Einer der einzelnen DCs pro Domain-DCs hat einen USN-Rollback erlitten

7

Ich habe eine Active Directory-Gesamtstruktur geerbt, die sehr schlecht angelegt ist. Es verfügt über eine einzelne Gesamtstruktur mit einem Domänenbaum für jeden Standort mit jeweils einem einzelnen Domänencontroller. Keine Domain ist ein Kind einer anderen Domain.

Jetzt hatte einer der DCs, nennen wir ihn M1 für Domäne M, ein Problem, als wir die VM von einem Hypervisor auf einen anderen verschoben haben, sodass wir zum funktionierenden zurückgingen. Dies hat einen USN-Rollback verursacht und der 2008r2 DC M1 wurde erkannt diese. Während dieses Fudge-Ups wurden 2 DNS-Einträge in der Domäne M vorgenommen, die wahrscheinlich die einzigen Dinge waren, die während des Rollbacks verloren gingen, da zu diesem Zeitpunkt keine Benutzer in der Domäne M aktiv waren. Derzeit DC M1 hatte seine eingehende und ausgehende Replikation wieder aktiviert mit repadmin /options M1 -DISABLE_INBOUND_REPLund repadmin /options M1 -DISABLE_OUTBOUND_REPLund sein Netlogon - Dienst fortgesetzt , nachdem es mit Ereignis - ID 2103 in einem pausierten Zustand beginnt.

Die Lösung, die ich möchte, besteht darin, eine neue einzelne Domain für alle 10 Sites zu erstellen und von vorne zu beginnen. Abgesehen von dem Ärger, dass Netlogon in einem angehaltenen Zustand startet, scheint es trotzdem in Ordnung zu sein. Die Fragen, die ich habe, sind:

  1. Irgendwelche weniger strengen Vorschläge oder wäre es genauso viel Arbeit, wieder von vorne zu beginnen und es richtig zu machen?
  2. Wenn ich nur den Registrierungsschlüssel lösche HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writable und das Rollback ignoriere, wie wirkt sich das auf die einzelne DC-Domäne in einer Gesamtstruktur mit mehreren Domänen aus?

Da es sich um einen einzelnen DC handelt, können wir keine Leistung erbringen

  • Herabstufen Sie dann den DC, um von einem anderen vorhandenen DC zu replizieren, da sich in derselben Domäne keine befinden, von denen repliziert werden soll
  • Führen Sie eine nicht autorisierende Systemstatuswiederherstellung durch, da hierfür auch ein funktionsfähiger fehlerfreier Domänencontroller erforderlich ist.

Bearbeiten: Ja, wir haben oder können eine Systemstatus-Sicherung von einem alten System-Image erstellen, das jünger als die Lebensdauer des Tombstones ist.

BeowulfNode42
quelle
3
Wow, ich bin noch nie auf ein so armes AD-Design gestoßen.
Ryan Ries
Glück gehabt, hey. Ich denke, es entstand aus einzelnen DC-Standorten, die in Bezug auf AD vollständig voneinander isoliert waren, sodass jeder Standort seinen eigenen Wald hatte. Backups wurden erstellt, Wiederherstellungen waren möglich, ohne Rollbacks zu verursachen. Dann schlossen sie sich zu einem einzigen Wald zusammen :(
BeowulfNode42
Wir haben die Komplexität und die Probleme eines Hochverfügbarkeitssystems ohne die Vorteile
BeowulfNode42

Antworten:

5

Ich denke, das Sicherste ist, den Microsoft-Support anzurufen und sich von ihm führen zu lassen. Die Sache ist, dass Sie durch einfaches manuelles Ändern des Dsa Not WritableRegistrierungseintrags in einen dauerhaft nicht unterstützten Zustand versetzt werden.

Mit diesem Haftungsausschluss aus dem Weg ist die Sache mit USN-Rollbacks, dass Sie einen anderen DC in der Domain benötigen, um der maßgebliche Standard für das Rollback für Ihre Domain zu sein. Da Sie nur 1 DC in der Domäne haben, haben Sie das nicht.

Sie haben eine Systemstatussicherung?

Ein korrekt wiederhergestellter Domänencontroller setzt sein lokales Aufruf-ID-Attribut zurück, wenn er in Active Directory neu gestartet wird, nachdem sein Systemstatus mithilfe eines unterstützten wiederhergestellt wurdeSicherungs- und Wiederherstellungsmethode. Wenn die Rücksetzaufruf-ID ausgehend repliziert wird, zeichnen Remotedomänencontroller in der Gesamtstruktur die Rücksetzaufruf-ID als neue Datenbankinstanz auf dem wiederhergestellten Domänencontroller auf. Obwohl der wiederhergestellte Domänencontroller immer noch derselbe Domänencontroller ist, erkennen die Remotedomänencontroller diesen wiederhergestellten Domänencontroller als neuen Replikationspartner an, da sich die Aufruf-ID geändert hat. (Die Aufruf-ID ist die Identität der Datenbankinstanz.) Der wiederhergestellte Domänencontroller selbst akzeptiert Änderungen von anderen Remotedomänencontrollern, die vor der Wiederherstellung von den Remotedomänencontrollern und vom Domänencontroller stammen.

Dies ist so ziemlich Ihre Bibel in dieser Angelegenheit: http://support.microsoft.com/kb/875495/en-US

Sie haben keine Systemstatussicherung? Sie können die AD-Datenbank so einstellen, dass sie sich selbst eine neue Aufruf-ID gibt:

http://technet.microsoft.com/en-us/library/d2cae85b-41ac-497f-8cd1-5fbaa6740ffe(v=ws.10)#backup_and_restore_considerations_for_virtualized_domain_controllers

Nichts davon hat funktioniert? Dann schauen Sie auf die gute Seite: Zumindest haben Sie nur eine Domain verloren!

Ryan Ries
quelle