Un controlador de dominio de Windows Server registra el evento servicios de directorio 2095 cuando encuentra una reversión de USN

En este artículo se describe cómo detectar y recuperar si un controlador de dominio de Windows Server se revierte incorrectamente mediante una instalación basada en imágenes del sistema operativo.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 875495

Resumen

En este artículo se describe un error de replicación silenciosa de Active Directory causado por una reversión del número de secuencia de actualización (USN). Una reversión de USN se produce cuando se restaura o pega incorrectamente una versión anterior de una base de datos de Active Directory.

Cuando se produce una reversión de USN, las modificaciones en objetos y atributos que se producen en un controlador de dominio no se replican en otros controladores de dominio del bosque. Dado que los asociados de replicación creen que tienen una copia actualizada de la base de datos de Active Directory, las herramientas de supervisión y solución de problemas, como Repadmin.exe, no notifican ningún error de replicación.

Los controladores de dominio registran el evento Directory Services 2095 en el registro de eventos de Servicios de directorio cuando detectan una reversión de USN. El texto del mensaje de evento dirige a los administradores a este artículo para obtener información sobre las opciones de recuperación.

Ejemplo de entrada de registro del evento 2095

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

En los temas siguientes se describe cómo detectar y recuperarse de una reversión de USN en un controlador de dominio basado en Windows Server.

Métodos admitidos para realizar copias de seguridad de Active Directory en controladores de dominio que ejecutan Windows Server 2012 y versiones posteriores

Windows Server 2012 agrega compatibilidad con Hyper-Visor id. de generación (GenID). Esto permite al invitado virtual detectar los volúmenes de disco que tienen un nuevo identificador y responder al nuevo GenID. En Active Directory, Directory Services reacciona como si el controlador de dominio se restaurara a partir de una copia de seguridad. A continuación, genera un nuevo identificador de invocación. Mediante el nuevo identificador de invocación, la instancia de base de datos puede volver a entrar de forma segura en la replicación en el bosque.

Este es uno de los escenarios que se tratan en Implementación y configuración del controlador de dominio virtualizado.

Métodos admitidos para realizar copias de seguridad de Active Directory en controladores de dominio que ejecutan Windows Server 2003 o versiones posteriores de Windows Server

Durante el ciclo de vida de un controlador de dominio, es posible que tenga que restaurar o "revertir" el contenido de la base de datos de Active Directory a un buen momento conocido. O bien, es posible que tenga que revertir los elementos del sistema operativo host de un controlador de dominio, incluido Active Directory, a un buen punto conocido.

Los siguientes son métodos admitidos que puede usar para revertir el contenido de Active Directory:

• Use una utilidad de copia de seguridad y restauración compatible con Active Directory que use las API proporcionadas por Microsoft y probadas por Microsoft. Estas API restauran de forma autoritativa o autoritativa una copia de seguridad de estado del sistema. La copia de seguridad que se restaura debe originarse desde la misma instalación del sistema operativo y desde el mismo equipo físico o virtual que se está restaurando.

• Use una utilidad de copia de seguridad y restauración compatible con Active Directory que use las API de Servicio de instantáneas de volumen de Microsoft. Estas API copian de seguridad y restauran el estado del sistema del controlador de dominio. El Servicio de instantáneas de volumen admite la creación de instantáneas de un solo momento o varios volúmenes en equipos que ejecutan Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2. Las instantáneas a un solo momento también se conocen como instantáneas. Para obtener más información, busque "Servicio de instantáneas de volumen" en Soporte técnico de Microsoft.

• Restaure el estado del sistema. Evalúe si existen copias de seguridad de estado del sistema válidas para este controlador de dominio. Si se realizó una copia de seguridad de estado del sistema válida antes de restaurar incorrectamente el controlador de dominio revertido y si la copia de seguridad contiene los cambios recientes realizados en el controlador de dominio, restaure el estado del sistema a partir de la copia de seguridad más reciente.

Comportamiento típico que se produce al restaurar una copia de seguridad de estado del sistema compatible con Active Directory

Los controladores de dominio de Windows Server usan USN junto con los identificadores de invocación para realizar un seguimiento de las actualizaciones que se deben replicar entre asociados de replicación en un bosque de Active Directory.

