Een Windows Server-domeincontroller registreert Directory Services-gebeurtenis 2095 wanneer er een USN-terugdraaiactie wordt uitgevoerd

In dit artikel wordt beschreven hoe u detecteert en herstelt als een Windows Server-domeincontroller ten onrechte is teruggedraaid met behulp van een installatiekopieën van het besturingssysteem.

              Van toepassing op: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Origineel KB-nummer: 875495

Samenvatting

In dit artikel wordt een stille Active Directory-replicatiefout beschreven die wordt veroorzaakt door het terugdraaien van een updatereeksnummer (USN). Een USN-terugdraaiactie treedt op wanneer een oudere versie van een Active Directory-database onjuist is hersteld of op zijn plaats is geplakt.

Wanneer een USN-terugdraaiactie plaatsvindt, worden wijzigingen in objecten en kenmerken die plaatsvinden op één domeincontroller niet gerepliceerd naar andere domeincontrollers in het forest. Omdat replicatiepartners denken dat ze een up-to-date kopie van de Active Directory-database hebben, melden bewakings- en probleemoplossingshulpprogramma's zoals Repadmin.exe geen replicatiefouten.

Domeincontrollers registreren Directory Services-gebeurtenis 2095 in het gebeurtenislogboek van Directory Services wanneer ze een USN-terugdraaiactie detecteren. De tekst van het gebeurtenisbericht stuurt beheerders naar dit artikel voor meer informatie over herstelopties.

Voorbeeld van gebeurtenis 2095-logboekvermelding

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

In de volgende onderwerpen wordt beschreven hoe u een USN-terugdraaiactie kunt detecteren en herstellen in een Windows Server-domeincontroller.

Ondersteunde methoden voor het maken van back-ups van Active Directory op domeincontrollers waarop Windows Server 2012 en latere versies worden uitgevoerd

Windows Server 2012 voegt ondersteuning toe voor Hyper-Visor Generation ID (GenID). Hierdoor kan de virtuele gast de schijfvolumes met een nieuwe id detecteren en reageren op de nieuwe GenID. In Active Directory reageert Directory Services alsof de domeincontroller is hersteld vanuit een back-up. Vervolgens wordt er een nieuwe aanroep-id gegenereerd. Door de nieuwe aanroep-id te gebruiken, kan het database-exemplaar veilig replicatie in het forest opnieuw invoeren.

Dit is een van de scenario's die worden behandeld in Implementatie en configuratie van gevirtualiseerde domeincontrollers.

Ondersteunde methoden voor het maken van back-ups van Active Directory op domeincontrollers met Windows Server 2003 of latere versies van Windows Server

Tijdens de levenscyclus van een domeincontroller moet u mogelijk de inhoud van de Active Directory-database herstellen of terugdraaien naar een bekend goed tijdstip. Of mogelijk moet u elementen van het hostbesturingssysteem van een domeincontroller, waaronder Active Directory, terugdraaien naar een bekend goed punt.

De volgende ondersteunde methoden kunt u gebruiken om de inhoud van Active Directory terug te draaien:

• Gebruik een active directory-bewust hulpprogramma voor back-up en herstel dat gebruikmaakt van door Microsoft geleverde en door Microsoft geteste API's. Deze API's herstellen niet-gezaghebbend of gezaghebbend een back-up van een systeemstatus. De back-up die wordt hersteld, moet afkomstig zijn van dezelfde installatie van het besturingssysteem en van dezelfde fysieke of virtuele computer die wordt hersteld.

• Gebruik een active directory-bewust hulpprogramma voor back-up en herstel dat gebruikmaakt van Microsoft Volume Shadow Copy Service-API's. Deze API's maken een back-up van de systeemstatus van de domeincontroller en herstellen deze. De Volume Shadow Copy-service ondersteunt het maken van schaduwkopieën met één bepaald tijdstip van één of meerdere volumes op computers met Windows Server 2003, Windows Server 2008 of Windows Server 2008 R2. Schaduwkopieën met één bepaald tijdstip worden ook wel momentopnamen genoemd. Zoek in Microsoft Ondersteuning naar Volume Shadow Copy Service voor meer informatie.

