Artikel-ID: 885875 - Geändert am: Dienstag, 31. Juli 2007 - Version: 10.7

Zum Erkennen und Wiederherstellen von einer USN-Rollback in Windows 2000 Server

Hotfix Download is availableHotfix-Download ist verfügbar
Hotfix-Downloads anzeigen und anfordern
Deutsch und Englisch nebeneinanderMaschinell-übersetzte und englische Version des Artikels nebenander anzeigen
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am Juli 13, 2010. Das Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie in den Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .

Auf dieser Seite

Alles erweitern | Alles schließen
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am Juli 13, 2010. Das Windows 2000 End-of-Support Solution Center (http://support.microsoft.com/?scid=http%3a%2f%2fsupport.microsoft.com%2fwin2000) ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie in den Microsoft Support Lifecycle Policy (http://support.microsoft.com/lifecycle/) .
Eine Microsoft Windows Server 2003-Version dieses Artikels finden Sie unter 875495  (http://support.microsoft.com/kb/875495/ ) .
Zum Anfang

Zusammenfassung

Dieser Artikel beschreibt die Vorgänge, dass Active Directory-fähige Sicherungsprogramme und das Windows-Betriebssystem, ausführen um konsistente Kopien von Active Directory-Partitionen bei der Wiederherstellung des Systemstatus auf einem Domänencontroller in einer gemeinsamen Active Directory-Gesamtstruktur zu verwalten.

Mithilfe ein Active Directory-fähige Sicherungsprogramm Wiederherstellen des Systemstatus, den Inhalt einer Active Directory-Datenbank rückgängig zu machen. Wenn Sie eine andere Methode verwenden, können die Replikationspartner in der Gesamtstruktur nicht benachrichtigt werden, dass Ihre Domänencontroller das Betriebssystem gestartet wurde, mithilfe einer früheren Version von Active Directory-Datenbank.

Wenn solche "USN-Rollbacks" auftreten, werden Änderungen an Objekten und Attributen, die auf einem Domänencontroller auftreten nicht auf andere Domänencontroller in der Gesamtstruktur repliziert. Allerdings werden in den Ereignisprotokollen der betroffenen Domänencontroller keine Active Directory-Replikation-Fehler gemeldet. Darüber hinaus erkennt der Replikationsüberwachung Dienstprogramme wie "Repadmin.exe" ob Replikationsfehler nicht.

Im Allgemeinen während einer USN-Rollback Benutzerkonten und Computerkonten vorhanden sein, auf einem Domänencontroller jedoch existieren nicht auf einen anderen. Alternativ können Sie auch die Kennwörter für ein Benutzerkonto können zwischen Domänencontrollern in einer gemeinsamen Domäne inkonsistent sein und Anmeldung Vorgänge schlagen möglicherweise fehl.

Nach der Installation von Hotfix 885875 protokolliert ein Domänencontroller unter Microsoft Windows 2000 Directory Services-Ereignis 2095 einen USN-Rollback aufgefundene. Der Text der Ereignismeldung weist Administratoren auf diesem Artikel Wiederherstellungsoptionen.

Es ist schwierig zu erkennen und die Wiederherstellung nach einem USN-Rollback, wir empfehlen, da die Administratoren Installation Hotfixes 885875 auf allen Windows 2000-Domänencontrollern, insbesondere in virtualisiert hosting-Umgebungen.
Zum Anfang

EINFÜHRUNG IN

Über den Lebenszyklus des Domänencontrollers müssen Sie möglicherweise wiederherstellen oder "Rollback," den Inhalt des Active Directory-Verzeichnisdienst. Alternativ müssen Sie möglicherweise Bestandteile des Domänencontrollers Host Betriebssystem, einschließlich Active Directory bis zu einem "gut bekannt" Zeitpunkt rückgängig machen.

Im folgenden werden die beiden unterstützten Methoden, die Sie verwenden können, um den Inhalt von Active Directory oder der lokale Zustand der einem Active Directory-Domänencontroller rückgängig zu machen:
  • Verwenden Sie ein Active Directory-fähige Sicherung und Wiederherstellung-Dienstprogramm, mit dem Microsoft bereitgestellt und von Microsoft getestet APIs verwendet. Diese APIs wiederherstellen autorisierend oder nicht autorisierend eine Sicherung des Systemstatus erstellen. In diesem Fall stammt die Sicherung von der Installation des gleichen Betriebssystems und von demselben physischen oder virtuellen Computer, der wiederhergestellt wird.
  • Verwenden Sie ein Active Directory-kompatiblen Dienstprogramm Sicherung und Wiederherstellung, mit dem Microsoft Volume Shadow Copy Service-APIs verwendet. Diese APIs sichern und Wiederherstellen des Systemstatus für Domäne-Controller. Volumeschattenkopie-Dienst unterstützt das Erstellen von einzelnen Point-in-Time-Schattenkopien von einzelnen oder mehreren Volumes auf Computern unter Windows Server 2003. Einzelne Point-in-Time-Schattenkopien sind auch bekannt als Snapshots. Weitere Informationen finden Sie auf der folgenden Microsoft-Website, und suchen Sie nach ? Volume Shadow Copy Service ?:

