterstuetzt das separat herunterzuladende Windows NT Restore Utility (NTBACKUP read only). Windows Server 2008 R2 unterstuetzt das nicht mehr

Auf dem neuen Server
1.) WSUS 3.0 SP2 ueber den Servermanager installieren (Rolle hinzufügen) (inkl. WMDE)
2.) Erstkonfigurationsassistent nicht ausführen
3.) WSUS Dienst und MSDE Dienst stoppen
4.) WSUS Verzeichnisse zurückkopieren (inkl. WSUS DB)
5.) In den Ordner C:\Program Files\Update Services 3.0 API Samples and Tools\WsusMigrate\WsusMigrationImport wechseln
6.) Ausführen von wsusmigrationimport.exe settings.xml All None

Danach ist die alte WSUS Konfiguration inkl. aller Updates verfügbar!

ACHTUNG: Anschliessend in den GPO-Einstellungen noch den Pfad zum WSUS Server anpassen!

Client meldet sich nicht mehr bei WSUS Server

nospam@example.com (Ralf Entner) — Mon, 08 Feb 2010 12:03:30 +0100

Problem:

Bestimmte Clients melden sich nicht mehr beim WSUS-Server bzw. holen sich keine Updates mehr

Lösung:

Folgende Vorgehensweise für einen Reset der Verbindung:

- regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
- PingID, SUSClientID und AccountDomainSID löschen
- wuauserv Dienst durchstarten (Automatische Updates)
- wuauclt.exe /resetauthorization /detectnow
- wuauclt.exe /reportnow
- eventuell reboot des Clients

Nach ca. 10 Minuten sollte der Client sich wieder melden.

Sollte das alles nicht zum Erfolg führen, dann holft der WSUSHelper:

Download: http://web318.server168.star-server.info/node/116

Hier gibt es den "Hardcore-Button" Force Patching. Damit wird die Verbindung erzwungen!

Folgende Vorgehensweise hat bis jetzt immer zum Erfolg geführt:

- Reset Client ID
Erstellt eine neue WSUS-Client-ID für den Rechner und schreibt diese unter HKLM\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate

- Force Patching
Hier werden ein paar Registry-Keys gesetzt. Dadurch wird die Kommunikation zwischen WSUS-Server und Client erzwungen.

- Report now
Hiermit wird der aktuelle Statusbericht an den Server gesendet – z.B. installierte Patches, OS etc.

WSUS Content-Files verschieben

nospam@example.com (Ralf Entner) — Mon, 08 Feb 2010 12:01:25 +0100

Problem:

Die heruntergeladenen Updatefiles nehmen beim WSUS schnell ein paar Gigabytes mehr in Anspruch als ursprünglich eingeplant.
Wie verschiebt man nun die Content-Datenbank des WSUS 3 Servers auf ein neues, größeres Laufwerk?

Lösung:

Dies ist mit dem WSUSUTIL möglich:

Neben anderen Optionen zur Wartung des WSUS-Servers bietet das Utility WSUSUTIL.EXE (im Pfad %drive%\Program Files\Update Services\Tools) den Parameter movecontent.

Mit WSUSUTIL movecontent [Pfad zum Zielverzeichniss] [logfile] werden sämtliche heruntergeladenen Updates auf das neue Laufwerk verschoben, und der WSUS-Server für den neuen Contentpfad konfiguriert.

Das Logfile nach erfolgter Aktion sollte so aussehen:

2007-05-11T12:53:43 Successfully stopped WsusService.
2007-05-11T12:53:43 Beginning content file location change to e:\wsus
2007-05-11T12:57:58 Successfully copied content files.
2007-05-11T12:57:58 Successfully copied application files.
2007-05-11T12:57:59 Successfully changed WUS configuration.
2007-05-11T12:58:00 Successfully changed IIS virtual directory path.
2007-05-11T12:58:00 Successfully removed existing local content network shares.
2007-05-11T12:58:00 Successfully created local content network shares.
2007-05-11T12:58:00 Successfully changed registry value for content store directory.
2007-05-11T12:58:00 Successfully changed content file location.
2007-05-11T12:58:02 Successfully started WsusService.
2007-05-11T12:58:02 Content integrity check and repair...
2007-05-11T12:58:02 Initiated content integrity check and repair.

