Τρόπος ανίχνευσης και αποκατάστασης από μια επαναφορά USN στα Windows Server 2003, Windows Server 2008 και Windows Server 2008 R2

Για μια έκδοση του Microsoft Windows 2000 Server αυτού του άρθρου, ανατρέξτε στην ενότητα
885875 .

Σύνοψη

Αυτό το άρθρο περιγράφει μια κατάσταση που προκύπτει όταν ένας ελεγκτής τομέα που εκτελεί Windows 2000, Windows Server 2003, Windows Server 2008 ή Windows Server 2008 R2 ξεκινά από μια βάση δεδομένων της υπηρεσίας καταλόγου Active Directory που έχει εσφαλμένη επαναφορά ή αντιγραφεί στη θέση. Αυτή η κατάσταση είναι γνωστή ως μια αρίθμηση επαναφοράς ακολουθίας ενημέρωσης, ή επαναφορά USN.

Όταν παρουσιαστεί μια επαναφορά USN, τροποποιήσεις σε αντικείμενα και χαρακτηριστικά που προκύπτουν από έναν ελεγκτή τομέα δεν αναπαράγονται για άλλους ελεγκτές τομέα στο σύμπλεγμα δομών. Επειδή οι συνομιλητές αναπαραγωγής πιστεύει ότι έχουν ένα ενημερωμένο αντίγραφο της βάσης δεδομένων υπηρεσίας καταλόγου Active Directory, παρακολούθηση και αντιμετώπιση προβλημάτων σε εργαλεία όπως το Repadmin.exe δεν αναφέρουν τυχόν σφάλματα αναπαραγωγής.

Μετά την εγκατάσταση της επείγουσας επιδιόρθωσης 875495 ή Windows Server 2003 Service Pack 1, ένας ελεγκτής τομέα Microsoft Windows Server 2003 καταγράφει συμβάν υπηρεσίες καταλόγου 2095 όταν συναντά μια επαναφορά USN. Το κείμενο του μηνύματος συμβάντος καθοδηγεί τους διαχειριστές σε αυτό το άρθρο για να μάθετε σχετικά με τις επιλογές αποκατάστασης.

Επειδή είναι δύσκολο να ανίχνευσης και αποκατάστασης από μια επαναφορά USN, συνιστάται στους διαχειριστές να εγκαταστήσουν την επείγουσα επιδιόρθωση 875495 ή το πιο πρόσφατο service pack που είναι διαθέσιμη) στον Windows Server 2003 RTM.  Η επείγουσα επιδιόρθωση περιλαμβάνεται στο Windows Server 2003 SP1 και Windows Server 2008 και Windows Server 2008 R2Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

888794

Ζητήματα όταν φιλοξενίας ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory σε εικονικά περιβάλλοντα φιλοξενίας

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο καλύπτονται τα εξής θέματα:
  • Τις υποστηριζόμενες μεθόδους για να δημιουργήσετε αντίγραφα ασφαλείας υπηρεσίας καταλόγου Active Directory σε ελεγκτές τομέα που εκτελούν Windows Server 2003, Windows Server 2008 ή Windows Server 2008 R2
  • Τυπική συμπεριφορά που παρουσιάζεται όταν επαναφέρετε ένα αντίγραφο ασφαλείας της κατάστασης συστήματος Active Directory επίγνωση
  • Πώς αντιγράφοντας μια προηγούμενη βάση δεδομένων της υπηρεσίας καταλόγου Active Directory στο φάκελο που περιέχει την τρέχουσα βάση δεδομένων της υπηρεσίας καταλόγου Active Directory χωρίς επαναφορά της κατάστασης συστήματος μπορεί να οδηγήσει σε μια επαναφορά USN
  • Πώς επηρεάζεται η αναπαραγωγή υπηρεσίας καταλόγου Active Directory, όταν ο ελεγκτής τομέα που βασίζεται σε Microsoft Windows Server 2003 αντιμετωπίσει μια επαναφορά USN
  • Τρόποι για να επαναφέρετε έναν ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory μετά το αντιμετωπίζει μια επαναφορά USN
  • Βελτιώσεις στην επείγουσα επιδιόρθωση 875495 (και στα Windows Server 2003 Service Pack 1, Windows Server 2008 και Windows Server 2008 R2) για τον εντοπισμό USN αλλοιώσεων μέσω επαναφοράς και να απομονώσετε ελεγκτές τομέα που επηρεάζονται
Κατά τον κύκλο ζωής ενός ελεγκτή τομέα, ίσως χρειαστεί να επαναφέρετε ή να "αναιρέσει" τα περιεχόμενα της βάσης δεδομένων υπηρεσίας καταλόγου Active Directory για ένα γνωστό ασφαλές σημείο στο χρόνο. Ή, ίσως χρειαστεί να επαναφέρετε στοιχεία ενός ελεγκτή τομέα λειτουργικό σύστημα κεντρικού υπολογιστή, συμπεριλαμβανομένης της υπηρεσίας καταλόγου Active Directory, ένα γνωστό ασφαλές σημείο.

