Methoden zur Erkennung und Wiederherstellung nach einem USN-Rollback in Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 875495 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Für Microsoft Windows 2000 Server-Version dieses Artikel, finden Sie unter885875.

Zusammenfassung

Dieser Artikel beschreibt eine Bedingung, die bei einem Domänencontroller, der ausgeführt wird auftritt, Windows 2000, Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 gestartet wird, aus einer Active Directory-Datenbank, die nicht ordnungsgemäß wiederhergestellt oder an Stelle kopiert wurde. Dies wird als ein Update Sequence Number Rollback bezeichnet oderUSN-Rollback.

Tritt ein USN-Rollback, werden Änderungen an Objekten und Attributen, die auf einem Domänencontroller auftreten, nicht auf andere Domänencontroller in der Gesamtstruktur repliziert. Da die Replikationspartner sind der Meinung, dass Sie über eine aktuelle Kopie der Active Directory-Datenbank haben, melden Überwachung und Problembehandlung von Tools wie z. B. "Repadmin.exe" ob Replikationsfehler nicht.

Nach der Installation von Hotfix 875495 oder Windows Server 2003 Service Pack 1 protokolliert ein Microsoft Windows Server 2003-Domänencontroller Directory Services-Ereignis 2095, wenn Sie einen USN-Rollback stößt. Der Text der Ereignismeldung weist Administratoren zu diesem Artikel Weitere Informationen zu Recovery-Optionen.

Da es schwierig ist, erkennen und Beheben von einem USN-Rollback, empfehlen wir, dass Administratoren Hotfix 875495 installierenoder das neueste Servicepack verfügbar ist)unter Windows Server 2003 RTM.  Dieser Hotfix ist in Windows Server 2003 SP1 sowie in Windows Server 2008 und Windows Server 2008 R2 enthalten..Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
888794Überlegungen zum Integrieren von Active Directory-Domänencontroller in virtuelle hosting-Umgebungen

EINFÜHRUNG

Dieser Artikel behandelt die folgenden Themen:
  • Unterstützte Methoden Sichern von Active Directory auf Domänencontrollern, auf denen Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt werden
  • Typische Verhalten, das auftritt, wenn Sie ein aktives wiederherstellen Verzeichnisabhängige Systemstatussicherung
  • Wie in Datenbank einer früheren Active Directory Kopieren der Ordner mit die aktuelle Active Directory-Datenbank ohne Wiederherstellen der Systemstatus kann zu einem USN-Rollback führen.
  • Auswirkungen auf Active Directory-Replikation bei einer Microsoft Windows Server 2003-basierten Domänencontroller kommt eine USN Rollback
  • Möglichkeiten zum Wiederherstellen eines Active Directory-Domänencontrollers nach Es kommt einen USN-rollback
  • Verbesserungen in Hotfix 875495 (und in Windows Server 2003 Service Pack 1, Windows Server 2008 und Windows Server 2008 R2) zum Erkennen von USN-Rollbacks und betroffenen Domänencontrollern unter Quarantäne stellen
Über den Lebenszyklus von einem Domänencontroller müssen Sie möglicherweise wiederherstellen, oder "Rollback," den Inhalt des Active Directory-Datenbank auf einen als funktionierend bekannten Point-in-Time. Oder Sie haben Elemente eines Domänencontrollers zurücksetzen Host-Betriebssystem, einschließlich Active Directory zu einem bekannten guten zeigen.

Im folgenden sind die unterstützten Methoden, die Sie, um verwenden können führt einen Rollback für den Inhalt von Active Directory aus:
  • Verwenden Sie einen Active Directory-kompatiblen Backup und Wiederherstellung Dienstprogramm, das Microsoft bereitgestellt und getestet von Microsoft-APIs verwendet. Diese APIs nicht autorisierend oder eine autorisierende Wiederherstellung einer Systemstatussicherung. Die Sicherung, die wiederhergestellt wird, sollte das gleiche Betriebssystem stammen. Installation und von demselben physischen oder virtuellen Computer, die gerade wiederhergestellt.
  • Verwenden Sie einen Active Directory-kompatiblen Backup und Wiederherstellung-Dienstprogramm, mit dem Microsoft Volume Shadow Copy Service-APIs verwendet. Diese APIs sichern und Wiederherstellen des Systemstatus für Domäne-Controller. Der Volumeschattenkopie-Dienst unterstützt die Erstellung einzelner Point-in-Time-Schattenkopien von einzelnen oder mehreren Datenträgern auf Computern mit Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2. Single-Point-in-Time-Shadow Copies werden auch bezeichnet als Snapshots. Weitere Informationen finden Sie auf der folgenden Microsoft-Website und suchen Sie nach "Volume Shadow Copy Service":
    http://Support.Microsoft.com/
  • Stellen Sie den Systemstatus wieder her. Prüfen Sie, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn eine gültige Sicherung des Systemstatus vorgenommen wurde, bevor der Rollback-Domänencontroller nicht ordnungsgemäß wiederhergestellt wurde und die Sicherung zuletzt vorgenommenen Änderungen enthält, die auf dem Domänencontroller vorgenommen wurden, werden aus der neuesten Sicherung wiederherstellen Sie Systemstatus.

