Ein Windows Server-Domänencontroller protokolliert das Verzeichnisdienstereignis 2095, wenn ein USN-Rollback auftritt

In diesem Artikel wird beschrieben, wie Sie mithilfe einer imagebasierten Installation des Betriebssystems erkennen und wiederherstellen, wenn ein Rollback für einen Windows Server-Domänencontroller fälschlicherweise ausgeführt wurde.

Gilt für: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 875495

Zusammenfassung

In diesem Artikel wird ein Automatischer Active Directory-Replikationsfehler beschrieben, der durch einen USN-Rollback (Update Sequence Number) verursacht wird. Ein USN-Rollback tritt auf, wenn eine ältere Version einer Active Directory-Datenbank fälschlicherweise wiederhergestellt oder eingefügt wird.

Wenn ein USN-Rollback auftritt, werden Änderungen an Objekten und Attributen, die auf einem Domänencontroller auftreten, nicht auf andere Domänencontroller in der Gesamtstruktur repliziert. Da Replikationspartner glauben, dass sie über eine aktuelle Kopie der Active Directory-Datenbank verfügen, melden Überwachungs- und Problembehandlungstools wie Repadmin.exe keine Replikationsfehler.

Domänencontroller protokollieren das Verzeichnisdiensteereignis 2095 im Verzeichnisdienste-Ereignisprotokoll, wenn sie ein USN-Rollback erkennen. Der Text der Ereignisnachricht leitet Administratoren an diesen Artikel weiter, um mehr über Wiederherstellungsoptionen zu erfahren.

Beispiel für ereignis 2095-Protokolleintrag

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

In den folgenden Themen wird erläutert, wie Ein USN-Rollback auf einem Windows Server-basierten Domänencontroller erkannt und wiederhergestellt wird.

Unterstützte Methoden zum Sichern von Active Directory auf Domänencontrollern, auf denen Windows Server 2012 und höheren Versionen ausgeführt werden

Windows Server 2012 fügt Unterstützung für Hyper-Visor Generation ID (GenID) hinzu. Dadurch kann der virtuelle Gast die Datenträgervolumes erkennen, die über eine neue ID verfügen, und auf die neue GenID reagieren. In Active Directory reagieren Die Verzeichnisdienste so, als ob der Domänencontroller aus einer Sicherung wiederhergestellt wurde. Anschließend wird eine neue Aufruf-ID generiert. Mithilfe der neuen Aufruf-ID kann die Datenbank instance die Replikation in der Gesamtstruktur sicher wieder aufrufen.

Dies ist eines der Szenarien, die unter Bereitstellung und Konfiguration des virtualisierten Domänencontrollers behandelt werden.

Unterstützte Methoden zum Sichern von Active Directory auf Domänencontrollern, auf denen Windows Server 2003 oder höhere Versionen von Windows Server ausgeführt werden

Während des Lebenszyklus eines Domänencontrollers müssen Sie möglicherweise den Inhalt der Active Directory-Datenbank auf einen bekannten fehlerfreien Zeitpunkt wiederherstellen oder "zurücksetzen". Oder Sie müssen elemente des Hostbetriebssystems eines Domänencontrollers, einschließlich Active Directory, auf einen bekannten fehlerfreien Punkt zurücksetzen.

Im Folgenden werden Methoden unterstützt, die Sie zum Zurücksetzen des Inhalts von Active Directory verwenden können:

• Verwenden Sie ein Active Directory-fähiges Sicherungs- und Wiederherstellungsprogramm, das von Microsoft bereitgestellte und von Microsoft getestete APIs verwendet. Diese APIs stellen nicht autoritativ oder autoritativ eine Systemstatussicherung wieder her. Die sicherung, die wiederhergestellt wird, sollte von derselben Betriebssysteminstallation und von demselben physischen oder virtuellen Computer stammen, der wiederhergestellt wird.

• Verwenden Sie ein Active Directory-fähiges Hilfsprogramm für Sicherung und Wiederherstellung, das Microsoft Volume Shadow Copy Service-APIs verwendet. Diese APIs sichern und stellen den Systemstatus des Domänencontrollers wieder her. Der Volumeschattenkopie-Dienst unterstützt das Erstellen einzelner Point-in-Time-Schattenkopien einzelner oder mehrerer Volumes auf Computern unter Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2. Single Point-in-Time-Schattenkopien werden auch als Momentaufnahmen bezeichnet. Weitere Informationen finden Sie unter "Volumeschattenkopie-Dienst" in Microsoft-Support.