Ακολουθούν υποστηριζόμενες μεθόδους που μπορείτε να χρησιμοποιήσετε για να επαναφέρετε τα περιεχόμενα του καταλόγου Active Directory:
  • Χρησιμοποιήστε ένα Active Directory επίγνωση δημιουργίας αντιγράφων ασφαλείας και επαναφορά βοηθητικό πρόγραμμα που χρησιμοποιεί τα API που παρέχονται από τη Microsoft και ελέγχονται από την Microsoft. Αυτά τα API μη επιτακτική ή επιτακτική επαναφορά ένα αντίγραφο ασφαλείας της κατάστασης συστήματος. Το αντίγραφο ασφαλείας που επαναφέρονται θα πρέπει να προέρχονται από την ίδια εγκατάσταση λειτουργικού συστήματος, καθώς και από το ίδιο φυσικό ή εικονικό υπολογιστή που επαναφέρεται.
  • Χρησιμοποιήστε ένα Active Directory επίγνωση δημιουργίας αντιγράφων ασφαλείας και επαναφορά βοηθητικό πρόγραμμα που χρησιμοποιεί Microsoft τόμου σκιώδους αντιγράφου υπηρεσίας API. Αυτά τα API αντιγράφων ασφαλείας και επαναφοράς της κατάστασης συστήματος του ελεγκτή τομέα. Η υπηρεσία σκιωδών αντιγράφων τόμου υποστηρίζει τη δημιουργία μίας χρονική στιγμή σκιώδη αντίγραφα μίας ή πολλών τόμων σε υπολογιστές που εκτελούν Windows Server 2003, Windows Server 2008 ή Windows Server 2008 R2. Μόνο σε δεδομένη χρονική στιγμή σκιωδών αντιγράφων είναι επίσης γνωστά ως στιγμιότυπα. Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web και κάντε αναζήτηση για "Υπηρεσία σκιωδών αντιγράφων τόμου":
  • Επαναφορά της κατάστασης συστήματος. Αξιολογεί αν υπάρχουν αντίγραφα ασφαλείας της κατάστασης συστήματος που ισχύει για αυτόν τον ελεγκτή τομέα. Εάν ένα αντίγραφο ασφαλείας της κατάστασης συστήματος έγκυρη έγινε πριν ο ελεγκτής τομέα έλασης πίσω επανήλθε εσφαλμένα και αν το αντίγραφο ασφαλείας περιέχει πρόσφατες αλλαγές που έγιναν στον ελεγκτή τομέα, θα πρέπει να επαναφέρετε την κατάσταση συστήματος από το πιο πρόσφατο αντίγραφο ασφαλείας.

Περισσότερες πληροφορίες

Τυπική συμπεριφορά που παρουσιάζεται όταν επαναφέρετε ένα αντίγραφο ασφαλείας της κατάστασης συστήματος Active Directory επίγνωση

Ελεγκτές τομέα του Windows Server 2003 χρησιμοποιούν αριθμούς USN μαζί με το κλήση αναγνωριστικά για να παρακολουθείτε τις ενημερωμένες εκδόσεις που πρέπει να αναπαραχθεί μεταξύ τους συνομιλητές αναπαραγωγής σε ένα σύμπλεγμα δομών της υπηρεσίας καταλόγου Active Directory.

Ελεγκτές τομέα προέλευσης χρησιμοποιούν αριθμούς USN για να προσδιορίσετε ποιες αλλαγές έχουν ήδη παραληφθεί από τον ελεγκτή τομέα προορισμού που ζητά τις αλλαγές. Οι ελεγκτές τομέα προορισμού, χρησιμοποιήστε αριθμούς USN, για να προσδιορίσετε τι αλλαγές πρέπει να ζητούνται από ελεγκτές τομέα προέλευσης.

Το Αναγνωριστικό της ενεργοποίησης προσδιορίζει την έκδοση ή η δημιουργία παρουσίας της βάσης δεδομένων υπηρεσίας καταλόγου Active Directory που λειτουργεί σε ένα δεδομένο ελεγκτή τομέα.

Όταν αποκατασταθεί η υπηρεσία καταλόγου Active Directory σε έναν ελεγκτή τομέα, χρησιμοποιώντας το API και τις μεθόδους που η Microsoft έχει σχεδιαστεί και δοκιμαστεί, το Αναγνωριστικό ενεργοποίησης επαναφέρεται σωστά στον ελεγκτή τομέα που επαναφέρεται. Οι ελεγκτές τομέα του συμπλέγματος δομών λαμβάνετε ειδοποίηση reset επίκλησης. Επομένως, αυτές προσαρμόζονται στις τιμές ανώτατο όριο μεγέθους αντίστοιχα.

Το λογισμικό και τις μεθοδολογίες που προκαλούν USN αλλοιώσεων μέσω επαναφοράς

Όταν χρησιμοποιούνται τα ακόλουθα περιβάλλοντα, προγράμματα ή υποσυστήματα, οι διαχειριστές μπορούν να παρακάμψουν τους ελέγχους και τις επικυρώσεις που Microsoft έχει σχεδιαστεί για να προκύψει όταν γίνεται επαναφορά της κατάστασης συστήματος του ελεγκτή τομέα:
  • Εκκίνηση μιας υπηρεσίας καταλόγου Active Directory ελεγκτή τομέα που έγινε επαναφορά των οποίων αρχείο βάσης δεδομένων της υπηρεσίας καταλόγου Active Directory (αντιγραφή) στη θέση, χρησιμοποιώντας ένα πρόγραμμα επεξεργασίας εικόνων, όπως το Norton Ghost.
  • Ξεκινώντας μια εικόνα αποθηκευμένο εικονικού σκληρού δίσκου από έναν ελεγκτή τομέα. Το ακόλουθο σενάριο μπορεί να προκαλέσει μια επαναφορά USN:
    1. Μπορείτε να προβιβάσετε έναν ελεγκτή τομέα σε ένα εικονικό περιβάλλον φιλοξενίας.
    2. Δημιουργήστε μια εναλλακτική έκδοση το εικονικό περιβάλλον φιλοξενίας ή στιγμιότυπου.
    3. Αφήστε τον ελεγκτή τομέα που εξακολουθούν να εισερχόμενη αντιγραφή και για την εξερχόμενη αναπαραγωγή.
    4. Ξεκινήστε το αρχείο εικόνας ελεγκτή τομέα που δημιουργήσατε στο βήμα 2.
  • Παραδείγματα περιβάλλοντα εικονικής διαμόρφωσης φιλοξενίας που προκαλούν αυτό το σενάριο είναι Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 και EMC VMWARE. Άλλα περιβάλλοντα εικονικά διαμορφωμένων φιλοξενίας μπορεί επίσης να προκαλέσει αυτό το σενάριο.
  • Για περισσότερες πληροφορίες σχετικά με τους όρους της υποστήριξης για τους ελεγκτές τομέα σε εικονικά περιβάλλοντα φιλοξενίας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    888794 ζητήματα όταν φιλοξενίας ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory σε εικονικά περιβάλλοντα φιλοξενίας