• De systeemstatus herstellen. Evalueer of er geldige systeemstatusback-ups bestaan voor deze domeincontroller. Als er een geldige back-up van de systeemstatus is gemaakt voordat de teruggedraaide domeincontroller onjuist is hersteld en als de back-up recente wijzigingen bevat die zijn aangebracht op de domeincontroller, herstelt u de systeemstatus van de meest recente back-up.

Typisch gedrag dat optreedt wanneer u een active directory-bewuste systeemstatusback-up herstelt

Windows Server-domeincontrollers gebruiken USN's samen met de aanroep-id's om updates bij te houden die moeten worden gerepliceerd tussen replicatiepartners in een Active Directory-forest.

Brondomeincontrollers gebruiken USN's om te bepalen welke wijzigingen al zijn ontvangen door de doeldomeincontroller die wijzigingen aanvraagt. Doeldomeincontrollers gebruiken USN's om te bepalen welke wijzigingen moeten worden aangevraagd bij brondomeincontrollers.

De aanroep-id identificeert de versie of de instantiatie van de Active Directory-database die wordt uitgevoerd op een bepaalde domeincontroller.

Wanneer Active Directory op een domeincontroller wordt hersteld met behulp van de API's en methoden die Microsoft heeft ontworpen en getest, wordt de aanroep-id correct opnieuw ingesteld op de herstelde domeincontroller. domeincontrollers in het forest ontvangen een melding van het opnieuw instellen van de aanroep. Daarom passen ze hun hoge watermerkwaarden dienovereenkomstig aan.

Software en methodologieën die USN-terugdraaiacties veroorzaken

Wanneer de volgende omgevingen, programma's of subsystemen worden gebruikt, kunnen beheerders de controles en validaties omzeilen die Microsoft heeft ontworpen om uit te voeren wanneer de systeemstatus van de domeincontroller wordt hersteld:

• Een Active Directory-domeincontroller starten waarvan het Active Directory-databasebestand is hersteld (gekopieerd) met behulp van een imaging-programma zoals Norton Ghost.

• Een eerder opgeslagen installatiekopieën van een virtuele harde schijf van een domeincontroller starten. Het volgende scenario kan een USN-terugdraaiactie veroorzaken:

  1. Promoot een domeincontroller in een virtuele hostingomgeving.
  2. Maak een momentopname of een alternatieve versie van de virtuele hostingomgeving.
  3. Laat de domeincontroller binnenkomend repliceren en uitgaand repliceren.
  4. Start het installatiekopieënbestand van de domeincontroller dat u in stap 2 hebt gemaakt.

• Voorbeelden van gevirtualiseerde hostingomgevingen die dit scenario veroorzaken, zijn Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 en EMC VMWARE. Andere gevirtualiseerde hostingomgevingen kunnen dit scenario ook veroorzaken.

• Zie Aandachtspunten bij het hosten van Active Directory-domeincontrollers in virtuele hostingomgevingen voor meer informatie over de ondersteuningsvoorwaarden voor domeincontrollers in virtuele hostingomgevingen.

• Een Active Directory-domeincontroller starten die zich op een volume bevindt waarop het schijfsubsysteem wordt geladen met behulp van eerder opgeslagen installatiekopieën van het besturingssysteem zonder dat een systeemstatusherstel van Active Directory nodig is.

  • Scenario A: Meerdere kopieën van Active Directory starten die zich bevinden op een schijfsubsysteem waarin meerdere versies van een volume worden opgeslagen

    1. Een domeincontroller promoveren. Zoek het bestand Ntds.dit op een schijfsubsysteem dat meerdere versies van het volume kan opslaan dat als host fungeert voor het bestand Ntds.dit.
    2. Gebruik het schijfsubsysteem om een momentopname te maken van het volume dat als host fungeert voor het bestand Ntds.dit voor de domeincontroller.
    3. Ga door met het laden van Active Directory door de domeincontroller vanaf het volume dat u in stap 1 hebt gemaakt.
    4. Start de domeincontroller die de Active Directory-database in stap 2 heeft opgeslagen.