Dieser Artikel behandelt die folgenden Themen:
  • Das Verhalten, das normalerweise auftritt, wenn Sie eine Active Directory-fähige Systemstatus-Sicherung wiederherstellen
  • Kopieren einer zuvor gespeicherten Active Directory-Datenbank in den Ordner, der die aktuelle Active Directory-Datenbank, enthält ohne den Systemstatus wiederherstellen eine Aktualisierungssequenznummer (Update Sequence Number, USN) führen könnte Rollback
  • Wie Active Directory-Replikation, wenn ein Windows 2000-Domäne-Controller Erfahrungen eine USN-Rollback betroffen ist
  • Möglichkeiten, einen Active Directory-Domänencontroller wiederherstellen, nachdem es einen USN-Rollback auftritt
  • Verbesserungen dieser Hotfix 885875 bietet USN erkennen Rollbacks und Quarantäne betroffenen Domänencontroller
Zum Anfang

Weitere Informationen

Typische Verhalten, das auftritt, wenn Sie eine Active Directory-fähige Systemstatus-Sicherung wiederherstellen

Windows 2000-Domänencontrollern verwendet werden USNs in Kombination mit den Aufruf-IDs der Quelldomänencontroller, um Updates zu Active Directory zu verfolgen, die repliziert werden müssen. Wenn USNs und Aufruf-IDs verwendet werden, behalten alle Domänencontroller konsistente Kopien in Active Directory-Datenbank-Verzeichnispartitionen, die repliziert werden. Die Aufruf-ID identifiziert die Version der Verzeichnisdatenbank, die auf dem Domänencontroller ausgeführt wird. Wenn der Systemstatus auf einem Domänencontroller richtig wiederhergestellt wird, wird die AUFRUFKENNUNG zurückgesetzt, bevor Active Directory gestartet wird. Daher wird der Domänencontroller als ein neuer Domänencontroller auf seine Replikationspartner identifiziert. Diese Situation fordert andere Domänencontroller, den wiederhergestellten Domänencontroller zu aktualisieren.

System Zustand Wiederherstellungen, die Active Directory-fähige Sicherungsprogramme ausführen verwenden APIs und Methoden, die Microsoft entwickelt und getestet hat. Diese APIs und Methoden helfen sicherzustellen, dass lokale und replizierte Active Directory-Datenbanken konsistent, sind Wenn die Wiederherstellung abgeschlossen ist. Diese APIs und Methoden stellen auch sicher, dass andere Domänencontroller in der Gesamtstruktur die Aufruf-IDs zurückgesetzt wurden, benachrichtigt werden.
Zum Anfang

Software und Methodologien, die USN-Rollbacks verursachen

Wenn die folgenden Umgebungen, Programme oder Subsysteme verwendet werden, können Administratoren umgehen, die Überprüfungen und Prüfungen, die Microsoft entworfen hat, tritt ein, sobald der Domäne-Controller-Systemstatus wiederhergestellt wird:
  • Virtualisiert Hostingumgebungen, einschließlich, aber nicht beschränkt auf Microsoft Virtual Server 2005 und EMC VMWARE
  • Software, sichert und stellt eine Active Directory-Betrieb Systeminstallation oder Festplatte, die die Installation enthält wieder her

    Hinweis: Solche Software umfasst ist jedoch nicht beschränkt auf Norton Ghost.
  • Erweiterte Festplatten-Teilsysteme, die selektiv ein Volume kopieren können, die eine Active Directory-Betriebssystem-Installation enthält, die in der Vergangenheit gespeichert wurde
Die folgenden Vorgänge werden nicht unterstützt:
  1. Starten Sie einen Active Directory-Domänencontroller, dessen Betriebssystem auf eine Festplatte mit einem Bildbearbeitungsprogramm wie Norton Ghost wiederhergestellt wurde
  2. Starten Sie einen Active Directory-Domänencontroller, dessen Betriebssystem in einer virtualisierten Hostingumgebung wie Microsoft Virtual PC oder VMWARE EMC befindet
  3. Starten einen Active Directory-Domänencontroller, der befindet auf einem Volume, in denen das Festplatten-Teilsystem lädt die früher, werden Abbilder des Betriebssystems ohne einer Wiederherstellung des Systemstatus von Active Directory gespeichert.
Die einzige Möglichkeit zum Rollback für den Inhalt von Active Directory unterstützt, oder der lokale Zustand der einem Active Directory-Domänencontroller ist die Verwendung einer Active Directory-kompatiblen Dienstprogramm Sicherung und Wiederherstellung zum Wiederherstellen einer Sicherung des Systemstatus erstellen, die stammen aus der Installation des gleichen Betriebssystems und demselben physikalischen oder virtuellen Computer, der wiederhergestellt wird.