  • Ξεκινώντας έναν ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory που βρίσκεται σε έναν τόμο όπου φορτώνει του το υποσύστημα δίσκου χρησιμοποιώντας προηγουμένως αποθηκευτεί είδωλα του λειτουργικού συστήματος χωρίς να απαιτείται μια επαναφορά κατάστασης συστήματος της υπηρεσίας καταλόγου Active Directory.

    Σενάριο A: ξεκινώντας πολλαπλά αντίγραφα της υπηρεσίας καταλόγου Active Directory που βρίσκονται σε ένα υποσύστημα δίσκου που αποθηκεύει πολλαπλές εκδόσεις ενός τόμου
    1. Μπορείτε να προβιβάσετε έναν ελεγκτή τομέα. Εντοπίστε το αρχείο Ntds.dit στο υποσύστημα του δίσκου που μπορεί να αποθηκεύσει πολλές εκδόσεις του ο τόμος που φιλοξενεί το αρχείο Ntds.dit.
    2. Χρησιμοποιήστε το υποσύστημα δίσκου για να δημιουργήσετε ένα στιγμιότυπο του τόμου που φιλοξενεί το αρχείο Ntds.dit για τον ελεγκτή τομέα.
    3. Συνεχίστε για να επιτρέψετε στον ελεγκτή τομέα, η φόρτωση της υπηρεσίας καταλόγου Active Directory από τον τόμο που δημιουργήσατε στο βήμα 1.
    4. Εκκίνηση του ελεγκτή τομέα στον οποίο η βάση δεδομένων της υπηρεσίας καταλόγου Active Directory που αποθηκεύσατε στο βήμα 2.
    Σενάριο β: Εκκίνηση υπηρεσίας καταλόγου Active Directory από άλλα μονάδες στην ενός κατεστραμμένου κατοπτρισμού
    1. Μπορείτε να προβιβάσετε έναν ελεγκτή τομέα. Εντοπίστε το αρχείο Ntds.dit σε ένα είδωλο μονάδας δίσκου.
    2. Διασπάσετε το είδωλο κατοπτρισμού.
    3. Συνεχίστε να εισερχόμενη αναπαραγωγή και αντιγραφή εξαγωγής με χρήση του αρχείου Ntds.dit στην πρώτη μονάδα δίσκου στο είδωλο.
    4. Εκκίνηση του ελεγκτή τομέα, χρησιμοποιώντας το αρχείο Ntds.dit στη δεύτερη μονάδα δίσκου στο είδωλο.
Ακόμα και αν δεν προορίζονται, κάθε ένα από αυτά τα σενάρια μπορεί να προκαλέσει ελεγκτές τομέα για να επανέλθετε σε μια παλαιότερη έκδοση της βάσης δεδομένων της υπηρεσίας καταλόγου Active Directory με μεθόδους που δεν υποστηρίζεται. Υποστηρίζεται ο μόνος τρόπος για να επαναφέρετε τα περιεχόμενα του καταλόγου Active Directory ή στην τοπική κατάσταση ενός ελεγκτή τομέα της υπηρεσίας καταλόγου Active Directory είναι να χρησιμοποιήσετε ένα Active Directory επίγνωση βοηθητικό πρόγραμμα δημιουργίας αντιγράφων ασφαλείας και επαναφοράς για να επαναφέρετε ένα αντίγραφο ασφαλείας της κατάστασης συστήματος που προέρχεται από την ίδια εγκατάσταση λειτουργικού συστήματος και το ίδιο φυσικό ή εικονικό υπολογιστή που επαναφέρεται.

Η Microsoft δεν υποστηρίζει οποιαδήποτε διεργασία που δημιουργεί ένα στιγμιότυπο του τα στοιχεία της κατάστασης συστήματος του ελεγκτή τομέα μιας υπηρεσίας καταλόγου Active Directory και στοιχεία αντίγραφα του κράτους αυτού συστήματος σε μια εικόνα του λειτουργικού συστήματος. Εκτός εάν παρέμβει κάποιος διαχειριστής, τέτοιων διαδικασιών θα προκαλέσει μια επαναφορά USN. Αυτή η επαναφορά USN προκαλεί το συνομιλητές αναπαραγωγής απευθείας και μεταβατικές από έναν ελεγκτή τομέα που επαναφέρεται σωστά για να έχετε αντικείμενα ασυνέπεια στις βάσεις δεδομένων τους υπηρεσίας καταλόγου Active Directory.