Los controladores de dominio de origen usan USN para determinar qué cambios ya ha recibido el controlador de dominio de destino que solicita los cambios. Los controladores de dominio de destino usan USN para determinar qué cambios se deben solicitar a los controladores de dominio de origen.

El identificador de invocación identifica la versión o la creación de instancias de la base de datos de Active Directory que se ejecuta en un controlador de dominio determinado.

Cuando Active Directory se restaura en un controlador de dominio mediante las API y los métodos que Microsoft ha diseñado y probado, el identificador de invocación se restablece correctamente en el controlador de dominio restaurado. los controladores de dominio del bosque reciben una notificación del restablecimiento de invocación. Por lo tanto, ajustan sus valores altos de marca de agua en consecuencia.

Software y metodologías que provocan reversiones de USN

Cuando se usan los siguientes entornos, programas o subsistemas, los administradores pueden omitir las comprobaciones y validaciones que Microsoft ha diseñado para que se produzcan cuando se restaure el estado del sistema del controlador de dominio:

• Iniciar un controlador de dominio de Active Directory cuyo archivo de base de datos de Active Directory se restauró (copió) en su lugar mediante un programa de creación de imágenes como Norton Ghost.

• Iniciar una imagen de disco duro virtual guardada anteriormente de un controlador de dominio. El siguiente escenario puede provocar una reversión de USN:

  1. Promover un controlador de dominio en un entorno de hospedaje virtual.
  2. Cree una instantánea o una versión alternativa del entorno de hospedaje virtual.
  3. Deje que el controlador de dominio continúe replicando de entrada y replicando de salida.
  4. Inicie el archivo de imagen del controlador de dominio que creó en el paso 2.

• Algunos ejemplos de entornos de hospedaje virtualizados que provocan este escenario son Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 y EMC VMWARE. Otros entornos de hospedaje virtualizados también pueden provocar este escenario.

• Para obtener más información sobre las condiciones de soporte técnico para controladores de dominio en entornos de hospedaje virtual, consulte Aspectos a tener en cuenta al hospedar controladores de dominio de Active Directory en entornos de hospedaje virtual.

• Iniciar un controlador de dominio de Active Directory que se encuentra en un volumen donde se carga el subsistema de disco mediante imágenes guardadas anteriormente del sistema operativo sin necesidad de una restauración del estado del sistema de Active Directory.

  • Escenario A: Inicio de varias copias de Active Directory que se encuentran en un subsistema de disco que almacena varias versiones de un volumen

    1. Promover un controlador de dominio. Busque el archivo Ntds.dit en un subsistema de disco que pueda almacenar varias versiones del volumen que hospeda el archivo Ntds.dit.
    2. Use el subsistema de disco para crear una instantánea del volumen que hospeda el archivo Ntds.dit para el controlador de dominio.
    3. Continúe para permitir que el controlador de dominio cargue Active Directory desde el volumen que creó en el paso 1.
    4. Inicie el controlador de dominio que la base de datos de Active Directory guardó en el paso 2.

  • Escenario B: Inicio de Active Directory desde otras unidades en un reflejo roto

    1. Promover un controlador de dominio. Busque el archivo Ntds.dit en una unidad reflejada.
    2. Rompe el espejo.
    3. Continúe con la replicación entrante y la replicación saliente mediante el archivo Ntds.dit en la primera unidad del reflejo.
    4. Inicie el controlador de dominio mediante el archivo Ntds.dit en la segunda unidad del reflejo.

Incluso si no está previsto, cada uno de estos escenarios puede hacer que los controladores de dominio se reviertan a una versión anterior de la base de datos de Active Directory mediante métodos no admitidos. La única manera admitida de revertir el contenido de Active Directory o el estado local de un controlador de dominio de Active Directory es usar una utilidad de copia de seguridad y restauración compatible con Active Directory para restaurar una copia de seguridad de estado del sistema que se originó desde la misma instalación del sistema operativo y el mismo equipo físico o virtual que se está restaurando.

Microsoft no admite ningún otro proceso que tome una instantánea de los elementos del estado del sistema de un controlador de dominio de Active Directory y copie los elementos de ese estado del sistema en una imagen del sistema operativo. A menos que un administrador intervenga, estos procesos provocan una reversión de USN. Esta reversión de USN hace que los asociados de replicación directos y transitivos de un controlador de dominio restaurado incorrectamente tengan objetos incoherentes en sus bases de datos de Active Directory.

Los efectos de una reversión de USN

Cuando se producen reversiones de USN, los controladores de dominio de destino que han visto el USN no replican las modificaciones en objetos y atributos.

Dado que estos controladores de dominio de destino creen que están actualizados, no se notifica ningún error de replicación en los registros de eventos del servicio de directorio o mediante herramientas de supervisión y diagnóstico.

La reversión de USN puede afectar a la replicación de cualquier objeto o atributo en cualquier partición. El efecto secundario observado con más frecuencia es que las cuentas de usuario y las cuentas de equipo que se crean en el controlador de dominio de reversión no existen en uno o varios asociados de replicación. O bien, las actualizaciones de contraseñas que se originaron en el controlador de dominio de reversión no existen en los asociados de replicación.

En los pasos siguientes se muestra la secuencia de eventos que pueden provocar una reversión de USN. Una reversión de USN se produce cuando el estado del sistema del controlador de dominio se revierte en el tiempo mediante una restauración de estado del sistema no compatible.

1. Un administrador promueve tres controladores de dominio en un dominio. (En este ejemplo, los controladores de dominio son DC1, DC2 y DC2, y el dominio es Contoso.com). DC1 y DC2 son asociados de replicación directa. DC2 y DC3 también son asociados de replicación directa. DC1 y DC3 no son asociados de replicación directos, pero reciben actualizaciones de origen transitivamente a través de DC2.

2. Un administrador crea 10 cuentas de usuario que corresponden a los USN del 1 al 10 en DC1. Todas estas cuentas se replican en DC2 y DC3.

3. Se captura una imagen de disco de un sistema operativo en DC1. Esta imagen tiene un registro de objetos que corresponden a los USN locales del 1 al 10 en DC1.

4. Los siguientes cambios se realizan en Active Directory:

   • Las contraseñas de las 10 cuentas de usuario que se crearon en el paso 2 se restablecen en DC1. Estas contraseñas corresponden a los USN del 11 al 20. Las 10 contraseñas actualizadas se replican en DC2 y DC3.
   • Se crean 10 cuentas de usuario nuevas que corresponden a los USN 21 a 30 en DC1. Estas 10 cuentas de usuario se replican en DC2 y DC3.
   • En DC1 se crean 10 cuentas de equipo nuevas que corresponden a los USN del 31 al 40. Estas 10 cuentas de equipo se replican en DC2 y DC3.
   • Se crean 10 nuevos grupos de seguridad que corresponden a los USN 41 a 50 en DC1. Estos 10 grupos de seguridad se replican en DC2 y DC3.

5. DC1 experimenta un error de hardware o un error de software. El administrador usa una utilidad de creación de imágenes de disco para copiar la imagen del sistema operativo que se creó en el paso 3. DC1 ahora comienza con una base de datos de Active Directory que tiene conocimientos de los USN del 1 al 10.

   Dado que la imagen del sistema operativo se copió en su lugar y no se usó un método compatible para restaurar el estado del sistema, DC1 sigue usando el mismo identificador de invocación que creó la copia inicial de la base de datos y todos los cambios hasta USN 50. DC2 y DC3 también mantienen el mismo identificador de invocación para DC1, así como un vector actualizado de USN 50 para DC1. (Un vector actualizado es el estado actual de las últimas actualizaciones de origen que se van a producir en todos los controladores de dominio para una partición de directorio determinada).

   A menos que un administrador intervenga, DC2 y DC3 no replican de entrada los cambios correspondientes al USN 11 a 50 local que se originan en DC1. Además, según el identificador de invocación que usa DC2, DC1 ya tiene conocimiento de los cambios que corresponden a USN 11 a 50. Por lo tanto, DC2 no envía esos cambios. Dado que los cambios del paso 4 no existen en DC1, las solicitudes de inicio de sesión producen un error de "acceso denegado". Este error se produce porque las contraseñas no coinciden o porque la cuenta no existe cuando las cuentas más recientes se autentican aleatoriamente con DC1.