Alle anderen Prozesse, die einen Snapshot der Elemente einer Active Directory-Domänencontroller des Systemstatus und kopiert die Elemente, des Systemstatus zu einem Bild, das Betriebssystem von Microsoft nicht unterstützt. Wenn ein Administrator interveniert, führen solche Prozesse einen USN-Rollback. Diese USN-Rollback bewirkt, dass die direkten und transitiven Replikationspartner eines Domänencontrollers fälschlicherweise wiederhergestellten inkonsistent Objekte in Ihrer Active Directory-Datenbanken verfügen.
Zum Anfang

Auswirkungen der USN-rollback

Die folgenden Schritte zeigen die Abfolge der Ereignisse, die die USN-Rollback. Ein USN-Rollback tritt auf, wenn der Domäne-Controller-Systemstatus in Zeit ohne einer Wiederherstellung des Systemstatus Rollback ausgeführt wird.
  1. Ein Administrator fördert die drei Domänencontroller in einer Domäne. (In diesem Beispiel die Domänencontroller DC1, DC2 und DC2 sind und die Domäne "contoso.com" ist.) DC1 und DC2 sind direkte Replikationspartner. DC2 und DC3 sind ebenfalls direkte Replikationspartner. DC1 und DC3 sind keine direkte Replikationspartner jedoch Ursprungsaktualisierungen transitiv über DC2 erhalten.
  2. Ein Administrator erstellt 10 Konten auf USNs 1 bis 10 auf DC1 entsprechen. Diese Konten werden auf DC2 und DC3 replizieren.
  3. Auf DC1 wird ein Betriebssystemabbild erstellt. Dieses Bild hat einen Eintrag für Objekte, die lokalen USNs 1 bis 10 entsprechen.
  4. Die folgenden Änderungen werden in Active Directory vorgenommen:
    • Die Kennwörter für Benutzerkonten, die in Schritt 2 erstellt wurden, werden auf DC1 zurückgesetzt. Diese Kennwörter entsprechen USNs 11 bis 20. Alle 10 aktualisiert Kennwörter repliziert DC2 und DC3.
    • 10 neue Benutzerkonten, die USNs 21 bis 30 entsprechen, werden auf DC1 erstellt. Diese 10 Benutzerkonten auf DC2 und DC3 replizieren.
    • 10 neue Computerkonten, die USNs 31 bis 40 entsprechen, werden auf DC1 erstellt. Diese 10 Computerkonten replizieren auf DC2 und DC3.
    • 10 neue Sicherheitsgruppen, die USNs 41 bis 50 entsprechen, werden auf DC1 erstellt. Diese 10 Sicherheitsgruppen auf DC2 und DC3 replizieren.
  5. DC1 erfährt eine Software- oder Hardwarefehler. Der Administrator kopiert das Abbild des Betriebssystems, das in Schritt 3 in eine Position erstellt wurde. DC1 verwendet eine Datenbank mit einen Datensatz von USNs 1 bis 10, um Active Directory zu starten.

    Da das Abbild des Betriebssystems, das in Schritt 3 erstellt wurde, wurde in Ort kopiert, und das unterstützte Verfahren zur Wiederherstellung des Systemstatus wurde nicht verwendet, DC1 behält seine ursprüngliche AUFRUFKENNUNG und DC2 und DC3 verwalten Ihre ursprüngliche Aktualitätsvektor USN 50 für DC1. (Der Aktualitätsvektor ist der aktuelle Status der neuesten Ursprungsaktualisierungen auf allen Domänencontrollern, auf denen ein Replikat einer bestimmten Verzeichnispartition speichern.)