Τα αποτελέσματα της μια επαναφορά USN

Όταν προκύψει λειτουργίες επαναφοράς USN, τροποποιήσεις σε αντικείμενα και χαρακτηριστικά δεν είναι εισερχόμενη αναπαραγωγή από ελεγκτές τομέα προορισμού που έχετε ήδη δει το USN.

Επειδή οι ελεγκτές τομέα προορισμού πιστεύουν είναι ενημερωμένο, αναφέρονται σφάλματα αναπαραγωγής αρχείων καταγραφής συμβάντων υπηρεσίας καταλόγου ή από τα εργαλεία παρακολούθησης και διάγνωσης.

Επαναφορά USN μπορεί να επηρεάσει την αναπαραγωγή οποιουδήποτε αντικειμένου ή ενός χαρακτηριστικού σε κάθε διαμέρισμα. Πιο συχνά παρατηρούνται ως αποτέλεσμα είναι ότι λογαριασμούς χρήστη και υπολογιστή που δημιουργούνται στον ελεγκτή τομέα rollback δεν υπάρχουν σε ένα ή περισσότερα μέλη αναπαραγωγής. Εναλλακτικά, οι ενημερωμένες εκδόσεις του κωδικού πρόσβασης που προέρχεται από τον ελεγκτή τομέα rollback δεν υπάρχουν σε συνομιλητές αναπαραγωγής.

Τα ακόλουθα βήματα δείχνουν την ακολουθία συμβάντων που ενδέχεται να προκαλέσει μια επαναφορά USN. Μια επαναφορά USN προκύπτει όταν η κατάσταση συστήματος ελεγκτή τομέα επανέρχεται ώρα χρησιμοποιώντας μια επαναφορά κατάστασης συστήματος που δεν υποστηρίζεται.
  1. Ένας διαχειριστής προωθεί τρεις ελεγκτές τομέα σε έναν τομέα. (Σε αυτό το παράδειγμα, οι ελεγκτές τομέα είναι DC1, ελεγκτή τομέα DC2 και ελεγκτή τομέα DC2 και ο τομέας είναι Contoso.com.) DC1 και DC2 είναι άμεσα μέλη αναπαραγωγής. Ελεγκτή τομέα DC2 και DC3 είναι επίσης άμεσα μέλη αναπαραγωγής. DC1 και DC3 δεν είναι άμεσα μέλη αναπαραγωγής αλλά λάβετε καταγωγής ενημερώσεις μεταβατικότητας μέσω ελεγκτή τομέα DC2.
  2. Ένας διαχειριστής δημιουργεί 10 λογαριασμούς χρήστη που αντιστοιχούν στους αριθμούς USN 1 έως 10 στον ελεγκτή τομέα DC1. Όλοι αυτοί οι λογαριασμοί αναπαραγωγή σε ελεγκτή τομέα DC2 και DC3.
  3. Ένα είδωλο δίσκου ενός λειτουργικού συστήματος καταγράφεται στον ελεγκτή τομέα DC1. Αυτή η εικόνα έχει μια εγγραφή των αντικειμένων που αντιστοιχούν στους τοπικούς αριθμούς USN 1 έως 10 στον ελεγκτή τομέα DC1.
  4. Οι ακόλουθες αλλαγές πραγματοποιούνται στον κατάλογο Active Directory:
    • Οι κωδικοί πρόσβασης για όλους τους λογαριασμούς χρήστη 10 που δημιουργήθηκαν στο βήμα 2 επανέρχονται στον ελεγκτή τομέα DC1. Αυτοί οι κωδικοί πρόσβασης που αντιστοιχούν στους αριθμούς USN 11 έως 20. Όλοι 10 ενημερωθεί αντιγραφή κωδικών πρόσβασης σε ελεγκτή τομέα DC2 και DC3.
    • 10 νέους λογαριασμούς χρηστών που αντιστοιχούν στους αριθμούς USN 21 έως 30 δημιουργούνται στον ελεγκτή τομέα DC1. Αυτοί οι λογαριασμοί χρήστη 10 αναπαραγωγή σε ελεγκτή τομέα DC2 και DC3.
    • 10 νέων λογαριασμών υπολογιστή που αντιστοιχούν στους αριθμούς USN 31 έως 40 δημιουργούνται στον ελεγκτή τομέα DC1. Οι λογαριασμοί υπολογιστών 10 αναπαραγωγή σε ελεγκτή τομέα DC2 και DC3.
    • 10 νέες ομάδες ασφαλείας που αντιστοιχούν στους αριθμούς USN 41 έως 50 δημιουργούνται στον ελεγκτή τομέα DC1. Αυτές οι ομάδες ασφαλείας 10 αναπαραγωγή σε ελεγκτή τομέα DC2 και DC3.
  5. DC1 αντιμετωπίσει μια αποτυχία υλικού ή λογισμικού αποτυχία. Ο διαχειριστής χρησιμοποιεί έναν δίσκο imaging βοηθητικό πρόγραμμα για να αντιγράψετε το είδωλο λειτουργικού συστήματος που δημιουργήθηκε στο βήμα 3 στη θέση. DC1 τώρα ξεκινά με μια υπηρεσία καταλόγου Active Directory βάσης δεδομένων που έχει γνώση των αριθμούς USN 1 έως 10.