• Stellen Sie den Systemstatus wieder her. Bewerten Sie, ob für diesen Domänencontroller gültige Systemstatussicherungen vorhanden sind. Wenn eine gültige Systemstatussicherung durchgeführt wurde, bevor der Rollback-Domänencontroller fälschlicherweise wiederhergestellt wurde, und wenn die Sicherung die letzten Änderungen enthält, die auf dem Domänencontroller vorgenommen wurden, stellen Sie den Systemstatus aus der letzten Sicherung wieder her.

Typisches Verhalten beim Wiederherstellen einer Active Directory-fähigen Systemstatussicherung

Windows Server-Domänencontroller verwenden USNs zusammen mit den Aufruf-IDs, um Updates nachzuverfolgen, die zwischen Replikationspartnern in einer Active Directory-Gesamtstruktur repliziert werden müssen.

Quelldomänencontroller verwenden USNs, um zu bestimmen, welche Änderungen bereits vom Zieldomänencontroller empfangen wurden, der Änderungen anfordert. Zieldomänencontroller verwenden USNs, um zu bestimmen, welche Änderungen von Quelldomänencontrollern angefordert werden sollen.

Die Aufruf-ID gibt die Version oder Instanziierung der Active Directory-Datenbank an, die auf einem bestimmten Domänencontroller ausgeführt wird.

Wenn Active Directory auf einem Domänencontroller mithilfe der VON Microsoft entworfenen und getesteten APIs und Methoden wiederhergestellt wird, wird die Aufruf-ID auf dem wiederhergestellten Domänencontroller ordnungsgemäß zurückgesetzt. Domänencontroller in der Gesamtstruktur erhalten eine Benachrichtigung über das Zurücksetzen des Aufrufs. Daher passen sie ihre hohen Wasserzeichenwerte entsprechend an.

Software und Methoden, die USN-Rollbacks verursachen

Wenn die folgenden Umgebungen, Programme oder Subsysteme verwendet werden, können Administratoren die Überprüfungen und Überprüfungen umgehen, die von Microsoft bei der Wiederherstellung des Domänencontroller-Systemstatus durchgeführt werden sollen:

• Starten eines Active Directory-Domänencontrollers, dessen Active Directory-Datenbankdatei mithilfe eines Imageerstellungsprogramms wie Norton Ghost wiederhergestellt (kopiert) wurde.

• Starten eines zuvor gespeicherten Images einer virtuellen Festplatte eines Domänencontrollers. Das folgende Szenario kann zu einem USN-Rollback führen:

  1. Heraufstufen eines Domänencontrollers in einer virtuellen Hostingumgebung.
  2. Erstellen Sie eine Momentaufnahme oder eine alternative Version der virtuellen Hostingumgebung.
  3. Lassen Sie den Domänencontroller die eingehende Replikation und die ausgehende Replikation fortsetzen.
  4. Starten Sie die Imagedatei des Domänencontrollers, die Sie in Schritt 2 erstellt haben.

• Beispiele für virtualisierte Hostingumgebungen, die dieses Szenario verursachen, sind Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 und EMC VMWARE. Dieses Szenario kann auch von anderen virtualisierten Hostingumgebungen verursacht werden.

• Weitere Informationen zu den Supportbedingungen für Domänencontroller in virtuellen Hostingumgebungen finden Sie unter Überlegungen zum Hosten von Active Directory-Domänencontrollern in virtuellen Hostingumgebungen.

• Starten eines Active Directory-Domänencontrollers, der sich auf einem Volume befindet, auf dem das Datenträgersubsystem geladen wird, indem zuvor gespeicherte Images des Betriebssystems verwendet werden, ohne dass eine Wiederherstellung des Systemzustands von Active Directory erforderlich ist.

  • Szenario A: Starten mehrerer Kopien von Active Directory auf einem Datenträgersubsystem, das mehrere Versionen eines Volumes speichert

    1. Heraufstufen eines Domänencontrollers. Suchen Sie die Datei Ntds.dit auf einem Datenträgersubsystem, das mehrere Versionen des Volumes speichern kann, das die Datei Ntds.dit hostet.
    2. Verwenden Sie das Datenträgersubsystem, um eine Momentaufnahme des Volumes zu erstellen, das die Datei Ntds.dit für den Domänencontroller hostet.
    3. Lassen Sie den Domänencontroller weiterhin Active Directory von dem Volume laden, das Sie in Schritt 1 erstellt haben.
    4. Starten Sie den Domänencontroller, den die Active Directory-Datenbank in Schritt 2 gespeichert hat.