  • Scenario B: Active Directory starten vanaf andere stations in een verbroken mirror

    1. Een domeincontroller promoveren. Zoek het bestand Ntds.dit op een gespiegeld station.
    2. Breek de spiegel.
    3. Ga door met binnenkomende en uitgaande replicatie met behulp van het bestand Ntds.dit op het eerste station in de mirror.
    4. Start de domeincontroller met behulp van het bestand Ntds.dit op het tweede station in de mirror.

Zelfs als dit niet de bedoeling is, kan elk van deze scenario's ertoe leiden dat domeincontrollers worden teruggedraaid naar een oudere versie van de Active Directory-database door niet-ondersteunde methoden. De enige ondersteunde manier om de inhoud van Active Directory of de lokale status van een Active Directory-domeincontroller terug te draaien, is door een hulpprogramma voor back-up en herstel van Active Directory te gebruiken om een systeemstatusback-up te herstellen die afkomstig is van dezelfde installatie van het besturingssysteem en dezelfde fysieke of virtuele computer die wordt hersteld.

Microsoft biedt geen ondersteuning voor een ander proces dat een momentopname maakt van de elementen van de systeemstatus van een Active Directory-domeincontroller en elementen van die systeemstatus kopieert naar een installatiekopie van een besturingssysteem. Tenzij een beheerder tussenkomt, veroorzaken dergelijke processen een terugdraaiactie van USN. Deze USN-terugdraaiactie zorgt ervoor dat de directe en transitieve replicatiepartners van een onjuist herstelde domeincontroller inconsistente objecten in hun Active Directory-databases hebben.

De effecten van een USN-terugdraaiactie

Wanneer USN-terugdraaiacties plaatsvinden, worden wijzigingen in objecten en kenmerken niet binnenkomende gerepliceerd door doeldomeincontrollers die de USN eerder hebben gezien.

Omdat deze doeldomeincontrollers denken dat ze up-to-date zijn, worden er geen replicatiefouten gerapporteerd in de gebeurtenislogboeken van de Directory Service of door bewakings- en diagnostische hulpprogramma's.

Het terugdraaien van USN kan van invloed zijn op de replicatie van een object of kenmerk in een partitie. Het meest waargenomen neveneffect is dat gebruikersaccounts en computeraccounts die zijn gemaakt op de terugdraaidomeincontroller, niet bestaan op een of meer replicatiepartners. Of de wachtwoordupdates die afkomstig zijn van de terugdraaidomeincontroller bestaan niet op replicatiepartners.

In de volgende stappen ziet u de volgorde van gebeurtenissen die een terugdraaiactie van USN kunnen veroorzaken. Een USN-terugdraaibewerking vindt plaats wanneer de systeemstatus van de domeincontroller wordt teruggedraaid in de tijd met behulp van een niet-ondersteund systeemstatusherstel.

1. Een beheerder promoot drie domeincontrollers in een domein. (In dit voorbeeld zijn de domeincontrollers DC1, DC2 en DC2 en is het domein Contoso.com.) DC1 en DC2 zijn directe replicatiepartners. DC2 en DC3 zijn ook directe replicatiepartners. DC1 en DC3 zijn geen directe replicatiepartners, maar ontvangen tijdelijke oorspronkelijke updates via DC2.

2. Een beheerder maakt 10 gebruikersaccounts die overeenkomen met USNs 1 tot en met 10 op DC1. Al deze accounts worden gerepliceerd naar DC2 en DC3.

3. Een schijfinstallatiekopieën van een besturingssysteem worden vastgelegd op DC1. Deze afbeelding heeft een record van objecten die overeenkomen met lokale USNs 1 tot en met 10 op DC1.