    Επειδή το είδωλο λειτουργικού συστήματος που έχει αντιγραφεί στη θέση και δεν χρησιμοποιήθηκε μια υποστηριζόμενη μέθοδος για την επαναφορά της κατάστασης συστήματος, DC1 εξακολουθεί να χρησιμοποιεί το ίδιο Αναγνωριστικό ενεργοποίησης που δημιούργησε το αρχικό αντίγραφο της βάσης δεδομένων και όλες οι αλλαγές μέχρι έως USN 50. Ελεγκτή τομέα DC2 και DC3 επίσης διατηρούν το ίδιο Αναγνωριστικό ενεργοποίησης για DC1 καλά ως ένα ενημερωμένο διανύσματος 50 USN για DC1. (Ένα ενημερωμένο διανύσματος είναι η τρέχουσα κατάσταση του τελευταίου καταγωγής ενημερωμένων εκδόσεων σε όλους τους ελεγκτές τομέα για ένα διαμέρισμα του δεδομένου καταλόγου).

    Εκτός εάν παρέμβει κάποιος διαχειριστής, ελεγκτή τομέα DC2 και DC3 δεν εισερχόμενη αναπαραγωγή των αλλαγών που αντιστοιχούν σε τοπικό USN 11 έως 50 που προέρχονται από DC1. Επίσης, σύμφωνα με το Αναγνωριστικό ενεργοποίησης που χρησιμοποιεί ελεγκτή τομέα DC2, DC1 έχει ήδη γνώση των αλλαγών που αντιστοιχούν σε USN 11 έως 50. Επομένως, ελεγκτή τομέα DC2 δεν στέλνει τις αλλαγές αυτές. Επειδή οι αλλαγές στο βήμα 4 δεν υπάρχουν στον ελεγκτή τομέα DC1, αιτήσεις σύνδεσης αποτύχει με σφάλμα "δεν επιτρέπεται η πρόσβαση". Αυτό το σφάλμα παρουσιάζεται επειδή οι κωδικοί πρόσβασης δεν συμφωνούν ή επειδή ο λογαριασμός δεν υπάρχει κατά τους νεότερους λογαριασμούς τυχαία ο έλεγχος ταυτότητας με DC1.
  6. Οι διαχειριστές που παρακολούθηση της κατάστασης αναπαραγωγής του συμπλέγματος δομών, λάβετε υπόψη τις ακόλουθες περιπτώσεις:
    • Το εργαλείο της γραμμής εντολών Repadmin/showreps αναφέρει ότι αμφίδρομη υπηρεσίας καταλόγου Active Directory η αναπαραγωγή μεταξύ DC1 και ο DC2 και μεταξύ ελεγκτή τομέα DC2 και DC3 εκτελείται χωρίς σφάλμα. Αυτή η κατάσταση καθιστά δύσκολο για τον εντοπισμό οποιαδήποτε ασυνέπεια αναπαραγωγής.
    • Τα συμβάντα αναπαραγωγής των αρχείων καταγραφής συμβάντων υπηρεσίας καταλόγου των ελεγκτών τομέα που εκτελούν Windows Server δεν υποδηλώνουν τυχόν αποτυχίες αναπαραγωγής των αρχείων καταγραφής συμβάντων της υπηρεσίας καταλόγου. Αυτή η κατάσταση καθιστά δύσκολο για τον εντοπισμό οποιαδήποτε ασυνέπεια αναπαραγωγής.
    • Χρήστες του Active Directory και υπολογιστές ή το ενεργό εργαλείο διαχείρισης Directory (Ldp.exe) εμφανίζουν διαφορετικό πλήθος αντικειμένων και διαφορετικό αντικείμενο μετα-δεδομένων όταν τα διαμερίσματα καταλόγου τομέα στον ελεγκτή τομέα DC2 και DC3 συγκρίνονται με το διαμέρισμα στον ελεγκτή τομέα DC1. Η διαφορά είναι το σύνολο των αλλαγών που αντιστοιχούν σε USN αλλάζει 11 έως 50 στο βήμα 4.

      Σημείωση Σε αυτό το παράδειγμα, το πλήθος διαφορετικό αντικείμενο ισχύει για λογαριασμούς χρήστη, λογαριασμούς υπολογιστή και ομάδες ασφαλείας. Τα μετα-δεδομένα διαφορετικό αντικείμενο αντιπροσωπεύει τους κωδικούς πρόσβασης λογαριασμού χρήστη.
    • Αιτήσεις ελέγχου ταυτότητας χρήστη για τους λογαριασμούς χρηστών 10 που δημιουργήθηκαν στο βήμα 2 περιστασιακά δημιουργούν μια "δεν επιτρέπεται η πρόσβαση" ή σφάλμα "εσφαλμένος κωδικός πρόσβασης". Αυτό το σφάλμα ενδέχεται να παρουσιαστεί επειδή μια ασυμφωνία κωδικού πρόσβασης υπάρχει μεταξύ αυτούς τους λογαριασμούς χρήστη στον ελεγκτή τομέα DC1 και τους λογαριασμούς στον ελεγκτή τομέα DC2 και DC3. Οι λογαριασμοί χρηστών που αντιμετωπίζουν αυτό το ζήτημα αντιστοιχούν με τους λογαριασμούς χρήστη που δημιουργήθηκαν στο βήμα 4. Τους λογαριασμούς χρήστη και επαναφέρει τον κωδικό πρόσβασης στο βήμα 4 δεν έγινε αναπαραγωγή σε άλλους ελεγκτές τομέα στον τομέα.
  7. Ελεγκτή τομέα DC2 και DC3 αρχίσει να εισερχόμενου αντιγραφή καταγωγής ενημερώσεις που αντιστοιχούν στους αριθμούς USN μεγαλύτερες από 50 από DC1. Η αναπαραγωγή συνεχίζεται κανονικά χωρίς παρέμβαση του διαχειριστή, επειδή έχει γίνει υπέρβαση του ορίου διανύσματος είχε καταγραφεί προηγουμένως up-to-dateness, USN 50. (USN 50 ήταν το USN διανυσματικά up-to-dateness που καταγράφεται για DC1 στον ελεγκτή τομέα DC2 και DC3 πριν DC1 είχε τεθεί εκτός σύνδεσης και να γίνει επαναφορά). Ωστόσο, οι νέες αλλαγές που αντιστοιχούσε σε αριθμούς USN 11 έως 50 από τη συντάκτρια DC1 μετά την επαναφορά δεν υποστηρίζεται θα αναπαραχθούν ποτέ σε ελεγκτή τομέα DC2, DC3 ή τους συνομιλητές αναπαραγωγής μεταβατική.
Παρά το γεγονός ότι τα συμπτώματα που αναφέρονται στο βήμα 6 αντιπροσωπεύουν ορισμένες από τις επιπτώσεις που μπορεί να έχει μια επαναφορά USN στους λογαριασμούς χρήστη και υπολογιστή, μια επαναφορά USN να εμποδίσετε οποιονδήποτε τύπο αντικειμένου στο οποιουδήποτε διαμερίσματος καταλόγου Active Directory από αναπαραγωγή. Αυτοί οι τύποι αντικειμένων περιλαμβάνουν τα εξής:
  • Η τοπολογία αναπαραγωγής της υπηρεσίας καταλόγου Active Directory και χρονοδιάγραμμα
  • Η ύπαρξη ελεγκτές τομέα στο σύμπλεγμα δομών και τους ρόλους που περιέχουν αυτούς τους ελεγκτές τομέα