Quelle: http://www.admins-tipps.de/Microsoft/Win...verschieben.htm

keine Website wird mehr angezeigt - "Die Seite kann nicht angezeigt werden"

nospam@example.com (Ralf Entner) — Mon, 08 Feb 2010 11:59:34 +0100

Problem:

Es lassen sich keine Seiten mehr vom IIS anzeigen. Telnet auf Port 80 ist aber erfolgreich!

Lösung:

Als erstes sollte die Httperr.log im Verzeichnis c:\windows\system32\logfiles\httperr und der KB-Artikel KB934878 von Microsoft "Users receive a "The page cannot be displayed" error message, and "Connections_refused" entries are logged in the Httperr.log file on a server that is running Windows Server 2003, Exchange 2003, and IIS 6.0"abgearbeitet werden.

Link: Microsoft Artikel-ID: 934878

Dann bitte die Verzeichnis-Sicherheit der einzelnen Websites nochmal überprüfen...gerade bei OWA.

Link: Standard-Verzeichnis-Rechte IIS für OWA

.NET wird nicht im IIS Service Extension Manager angezeigt

nospam@example.com (Ralf Entner) — Mon, 08 Feb 2010 11:15:03 +0100

Problem:

Manchmal ist man leider gezwungen einen Windows Server 2003 mit IIS und ASP aufzusetzen.
Fast immer hat man aber das Problem, dass ASP.NET v2.0.50727 im Web Services Extension Manager im IIS Manager auftaucht.
Vorallem dann, wenn .Net bereits installiert ist und der IIS erste nachinstalliert wird.

Lösung:

Der einfachste Weg ist es, das .NET Framework neuzuinstallieren. Doch das ist sehr unsauber und wird eindeutig nicht empfohlen. Die schnellste und meiner Meinung nach beste Möglichkeit ist es, eine CMD zu öffnen und in C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727 bzw C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727 (für 64bit Systeme) zu wechseln. Dort führt man einfach den folgenden Befehl aus: aspnet_regiis.exe – i

Danach taucht ASP.NET v2.0.50727 im Web Services Extension Manager auf und kann einfach aktiviert werden.

Tombstone abgelaufen

nospam@example.com (Ralf Entner) — Mon, 08 Feb 2010 11:07:52 +0100

Problem:

Replikation zwischen DCs wurde beendet aufgrund der abgelaufenen Tombstone-Zeit

Lösung:

Zur Replizierung ist es nötig einen Registry-Eintrag einzufügen/ändern, damit der DC wieder die Replizierung von einem abgelaufenen DC annimmt.

Click Start, click Run, type regedit, and then click OK.

Navigate to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

In the details pane, create or edit the registry entry as follows:

If the registry entry exists in the details pane, modify the entry as follows:

In the details pane, right-click Allow Replication With Divergent and Corrupt Partner, and then click Modify.

In the Value data box, type 1, and then click OK.

If the registry entry does not exist, create the entry as follows:

Right-click Parameters, click New, and then click DWORD Value.

Type the name Allow Replication With Divergent and Corrupt Partner, and then press ENTER.

Double-click the entry. In the Value data box, type 1, and then click OK.

Reset the Registry to Protect Against Outdated Replication

When you are satisfied that lingering objects have been removed and replication has occurred successfully from the source domain controller, edit the registry to return the value in Allow Replication With Divergent and Corrupt Partner to 0.

Technet-Link: Event ID 2042 - If a domain controller has not replicated with its partner for longer than a tombstone lifetime