    Wenn ein Administrator interveniert, DC1 wird nicht für eingehende Änderungen für lokale USN 11 bis 50 Replikation, die es in Schritt 4 stammt und auf DC2 und DC3 repliziert. (Diese Änderungen entsprechen die neu erstellte Objekte, Gelöschte Objekte und vorhandene Objekte, die in diesem Beispiel geändert werden.) Da die Änderungen in Schritt 4 auf DC1 nicht vorhanden sind, werden Anmeldeanforderungen mit einem Fehler "Zugriff verweigert" fehl. Dieser Fehler tritt auf, weil Kennwörter nicht übereinstimmen oder weil das Konto nicht vorhanden ist, wenn neueren Konten nach dem Zufallsprinzip mit DC1 authentifizieren.
  6. Administratoren, die Integrität der Replikation in der Gesamtstruktur überwachen Beachten Sie die folgenden Situationen:
    • Das Befehlszeilenprogramm Repadmin/showreps meldet, bidirektionale Active Directory-Replikation zwischen DC1 und DC2 sowie zwischen DC2 und DC3 ohne Fehler ausgeführt wird. Diese Situation macht Inkonsistenzen Replikation schwer zu erkennen.
    • Replikationsereignisse in den Verzeichnis Dienst Ereignisprotokollen der Domänencontroller, auf denen Windows 2000 ausgeführt wird, enthalten keine Angaben über alle Replikationsfehler in den Ereignisprotokollen für Verzeichnis-Dienst. Diese Situation macht Inkonsistenzen Replikation schwer zu erkennen.
    • Active Directory-Benutzer und-Computer oder Active Directory-Verwaltungstool (Ldp.exe) zeigen eine unterschiedliche Anzahl von Objekten und anderen Objekt Metadaten, wenn auf die Partition auf DC1 auf DC2 und DC3 die Domänenverzeichnispartitionen verglichen werden. Der Unterschied besteht darin, der Satz von Änderungen, die USN zuordnen 11 bis 50 in Schritt 4 ändert.

      Hinweis: In diesem Beispiel wird die Anzahl der verschiedenen Objekte auf Benutzerkonten, Computerkonten und Sicherheitsgruppen angewendet. Die Metadaten anderes Objekt darstellt, die Kennwörter für unterschiedliche Benutzerkonten.
    • Benutzerauthentifizierungsanforderungen für die 10 Benutzerkonten, die in Schritt 2, gelegentlich erstellt wurden generieren ein "Zugriff verweigert" oder "Falsches Kennwort" Fehler. Dieser Fehler kann auftreten, da Kennwörter stimmen nicht zwischen diese Benutzerkonten auf DC1 und die Konten auf DC2 und DC3 vorhanden ist. Die Benutzerkonten, die dieses Problem tritt auf, entsprechen die Benutzerkonten, die in Schritt 4 erstellt wurden. Die Benutzerkonten und Kennwörtern in Schritt 4 nicht auf andere Domänencontroller in der Domäne repliziert.
  7. DC2 und DC3 gestartet eingehende Ursprungsaktualisierungen Replikation, die USN-Nummern entsprechen, die größer als 50 von DC1 sind. Diese Replikation wird normal ausgeführt ohne Eingreifen des Administrators erforderlich, da der zuvor aufgezeichnete Up-to-dateness Vektor Schwellenwert USN 50 überschritten wurde. (USN 50 war der Aktualitätsvektor, die USN für DC1 auf DC2 und DC3 aufgezeichnet, bevor DC1 offline geschaltet und wiederhergestellt wurde.) Die neuen Änderungen, die nach der Wiederherstellung nicht unterstützte auf USNs 11 bis 50 auf der ursprünglichen DC1 entsprach werden jedoch nie auf DC2, DC3 oder Ihre transitive Replikationspartner repliziert.
Während die Symptome, die in Schritt 6 erwähnt werden einige der Auswirkungen darstellen, die auf Benutzer- und Computerkonten, eine USN USN-Rollback auswirken können Rollback kann verhindern, dass alle Objekttypen in einer Active Directory-Partition repliziert, einschließlich der folgenden Objekttypen:
  • Der Replikationstopologie von Active Directory und des Zeitplans
  • Das Vorhandensein von Domänencontrollern in der Gesamtstruktur und die Rollen, die diese Domänencontroller halten