Weitere Informationen

Typische Verhalten, das auftritt, wenn Sie eine Active Directory-kompatiblen Systemstatussicherung wiederherstellen

Windows Server 2003-Domänencontroller verwenden USNs zusammen mit der Aufruf-IDs zum Verfolgen von Aktualisierungen, die zwischen den Replikationen repliziert werden müssen Partner in einer Active Directory-Gesamtstruktur.

Source Domain Controller verwenden USNs, um zu bestimmen, welche Änderungen bereits vom Ziel empfangen wurden Domänencontroller, die Änderungen angefordert werden. Zieldomänencontroller Verwendung USNs, um zu bestimmen, welche Änderungen sollten von der Quelldomäne angefordert werden Controller.

Die Aufruf-ID identifiziert die Version oder die Instanziierung der Active Directory-Datenbank, die ausgeführt wird, auf einen bestimmten Domänencontroller.

Wenn Active Directory in einer Domäne wiederhergestellt Controller mithilfe der APIs und Methoden, die von Microsoft entwickelt wurde und getestet, ist die Aufruf-ID ordnungsgemäß auf dem wiederhergestellten Domänencontroller zurücksetzen. Domänencontroller in der Gesamtstruktur empfangen von Benachrichtigungen über den Aufruf zurücksetzen. Aus diesem Grund Sie Ihre high Watermark-Werte entsprechend angepasst.

Software und Methoden, die dazu führen, USN-Rollbacks dass

Wenn die folgenden Umgebungen, Programme oder Teilsysteme verwendet werden, Administratoren können die Kontrollen und Überprüfungen, die was Microsoft hat umgehen sollen auftreten, wenn der Domain Controller-Systemstatus wiederhergestellt wird:
  • Starten einen Active Directory-Domänencontroller, dessen aktiv Directory-Datenbankdatei wurde wiederhergestellt (kopiert) einrastet mithilfe einer imaging Programm wie Norton Ghost.
  • Starten eine zuvor gespeicherte virtuelle Festplattenabbild ein Domänencontroller. Das folgende Szenario kann dazu führen, dass einen USN-Rollback:
    1. Heraufstufen eines Domänencontrollers in ein virtuelles hosting Umgebung.
    2. Erstellen Sie eine Snapshot- oder eine alternative Version des virtuellen Hosting-Umgebung.
    3. Lassen Sie den Domänencontroller weiterhin eingehende Replikation und ausgehende replizieren.
    4. Starten Sie die Domäne-Controller-Image-Datei, die Sie erstellt haben in Schritt 2.
  • Beispiele für virtualisierte hosting-Umgebungen, die dazu führen, dass in diesem Szenario gehören Microsoft Virtual PC 2004, Microsoft Virtual Server 2005, und EMC VMWARE. Andere virtuellen hosting-Umgebungen können auch dadurch Szenario.
  • Weitere Informationen zur Unterstützung Bedingungen für die Domänencontroller in virtuelle hosting-Umgebungen, klicken Sie auf die folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
    888794Überlegungen zum Integrieren von Active Directory-Domänencontroller in virtuelle hosting-Umgebungen
  • Starten von ist einen Active Directory-Domänencontroller befindet sich auf einem Volume, in denen das Datenträgersubsystem lädt mithilfe der zuvor gespeicherten Bilder des Betriebssystems ohne einer Wiederherstellung des Systemstatus des Active Directory.