  • Szenario B: Starten von Active Directory von anderen Laufwerken in einem fehlerhaften Spiegel

    1. Heraufstufen eines Domänencontrollers. Suchen Sie die Datei Ntds.dit auf einem gespiegelten Laufwerk.
    2. Unterbrechen Sie die Spiegel.
    3. Fahren Sie mit der eingehenden und ausgehenden Replikation fort, indem Sie die Datei Ntds.dit auf dem ersten Laufwerk im Spiegel verwenden.
    4. Starten Sie den Domänencontroller mithilfe der Datei Ntds.dit auf dem zweiten Laufwerk im Spiegel.

Auch wenn nicht beabsichtigt, kann jedes dieser Szenarien dazu führen, dass Domänencontroller durch nicht unterstützte Methoden ein Rollback auf eine ältere Version der Active Directory-Datenbank ausführen. Die einzige unterstützte Möglichkeit zum Zurücksetzen des Inhalts von Active Directory oder des lokalen Zustands eines Active Directory-Domänencontrollers besteht darin, ein Active Directory-fähiges Hilfsprogramm für Sicherung und Wiederherstellung zu verwenden, um eine Systemstatussicherung wiederherzustellen, die von derselben Betriebssysteminstallation und demselben physischen oder virtuellen Computer stammt, der wiederhergestellt wird.

Microsoft unterstützt keinen anderen Prozess, der eine Momentaufnahme der Elemente des Systemstatus eines Active Directory-Domänencontrollers übernimmt und Elemente dieses Systemzustands in ein Betriebssystemimage kopiert. Sofern kein Administrator eingreift, führen solche Prozesse zu einem USN-Rollback. Dieser USN-Rollback bewirkt, dass die direkten und transitiven Replikationspartner eines fälschlicherweise wiederhergestellten Domänencontrollers inkonsistente Objekte in ihren Active Directory-Datenbanken aufweisen.

Die Auswirkungen eines USN-Rollbacks

Wenn USN-Rollbacks auftreten, werden Änderungen an Objekten und Attributen nicht von Zieldomänencontrollern repliziert, die zuvor den USN gesehen haben.

Da diese Zieldomänencontroller glauben, dass sie auf dem neuesten Stand sind, werden keine Replikationsfehler in Verzeichnisdienst-Ereignisprotokollen oder von Überwachungs- und Diagnosetools gemeldet.

Ein USN-Rollback kann sich auf die Replikation von Objekten oder Attributen in einer Partition auswirken. Der am häufigsten beobachtete Nebeneffekt ist, dass Benutzerkonten und Computerkonten, die auf dem Rollback-Domänencontroller erstellt werden, auf einem oder mehreren Replikationspartnern nicht vorhanden sind. Oder die Kennwortupdates, die auf dem Rollback-Domänencontroller stammen, sind auf Replikationspartnern nicht vorhanden.

Die folgenden Schritte zeigen die Abfolge der Ereignisse, die zu einem USN-Rollback führen können. Ein USN-Rollback tritt auf, wenn der Domänencontroller-Systemstatus mithilfe einer nicht unterstützten Systemstatuswiederherstellung in der Zeit zurückgesetzt wird.

1. Ein Administrator erhöht drei Domänencontroller in einer Domäne. (In diesem Beispiel sind die Domänencontroller DC1, DC2 und DC2, und die Domäne ist Contoso.com.) DC1 und DC2 sind direkte Replikationspartner. DC2 und DC3 sind ebenfalls direkte Replikationspartner. DC1 und DC3 sind keine direkten Replikationspartner, erhalten aber ursprünglichen Updates transitiv über DC2.

2. Ein Administrator erstellt 10 Benutzerkonten, die den USNs 1 bis 10 auf DC1 entsprechen. Alle diese Konten werden in DC2 und DC3 repliziert.

3. Ein Datenträgerimage eines Betriebssystems wird auf DC1 erfasst. Dieses Bild enthält einen Datensatz von Objekten, die lokalen USNs 1 bis 10 auf DC1 entsprechen.