    Σημείωση Αυτοί οι ρόλοι περιλαμβάνουν τον καθολικό κατάλογο, σχετικών αναγνωριστικών (RID) εκχωρήσεις και πρωτεύοντες ρόλους λειτουργιών. (Οι πρωτεύοντες ρόλοι λειτουργιών είναι επίσης γνωστό και ως ευέλικτες λειτουργίες μόνο κύρια ή FSMO.)
  • Η ύπαρξη διαμερίσματα τομέα και εφαρμογή στο σύμπλεγμα δομών
  • Η ύπαρξη ομάδες ασφαλείας και των συμμετοχών ομάδας τους τρέχουσα
  • Εγγραφή καταχώρησης DNS στις ζώνες DNS με ενοποιημένη υπηρεσία καταλόγου Active Directory
Το μέγεθος της οπής USN μπορεί να αντιπροσωπεύει εκατοντάδες, χιλιάδες ή ακόμη και δεκάδες χιλιάδες αλλαγές σε χρήστες, υπολογιστές, σχέσεις αξιοπιστίας, κωδικοί πρόσβασης και ομάδες ασφαλείας. (Το κενό USN καθορίζεται από τη διαφορά μεταξύ υψηλότερο USN που υπήρχαν όταν δημιουργήθηκε το αντίγραφο ασφαλείας της κατάστασης συστήματος επαναφορά και αλλαγή του πλήθους των καταγωγής που δημιουργήθηκαν στον ελεγκτή τομέα έλασης πίσω πριν από τη λήψη χωρίς σύνδεση.)

Εντοπισμός μιας USN επαναφοράς σε έναν ελεγκτή τομέα που εκτελεί Windows Server

Επειδή τα σφάλματα δεν καταγράφονται στο αρχείο καταγραφής συμβάντων ή στο μηχανισμό αναπαραγωγής, μια επαναφορά USN μπορεί να είναι δύσκολο να εντοπίσετε.

Ένας τρόπος για να εντοπίσετε μια επαναφορά USN είναι να χρησιμοποιήσετε την έκδοση του Repadmin.exe διακομιστή των Windows για την εκτέλεση της εντολής repadmin /showutdvec . Αυτή η έκδοση του Repadmin.exe εμφανίζει το up-to-dateness διάνυσμα USN για όλους τους ελεγκτές τομέα που αναπαράγει ένα κοινό περιβάλλον ονομασίας. Για να εντοπίσετε μια επαναφορά USN, συγκρίνετε την έξοδο της εντολής repadmin /showutdvec στον ελεγκτή τομέα με την έξοδο από την ίδια εντολή σε συνομιλητές αναπαραγωγής του ελεγκτή τομέα. Εάν τα άμεσα μέλη αναπαραγωγής έχουν υψηλότερο USN αριθμό για τον ελεγκτή τομέα από τον ελεγκτή τομέα που έχει για τον εαυτό και της εντολής repadmin/showreps δεν αναφέρει σφάλματα αναπαραγωγής μεταξύ άμεσα μέλη αναπαραγωγής, έχετε εντυπωσιακή αποδεικτικά στοιχεία σχετικά με μια επαναφορά USN.

