Wie kann ich einen Domänencontroller nach einem USN-Rollback speichern, ohne den gesamten Server neu zu erstellen?

7

Heute musste ich (wieder ...) einen Domänencontroller lobotomisieren, der den gefürchteten USN-Rollback erlitten hatte ; Die Standardlösung für dieses Problem besteht darin, es herabzustufen und dann wieder hochzustufen. Das Hauptproblem ist jedoch, dass die Herabstufung nicht funktioniert, da die USN-Rollback-Bedingung verhindert, dass eine Replikation stattfindet, sodass der DC nicht herabgestuft werden kann um seine endgültige Replikation durchzuführen und anmutig zu sterben. Normalerweise fahren Sie den Server herunter, entfernen alle Verweise darauf aus Active Directory und installieren Windows von Grund auf neu.

Möglicherweise befindet sich jedoch andere Software oder Daten auf diesem Server. oder Sie möchten es möglicherweise nicht vollständig neu erstellen, wenn eine Herabstufung ausreichen könnte.

Meine Frage lautet also: Wie kann ich einen Domänencontroller, der einen USN-Rollback erlitten hat, erfolgreich herabstufen?

Was ich versucht habe:

Ich habe den Server vom Netzwerk isoliert, den Herabstufungsprozess gestartet und auf Nachfrage mitgeteilt, dass es sich um den letzten Domänencontroller in der Domäne handelt. aber es beschwerte sich immer noch darüber, dass dies nicht wahr sei.

Also habe ich alle anderen Domänencontroller aus der Kopie des Active Directory entfernt und dann das Gleiche wie oben getan. Aber auch dies schlug erneut fehl, mit dem Fehler, dass eine Verzeichnispartition nicht repliziert werden konnte (an wen ? Es sollte der einzige DC sein, der es gibt!).

active-directory replication domain-controller Massimo
quelle
Ist dies aus Interesse ein Testaufbau? Die Erzählung liest sich so, als hätten Sie nur einen DC.
Simon Catlin
1
Wenn ich nur einen DC hätte, könnte es nie ein Replikationsproblem geben ...
Massimo

Antworten:

8

TL; DR : dcpromo /forceremoval.

Direkt aus dem AskDS- Blog:

Um diese Situation zu korrigieren, müssen wir auf dem DC, auf dem das Rollback-Problem auftritt, die folgenden Schritte ausführen.

1) Herabstufen Sie den DC mit Gewalt, indem Sie dcpromo / forceremoval ausführen. Dadurch wird AD vom Server entfernt, ohne dass versucht wird, Änderungen zu replizieren. Sobald dies erledigt ist und Sie den Server neu starten, wird er als eigenständiger Dienst in einer Arbeitsgruppe bereitgestellt.

2) Führen Sie eine Metadatenbereinigung des Domänencontrollers aus, der gemäß KB-Artikel 216498 auf einem der Replikationspartner herabgestuft wurde.

3) Wenn der herabgestufte Server eine der FSMO-Rollen (Flexible Single Master Operations) besaß, verwenden Sie den KB-Artikel 255504, um die Rollen einem anderen Domänencontroller zuzuweisen.

4) Sobald die Replikation in Ihrer Umgebung durchgehend erfolgt ist, können Sie den herabgestuften Server wieder in die Domäne einbinden und dann zu einem Domänencontroller hochstufen.

Möglicherweise haben Sie sich dabei in den Fuß geschossen:

Ich habe den Server vom Netzwerk isoliert, den Herabstufungsprozess gestartet und auf Nachfrage mitgeteilt, dass es sich um den letzten Domänencontroller in der Domäne handelt. aber es beschwerte sich immer noch darüber, dass dies nicht wahr sei.

Also habe ich alle anderen Domänencontroller aus der Kopie des Active Directory entfernt und dann das Gleiche wie oben getan. Aber auch dies schlug erneut fehl, mit dem Fehler, dass eine Verzeichnispartition nicht repliziert werden konnte (an wen? Es sollte der einzige DC sein, der es gibt!).

Wenn der Rat, den ich oben eingefügt habe, nicht funktioniert, sollten Sie wahrscheinlich einen Supportanruf an MS senden (und beten, dass sie Sie nach dem, was Sie getan haben, weiterhin unterstützen).

Bearbeiten: Um ganz klar zu sein, die Antwort auf Ihre Titelfrage: "Wie kann ich einen Domänencontroller nach einem USN-Rollback speichern?" ist "du nicht."

Ich meine, Sie müssen die Maschine nicht komplett neu bauen (obwohl die meisten Leute, einschließlich mir, Ihnen raten würden), aber ihre Verwendung als DC ist derzeit vorbei. Erzwingen Sie das Entfernen von AD aus der Domäne, entfernen Sie die Verbindung zu der Domäne, bereinigen Sie die Metadaten der verbleibenden Domänen, replizieren Sie sie vollständig und stellen Sie sicher, dass die Domäne fehlerfrei ist.

Ryan Ries
quelle
Ich wusste nichts über / forceremoval, ich werde es am Montag versuchen.
Massimo
Ich bin vollkommen in Ordnung mit dem Herabstufen des Servers, genau das möchte ich tun (aber ich kann nicht). Ich möchte nur vermeiden, es komplett neu aufzubauen.
Massimo
Übrigens, warum sollten alle Verweise auf die anderen, die aus diesem DC entfernt wurden, Schaden angerichtet haben? Wie hätte es die Situation möglicherweise verschlechtern können?
Massimo
1
Es hat wahrscheinlich nicht geklappt, / forceremoval wird wahrscheinlich immer noch gut für Sie funktionieren, wie oben beschrieben. Solange wir uns einig sind, dass dieser Computer nie wieder eine Verbindung zur Domäne herstellen wird, bis er nicht mehr glaubt, dass es sich um einen Domänencontroller handelt. ;)
Ryan Ries
2
  • Haben Sie einen Loopback-Adapter installiert? (Hinweis: Installieren Sie es, wenn nicht)
  • Sind in den NIC-Einstellungen andere DNS-Server konfiguriert? (Hinweis: Wenn ja, entfernen Sie sie)
langer Hals
quelle
Der Server ist mit einem isolierten Switch verbunden, sodass die Netzwerkkarte aktiv ist. Ich habe es natürlich so konfiguriert, dass es sich selbst als DNS-Server verwendet.
Massimo