4. Die folgenden Änderungen werden in Active Directory vorgenommen:

   • Die Kennwörter für alle 10 Benutzerkonten, die in Schritt 2 erstellt wurden, werden auf DC1 zurückgesetzt. Diese Kennwörter entsprechen den USNs 11 bis 20. Alle 10 aktualisierten Kennwörter werden auf DC2 und DC3 repliziert.
   • Auf DC1 werden 10 neue Benutzerkonten erstellt, die den USNs 21 bis 30 entsprechen. Diese 10 Benutzerkonten werden in DC2 und DC3 repliziert.
   • Auf DC1 werden 10 neue Computerkonten erstellt, die den USNs 31 bis 40 entsprechen. Diese 10 Computerkonten werden in DC2 und DC3 repliziert.
   • 10 neue Sicherheitsgruppen, die den USNs 41 bis 50 entsprechen, werden auf DC1 erstellt. Diese 10 Sicherheitsgruppen werden auf DC2 und DC3 repliziert.

5. DC1 hat einen Hardware- oder Softwarefehler. Der Administrator verwendet ein Hilfsprogramm für die Datenträgerimageerstellung, um das in Schritt 3 erstellte Betriebssystemimage zu kopieren. DC1 beginnt jetzt mit einer Active Directory-Datenbank, die Über Kenntnisse der USNs 1 bis 10 verfügt.

   Da das Betriebssystemimage kopiert wurde und eine unterstützte Methode zum Wiederherstellen des Systemzustands nicht verwendet wurde, verwendet DC1 weiterhin dieselbe Aufruf-ID, die die erste Kopie der Datenbank erstellt hat, und alle Änderungen bis USN 50. DC2 und DC3 behalten auch die gleiche Aufruf-ID für DC1 sowie einen aktuellen Vektor von USN 50 für DC1 bei. (Ein aktueller Vektor ist die aktuelle status der letzten ursprünglichen Updates auf allen Domänencontrollern für eine bestimmte Verzeichnispartition.)

   Sofern kein Administrator eingreift, replizieren DC2 und DC3 nicht eingehender Datenverkehr die Änderungen, die den lokalen USN 11 bis 50 entsprechen, die von DC1 stammen. Außerdem verfügt DC1 gemäß der Aufruf-ID, die DC2 verwendet, bereits über Kenntnis der Änderungen, die USN 11 bis 50 entsprechen. Daher sendet DC2 diese Änderungen nicht. Da die Änderungen in Schritt 4 auf DC1 nicht vorhanden sind, schlagen Anmeldeanforderungen mit dem Fehler "Zugriff verweigert" fehl. Dieser Fehler tritt entweder auf, weil Kennwörter nicht übereinstimmen oder weil das Konto nicht vorhanden ist, wenn sich die neueren Konten zufällig mit DC1 authentifizieren.

6. Administratoren, die die Replikationsintegrität in der Gesamtstruktur überwachen, beachten die folgenden Situationen:

   • Das Repadmin /showreps Befehlszeilentool meldet, dass die bidirektionale Active Directory-Replikation zwischen DC1 und DC2 sowie zwischen DC2 und DC3 fehlerfrei erfolgt. Diese Situation erschwert die Erkennung von Replikationsinkonsistenzen.

   • Replikationsereignisse in den Verzeichnisdienstereignisprotokollen von Domänencontrollern, auf denen Windows Server ausgeführt wird, weisen keine Replikationsfehler in den Verzeichnisdienstereignisprotokollen auf. Diese Situation erschwert die Erkennung von Replikationsinkonsistenzen.

   • Active Directory-Benutzer und -Computer oder das Active Directory-Verwaltungstool (Ldp.exe) zeigen eine andere Anzahl von Objekten und unterschiedliche Objektmetadaten an, wenn die Domänenverzeichnispartitionen auf DC2 und DC3 mit der Partition auf DC1 verglichen werden. Der Unterschied besteht in den Änderungen, die den USN-Änderungen 11 bis 50 in Schritt 4 zugeordnet sind.

     Hinweis

     In diesem Beispiel gilt die unterschiedliche Objektanzahl für Benutzerkonten, Computerkonten und Sicherheitsgruppen. Die unterschiedlichen Objektmetadaten stellen die unterschiedlichen Benutzerkontenkennwörter dar.