Σημείωση Ελεγκτής τομέα σωστή επαναφορά επαναφέρει το χαρακτηριστικό ID τοπική κλήση κατά την επανεκκίνηση σε υπηρεσία καταλόγου Active Directory μετά την επαναφορά της κατάστασης συστήματος, χρησιμοποιώντας μια υποστηριζόμενη μέθοδος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς. Όταν το Αναγνωριστικό ενεργοποίησης επαναφοράς εξερχόμενη αναπαραγωγή, ελεγκτές τομέα στο σύμπλεγμα δομών καταγράφει το Αναγνωριστικό ενεργοποίησης επαναφοράς ως μια νέα περίοδο λειτουργίας βάσης δεδομένων στον ελεγκτή τομέα που επαναφέρεται. Παρόλο που ο ελεγκτής τομέα που επαναφέρεται εξακολουθεί να είναι το ίδιο ελεγκτή τομέα, τους ελεγκτές του απομακρυσμένου τομέα αναγνωρίζουν αυτόν τον ελεγκτή τομέα που επαναφέρεται ως συνομιλητή αναπαραγωγής, επειδή άλλαξε το Αναγνωριστικό ενεργοποίησης. (Το Αναγνωριστικό της ενεργοποίησης είναι η ταυτότητα της παρουσίας της βάσης δεδομένων.) Ο ίδιος ο ελεγκτής τομέα που επαναφέρατε θα δεχτεί αλλαγές από άλλους ελεγκτές απομακρυσμένου τομέα που προέρχεται από τους ελεγκτές του απομακρυσμένου τομέα και στον ελεγκτή τομέα, πριν να έχει ανακτηθεί.

Το ακόλουθο παράδειγμα εμφανίζει το αποτέλεσμα της εντολής repadmin /showutdvec σε DC1 και DC2 στον τομέα contoso.com. Σε αυτό το παράδειγμα, η εντολή εκτελείται αμέσως μετά την επαναφορά στο βήμα 5.
C:\ > Repadmin /showutdvec dc1 dc = contoso, dc = com
Προσωρινή αποθήκευση GUID...
Site1\DC1 @ USN 10 @ ώρα 2004-08-04 15:07:15
Site2\DC2 @ USN 24805 @ ώρα 2004-08-04 15:06:59
C:\ > Repadmin /showutdvec ελεγκτή τομέα dc2 dc = contoso, dc = com
Προσωρινή αποθήκευση GUID...
Site1\DC1 @ USN 50 @ ώρα 2004-08-04 15:07:15
Site2\DC2 @ USN 24805 @ ώρα 2004-08-04 15:06:59
Η έξοδος από DC1 εμφανίζει ένα τοπικό USN 10. Ελεγκτή τομέα DC2 έχει αναπαράχθηκε εσωτερικά τελευταίος USN 50 και θα αγνοήσει τις ενημερώσεις της υπηρεσίας καταλόγου Active Directory που αντιστοιχούν στα επόμενα 40 τους αριθμούς USN από τη συντάκτρια DC1.

Εντοπισμός μιας USN επαναφοράς σε έναν ελεγκτή τομέα Windows Server με την επείγουσα επιδιόρθωση 875495 (ή ένα λειτουργικό σύστημα που περιλαμβάνει αυτή η επείγουσα επιδιόρθωση) εγκατάσταση

Επειδή μια επαναφορά USN είναι δύσκολο για τον εντοπισμό, έναν ελεγκτή τομέα Windows Server με τη λειτουργικότητα της επείγουσας επιδιόρθωσης 875495 εγκατεστημένα αρχεία καταγραφής συμβάντων 2095 όταν ένας ελεγκτής τομέα προέλευσης στέλνει προηγουμένως αναγνωρισμένες αριθμός USN σε έναν ελεγκτή τομέα προορισμού χωρίς αντίστοιχη αλλαγή στο αναγνωριστικό της ενεργοποίησης στο.

Για να αποτρέψετε την μοναδική καταγωγής ενημερωμένες εκδόσεις για την υπηρεσία καταλόγου Active Directory που δημιουργούνται στον ελεγκτή τομέα που επαναφέρεται σωστά, η υπηρεσία Net Logon έχει διακοπεί προσωρινά. Όταν έχει διακοπεί η υπηρεσία Net Logon, τους λογαριασμούς χρήστη και υπολογιστή δεν είναι δυνατό να αλλάξετε τον κωδικό πρόσβασης σε έναν ελεγκτή τομέα που θα δεν εξερχόμενων-αντιγραφή τέτοιου είδους αλλαγές. Ομοίως, τα εργαλεία διαχείρισης της υπηρεσίας καταλόγου Active Directory θα προτιμήσει έναν υγιή ελεγκτή τομέα όταν κάνουν ενημερωμένες εκδόσεις σε αντικείμενα της υπηρεσίας καταλόγου Active Directory.

Σε έναν ελεγκτή τομέα με τη λειτουργικότητα της επείγουσας επιδιόρθωσης 875495 εγκατεστημένα, μηνύματα συμβάντων που μοιάζουν με τα ακόλουθα καταγράφονται εάν ισχύουν οι ακόλουθες συνθήκες:
  • Ελεγκτής τομέα προέλευσης στέλνει προηγουμένως αναγνωρισμένες αριθμός USN σε έναν ελεγκτή τομέα προορισμού.
  • Δεν υπάρχει αντίστοιχη αλλαγή στο αναγνωριστικό της ενεργοποίησης στο.
Μήνυμα 1 Μήνυμα 2 Το μήνυμα 3 Μήνυμα 4 Αυτά τα συμβάντα μπορεί να καταγραφούν στο αρχείο καταγραφής συμβάντων της υπηρεσίας καταλόγου. Ωστόσο, αυτά ενδέχεται να αντικατασταθούν πριν να παρατηρηθούν από ένα διαχειριστή.