6. Los administradores que supervisan el estado de replicación en el bosque deben tener en cuenta las situaciones siguientes:

   • La Repadmin /showreps herramienta de línea de comandos informa de que la replicación bidireccional de Active Directory entre DC1 y DC2 y entre DC2 y DC3 se está produciendo sin errores. Esta situación dificulta la detección de cualquier incoherencia de replicación.

   • Los eventos de replicación en los registros de eventos del servicio de directorio de los controladores de dominio que ejecutan Windows Server no indican ningún error de replicación en los registros de eventos del servicio de directorio. Esta situación dificulta la detección de cualquier incoherencia de replicación.

   • Usuarios y equipos de Active Directory o la Herramienta de administración de Active Directory (Ldp.exe) muestran un recuento diferente de objetos y metadatos de objetos diferentes cuando las particiones del directorio de dominio en DC2 y DC3 se comparan con la partición en DC1. La diferencia es el conjunto de cambios que se asignan a los cambios de USN del 11 al 50 en el paso 4.

     Nota:

     En este ejemplo, el recuento de objetos diferente se aplica a cuentas de usuario, cuentas de equipo y grupos de seguridad. Los distintos metadatos de objeto representan las distintas contraseñas de cuenta de usuario.

   • Las solicitudes de autenticación de usuario para las 10 cuentas de usuario que se crearon en el paso 2 generan ocasionalmente un error de "acceso denegado" o "contraseña incorrecta". Este error puede producirse porque existe una falta de coincidencia de contraseña entre estas cuentas de usuario en DC1 y las cuentas de DC2 y DC3. Las cuentas de usuario que experimentan este problema corresponden a las cuentas de usuario creadas en el paso 4. Las cuentas de usuario y los restablecimientos de contraseña del paso 4 no se replican en otros controladores de dominio del dominio.

7. DC2 y DC3 comienzan a replicar de entrada las actualizaciones de origen que corresponden a números USN mayores que 50 de DC1. Esta replicación se realiza normalmente sin intervención administrativa porque se ha superado el umbral de vector de actualización registrado anteriormente, USN 50. (USN 50 era el vector de actualización USN registrado para DC1 en DC2 y DC3 antes de que DC1 se desconectara y restaurara). Sin embargo, los nuevos cambios que correspondían a los USN del 11 al 50 en el DC1 de origen después de la restauración no admitida nunca se replicarán en DC2, DC3 o sus asociados de replicación transitiva.

Aunque los síntomas que se mencionan en el paso 6 representan parte del efecto que una reversión de USN puede tener en las cuentas de usuario y equipo, una reversión de USN puede impedir que cualquier tipo de objeto de cualquier partición de Active Directory se reproduzcan. Estos tipos de objeto incluyen lo siguiente:

• Topología y programación de replicación de Active Directory

• La existencia de controladores de dominio en el bosque y los roles que estos controladores de dominio tienen

  Nota:

  Estos roles incluyen el catálogo global, las asignaciones de identificador relativo (RID) y los roles maestros de operaciones. (Los roles maestros de operaciones también se conocen como operaciones maestras únicas flexibles o FSMO).

• La existencia de particiones de dominio y aplicación en el bosque

• La existencia de grupos de seguridad y sus pertenencias a grupos actuales

• Registro de registros DNS en zonas DNS integradas en Active Directory

El tamaño del agujero de USN puede representar cientos, miles o incluso decenas de miles de cambios en usuarios, equipos, confianzas, contraseñas y grupos de seguridad. (El agujero USN se define por la diferencia entre el número de USN más alto que existía cuando se realizó la copia de seguridad de estado del sistema restaurada y el número de cambios de origen que se crearon en el controlador de dominio revertido antes de que se desconectara).

Detección de una reversión de USN en un controlador de dominio de Windows Server

Dado que una reversión de USN es difícil de detectar, un controlador de dominio de Windows Server 2003 SP1 o una versión posterior registra el evento 2095 cuando un controlador de dominio de origen envía un número USN previamente confirmado a un controlador de dominio de destino sin un cambio correspondiente en el identificador de invocación.

Para evitar que se creen actualizaciones de origen únicas en Active Directory en el controlador de dominio restaurado incorrectamente, el servicio Net Logon está en pausa. Cuando el servicio Net Logon está en pausa, las cuentas de usuario y equipo no pueden cambiar la contraseña en un controlador de dominio que no replicará de salida dichos cambios. De forma similar, las herramientas de administración de Active Directory favorecerán un controlador de dominio correcto cuando realicen actualizaciones de objetos en Active Directory.

En un controlador de dominio, se registran mensajes de evento similares a los siguientes si se cumplen las condiciones siguientes:

• Un controlador de dominio de origen envía un número USN previamente confirmado a un controlador de dominio de destino.
• No hay ningún cambio correspondiente en el identificador de invocación.

Estos eventos se pueden capturar en el registro de eventos del servicio de directorio. Sin embargo, es posible que se sobrescriban antes de que un administrador los observe.

Puede sospechar que se ha producido una reversión de USN. Sin embargo, no ve los eventos de correlación en el registro de eventos del servicio de directorio. En este escenario, compruebe la entrada del Registro Dsa Not Writable. Esta entrada proporciona pruebas forenses de que se ha producido una reversión de USN.

• Subclave: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Entrada del Registro: Dsa No se puede escribir
• Valor: 0x4

Al eliminar o cambiar manualmente el valor de entrada del Registro Dsa Not Writable , el controlador de dominio de reversión se encuentra en un estado permanentemente no compatible. Por lo tanto, no se admiten estos cambios. En concreto, al modificar el valor se quita el comportamiento de cuarentena agregado por el código de detección de reversión de USN. Las particiones de Active Directory en el controlador de dominio de reversión serán permanentemente incoherentes con los asociados de replicación directos y transitivos del mismo bosque de Active Directory.

Recuperación de una reversión de USN

Hay tres enfoques para recuperarse de una reversión de USN.

• Quite el controlador de dominio del dominio. Para ello, siga estos pasos:

  1. Quite Active Directory del controlador de dominio para forzar que sea un servidor independiente. Para obtener más información, vea Controladores de dominio no disminuyen de nivel correctamente cuando se usa el Asistente para instalación de Active Directory para forzar la degradación.

  2. Apague el servidor degradado.

  3. En un controlador de dominio correcto, limpie los metadatos del controlador de dominio degradado. Para obtener más información, vea Limpiar Dominio de Active Directory metadatos del servidor del controlador.

  4. Si el controlador de dominio restaurado incorrectamente hospeda roles maestros de operaciones, transfiera estos roles a un controlador de dominio correcto. Para obtener más información, consulte Transferencia o incautación de roles maestros de operación en Servicios de dominio de Active Directory.

  5. Reinicie el servidor degradado.

  6. Si es necesario, vuelva a instalar Active Directory en el servidor independiente.

  7. Si el controlador de dominio era anteriormente un catálogo global, configure el controlador de dominio para que sea un catálogo global. Para obtener más información, vea Cómo crear o mover un catálogo global.

  8. Si el controlador de dominio hospedaba anteriormente roles maestros de operaciones, vuelva a transferir los roles de maestro de operaciones al controlador de dominio. Para obtener más información, consulte Transferencia o incautación de roles maestros de operación en Servicios de dominio de Active Directory.

• Restaure el estado del sistema de una buena copia de seguridad.

  Evalúe si existen copias de seguridad de estado del sistema válidas para este controlador de dominio. Si se realizó una copia de seguridad de estado del sistema válida antes de restaurar incorrectamente el controlador de dominio revertido y la copia de seguridad contiene los cambios recientes realizados en el controlador de dominio, restaure el estado del sistema a partir de la copia de seguridad más reciente.

• Restaure el estado del sistema sin copia de seguridad del estado del sistema.

  Puede usar la instantánea como origen de una copia de seguridad. O bien, puede establecer la base de datos para que se proporcione un nuevo identificador de invocación mediante el procedimiento de la sección Para restaurar una versión anterior de un vhd de controlador de dominio virtual sin copia de seguridad de datos de estado del sistema de Ejecutar controladores de dominio en Hyper-V.

Referencias

• Aspectos a tener en cuenta al hospedar controladores de dominio de Active Directory en entornos de hospedaje virtual

• Arquitectura del controlador de dominio virtualizado