Verschieben immer auf Produktionscomputern und die Auswirkungen auf Active Directory und FRS

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 289668 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Im Verlauf der Problembehandlung Replikationsprobleme Active Directory oder Dateireplikationsdienst (FRS) als Administrator können Sie das System gelangen Zeit eines Computers, um den Inhalt eines Computers haben Autorität über eine andere oder Löschen von veralteten Objekten in Active Directory erzwingen.

Weitere Informationen

Die Auswirkungen der Erweiterung der Systemuhr auf FRS-Replikat-Mitgliedern

Wenn Sie die Systemzeit auf einem Computer, auf dem ausgeführt wird wechseln, können die folgenden Situationen auftreten:
  1. Tombstones für gelöschte Dateien in der IDTable werden vorzeitig gelöscht, wodurch falsche Abstimmung Entscheidungen später. Wenn der gelöschte Tombstone verschwunden ist, erzeugt eine gleichzeitige Aktualisierung dieser Member ankommt ein Ergebnis unterschiedliche Abstimmung von anderen Mitgliedern. Das Endergebnis ist, dass die Dateien und Ordner in den betroffenen DFS oder SYSVOL-Replikatsätze zwischen Membern inkonsistent sind. Abstimmung des FRS-Daten zwischen zwei Partnern, die nicht der Zeit Vorschuss unterzogen wurden tritt wie erwartet wird. Datenreplikation zwischen Mitglied Zeit erweitert wurde und einen Member nicht erweiterte funktioniert nicht wie erwartet, wenn überhaupt.
  2. Der Computer mit der erweiterten Uhr ist nicht mit Partnern beitreten, die zur richtigen Zeit bleiben. Wird die Join-Protokolls, Datenaustausch, vom DFS oder SYSVOL Replikationsmitglieder verwendet wird sichergestellt, dass die Uhr immer auf die zwei Partner innerhalb einer bestimmten Toleranz.
  3. Änderungen an der lokalen Datei erstellen Änderungsbefehle mit Ereignis Zeiten während der Verwendung der erweiterten Systemzeit. Diese Änderung Aufträge werden in das ausgehende Protokoll eingefügt, aber nicht gesendet wegen der Grund, der in Schritt 2 beschrieben. Wenn Sie die Uhrzeit auf diesem Computer auf normale Zeit wiederherstellen, verknüpft der Computer mit seinen ausgehende Partner. Änderungsbefehle mit der Zeit erweiterte an downstream-Partnern gesendet und die downstream-Partnern ignoriert diese Aufträge ändern, da der Ereigniszeit ungültig ist (es ist zu weit in der Zukunft).

    Als Ergebnis Dateien, die Sie während die Zeit erweiterte wurde geändert werden nicht auf die anderen Mitglieder repliziert (aber bleiben Sie auf dem Computer geändert). Aufgrund der im Eintrag IDTable Ungültiges (Erweiterte) Ereignis-Zeiten lehnt dieses Mitglied zusätzlich Updates für diese Dateien, die von anderen Mitgliedern stammen.

Zum Ermitteln, wenn eine Zeit Advance FRS-Replikationsmitglieder auswirkt

Fortschritte der Systemuhr beeinträchtigen FRS-Replikatsätze Member nicht, wenn Sie die Systemzeit auf folgende Weise wechseln:
  1. Beenden Sie NTFRS.
  2. Festlegen Sie die Zeit nach vorne.
  3. Nehmen Sie keinen neuen Ergänzungen oder Änderungen an die vorhandenen DFS- oder SYSVOL Replikat Strukturen während der NTFRS beendet wird, da alle Hinzufügungen oder Änderungen lokale Änderungsbefehle führen.
  4. Setzen Sie die Zeit auf die aktuelle Uhrzeit zurück. Per Definition darin dieses Mal vor der Zeit sein, dass der Dienst zuletzt beendet wurde als FRS die Startzeit auf Zeit der letzten Herunterfahren vergleicht.
  5. Neu starten Sie, NTFRS.
Um festzustellen, ob lokale Änderungsbefehle dauerte Stelle in der DATEIREPLIKATIONSDIENST Verzeichnissen repliziert, können Sie den "dump" die IDTABLE und/oder das ausgehende Protokoll zum Überprüfen, ob Dateien mit "zukünftige" Datums- und Zeitstempel vorhanden sind an. Das folgende Beispiel beschreibt, wie das ausgehende Protokoll die FRS-Datenbank sichern und wie die Ausgabe nach der Ereigniszeit sortiert, mit das PERL-Skript Iologsum.cmd .