   • Benutzerauthentifizierungsanforderungen für die 10 Benutzerkonten, die in Schritt 2 erstellt wurden, generieren gelegentlich den Fehler "Zugriff verweigert" oder "falsches Kennwort". Dieser Fehler kann auftreten, weil ein Kennwortkonflikt zwischen diesen Benutzerkonten auf DC1 und den Konten auf DC2 und DC3 besteht. Die Benutzerkonten, bei denen dieses Problem auftritt, entsprechen den Benutzerkonten, die in Schritt 4 erstellt wurden. Die Benutzerkonten und Kennwortzurücksetzungen in Schritt 4 wurden nicht auf andere Domänencontroller in der Domäne repliziert.

7. DC2 und DC3 beginnen mit der eingehenden Replikation von ursprünglichen Updates, die USN-Nummern entsprechen, die größer als 50 von DC1 sind. Diese Replikation erfolgt normal ohne administrative Eingriffe, da der zuvor aufgezeichnete Vektorschwellenwert für die Aktualität von USN 50 überschritten wurde. (USN 50 war der up-to-dateness vector USN, der für DC1 auf DC2 und DC3 aufgezeichnet wurde, bevor DC1 offline geschaltet und wiederhergestellt wurde.) Die neuen Änderungen, die den USNs 11 bis 50 auf dem ursprünglichen DC1 nach der nicht unterstützten Wiederherstellung entsprachen, werden jedoch nie auf DC2, DC3 oder deren transitive Replikationspartner repliziert.

Obwohl die in Schritt 6 erwähnten Symptome einige der Auswirkungen darstellen, die ein USN-Rollback auf Benutzer- und Computerkonten haben kann, kann ein USN-Rollback verhindern, dass jeder Objekttyp in jeder Active Directory-Partition repliziert wird. Diese Objekttypen umfassen Folgendes:

• Die Active Directory-Replikationstopologie und der Zeitplan

• Das Vorhandensein von Domänencontrollern in der Gesamtstruktur und die Rollen, die diese Domänencontroller besitzen

  Hinweis

  Zu diesen Rollen gehören der globale Katalog, relative Bezeichnerzuordnungen (RID) und Vorgänge master Rollen. (Operations master-Rollen werden auch als flexible Single master-Vorgänge oder FSMO bezeichnet.)

• Das Vorhandensein von Domänen- und Anwendungspartitionen in der Gesamtstruktur

• Das Vorhandensein von Sicherheitsgruppen und deren aktuellen Gruppenmitgliedschaften

• DNS-Eintragsregistrierung in Active Directory-integrierten DNS-Zonen

Die Größe des USN-Lochs kann Hunderte, Tausende oder sogar Zehntausende von Änderungen an Benutzern, Computern, Vertrauensstellungen, Kennwörtern und Sicherheitsgruppen darstellen. (Die USN-Lücke wird durch die Differenz zwischen der höchsten USN-Zahl definiert, die bei der Wiederherstellung der Systemstatussicherung vorhanden war, und der Anzahl der ursprünglichen Änderungen, die auf dem Rollback-Domänencontroller erstellt wurden, bevor er offline geschaltet wurde.)

Erkennen eines USN-Rollbacks auf einem Windows Server-Domänencontroller

Da ein USN-Rollback schwer zu erkennen ist, protokolliert ein Windows Server 2003 SP1-Domänencontroller oder eine höhere Version das Ereignis 2095, wenn ein Quelldomänencontroller eine zuvor bestätigte USN-Nummer an einen Zieldomänencontroller sendet, ohne dass eine entsprechende Änderung der Aufruf-ID erfolgt.

Um zu verhindern, dass eindeutige ursprüngliche Updates für Active Directory auf dem fälschlicherweise wiederhergestellten Domänencontroller erstellt werden, wird der Net Logon-Dienst angehalten. Wenn der Net Logon-Dienst angehalten wird, können Benutzer- und Computerkonten das Kennwort auf einem Domänencontroller nicht ändern, der solche Änderungen nicht ausgehend repliziert. Ebenso bevorzugen Active Directory-Verwaltungstools einen fehlerfreien Domänencontroller, wenn sie Aktualisierungen an Objekten in Active Directory vornehmen.

Auf einem Domänencontroller werden Ereignismeldungen aufgezeichnet, die der folgenden ähneln, wenn die folgenden Bedingungen erfüllt sind:

• Ein Quelldomänencontroller sendet eine zuvor bestätigte USN-Nummer an einen Zieldomänencontroller.
• Es gibt keine entsprechende Änderung an der Aufruf-ID.

Diese Ereignisse können im Ereignisprotokoll des Verzeichnisdiensts erfasst werden. Sie können jedoch überschrieben werden, bevor sie von einem Administrator beobachtet werden.