    Szenario A: Starten mehrerer Kopien von Active Directory, die sich auf eine Festplatten-Subsystem, in dem mehrere Versionen eines Volumes gespeichert.
    1. Heraufstufen eines Domänencontrollers. Suchen Sie die Datei "NTDS.dit" auf einem Datenträger-Speichersubsystem, die mehrere Versionen des Datenträgers gespeichert werden kann, die hostet die Datei "NTDS.dit".
    2. Verwenden Sie das Datenträgersubsystem so erstellen Sie einen Snapshot der Datenträger, auf die Datei "NTDS.dit" für den Domänencontroller befindet.
    3. Weiterhin können den Domänencontroller aktiv zu laden Verzeichnis von dem Volume, das Sie in Schritt 1 erstellt haben.
    4. Starten Sie den Domänencontroller, der Active Directory Datenbank, die in Schritt 2 gespeichert.
    Szenario B: Starten von Active Directory von anderen Laufwerken in einer aufgeteilten Spiegelung
    1. Heraufstufen eines Domänencontrollers. Suchen Sie die Datei "NTDS.dit" auf einem gespiegelten Laufwerk.
    2. Die Spiegelung aufteilen.
    3. Für die eingehende Replikation und ausgehende Replikation von fortgesetzt werden. verwenden die Datei "NTDS.dit" auf das erste Laufwerk in der Spiegelung.
    4. Starten Sie den Domänencontroller mithilfe der Datei "NTDS.dit" auf dem zweiten Laufwerk im Spiegel.
Auch wenn nicht vorgesehen ist, kann jedes dieser Szenarien Domäne führen. Controller Rollback auf eine ältere Version von Active Directory-Datenbank durch nicht unterstützte Methoden. Der einzige unterstützte Weg, um den Inhalt der rückgängig zu machen Active Directory oder der lokale Zustand der einem Active Directory-Domänencontroller ist. ein Active Directory-kompatiblen Backup und Wiederherstellung-Dienstprogramms zum Wiederherstellen verwenden ein zur Sicherung des Systemstatus stammt aus der gleichen Betriebssystem-installation demselben physischen oder virtuellen Computer, die gerade wiederhergestellt.

Microsoft bietet keine Unterstützung für andere Prozesse, die ein Snapshot der Elemente des Systems für eine Active Directory-Domänencontroller Zustand und Kopien Elemente dieses Staates System um ein Betriebssystemabbild. Sofern ein Administrator einschreitet, führen solche Prozesse einen USN-Rollback. Dies USN-Rollback führt dazu, dass die direkten und transitiven Replikationspartner von einer nicht ordnungsgemäß wiederhergestellt Domänencontroller inkonsistent Objekte haben, deren Active Directory-Datenbanken.

Die Auswirkungen eines USN-Rollbacks

USN-Rollbacks auftreten, Änderungen an Objekten und Attributen sind keine eingehenden durch Zieldomänencontroller, die repliziert zuvor gesehen die USN.

Da diese Zieldomänencontrollern glauben, dass Sie auf dem neuesten Stand, keine Replikation sind Fehler, im Verzeichnis gemeldet werden Service-Ereignisprotokollen oder durch Überwachung und Diagnose-Tools.

USN-rollback die Replikation der Objekte oder Attribut in jeder Partition zu beeinträchtigen. Die am häufigsten beobachteten Nebeneffekt ist, dass Benutzer Konten und Computer Konten, die auf dem Domänencontroller Rollback erstellt wurden sind auf einem nicht vorhanden. oder weitere Replikationspartner. Oder das Kennwort aktualisiert werden, stammt aus der Rollback-Domänencontroller existieren nicht auf Replikationspartner.

Die folgenden Schritte zeigen die Abfolge der Ereignisse, die einen USN-Rollback zur Folge haben kann. A USN-Rollbacks tritt auf, wenn der Status des Domänencontrollers System zurückgesetzt wird Zeit, die Wiederherstellung für eine nicht unterstützte des Systemstatus.
  1. Ein Administrator stuft drei Domänencontroller in einer Domäne. (In diesem Beispiel werden die Domänencontroller DC1, DC2 und DC2, und die Domäne ist "contoso.com".) DC1 und DC2 sind direkte Replikationspartner. DC2 und DC3 sind auch direkte Replikationspartner. DC1 und DC3 sind nicht direkt Replikationspartner erhalten aber transitiv bis Ursprungsaktualisierungen DC2.
  2. Ein Administrator erstellt 10 Konten entsprechen um die USNs 1 bis 10 auf DC1. Alle diese Konten auf DC2 repliziert und DC3.
  3. Ein Datenträgerabbild eines Betriebssystems wird auf DC1 erfasst. Dieses Bild hat einen Eintrag für Objekte, die lokalen USNs 1 bis 10 entsprechen Klicken Sie auf DC1.
  4. In Active Directory werden die folgenden Änderungen vorgenommen:
    • Die Kennwörter für alle 10 Benutzerkonten wurden erstellt in Schritt 2 auf DC1 zurückgesetzt werden. Diese Kennwörter entsprechen USNs (11) bis 20. Alle 10 aktualisiert Kennwörter repliziert DC2 und DC3.
    • 10 neue Benutzerkonten, die USNs 21 entsprechen über 30 auf DC1 erstellt. Diese 10 Benutzerkonten auf DC2 repliziert und DC3.
    • 10 neue Computerkonten, die USNs 31 entsprechen bis 40 auf DC1 erstellt. Diese 10 Computerkonten auf DC2 repliziert und DC3.
    • 10 neue Sicherheitsgruppen, die USNs 41 entsprechen über 50 auf DC1 erstellt. Diese 10 Sicherheitsgruppen auf DC2 repliziert und DC3.
  5. DC1 werden Hardware- oder Softwarefehler auftritt. Der Administrator verwendet ein Dienstprogramm von Festplattenabbildern, um das Betriebssystem zu kopieren Bild, das in Schritt 3 einrastet. DC1 beginnt jetzt mit einem aktiven Directory-Datenbank, die USNs 1 bis 10 kennt.

    Da Das Betriebssystemabbild wurde in Ort und eine unterstützte Methode kopiert. Wiederherstellen des Systemstatus nicht verwendet wurde, DC1 weiterhin dieselben Aufruf-ID, die die erste Kopie der Datenbank und alle Änderungen bis erstellt. USN-50. DC2 und DC3 verwaltet außerdem die gleichen Aufruf-ID für DC1 sowie einauf dem neuesten Stand VektorUSN-50 für DC1. (Ein Vektor auf dem neuesten Stand ist der aktuelle Status der neueste Ursprung aktualisiert auf allen Domänencontrollern für Auftreten einer bestimmten die Verzeichnispartition.)

    Es sei denn, ein Administrator einschreitet, DC2 und DC3 Führen Sie keine eingehende Replizieren von Änderungen, die entsprechen an lokale USN-11 bis 50 ihren Ursprung von DC1. Darüber hinaus verwendet nach dem Aufruf ID, DC2, DC1 verfügt bereits über Kenntnisse in Bezug auf die Änderungen, die USN 11 bis 50 entsprechen. Aus diesem Grund sendet DC2 diese Änderungen nicht. Da die Änderungen im Schritt 4 Klicken Sie auf DC1 nicht vorhanden, die Anmeldeanforderungen mit Fehler "Zugriff verweigert" fehl. Dieser Fehler Tritt auf, da die Kennwörter stimmen nicht überein oder das Konto nicht der Fall ist handen Sie vor, wenn die neueren Konten nach dem Zufallsprinzip mit DC1 authentifizieren.
  6. Administratoren, die Überwachung der Replikation in der Gesamtstruktur Beachten Sie die folgenden Situationen:
    • DieRepadmin/showrepsBefehlszeilen-Tool meldet, bidirektionale Active Directory Replikation zwischen DC1 und DC2 und DC2 und DC3 ist ohne durchgeführt. Fehler. Dies erschwert Inkonsistenzen Replikation erkennen.
    • Alle Replikationsfehler in den Verzeichnisdienst-Ereignisprotokollen Replikationsereignisse in den Verzeichnisdienst-Ereignisprotokollen von Domänencontrollern mit Windows Server nicht an. Dies erschwert die Inkonsistenzen Replikation zu erkennen.
    • Active Directory-Benutzer und-Computer oder die aktive Directory-Verwaltungstool (Ldp.exe) zeigen eine unterschiedliche Anzahl Objekte und Wenn im Domänenverzeichnis auf DC2 und DC3 Partitionen unterschiedliche Objektmetadaten die Partition auf DC1 werden verglichen werden. Der Unterschied ist ein Satz von Änderungen, die Ordnen Sie USN-Änderungen 11 bis 50 in Schritt 4.

      HinweisIn diesem Beispiel gilt die Anzahl der verschiedenen Objekte für Benutzer Benutzerkonten, Computerkonten und Sicherheitsgruppen. Die unterschiedlichen Objektmetadaten Stellt dar, die unterschiedliche Kennwörter für Benutzerkonten.
    • Benutzerauthentifizierungsanforderungen für den 10-Benutzerkonten in Schritt erstellte 2 generieren gelegentlich eine "Zugriff verweigert" oder Fehler bei "falsches Kennwort". Dieser Fehler kann auftreten, weil ein Kennwörter stimmen nicht überein existiert zwischen diesen Benutzerkonten auf DC1 und DC2 und DC3-Konten. Die Benutzerkonten, Erfahrung, die dieses Problem entsprechen dem Benutzer Konten Schritt 4 erstellt wurden. Welche jedoch nicht, die Benutzerkonten und Kennwörtern in Schritt 4 auf andere Domänencontroller in der Domäne replizieren.
  7. DC2 und DC3 starten, um eingehende Ursprungsaktualisierungen Replikation die größer als 50 von DC1 USN-Nummern entsprechen. Dies Replikation wird normal ohne Eingreifen des Administrators, da die zuvor wurde aufgezeichnete Aktualität Vektor Schwellenwert, USN 50, überschritten. (USN 50 war die Aktualität Vektor-USN für DC1, DC2 und DC3 aufgezeichnet Bevor DC1 offline geschaltet und wurde wiederhergestellt.) Änderungen werden jedoch die neuen USNs 11 entsprach bis 50 auf der ursprünglichen DC1 nach den nicht unterstützten Wiederherstellung wird nie auf DC2, DC3 oder deren transitiven Replikation repliziert. Partner.
Obwohl die Symptome, die in Schritt 6 erwähnten darstellen. Einige der Auswirkungen, die ein USN-Rollback auf Benutzer- und Computerkonten verfügen kann, ein USN-Rollback kann jeden Objekttyp in einer Active Directory-Partition verhindern. nicht repliziert. Die folgenden: Objekttypen
  • Die Active Directory-Replikationstopologie und Zeitplan
  • Das Vorhandensein von Domänencontrollern in der Gesamtstruktur und der Rollen, die diese Domänencontroller enthalten.

    HinweisDiese Rollen umfassen den globalen Katalog relativen ID (RID) Umlagen und Funktionen des Betriebsmasters. (Betriebsmasterfunktionen sind auch auch bekannt als flexible single master Operations bzw. FSMO.)
  • Das Vorhandensein von Domänen und Partitionen in der Gesamtstruktur
  • Das Vorhandensein von Sicherheitsgruppen und deren aktuelle Gruppe Mitgliedschaften
  • DNS-Eintragsregistrierung im Active Directory-integrierte DNS Zonen
Die Größe der Bohrung USN möglicherweise Hunderte, Tausende, darstellen oder sogar Zehntausende von Änderungen an Benutzern, Computern, Vertrauensstellungen, Kennwörter, und Sicherheitsgruppen. (Die USN-Bohrung wird durch die Differenz zwischen der höchsten definiert Aktualisierungssequenznummer ab, unter denen die wiederhergestellten Systemstatussicherung vorgenommen wurde und die Anzahl der Änderungen, die auf der Rollback-Domäne erstellt wurden Controller bevor er offline geschaltet wurde.)

Erkennen von einen USN-Rollback auf einem Domänencontroller, auf dem Windows Server ausgeführt wird

Da Fehler im Ereignisprotokoll oder in nicht protokolliert werden den Replikations-Engine ein USN-Rollback kann schwer zu erkennen sein.

Eine Möglichkeit zum Erkennen ein USN-Rollbacks ist die Verwendung die Windows Server-Version von "Repadmin.exe" führen Sie dieRepadmin-/showutdvecBefehl. Diese Version von "Repadmin.exe" zeigt die Aktualität Vektor USN für alle Domänencontroller, die einen gemeinsamen Namenskontext replizieren. Einen USN-Rollback zu erkennen, vergleichen Sie die Ausgabe derRepadmin-/showutdvecBefehl auf dem Domänencontroller mit der Ausgabe des gleichen Befehl auf Replikationspartner des Domänencontrollers. Wenn die direkte Replikationspartner haben eine höhere Zahl von USN des Domänencontrollers als der Domänencontroller hat für sich selbst, und dieRepadmin/showrepsBefehl meldet Replikationsfehler zwischen Direct nicht Replikationspartner haben überzeugende Beweise für ein USN-Rollback.

HinweisEin korrekt wiederhergestellten Domänencontroller setzt den lokalen Aufruf-ID-Attribut beim Neustart in Active Directory nach seinem system Status ist mit eine unterstützte Backup und Restore-Methode wiederhergestellt. Wenn die Zurücksetzen der Aufruf-ID ist die ausgehende repliziert, remote-Domänencontrollern in der Gesamtstruktur und notieren Sie die Reset-Aufruf-ID als einer neuen Datenbankinstanz auf der wiederhergestellten Domänencontroller. Obwohl immer noch der wiederhergestellten Domänencontroller ist denselben Domänencontroller bestätigt der Remotedomänencontroller dies Domänencontroller als neuen Replikationspartner wiederhergestellt werden, da der Aufruf ID geändert. (Die Aufruf-ID ist die Identität der Datenbankinstanz.) Die wiederhergestellten Domänencontroller selbst werden Änderungen von anderen remote-Domäne akzeptieren. Controller, die auf den remote-Domänencontrollern und in der Domäne stammt Controller, bevor es wiederhergestellt wurde.

Das folgende Beispiel zeigt die der Ausgabe derRepadmin-/showutdvecBefehl auf DC1 und DC2 in der Domäne contoso.com. In diesem Beispielsweise wird der Befehl ausgeführt, unmittelbar nach das Rollback in Schritt 5.
C:\>repadmin /showutdvec-dc1 dc = Contoso, dc = com
GUIDs werden zwischengespeichert...
Site1\DC1 @ USN 10 @ Mal 2004-08-04 15: 07: 15
Site2\DC2 @ USN 24805 @ Mal 2004-08-04 15: 06: 59
C:\>repadmin /showutdvec dc2 dc = Contoso, dc = com
GUIDs werden zwischengespeichert...
Site1\DC1 @ USN 50 @ Mal 2004-08-04 15: 07: 15
Site2\DC2 @ USN 24805 @ Mal 2004-08-04 15: 06: 59
Die Ausgabe von DC1 zeigt eine lokale USN von 10. DC2 hat eine eingehende Replikation USN 50 und ignoriert die Active Directory aktualisiert als Nächstes 40 USN-Nummern aus der ursprünglichen DC1 entsprechen.

Erkennen von einen USN-Rollback auf eine Windows Server-Domänencontroller, der den Hotfix 875495 (oder ein Betriebssystem, das diesen Hotfix enthält) installiert

Da ein USN-Rollback schwer zu erkennen ist, installiert ein Windows Server-Domänencontroller, der die Funktionalität der 875495 Hotfix protokolliert Ereignis bei einem Quelldomänencontroller einer zuvor bestätigten Aktualisierungssequenznummer zu einem Ziel-Domänencontroller ohne eine entsprechende Änderung in der Aufrufkennung sendet 2095

Um zu verhindern, dass eindeutige Ursprung von Aktualisierungen in Active Directory erstellt wird, auf die unkorrekt Wiederherstellen der Domänencontroller, der Net Logon-Dienst angehalten wird. Wenn der Anmeldedienst Dienst wird angehalten, Benutzer- und Computerkonten können das Kennwort nicht ändern, auf eine Domänencontroller, der nicht ausgehenden-solche Änderungen repliziert werden. Ebenso Active Directory-Verwaltungstools werden einen fehlerfreien Domänencontroller bevorzugen. Wenn Sie Aktualisierungen vornehmen, um Objekte in Active Directory.

Auf einem Domänencontroller, auf dem die 875495 Hotfix-Funktionalität installiert ist, werden Ereignismeldungen, die etwa wie folgt aufgezeichnet, wenn die folgenden Bedingungen erfüllt sind:
  • Einem Quelldomänencontroller sendet eine zuvor bestätigten USN-Zahl und ein Zieldomänencontroller.
  • Es ist keine entsprechende Änderung in der Aufruf-ID
Nachricht 1

Ereignistyp: Fehler
Ereignis Quelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 2095
Datum: 3/10/2005
Zeit: 4:26:51 PM
User: USN\2B25VB$
Computer: 2B9A
Beschreibung: während der Active Directory-Replikation der lokale Domänencontroller (DC)-Anforderung identifiziert einen remote-DC die hat Empfangene Replikationsdaten aus dem lokalen DC USN bereits bestätigt Nachverfolgungsnummern. Da der entfernte DC davon ausgeht, ist hat eine aktuellere. Active Directory-Datenbank als dem lokalen DC Remotedomänencontrollers wird nicht angewendet. zukünftige Änderungen an seiner Kopie der Active Directory-Datenbank oder replizieren auf seine direkten und transitiven Replikationspartner stammen, die von diesem lokalen DC. Wenn nicht sofort behoben, führt in diesem Szenario Inkonsistenzen in den Active Directory-Datenbanken dieser Quell-DC und eine oder direkte und transitive Replikationspartner. Speziell die Konsistenz von Benutzern, Computern und Vertrauensstellungen, deren Kennwörter, Sicherheitsgruppen, Mitgliedschaften in Sicherheitsgruppen und andere Konfigurationsdaten von Active Directory kann variieren Sie, beeinträchtigen die Fähigkeit, anmelden, relevante Objekte zu finden und ausführen andere kritische Vorgänge. Fragen Sie ab, um festzustellen, ob diese Fehlkonfiguration vorhanden ist, Dieses Ereignis-ID verwenden http://support.microsoft.com, oder wenden Sie sich an Ihren Microsoft Produkt-Support. Die wahrscheinlichste Ursache für diese Situation ist die falsche Wiederherstellung von Active Directory auf dem lokalen Domänencontroller. Benutzeraktionen: Wenn Diese Situation eintrat zwangsweise aufgrund von einer falschen oder unbeabsichtigten-Wiederherstellung Herabstufen des Domänencontrollers. Remote-DC: b55ee67f-ed73-4970-b2d4-7dc6f571439f-Partition: CN = Configuration, DC usn, DC = = Loc USN, die vom Remote-DC ausgegeben: 24707 USN, die vom ausgegeben werden. Lokalen DC: 20485 Weitere Informationen finden Sie unter Hilfe und Support Center unter unter http://Support.Microsoft.com.

Nachricht 2

Ereignistyp: Warnung
Ereignisquelle: NTDS General
Ereigniskategorie: Replikation
Ereignis-ID: 1113
Datum: 3/10/2005
Zeit: 4:26:51 PM
User: USN\2B25VB$
Computer: 2B9A
Beschreibung: Die eingehende Replikation wurde deaktiviert durch der Benutzer. Weitere Informationen finden Sie unter Hilfe und Support Center unter unter http://Support.Microsoft.com.

Meldung 3

Ereignistyp: Warnung
Ereignisquelle: NTDS General
Ereigniskategorie: Replikation
Ereignis-ID: 1115
Datum: 3/10/2005
Zeit: 4:26:51 PM
User: USN\2B25VB$
Computer: 2B9A
Beschreibung: Die ausgehende Replikation wurde deaktiviert durch der Benutzer. Weitere Informationen finden Sie unter Hilfe und Support Center unter http://Support.Microsoft.com

Nachricht 4

Ereignistyp: Fehler
Ereignis Quelle: NTDS General
Ereigniskategorie: Dienststeuerung
Ereignis-ID: 2103
Datum: 3/10/2005
Zeit: 4:26:51 PM
User: USN\2B25VB$
Computer: 2B9A
Beschreibung: Die Active Directory-Datenbank wurde mithilfe einer nicht unterstützten Wiederherstellungsverfahren wiederhergestellt. Active Directory wird sein. Benutzer anmelden, unter diesen Bedingungen kann nicht geladen werden. Daher wird das Netz Logon-Dienst wurde angehalten. Benutzer Aktion finden Sie in vorherigen Ereignisprotokolle nach Einzelheiten. Für Weitere Informationen finden Sie unter Hilfe und Support Center unter unter http://Support.Microsoft.com.

Diese Ereignisse können aufgezeichnet werden, der Ereignisprotokoll des Verzeichnisdienstes. Jedoch können Sie überschrieben werden vor dem von einem Administrator beobachtet.

Wiederherstellung nach einem USN-rollback

Es gibt zwei Ansätze zur Wiederherstellung nach eines USN-Rollbacks:

REntfernen Sie den Domänencontroller aus der Domäne, folgendermaßen vor:
  1. Entfernen Sie Active Directory des Domänencontrollers erzwingen es sich um einen eigenständigen Server handelt.Für Weitere Informationen Informationen hierzu finden Sie im folgenden Artikel finden Sie in der Microsoft Knowledge Base:
    332199Domänencontroller herabgestuft nicht bei Verwendung des Assistenten zum Installieren von Active Directory zur Herabstufung in Windows Server 2003 und Windows 2000 Server
  2. Den herabgestuften Server Herunterfahren.
  3. Auf einen fehlerfreien Domänencontroller Bereinigen von Metadaten der herabgestufte Domänencontroller.Für Weitere Informationen Informationen hierzu finden Sie im folgenden Artikel finden Sie in der Microsoft Knowledge Base:
    216498Gewusst wie: Entfernen von Daten in Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
  4. Wenn die falsch wiederhergestellten Domänencontroller Betriebsmasterfunktionen, werden diese Rollen einen fehlerfreien Domänencontroller übertragen.Weitere Informationen finden Sie unter die folgende Artikelnummer klicken, um den Artikel anzuzeigen, in der Microsoft Knowledge Basis:
    255504Übertragung oder Übernahme der FSMO-Funktionen auf einem Domänencontroller mit "Ntdsutil.exe"
  5. Starten Sie den herabgestuften Server neu.
  6. Wenn Sie gezwungen sind, installieren Sie Active Directory auf der Standalone--Server erneut.
  7. Wenn der Domänencontroller ein globaler Katalog zuvor, Konfigurieren des Domänencontrollers ein globaler Katalog sein.Weitere Informationen finden Sie im folgenden Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    313994Zum Erstellen oder Verschieben eines globalen Katalogs in Windows 2000
  8. Wenn der Domänencontroller Vorgänge zuvor gehostet Betriebsmasterfunktionen, die Übertragung der Funktionen des Betriebsmasters zurück, an der Domäne Controller.Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
    255504Mit "Ntdsutil.exe" übertragen oder Funktionen Sie FSMO-auf einem Domänencontroller
Wiederherstellen Sie Systemstatus von einer fehlerfreien Sicherung.

Prüfen Sie, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn eine gültige Sicherung des Systemstatus vorgenommen wurde, bevor der Rollback-Domänencontroller wurde nicht ordnungsgemäß wiederhergestellt, und die Sicherung enthält Änderungen, die auf dem Domänencontroller vorgenommen wurden, werden aus der neuesten Sicherung wiederherstellen Sie Systemstatus.

Sie können auch den Snapshot als Quelle für eine Sicherung. Oder Sie können festlegen, dass die Datenbank selbst eine neue Aufruf-ID mit das Verfahren im Abschnitt "eine frühere Version eines virtuellen Domänencontrollers VHD-Datei ohne Daten Systemstatussicherung wiederherstellen" in diesem Artikel gewähren:http://technet.Microsoft.com/en-us/library/dd363545 (WS.10) (.aspx)

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix ist jedoch vorgesehen, um nur das Problem zu beheben, das in diesem Artikel beschrieben wird. Wenden Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix wird möglicherweise zu einem Zeitpunkt weiteren Tests unterzogen. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält wird.

Wenn der Hotfix zum Download zur Verfügung steht, ist ein Abschnitt "Hotfixdownload available" (Hotfixdownload verfügbar"am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an Microsoft Customer Service and Support, um den Hotfix zu erhalten.

HinweisWenn weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der Microsoft-Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen finden Sie auf der folgenden Microsoft-Website:
http://Support.Microsoft.com/contactus/?WS=Support
HinweisDas Formular "Hotfixdownload available" (Hotfixdownload verfügbar"zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache verfügbar ist.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Zeit konvertiert. Um die Differenz zwischen UTC-Zeit und lokaler Zeit zu suchen, verwenden Sie dieZeitzonedie Registerkarte derDatum und UhrzeitElement in der Systemsteuerung.Stellen Sie den Systemstatus wieder her.

Prüfen Sie, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn eine gültige Sicherung des Systemstatus vorgenommen wurde, bevor der Rollback-Domänencontroller wurde nicht ordnungsgemäß wiederhergestellt, und die Sicherung enthält Änderungen, die auf dem Domänencontroller vorgenommen wurden, werden aus der neuesten Sicherung wiederherstellen Sie Systemstatus.

Eigenschaften

Artikel-ID: 875495 - Geändert am: Donnerstag, 10. Februar 2011 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Keywords: 
kbautohotfix kbqfe kbhotfixserver kbmt KB875495 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 875495
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com