Führen Sie die folgenden Schritte aus einer Eingabeaufforderung aus:
  1. Ntfrsutl outlog > outlog.txt
  2. Iologsum - sortieren = Eventtime outlog.txt > event.txt
  3. Editor-event.txt
Sie können Computer mit "sauberen" ausgehende Protokolle oder IDtables als normal neu starten. Für Dateien mit zukünftigen Datumsangaben, die Sie die folgenden Schritte verwenden, um die Datenbank neu zu initialisieren müssen und replizierten Dateien, enthalten indem eine nicht autorisierende FRS-Replikat-Mitgliedern wiederherstellen:
  1. Geben Sie an einer Eingabeaufforderung net Stop Ntfrs .
  2. Legen Sie den folgenden Registrierungsschlüssel
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTFRS\Parameters\Backup/Restore\Process auf startup\BURFLAGS
    auf D2 (hex) oder 210 (dezimal).
  3. Geben Sie an der Eingabeaufforderung net Start Ntfrs .
Entfernen Sie alle unsicheren zukünftige Inkonsistenzen zwischen Replikationsmitglieder mithilfe der "nicht authoritative Restore".

Auswirkungen der Systemzeit auf Active Directory verschieben

Da Windows 2000 Active Directory Versionsnummer zuerst gleicht und dann nach dem Zeitstempel als ein Unentschieden Breaker Active Directory möglicherweise weniger empfindlichen Wurzel-Uhr-Änderungen. Zeit sicherheitsrelevante Vorgänge in Active Directory gehören:
  • Unentschieden Standardproblemen Replikationskonflikte - Wenn Sie das gleiche Attribut für das gleiche Objekt auf zwei verschiedenen Servern während eines Zeitraums Wartezeit ändern wird das Unentschieden zuletzt geändert. Gewinnen daher Änderungen, die in der Zukunft stammen.
  • Im Fall von zwei verschiedenen Objekten, die Sie mit dem gleichen Namen auf zwei Servern erstellt haben, wird die Lösung des Konflikts Namen zugunsten der RDN mit der letzten Änderung aufgelöst.
  • Sicherungen sind nur für eine Tombstone-Ablaufzeit gut geeignet. Wenn Sie eine Sicherung erstellen, wird eine "Expiry-Token" generiert. Das Token muss bei der Wiederherstellung gesendet werden, und überprüfen, ob die Sicherung nicht veraltet ist verwendet wird. Wenn Sie eine Wiederherstellung zu einem späteren Zeitpunkt versuchen, dies funktioniert möglicherweise nicht wenn die Sicherung zu alt zu sein scheint. Auch wenn Sie können hierzu Wiederherstellen einer Sicherung, die Sie in der "zukünftige" in der Vergangenheit erstellt haben, rät Microsoft davon diese.
  • Kerberos-Authentifizierung basiert auf die Uhrsynchronisierung. Kerberos-Ticket-Lebensdauer können überschritten werden, wenn die Uhr zu weit im Voraus festgelegt ist.

Schlussbemerkung

Nie sollten Sie die Systemzeit auf Produktions-Windows 2000-Domänencontroller hinter die aktuelle UTC-Zeit oder zu einem späteren Zeitpunkt zu gelangen und setzen die Uhr zurück. Dies enthält, aber nicht beschränkt auf, versucht:
  • Erhebliche Zeit und Datum Übergänge (z. B. Jahr-2000 testen) testen.
  • Erzwingen Sie das Löschen von veralteten Objekten in Verbindung mit der Tombstone-Lebensdauer-Einstellung.
  • Stellen Sie Objekte auf einem Computer die Objekte auf einem anderen Computer Vorrang mithilfe der Beförderung und/oder Rollback der Zeit.
  • Erweitern Sie die Nutzungsdauer des eine Systemsicherung.
  • Einen Computer wieder in einen früheren "Systemstatus" einschließlich Schema Rollback.
Microsoft empfiehlt, durchzuführen, das Testen der wichtigen Zeit und Datum Übergänge in einer Testumgebung mit Servern, die Sie bei Bedarf neu erstellen können. Darüber hinaus empfiehlt Microsoft, dass Testumgebungen, nicht übergehen, für die Uhrzeit und Datum für die Zukunft erweitert oder wurden Rollback, in Produktionsumgebungen.

Verschieben oder Rollback ist die Systemzeit keine produktive-Methode, um Active Directory oder Probleme bei der FRS-Replikation beheben. Die absichtliche Änderung der Systemzeit hinzugefügt häufig schwierig Szenarios zusätzlichen Komplexität. Microsoft unterstützt keine Szenarien mit Windows Domänencontroller in denen Sie diese Methode zur Problemlösung verwenden.

Eigenschaften

Artikel-ID: 289668 - Geändert am: Freitag, 2. März 2007 - Version: 2.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Keywords: 
kbmt kbinfo kbnetwork KB289668 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 289668
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com