Möglicherweise vermuten Sie, dass ein USN-Rollback aufgetreten ist. Die korrelierenden Ereignisse werden jedoch nicht im Ereignisprotokoll des Verzeichnisdiensts angezeigt. Überprüfen Sie in diesem Szenario, ob der Registrierungseintrag Dsa Not Writable (Dsa Nicht schreibbar) angezeigt wird. Dieser Eintrag enthält forensische Beweise für ein USN-Rollback.

• Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Registrierungseintrag: Dsa Nicht beschreibbar
• Wert: 0x4

Wenn Sie den Registrierungseintragswert Dsa Not Writable löschen oder manuell ändern, wird der Rollback-Domänencontroller dauerhaft nicht unterstützt. Daher werden solche Änderungen nicht unterstützt. Durch das Ändern des Werts wird insbesondere das Quarantäneverhalten entfernt, das durch den USN-Rollbackerkennungscode hinzugefügt wurde. Die Active Directory-Partitionen auf dem Rollbackdomänencontroller sind dauerhaft inkonsistent mit direkten und transitiven Replikationspartnern in derselben Active Directory-Gesamtstruktur.

Wiederherstellen nach einem USN-Rollback

Es gibt drei Ansätze für die Wiederherstellung nach einem USN-Rollback.

• Entfernen Sie den Domänencontroller aus der Domäne. Gehen Sie dazu wie folgt vor:

  1. Entfernen Sie Active Directory vom Domänencontroller, um zu erzwingen, dass es sich um einen eigenständigen Server handeln muss. Weitere Informationen finden Sie unter Domänencontroller werden nicht ordnungsgemäß herabstufen, wenn Sie den Active Directory-Installations-Assistenten verwenden, um eine Herabstufung zu erzwingen.

  2. Fahren Sie den herabgestuften Server herunter.

  3. Auf einem fehlerfreien Domänencontroller sauber die Metadaten des herabgestuften Domänencontrollers hoch. Weitere Informationen finden Sie unter Bereinigen Active Directory-Domäne Controller-Servermetadaten.

  4. Wenn der falsch wiederhergestellte Domänencontroller Vorgänge master Rollen hostet, übertragen Sie diese Rollen auf einen fehlerfreien Domänencontroller. Weitere Informationen finden Sie unter Übertragen oder Übernehmen von Vorgangsmasterrollen in Active Directory Domain Services.

  5. Starten Sie den herabgestuften Server neu.

  6. Wenn Dies erforderlich ist, installieren Sie Active Directory erneut auf dem eigenständigen Server.

  7. Wenn der Domänencontroller zuvor ein globaler Katalog war, konfigurieren Sie den Domänencontroller als globalen Katalog. Weitere Informationen finden Sie unter Erstellen oder Verschieben eines globalen Katalogs.

  8. Wenn der Domänencontroller zuvor Vorgänge master Rollen gehostet hat, übertragen Sie die Vorgänge master Rollen zurück auf den Domänencontroller. Weitere Informationen finden Sie unter Übertragen oder Übernehmen von Vorgangsmasterrollen in Active Directory Domain Services.

• Stellen Sie den Systemstatus einer guten Sicherung wieder her.

  Bewerten Sie, ob für diesen Domänencontroller gültige Systemstatussicherungen vorhanden sind. Wenn eine gültige Systemstatussicherung durchgeführt wurde, bevor der Rollback-Domänencontroller fälschlicherweise wiederhergestellt wurde und die Sicherung die letzten Änderungen enthält, die auf dem Domänencontroller vorgenommen wurden, stellen Sie den Systemstatus aus der letzten Sicherung wieder her.

• Stellen Sie den Systemstatus ohne Sicherung des Systemzustands wieder her.

  Sie können die Momentaufnahme als Quelle einer Sicherung verwenden. Sie können die Datenbank auch so festlegen, dass sie sich eine neue Aufruf-ID bezieht, indem Sie das Verfahren im Abschnitt So stellen Sie eine frühere Version einer virtuellen Domänencontroller-VHD ohne Sicherung von Systemstatusdaten des Abschnitts Ausführen vonDomänencontrollern in Hyper-V wieder her.

References

• Zu berücksichtigende Punkte beim Hosten von Active Directory-Domänencontrollern in virtuellen Hostingumgebungen

• Architektur des virtualisierten Domänencontrollers