Ανάκτηση από μια επαναφορά USN

Υπάρχουν δύο προσεγγίσεις για την ανάκτηση από μια επαναφορά USN:

R Κατάργηση ελεγκτή τομέα από τον τομέα, ακολουθήστε τα εξής βήματα:
  1. Καταργήστε την υπηρεσία καταλόγου Active Directory από τον ελεγκτή τομέα για να επιβάλετε να είναι αυτόνομο διακομιστή.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    332199 ελεγκτές τομέων δεν πραγματοποιείται ομαλά όταν χρησιμοποιείτε τον Οδηγό εγκατάστασης της Active Directory για αναγκαστικό υποβιβασμό προγράμματα στον Windows Server 2003 και Windows 2000 Server

  2. Τερματισμός στον υποβιβασμένο διακομιστή.
  3. Σε έναν ελεγκτή τομέα σε καλή κατάσταση, εκκαθάριση μετα-δεδομένων για τον υποβιβασμένο ελεγκτή τομέα.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    216498 Τρόπος κατάργησης δεδομένων στην υπηρεσία καταλόγου Active Directory έπειτα από ανεπιτυχή υποβιβασμό

  4. Εάν τις λειτουργίες επαναφοράς εσφαλμένα τομέα ελεγκτής κεντρικούς υπολογιστές πρότυπες ρόλους, μεταβιβάσετε αυτούς τους ρόλους σε έναν υγιή ελεγκτή τομέα.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    255504 χρήση του Ntdsutil.exe για τη μεταφορά ή τη δέσμευση ρόλων FSMO σε ελεγκτή τομέα

  5. Κάντε επανεκκίνηση στον υποβιβασμένο διακομιστή.
  6. Εάν σας ζητηθεί να, εγκατάσταση υπηρεσίας καταλόγου Active Directory ξανά στο αυτόνομο διακομιστή.
  7. Εάν ο ελεγκτής τομέα που είχε πριν έναν καθολικό κατάλογο, ρυθμίστε τις παραμέτρους του ελεγκτή τομέα είναι ένας καθολικός κατάλογος.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    313994 τρόπος για να δημιουργήσετε ή να μετακινήσετε έναν καθολικό κατάλογο στα Windows 2000

  8. Εάν ο ελεγκτής τομέα βρίσκεται προηγουμένως οι πρωτεύοντες ρόλοι λειτουργιών, μεταφέρετε τις λειτουργίες πρωτεύοντες ρόλους πίσω στον ελεγκτή τομέα.
    Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

    255504 χρήση του Ntdsutil.exe για τη μεταφορά ή τη δέσμευση ρόλων FSMO σε ελεγκτή τομέα

Επαναφέρετε την κατάσταση συστήματος από ένα σωστό αντίγραφο ασφαλείας.

Αξιολογεί αν υπάρχουν αντίγραφα ασφαλείας της κατάστασης συστήματος που ισχύει για αυτόν τον ελεγκτή τομέα. Εάν ένα αντίγραφο ασφαλείας της κατάστασης συστήματος έγκυρη έγινε πριν ο ελεγκτής τομέα έλασης πίσω επανήλθε εσφαλμένα και το αντίγραφο ασφαλείας περιέχει πρόσφατες αλλαγές που έγιναν στον ελεγκτή τομέα, θα πρέπει να επαναφέρετε την κατάσταση συστήματος από το πιο πρόσφατο αντίγραφο ασφαλείας.

Μπορείτε επίσης να χρησιμοποιήσετε το στιγμιότυπο ως προέλευση ένα αντίγραφο ασφαλείας. Ή μπορείτε να ορίσετε τη βάση δεδομένων για να αναλάβει ένα νέο Αναγνωριστικό ενεργοποίησης χρησιμοποιώντας τη διαδικασία στην ενότητα "για να επαναφέρετε μια προηγούμενη έκδοση ενός ελεγκτή τομέα εικονικού VHD χωρίς αντίγραφο ασφαλείας των δεδομένων κατάστασης συστήματος" σε αυτό το άρθρο: http://technet.microsoft.com/en-us/library/dd363545(WS.10).aspx

Πληροφορίες άμεσης επιδιόρθωσης

Μια υποστηριζόμενη άμεση επιδιόρθωση είναι διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του προβλήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το συγκεκριμένο πρόβλημα. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.

Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, τότε υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, επικοινωνήστε με την Υπηρεσία εξυπηρέτησης πελατών και υποστήριξης της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.

Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για μια πλήρη λίστα αριθμών τηλεφώνου υπηρεσία εξυπηρέτησης πελατών της Microsoft και υποστήριξη ή για να δημιουργήσετε μια ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Σημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα.

Πληροφορίες αρχείων

Η αγγλική έκδοση αυτής της άμεσης επιδιόρθωσης έχει τα χαρακτηριστικά αρχείου (ή νεότερα χαρακτηριστικά αρχείου) που παρατίθενται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, μετατρέπεται σε τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα ζώνη ώρας στο στοιχείο " ημερομηνία και ώρα " στον πίνακα ελέγχου. Επαναφοράς της κατάστασης συστήματος.

Αξιολογεί αν υπάρχουν αντίγραφα ασφαλείας της κατάστασης συστήματος που ισχύει για αυτόν τον ελεγκτή τομέα. Εάν ένα αντίγραφο ασφαλείας της κατάστασης συστήματος έγκυρη έγινε πριν ο ελεγκτής τομέα έλασης πίσω επανήλθε εσφαλμένα και το αντίγραφο ασφαλείας περιέχει πρόσφατες αλλαγές που έγιναν στον ελεγκτή τομέα, θα πρέπει να επαναφέρετε την κατάσταση συστήματος από το πιο πρόσφατο αντίγραφο ασφαλείας.
Ιδιότητες

Αναγνωριστικό άρθρου: 875495 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια