Ich habe eine Active Directory-Gesamtstruktur geerbt, die sehr schlecht angelegt ist. Es verfügt über eine einzelne Gesamtstruktur mit einem Domänenbaum für jeden Standort mit jeweils einem einzelnen Domänencontroller. Keine Domain ist ein Kind einer anderen Domain.
Jetzt hatte einer der DCs, nennen wir ihn M1 für Domäne M, ein Problem, als wir die VM von einem Hypervisor auf einen anderen verschoben haben, sodass wir zum funktionierenden zurückgingen. Dies hat einen USN-Rollback verursacht und der 2008r2 DC M1 wurde erkannt diese. Während dieses Fudge-Ups wurden 2 DNS-Einträge in der Domäne M vorgenommen, die wahrscheinlich die einzigen Dinge waren, die während des Rollbacks verloren gingen, da zu diesem Zeitpunkt keine Benutzer in der Domäne M aktiv waren. Derzeit DC M1 hatte seine eingehende und ausgehende Replikation wieder aktiviert mit repadmin /options M1 -DISABLE_INBOUND_REPL
und repadmin /options M1 -DISABLE_OUTBOUND_REPL
und sein Netlogon - Dienst fortgesetzt , nachdem es mit Ereignis - ID 2103 in einem pausierten Zustand beginnt.
Die Lösung, die ich möchte, besteht darin, eine neue einzelne Domain für alle 10 Sites zu erstellen und von vorne zu beginnen. Abgesehen von dem Ärger, dass Netlogon in einem angehaltenen Zustand startet, scheint es trotzdem in Ordnung zu sein. Die Fragen, die ich habe, sind:
- Irgendwelche weniger strengen Vorschläge oder wäre es genauso viel Arbeit, wieder von vorne zu beginnen und es richtig zu machen?
- Wenn ich nur den Registrierungsschlüssel lösche
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writable
und das Rollback ignoriere, wie wirkt sich das auf die einzelne DC-Domäne in einer Gesamtstruktur mit mehreren Domänen aus?
Da es sich um einen einzelnen DC handelt, können wir keine Leistung erbringen
- Herabstufen Sie dann den DC, um von einem anderen vorhandenen DC zu replizieren, da sich in derselben Domäne keine befinden, von denen repliziert werden soll
- Führen Sie eine nicht autorisierende Systemstatuswiederherstellung durch, da hierfür auch ein funktionsfähiger fehlerfreier Domänencontroller erforderlich ist.
Bearbeiten: Ja, wir haben oder können eine Systemstatus-Sicherung von einem alten System-Image erstellen, das jünger als die Lebensdauer des Tombstones ist.
quelle
Antworten:
Ich denke, das Sicherste ist, den Microsoft-Support anzurufen und sich von ihm führen zu lassen. Die Sache ist, dass Sie durch einfaches manuelles Ändern des
Dsa Not Writable
Registrierungseintrags in einen dauerhaft nicht unterstützten Zustand versetzt werden.Mit diesem Haftungsausschluss aus dem Weg ist die Sache mit USN-Rollbacks, dass Sie einen anderen DC in der Domain benötigen, um der maßgebliche Standard für das Rollback für Ihre Domain zu sein. Da Sie nur 1 DC in der Domäne haben, haben Sie das nicht.
Sie haben eine Systemstatussicherung?
Dies ist so ziemlich Ihre Bibel in dieser Angelegenheit: http://support.microsoft.com/kb/875495/en-US
Sie haben keine Systemstatussicherung? Sie können die AD-Datenbank so einstellen, dass sie sich selbst eine neue Aufruf-ID gibt:
http://technet.microsoft.com/en-us/library/d2cae85b-41ac-497f-8cd1-5fbaa6740ffe(v=ws.10)#backup_and_restore_considerations_for_virtualized_domain_controllers
Nichts davon hat funktioniert? Dann schauen Sie auf die gute Seite: Zumindest haben Sie nur eine Domain verloren!
quelle