    Hinweis: Diese Rollen umfassen den globalen Katalog, relativen ID (RID) Verteilungen und Funktionen des Betriebsmasters. (Betriebsmasterfunktionen sind auch bekannt als flexible single master Operations oder FSMO.)
  • Das Vorhandensein von Domänen und -Partitionen in der Gesamtstruktur
  • Das Vorhandensein von Sicherheitsgruppen und Ihrer aktuellen Gruppenmitgliedschaften
  • DNS-Eintrag der Registrierung in Active Directory-integrierten DNS-Zonen
Während das Bild auf dem Sicherungsmedium gespeichert ist, wird die Gesamtstruktur ist weiterhin funktionsfähig, und auch speichert Informationen über den DC, der ein Bild aus erstellt wurde. Das Bild ist wieder, Rollback Sie diesen DC und nur dieser Domänencontroller auf die Zeit, die die Sicherung stammt geschaltet. Kein anderer Domänencontroller weiß oder darüber wissen. Daher entspricht die Metadaten, die auf den Rest der Domänencontroller nicht mehr gespeichert wird. Alle Änderungen, die Sie auf diese wiederhergestellten DC vornehmen, werden mit USNs angegeben werden, die bereits von der vorherigen Version des DOMÄNENCONTROLLERS vor der Wiederherstellung verwendet wurden. Alle anderen DCs denken, dass Sie bereits eingehende-diese Änderung repliziert haben. So verlieren diesem Domänencontroller und alle anderen Synchronisierung von deren Inhalt DB. Der Schweregrad des Problems hängt von der Art der Änderungen, die nicht replizieren. Wenn der Domänencontroller eine wichtige Betriebsmasterfunktion (PDC, RID, DNM, Schema) enthält, müssen Sie schwerwiegende Probleme möglicherweise. (Eine Betriebsmasterfunktion ist auch bekannt als flexible single master Operations oder FSMO.) Finden Sie in der Liste der Änderungen weiter oben in diesem Artikel.

Die Größe des Innenrings USN möglicherweise Hunderten, Tausenden oder sogar Zehntausende von Änderungen an Benutzer, Computer, auf Vertrauensstellungen, um Kennwörter und zu Sicherheitsgruppen darstellen. (Das USN-Loch wird definiert, um die Differenz zwischen der höchsten USN Nummer, die vorhanden, waren Wenn die wiederhergestellten Systemstatussicherung vorgenommen wurde und die Anzahl der stammen ändert, die auf dem Rollback Domänencontroller erstellt wurden, bevor er offline geschaltet wurde.)
Zum Anfang

Erkennen von USN-Rollback auf einem Domänencontroller, auf dem Windows 2000 ausgeführt wird

Da Fehler im Ereignisprotokoll oder in das Replikationsmodul nicht angemeldet sind, kann ein USN-Rollback schwer zu erkennen sein.

Eine Möglichkeit zum Erkennen von USN-Rollback besteht darin, die Windows 2000-Version von "Repadmin.exe" verwenden, um den Befehl Repadmin /showvector ausführen zu können. Diese Version von "Repadmin.exe" zeigt die Up-to-dateness Vektorgrafiken USN für alle Domänencontroller, die einen gemeinsamen Namenskontext replizieren. Vergleichen Sie die Ausgabe des Befehls Repadmin /showvector auf dem Domänencontroller mit der Ausgabe des Befehls dieselbe Replikationspartner des Domänencontrollers, um einen USN-Rollback zu erkennen. Wenn die direkte Replikationspartner eine höhere USN Zahl für den Domänencontroller haben als der Domänencontroller für sich selbst hat und der Befehl Repadmin/showreps keine Replikationsfehler zwischen direkten Replikationspartnern meldet, haben Sie überzeugende Beweis des USN-Rollback.

Hinweis: Ein ordnungsgemäß wiederhergestellten Domänencontroller setzt seine lokalen Aufruf-ID-Attribut zurück, wenn in Active Directory neu, gestartet nachdem dessen Systemstatus wiederhergestellt wird, mithilfe einer unterstützten Methode Sicherung und Wiederherstellung. Wenn die zurücksetzen-Aufruf-ID ausgehende repliziert ist, protokollieren Remotedomänencontrollern in der Gesamtstruktur die zurücksetzen-AUFRUFKENNUNG als eine neue Datenbankinstanz auf dem wiederhergestellten DC. Obwohl der wiederhergestellten Domänencontroller weiterhin den gleichen Domänencontroller ist, zu die remote-Domänencontrollern dieser wiederhergestellten Domänencontroller als neuen Replikationspartner bestätigen, da die Aufruf-ID geändert. (Die Aufruf-ID ist die Identität der Datenbankinstanz.) Der wiederhergestellten Domänencontroller übernimmt Änderungen von anderen remote-Domänencontrollern, die auf den remote-Domänencontrollern und auf dem Domänencontroller stammt, bevor es wiederhergestellt wurde.