4. De volgende wijzigingen worden aangebracht in Active Directory:

   • De wachtwoorden voor alle 10 gebruikersaccounts die in stap 2 zijn gemaakt, worden opnieuw ingesteld op DC1. Deze wachtwoorden komen overeen met USNs 11 tot en met 20. Alle 10 bijgewerkte wachtwoorden worden gerepliceerd naar DC2 en DC3.
   • Er worden 10 nieuwe gebruikersaccounts gemaakt die overeenkomen met USNs 21 tot en met 30 op DC1. Deze 10 gebruikersaccounts worden gerepliceerd naar DC2 en DC3.
   • Er worden 10 nieuwe computeraccounts gemaakt die overeenkomen met USNs 31 tot en met 40 op DC1. Deze 10 computeraccounts worden gerepliceerd naar DC2 en DC3.
   • Er worden 10 nieuwe beveiligingsgroepen gemaakt die overeenkomen met USNs 41 tot en met 50 op DC1. Deze 10 beveiligingsgroepen worden gerepliceerd naar DC2 en DC3.

5. DC1 ondervindt een hardware- of softwarefout. De beheerder gebruikt een hulpprogramma voor schijfinstallatiekopie om de installatiekopie van het besturingssysteem die in stap 3 is gemaakt, naar zijn plaats te kopiëren. DC1 begint nu met een Active Directory-database die kennis heeft van USNs 1 tot en met 10.

   Omdat de installatiekopie van het besturingssysteem naar zijn plaats is gekopieerd en een ondersteunde methode voor het herstellen van de systeemstatus niet is gebruikt, blijft DC1 dezelfde aanroep-id gebruiken die de eerste kopie van de database heeft gemaakt en alle wijzigingen tot USN 50. DC2 en DC3 onderhouden ook dezelfde aanroep-id voor DC1, evenals een up-to-date vector van USN 50 voor DC1. (Een up-to-date vector is de huidige status van de meest recente oorspronkelijke updates die moeten worden uitgevoerd op alle domeincontrollers voor een bepaalde mappartitie.)

   Tenzij een beheerder tussenkomt, repliceren DC2 en DC3 niet binnenkomende wijzigingen die overeenkomen met lokale USN 11 tot en met 50 die afkomstig zijn van DC1. Volgens de aanroep-id die DC2 gebruikt, heeft DC1 ook al kennis van de wijzigingen die overeenkomen met USN 11 tot 50. Daarom verzendt DC2 deze wijzigingen niet. Omdat de wijzigingen in stap 4 niet bestaan op DC1, mislukken aanmeldingsaanvragen met de fout 'toegang geweigerd'. Deze fout treedt op omdat wachtwoorden niet overeenkomen of omdat het account niet bestaat wanneer de nieuwere accounts willekeurig worden geverifieerd met DC1.

6. Beheerders die de replicatiestatus in het forest bewaken, houden rekening met de volgende situaties:

   • Het Repadmin /showreps opdrachtregelprogramma meldt dat active directory-replicatie in twee richtingen tussen DC1 en DC2 en tussen DC2 en DC3 foutloos plaatsvindt. In deze situatie is elke replicatie-inconsistentie moeilijk te detecteren.

   • Replicatie-gebeurtenissen in de gebeurtenislogboeken van de directoryservice van domeincontrollers waarop Windows Server wordt uitgevoerd, duiden niet op replicatiefouten in de gebeurtenislogboeken van de directoryservice. In deze situatie is elke replicatie-inconsistentie moeilijk te detecteren.

   • Active Directory: gebruikers en computers of het Active Directory-beheerprogramma (Ldp.exe) geven een ander aantal objecten en verschillende objectmetagegevens weer wanneer de domeinmappartities op DC2 en DC3 worden vergeleken met de partitie op DC1. Het verschil is de set wijzigingen die worden toegewezen aan USN-wijzigingen 11 tot en met 50 in stap 4.

     Opmerking

     In dit voorbeeld is het verschillende aantal objecten van toepassing op gebruikersaccounts, computeraccounts en beveiligingsgroepen. De verschillende objectmetagegevens vertegenwoordigen de verschillende gebruikersaccountwachtwoorden.

   • Aanvragen voor gebruikersverificatie voor de tien gebruikersaccounts die in stap 2 zijn gemaakt, genereren af en toe een fout 'toegang geweigerd' of 'onjuist wachtwoord'. Deze fout kan optreden omdat er een niet-overeenkomend wachtwoord bestaat tussen deze gebruikersaccounts op DC1 en de accounts op DC2 en DC3. De gebruikersaccounts die dit probleem ondervinden, komen overeen met de gebruikersaccounts die zijn gemaakt in stap 4. De gebruikersaccounts en wachtwoordherstel in stap 4 zijn niet gerepliceerd naar andere domeincontrollers in het domein.

7. DC2 en DC3 beginnen met inkomende replicatie van oorspronkelijke updates die overeenkomen met USN-nummers die groter zijn dan 50 van DC1. Deze replicatie verloopt normaal zonder administratieve tussenkomst omdat de eerder geregistreerde drempelwaarde voor up-to-dateheidsvectoren, USN 50, is overschreden. (USN 50 was de up-to-dateheidsvector USN die is vastgelegd voor DC1 op DC2 en DC3 voordat DC1 offline werd gehaald en hersteld.) De nieuwe wijzigingen die overeenkomen met USNs 11 tot en met 50 op de oorspronkelijke DC1 na het niet-ondersteunde herstel, worden echter nooit gerepliceerd naar DC2, DC3 of hun transitieve replicatiepartners.

Hoewel de symptomen die worden vermeld in stap 6 een deel van het effect vertegenwoordigen dat een USN-terugdraaiactie kan hebben op gebruikers- en computeraccounts, kan een USN-terugdraaiactie voorkomen dat elk objecttype in een Active Directory-partitie wordt gerepliceerd. Deze objecttypen zijn onder andere:

• De Active Directory-replicatietopologie en -planning

• Het bestaan van domeincontrollers in het forest en de rollen die deze domeincontrollers bevatten

  Opmerking

  Deze rollen omvatten de globale catalogus, relatieve id-toewijzingen (RID) en operations master-rollen. (Operations-masterrollen worden ook wel flexibele single master operations of FSMO genoemd.)

• Het bestaan van domein- en toepassingspartities in het forest

• Het bestaan van beveiligingsgroepen en hun huidige groepslidmaatschappen

• Registratie van DNS-records in met Active Directory geïntegreerde DNS-zones

De grootte van het USN-gat kan honderden, duizenden of zelfs tienduizenden wijzigingen voor gebruikers, computers, vertrouwensrelaties, wachtwoorden en beveiligingsgroepen vertegenwoordigen. (Het USN-gat wordt gedefinieerd door het verschil tussen het hoogste USN-nummer dat bestond toen de back-up van de herstelde systeemstatus werd gemaakt en het aantal oorspronkelijke wijzigingen dat is gemaakt op de teruggedraaide domeincontroller voordat deze offline werd gehaald.)

Een USN-terugdraaiactie detecteren op een Windows Server-domeincontroller

Omdat een USN-terugdraaiactie moeilijk te detecteren is, registreert een domeincontroller met Windows Server 2003 SP1 of een latere versie gebeurtenis 2095 wanneer een brondomeincontroller een eerder bevestigd USN-nummer verzendt naar een doeldomeincontroller zonder een bijbehorende wijziging in de aanroep-id.

Om te voorkomen dat er unieke oorspronkelijke updates voor Active Directory worden gemaakt op de onjuist herstelde domeincontroller, wordt de netaanmeldingsservice onderbroken. Wanneer de netaanmeldingsservice is onderbroken, kunnen gebruikers- en computeraccounts het wachtwoord niet wijzigen op een domeincontroller die dergelijke wijzigingen niet uitgaande repliceert. Op dezelfde manier geven Active Directory-beheerprogramma's de voorkeur aan een gezonde domeincontroller wanneer ze objecten in Active Directory bijwerken.

Op een domeincontroller worden gebeurtenisberichten die er ongeveer als volgt uitzien, vastgelegd als aan de volgende voorwaarden wordt voldaan:

• Een brondomeincontroller verzendt een eerder erkend USN-nummer naar een doeldomeincontroller.
• Er is geen overeenkomstige wijziging in de aanroep-id.

Deze gebeurtenissen kunnen worden vastgelegd in het gebeurtenislogboek van de Adreslijstservice. Ze kunnen echter worden overschreven voordat ze worden waargenomen door een beheerder.

U vermoedt mogelijk dat een USN-terugdraaiactie heeft plaatsgevonden. U ziet de bijbehorende gebeurtenissen echter niet in het gebeurtenislogboek van directoryservice. Controleer in dit scenario op de registervermelding Dsa Not Writable. Deze vermelding biedt forensisch bewijs dat een USN-terugdraaiactie heeft plaatsgevonden.

• Registersubsleutel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Registervermelding: Dsa Not Writable
• Waarde: 0x4

Als u de Dsa Not Writable-registervermeldingswaarde verwijdert of handmatig wijzigt, heeft de terugdraaidomeincontroller een permanent niet-ondersteunde status. Dergelijke wijzigingen worden daarom niet ondersteund. Als u de waarde wijzigt, wordt het quarantainegedrag verwijderd dat is toegevoegd door de USN-detectiecode voor terugdraaien. De Active Directory-partities op de terugdraaidomeincontroller zijn permanent inconsistent met directe en transitieve replicatiepartners in hetzelfde Active Directory-forest.

Herstellen van een USN-terugdraaiactie

Er zijn drie benaderingen om te herstellen van een USN-terugdraaiactie.

• Verwijder de domeincontroller uit het domein. Ga hiervoor als volgt te werk:

  1. Verwijder Active Directory van de domeincontroller om af te dwingen dat deze een zelfstandige server wordt. Zie Domeincontrollers degraderen niet correct wanneer u de wizard Active Directory installeren gebruikt om degradatie af te dwingen voor meer informatie.

  2. Sluit de gedegradeerde server af.

  3. Schoon op een gezonde domeincontroller de metagegevens van de gedegradeerde domeincontroller op. Zie Metagegevens van Active Directory-domein controllerserver opschonen voor meer informatie.

  4. Als de onjuist herstelde domeincontroller als host fungeert voor Operations Master-rollen, moet u deze rollen overdragen naar een goed functionerende domeincontroller. Zie Operation Master-rollen overdragen of overnemen in Active Directory Domain Services voor meer informatie.

  5. Start de gedegradeerde server opnieuw op.

  6. Installeer Active Directory opnieuw op de zelfstandige server als dat nodig is.

  7. Als de domeincontroller voorheen een globale catalogus was, configureert u de domeincontroller als een globale catalogus. Zie Een globale catalogus maken of verplaatsen voor meer informatie.

  8. Als de domeincontroller eerder gehoste operations master-rollen heeft, moet u de operations master-rollen terugbrengen naar de domeincontroller. Zie Operation Master-rollen overdragen of overnemen in Active Directory Domain Services voor meer informatie.

• De systeemstatus van een goede back-up herstellen.

  Evalueer of er geldige systeemstatusback-ups bestaan voor deze domeincontroller. Als er een geldige systeemstatusback-up is gemaakt voordat de teruggedraaide domeincontroller onjuist is hersteld en de back-up recente wijzigingen bevat die zijn aangebracht op de domeincontroller, herstelt u de systeemstatus van de meest recente back-up.

• De systeemstatus herstellen zonder back-up van de systeemstatus.

  U kunt de momentopname gebruiken als bron van een back-up. U kunt ook instellen dat de database zichzelf een nieuwe aanroep-id geeft met behulp van de procedure in de sectie Een eerdere versie van een virtuele domeincontroller-VHD herstellen zonder back-up van systeemstatusgegevens van Domeincontrollers uitvoeren in Hyper-V.

Verwijzingen

• Aandachtspunten bij het hosten van Active Directory-domeincontrollers in virtuele hostingomgevingen

• Architectuur van gevirtualiseerde domeincontroller