Das folgende Beispiel zeigt die Ausgabe des Befehls Repadmin /showvector auf DC1 und DC2 in der Domäne contoso.com. In diesem Beispiel wird der Befehl ausgeführt, unmittelbar nach das Rollback in Schritt 5.
C:\>Repadmin /showvector dc = Contoso, dc = com dc1
Zwischenspeichern von GUIDs...
Site1\DC1 @ USN 10 @ 2004-Time - 08 - 04 15: 07: 15
@ USN Site2\DC2 24805 @ Uhrzeit 2004-08-04 15: 06: 59
C:\>Repadmin /showvector dc2 dc = Contoso, dc = com
Zwischenspeichern von GUIDs...
Site1\DC1 @ USN 50 @ 2004-Time - 08 - 04 15: 07: 15
@ USN Site2\DC2 24805 @ Uhrzeit 2004-08-04 15: 06: 59
Die Ausgabe von DC1 zeigt eine lokale USN von 10. DC2 hat eingehende Replikation USN 50 und ignoriert die Active Directory-Updates, die die nächsten 40 USN-Nummern aus der ursprünglichen DC1 entsprechen.
Zum Anfang

Erkennen von USN-Rollback auf eine Windows 2000-Domänencontrollern, die die 885875 Hotfix installiert wurde

Da ein USN-Rollback schwer zu erkennen ist, hat einen Windows 2000-Domänencontroller, die 885875 installierte Hotfix Protokolle-Ereignis bei ein Quell-Domänencontroller eine zuvor bestätigte USN-Zahl zu einem Ziel-Domänencontroller ohne eine entsprechende Änderung in der Aufruf-ID sendet 2095

Um zu verhindern, dass eindeutige Ursprungsaktualisierungen zu Active Directory erstellt wird, auf dem falsch wiederhergestellten Domänencontroller, der Net Logon-Dienst angehalten wird. Wenn der Netlogon-Dienst angehalten wird, können nicht Benutzer- und Computerkonten das Kennwort auf einem Domänencontroller ändern, die nicht ausgehende-solche Änderungen repliziert wird. Ebenso werden Active Directory-Verwaltungstools fehlerfreien Domänencontroller bevorzugen, wenn Sie Objekte in Active Directory Aktualisierungen vornehmen.

Auf einem Domänencontroller, der die 885875 Hotfix installiert wurde, werden Ereignisse, die den folgenden ähneln aufgezeichnet, wenn ein Quell-Domänencontroller zu einem Ziel-Domänencontroller ohne eine entsprechende Änderung in der Aufruf-ID eine zuvor bestätigte USN Zahl sendet

Nachricht 1

Ereignistyp: Fehler
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 2095
Datum: 3/10/2005
Zeit: 4:26:51 PM
Benutzer: USN\2B25VB $
Computer: 2B9A
Beschreibung: Bei einer Active Directory-Replikation-Anforderung identifiziert der lokale Domänencontroller (DC) einen remote-DC die replizierten Daten vom lokalen DC mit laufenden Nummern bereits bestätigt USN empfangen hat. Da remote DC davon ausgeht, es ist eine aktuellere Active Directory-Datenbank als der lokale DC hat, der remote DC seine Kopie der Active Directory-Datenbank zukünftige Änderungen zuweisen oder nicht auf seine direkten und transitiven Replikationspartner, die ihren Ursprung in diesem lokalen Domänencontroller zu replizieren. Wenn nicht sofort behoben, führt dieses Szenario zu Inkonsistenzen in der Active Directory-Datenbanken von dieser Quelle DC und einem oder mehreren direkten und transitiven Replikationspartner. Insbesondere die Konsistenz der Benutzer, Computer und Vertrauensstellungen, Ihre Kennwörter, Sicherheitsgruppen, Sicherheitsgruppenmitgliedschaften und anderen Active Directory-Konfiguration Daten variieren können, betrifft die Möglichkeit, anmelden, Ermitteln von Objekten von Interesse und andere wichtigen Operationen ausführen. Um zu bestimmen, ob diese Fehlkonfiguration vorhanden ist, Fragen Sie diese Ereignis-ID mit http://support.microsoft.com ab, oder wenden Sie sich an Ihren Microsoft-Produktsupport. Die wahrscheinlichste Ursache für diese Situation ist das nicht ordnungsgemäße Wiederherstellung von Active Directory auf dem lokalen Domänencontroller. Benutzer-Aktionen: Wenn diese Situation wegen einer falschen oder unbeabsichtigten Wiederherstellung aufgetreten, zwangsweise herabstufen des DOMÄNENCONTROLLERS. Remote DC: b55ee67f-ed73-4970-b2d4-7dc6f571439f Partition: CN = Configuration, DC usn, DC = Loc gemeldet von Remote Domänencontroller USN =: 24707 USN von lokalen Domänencontroller gemeldet: 20485 Weitere Informationen finden Sie Hilfe- und Supportcenter unter http://support.microsoft.com.

Nachricht 2

Ereignistyp: Warnung
Ereignisquelle: NTDS-Allgemein
Ereigniskategorie: Replikation
Ereignis-ID: 1113
Datum: 3/10/2005
Zeit: 4:26:51 PM
Benutzer: USN\2B25VB $
Computer: 2B9A
Beschreibung: Eingehende Replikation wurde vom Benutzer deaktiviert. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Meldung 3

Ereignistyp: Warnung
Ereignisquelle: NTDS-Allgemein
Ereigniskategorie: Replikation
Ereignis-ID: 1115
Datum: 3/10/2005
Zeit: 4:26:51 PM
Benutzer: USN\2B25VB $
Computer: 2B9A
Beschreibung: Ausgehende Replikation wurde vom Benutzer deaktiviert. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com

Nachricht 4

Ereignistyp: Fehler
Ereignisquelle: NTDS-Allgemein
Ereigniskategorie: Dienststeuerung
Ereignis-ID: 2103
Datum: 3/10/2005
Zeit: 4:26:51 PM
Benutzer: USN\2B25VB $
Computer: 2B9A
Beschreibung: Die Active Directory-Datenbank wurde anhand eines Verfahrens nicht unterstützte Wiederherstellung wiederhergestellt. Active Directory ist nicht möglich, um die Benutzer anmelden, während das Problem weiterhin besteht. Daher ist der Anmeldedienst angehalten. Benutzer Aktion Siehe vorherige Ereignisprotokolle Einzelheiten. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com

Zum Anfang

Wiederherstellung nach einem USN-rollback

Zur Wiederherstellung nach eines USN-Rollbacks:
  • Verwenden Sie die Active Directory-Installationsassistenten (Dcpromo.exe), um Rollback Domänencontroller entfernen und ihre Metadaten zu entfernen. Aktivieren Sie alle Domänencontroller in der Domäne und in der Gesamtstruktur um eingehende das Metadaten löschen Replikation. Installieren von Active Directory auf dem Domänencontroller nach Bedarf.

    Methode 1:
    1. Starten Sie den Netlogon-Dienst.
    2. Aktivieren Sie eingehende und ausgehende Replikation mithilfe des folgenden Befehls:
      Repadmin/options DC_Name - Disable_inbound_repl - disable_outbound_repl
    3. Wenn die falsch wiederhergestellten Domäne-Controller Hosts Betriebsmasterfunktionen, übertragen Sie diese auf einen fehlerfreien Domänencontroller.Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      255504  (http://support.microsoft.com/kb/255504/ ) Mithilfe des Programms "Ntdsutil.exe" übertragen oder übernehmen Sie FSMO-Funktionen zu einem Domänencontroller
    4. Entfernen Sie Active Directory vom Domänencontroller.
    5. Starten Sie den Server neu.
    6. Wenn Sie möchten, Installieren von Active Directory auf dem Mitgliedsserver erneut.
    7. Wenn der Domänencontroller ein globaler Katalog zuvor, konfigurieren Sie den Domänencontroller ein globaler Katalog sein. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      313994  (http://support.microsoft.com/kb/313994/ ) Zum Erstellen oder verschieben einen globalen Katalog in Windows Server 2003, Windows 2000 oder Small Business Server 2000
    8. Wenn der Domänencontroller zuvor Betriebsmasterfunktionen gehostet, übertragen Sie die Vorgänge des Betriebsmasters auf den Domänencontroller zu sichern. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      255504  (http://support.microsoft.com/kb/255504/ ) Mithilfe des Programms "Ntdsutil.exe" übertragen oder übernehmen Sie FSMO-Funktionen zu einem Domänencontroller
    Methode 2:
    1. Entfernen Sie Active Directory vom Domänencontroller um ein alleinstehender Server erzwingen. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      332199  (http://support.microsoft.com/kb/332199/ ) Domänencontroller nicht herabgestuft Wenn Sie den Assistenten zum Installieren von Active Directory, verwenden um die Herabstufung in Windows Server 2003 und Windows 2000 Server
    2. Den herabgestuften Server Herunterfahren.
    3. Bereinigen Sie die Metadaten des herabgestuften Domänencontroller auf einen fehlerfreien Domänencontroller. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      216498  (http://support.microsoft.com/kb/216498/ ) Zum Entfernen von Daten in Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
    4. Wenn die falsch wiederhergestellten Domäne-Controller Hosts Betriebsmasterfunktionen, übertragen Sie diese auf einen fehlerfreien Domänencontroller. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      255504  (http://support.microsoft.com/kb/255504/ ) Mithilfe des Programms "Ntdsutil.exe" übertragen oder übernehmen Sie FSMO-Funktionen zu einem Domänencontroller
    5. Starten Sie den herabgestuften Server neu.
    6. Wenn Sie möchten, Installieren von Active Directory auf dem eigenständigen Server erneut.
    7. Wenn der Domänencontroller ein globaler Katalog zuvor, konfigurieren Sie den Domänencontroller ein globaler Katalog sein. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      313994  (http://support.microsoft.com/kb/313994/ ) Zum Erstellen oder verschieben einen globalen Katalog in Windows Server 2003, Windows 2000 oder Small Business Server 2000
    8. Wenn der Domänencontroller zuvor Betriebsmasterfunktionen gehostet, übertragen Sie die Vorgänge des Betriebsmasters auf den Domänencontroller zu sichern. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
      255504  (http://support.microsoft.com/kb/255504/ ) Mithilfe des Programms "Ntdsutil.exe" übertragen oder übernehmen Sie FSMO-Funktionen zu einem Domänencontroller
  • Retore eine gültige Systemstatus auf Domänencontrollern, die einen USN-Rollback ist aufgetreten.

    Überprüfen Sie, ob gültige die Sicherungen des Systemstatus für diesen Domänencontroller vorhanden sind. Wenn eine gültige Systemstatussicherung vorgenommen wurde, bevor der Rollback-Domänencontroller wurde nicht ordnungsgemäß wiederhergestellt, und die Sicherung enthält Änderungen, die auf dem Domänencontroller vorgenommen wurden, stellen Sie den Systemstatus aus der letzten Sicherung wieder her.
Zum Anfang

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Der Hotfix ist jedoch nur zur Behebung des Problems das in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download zur Verfügung steht, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anforderung an den technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Normale Servicegebühren werden jedoch für weitere Fragen und Problemlösungen, die für diesen bestimmten Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen finden Sie auf folgender Website von Microsoft:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen, die für die der Hotfix verfügbar ist. Wenn Sie Ihre Sprache nicht angezeigt werden, liegt dies daran, dass ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Um diesen Hotfix zu installieren, müssen Sie Windows 2000 Service Pack 4 auf Ihrem Computer installiert haben.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Um die Differenz zwischen UTC-Zeit und lokaler Zeit zu ermitteln, verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung.
   Date        Version             Size  File name
   ---------------------------------------------------
   10-14-2004  5.0.2195.6968    382,224  Advapi32.dll
   03-23-2004  5.0.2195.6866     69,904  Browser.dll
   03-23-2004  5.0.2195.6824    134,928  Dnsapi.dll
   03-23-2004  5.0.2195.6876     92,432  Dnsrslvr.dll
   03-23-2004  5.0.2195.6883     47,888  Eventlog.dll
   03-23-2004  5.0.2195.6890    143,632  Kdcsvc.dll
   03-10-2004  5.0.2195.6903    210,192  Kerberos.dll
   09-20-2003  5.0.2195.6824     71,888  Ksecdd.sys
   03-10-2004  5.0.2195.6902    520,976  Lsasrv.dll
   02-25-2004  5.0.2195.6902     33,552  Lsass.exe
   06-19-2003  5.0.2195.6680    117,520  Msv1_0.dll
   03-23-2004  5.0.2195.6897    312,592  Netapi32.dll
   06-19-2003  5.0.2195.6695    371,984  Netlogon.dll
   10-14-2004  5.0.2195.6985    937,744  Ntdsa.dll
   03-23-2004  5.0.2195.6897    388,368  Samsrv.dll
   03-23-2004  5.0.2195.6893    111,376  Scecli.dll
   03-23-2004  5.0.2195.6903    253,200  Scesrv.dll
   10-12-2004  5.0.2195.6983  6,125,568  Sp3res.dll
   07-16-2004  5.5.31.0           6,656  Spmsg.dll
   07-16-2004  5.5.31.0         169,984  Spuninst.exe
   07-16-2004  5.5.31.0          21,504  Spcustom.dll
   03-23-2004  5.0.2195.6824     50,960  W32time.dll
   09-20-2003  5.0.2195.6824     57,104  W32tm.exe
Zum Anfang
Weitere Informationen zu einem Windows Server 2003-Hotfix finden Sie die folgende KB-Artikelnummer:
875495  (http://support.microsoft.com/kb/875495/ ) Zum Erkennen und Wiederherstellen von einer USN-Rollback in Windows Server 2003
Weitere Informationen zu Host ein Active Directory-Domänencontroller in virtuellen Hostingumgebungen, klicken Sie auf die folgende KB-Artikelnummer:
888794  (http://support.microsoft.com/kb/888794/ ) Überlegungen beim Active Directory-Domänencontroller in virtuellen Hostumgebungen hosten
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Server
Zum Anfang
Keywords: 
kbmt kbautohotfix kbwin2000presp5fix kbfix kbbug kbhotfixserver kbqfe KB885875 KbMtde
Zum Anfang
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 885875  (http://support.microsoft.com/kb/885875/en-us/ )
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN