Zdarzenie usług katalogowych kontrolera domeny systemu Windows Server 2095, gdy napotka wycofanie nazwy USN

W tym artykule opisano sposób wykrywania i odzyskiwania, jeśli kontroler domeny systemu Windows Server jest niepoprawnie wycofywany przy użyciu instalacji systemu operacyjnego opartej na obrazach.

              Dotyczy systemów: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Oryginalny numer KB: 875495

Podsumowanie

W tym artykule opisano dyskretny błąd replikacji usługi Active Directory spowodowany wycofaniem numeru sekwencji aktualizacji (USN). Wycofanie nazwy USN występuje, gdy starsza wersja bazy danych usługi Active Directory zostanie niepoprawnie przywrócona lub wklejona na miejscu.

W przypadku wycofania nazwy USN modyfikacje obiektów i atrybutów, które występują na jednym kontrolerze domeny, nie są replikowane do innych kontrolerów domeny w lesie. Ponieważ partnerzy replikacji uważają, że mają aktualną kopię bazy danych usługi Active Directory, narzędzia do monitorowania i rozwiązywania problemów, takie jak Repadmin.exe, nie zgłaszają żadnych błędów replikacji.

Kontrolery domeny dziennika Usługi katalogowe zdarzenie 2095 w dzienniku zdarzeń usług katalogowych po wykryciu wycofywania usn. Tekst komunikatu o zdarzeniu kieruje administratorów do tego artykułu, aby dowiedzieć się więcej o opcjach odzyskiwania.

Przykład wpisu dziennika zdarzenia 2095

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

W poniższych tematach omówiono sposób wykrywania i odzyskiwania po wycofaniu nazwy USN na kontrolerze domeny opartym na systemie Windows Server.

Obsługiwane metody tworzenia kopii zapasowej usługi Active Directory na kontrolerach domeny z uruchomionymi Windows Server 2012 i nowszych wersjach

Windows Server 2012 dodaje obsługę identyfikatora generacji Hyper-Visor (GenID). Dzięki temu gość wirtualny może wykrywać woluminy dysków, które mają nowy identyfikator, i odpowiadać na nowy identyfikator GenID. W usłudze Active Directory usługi katalogowe reagują tak, jakby kontroler domeny został przywrócony z kopii zapasowej. Następnie generuje nowy identyfikator wywołania. Przy użyciu nowego identyfikatora wywołania wystąpienie bazy danych może bezpiecznie ponownie wprowadzić replikację w lesie.

Jest to jeden ze scenariuszy, który jest omówiony w zwirtualizowanym wdrożeniu i konfiguracji kontrolera domeny.

Obsługiwane metody tworzenia kopii zapasowej usługi Active Directory na kontrolerach domeny z systemem Windows Server 2003 lub nowszym w systemie Windows Server

W cyklu życia kontrolera domeny może być konieczne przywrócenie lub "wycofanie" zawartości bazy danych usługi Active Directory do znanego dobrego punktu w czasie. Może też być konieczne wycofanie elementów systemu operacyjnego hosta kontrolera domeny, w tym usługi Active Directory, do znanego dobrego punktu.

Poniżej przedstawiono obsługiwane metody, których można użyć do wycofania zawartości usługi Active Directory:

• Użyj narzędzia do tworzenia i przywracania kopii zapasowych obsługujących usługę Active Directory, które korzysta z interfejsów API dostarczonych przez firmę Microsoft i przetestowanych przez firmę Microsoft. Te interfejsy API nieautorytatywnie lub autorytatywnie przywracają kopię zapasową stanu systemu. Przywrócona kopia zapasowa powinna pochodzić z tej samej instalacji systemu operacyjnego i z tego samego komputera fizycznego lub wirtualnego, który jest przywracany.

• Użyj narzędzia do tworzenia i przywracania kopii zapasowych obsługujących usługę Active Directory, które używa interfejsów API usługi kopiowania woluminów w tle firmy Microsoft. Te interfejsy API tworzą kopię zapasową i przywracają stan systemu kontrolera domeny. Usługa kopiowania woluminów w tle obsługuje tworzenie kopii w tle pojedynczego punktu w czasie pojedynczego lub wielu woluminów na komputerach z systemem Windows Server 2003, Windows Server 2008 lub Windows Server 2008 R2. Kopie w tle pojedynczego punktu w czasie są również nazywane migawkami. Aby uzyskać więcej informacji, wyszukaj frazę "Usługa kopiowania woluminów w tle" w pomoc techniczna firmy Microsoft.

• Przywróć stan systemu. Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli przed nieprawidłowym przywróceniem wycofanego kontrolera domeny została wykonana prawidłowa kopia zapasowa stanu systemu i jeśli kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej.

Typowe zachowanie występujące podczas przywracania kopii zapasowej stanu systemu obsługującej usługę Active Directory

Kontrolery domeny systemu Windows Server używają nazw USN wraz z identyfikatorami wywołań do śledzenia aktualizacji, które muszą być replikowane między partnerami replikacji w lesie usługi Active Directory.

Źródłowe kontrolery domeny używają nazw USN, aby określić, jakie zmiany zostały już odebrane przez docelowy kontroler domeny, który żąda zmian. Docelowe kontrolery domeny używają nazw USN, aby określić, jakich zmian należy zażądać od źródłowych kontrolerów domeny.

Identyfikator wywołania identyfikuje wersję lub wystąpienie bazy danych usługi Active Directory uruchomionej na danym kontrolerze domeny.

Gdy usługa Active Directory zostanie przywrócona na kontrolerze domeny przy użyciu interfejsów API i metod zaprojektowanych i przetestowanych przez firmę Microsoft, identyfikator wywołania zostanie poprawnie zresetowany na przywróconym kontrolerze domeny. kontrolery domeny w lesie otrzymują powiadomienie o zresetowaniu wywołania. W związku z tym odpowiednio dostosowują swoje wysokie wartości znaku wodnego.

Oprogramowanie i metodologie powodujące wycofywanie nazw USN

Gdy są używane następujące środowiska, programy lub podsystemy, administratorzy mogą pominąć testy i walidacje zaprojektowane przez firmę Microsoft podczas przywracania stanu systemu kontrolera domeny:

• Uruchamianie kontrolera domeny usługi Active Directory, którego plik bazy danych usługi Active Directory został przywrócony (skopiowany) na miejsce przy użyciu programu do obrazowania, takiego jak Norton Ghost.

• Uruchamianie wcześniej zapisanego obrazu wirtualnego dysku twardego kontrolera domeny. Następujący scenariusz może spowodować wycofanie nazwy USN:

  1. Podwyższanie poziomu kontrolera domeny w wirtualnym środowisku hostingu.
  2. Utwórz migawkę lub alternatywną wersję wirtualnego środowiska hostingu.
  3. Zezwalaj kontrolerowi domeny na kontynuowanie replikacji przychodzącej i replikacji wychodzącej.
  4. Uruchom plik obrazu kontrolera domeny utworzony w kroku 2.

• Przykłady zwirtualizowanych środowisk hostingu, które powodują ten scenariusz, to Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 i EMC VMWARE. Przyczyną tego scenariusza mogą być również inne zwirtualizowane środowiska hostingu.

• Aby uzyskać więcej informacji na temat warunków obsługi kontrolerów domeny w wirtualnych środowiskach hostingu, zobacz Zagadnienia, które należy wziąć pod uwagę podczas hostowania kontrolerów domeny usługi Active Directory w wirtualnych środowiskach hostingu.

• Uruchamianie kontrolera domeny usługi Active Directory znajdującego się na woluminie, na którym jest ładowane podsystem dysku przy użyciu wcześniej zapisanych obrazów systemu operacyjnego bez konieczności przywracania stanu systemu usługi Active Directory.

  • Scenariusz A: Uruchamianie wielu kopii usługi Active Directory znajdujących się w podsystemie dysku, który przechowuje wiele wersji woluminu

    1. Podwyższanie poziomu kontrolera domeny. Znajdź plik Ntds.dit w podsystemie dysku, który może przechowywać wiele wersji woluminu hostującego plik Ntds.dit.
    2. Użyj podsystemu dysku, aby utworzyć migawkę woluminu hostującego plik Ntds.dit dla kontrolera domeny.
    3. Kontynuuj, aby umożliwić kontrolerowi domeny ładowanie usługi Active Directory z woluminu utworzonego w kroku 1.
    4. Uruchom kontroler domeny zapisany przez bazę danych usługi Active Directory w kroku 2.

  • Scenariusz B: uruchamianie usługi Active Directory z innych dysków w uszkodzonym lustrze

    1. Podwyższanie poziomu kontrolera domeny. Znajdź plik Ntds.dit na dysku dublowanym.
    2. Przerwij dublowanie.
    3. Kontynuuj replikację przychodzącą i replikację wychodzącą przy użyciu pliku Ntds.dit na pierwszym dysku w lustrze.
    4. Uruchom kontroler domeny przy użyciu pliku Ntds.dit na drugim dysku w dublowania.

Nawet jeśli nie jest to zamierzone, każdy z tych scenariuszy może spowodować, że kontrolery domeny wrócą do starszej wersji bazy danych usługi Active Directory przy użyciu nieobsługiwanych metod. Jedynym obsługiwanym sposobem wycofania zawartości usługi Active Directory lub lokalnego stanu kontrolera domeny usługi Active Directory jest użycie narzędzia do tworzenia kopii zapasowych i przywracania obsługujących usługę Active Directory w celu przywrócenia kopii zapasowej stanu systemu pochodzącej z tej samej instalacji systemu operacyjnego i tego samego komputera fizycznego lub wirtualnego, który jest przywracany.

Firma Microsoft nie obsługuje żadnego innego procesu, który tworzy migawkę elementów stanu systemu kontrolera domeny usługi Active Directory i kopiuje elementy tego stanu systemu do obrazu systemu operacyjnego. Jeśli administrator nie interweniuje, takie procesy spowodują wycofanie nazwy USN. To wycofanie nazwy USN powoduje, że partnerzy replikacji bezpośredniej i przechodniej niepoprawnie przywróconego kontrolera domeny mają niespójne obiekty w bazach danych usługi Active Directory.

Skutki wycofania nazwy USN

W przypadku wycofywania nazw USN modyfikacje obiektów i atrybutów nie są replikowane przy użyciu docelowych kontrolerów domeny, które wcześniej widziały nazwę USN.

Ponieważ te docelowe kontrolery domeny uważają, że są aktualne, żadne błędy replikacji nie są zgłaszane w dziennikach zdarzeń usługi katalogowej ani za pomocą narzędzi do monitorowania i diagnostyki.

Wycofanie nazwy USN może mieć wpływ na replikację dowolnego obiektu lub atrybutu w dowolnej partycji. Najczęściej obserwowany efekt uboczny polega na tym, że konta użytkowników i konta komputerów utworzone na kontrolerze domeny wycofywania nie istnieją na co najmniej jednym partnerze replikacji. Lub aktualizacje haseł pochodzące z kontrolera domeny wycofywania nie istnieją u partnerów replikacji.

W poniższych krokach przedstawiono sekwencję zdarzeń, które mogą spowodować wycofanie nazwy USN. Wycofanie nazwy USN występuje, gdy stan systemu kontrolera domeny jest wycofywany w czasie przy użyciu nieobsługiwanego przywracania stanu systemu.

1. Administrator promuje trzy kontrolery domeny w domenie. (W tym przykładzie kontrolery domeny to DC1, DC2 i DC2, a domena jest Contoso.com). DC1 i DC2 są partnerami replikacji bezpośredniej. Dc2 i DC3 są również partnerami replikacji bezpośredniej. Kontrolery DC1 i DC3 nie są partnerami replikacji bezpośredniej, ale otrzymują aktualizacje pochodzące przechodnio za pośrednictwem kontrolera DC2.

2. Administrator tworzy 10 kont użytkowników, które odpowiadają usn od 1 do 10 w dc1. Wszystkie te konta są replikowane do dc2 i DC3.

3. Obraz dysku systemu operacyjnego jest przechwytywany na kontrolerze DOMENY 1. Ten obraz zawiera rekord obiektów, które odpowiadają lokalnym numerom USN od 1 do 10 w dc1.

4. W usłudze Active Directory wprowadzono następujące zmiany:

   • Hasła dla wszystkich 10 kont użytkowników, które zostały utworzone w kroku 2, są resetowane na kontrolerze DOMENY 1. Te hasła odpowiadają usn od 11 do 20. Wszystkie 10 zaktualizowanych haseł replikuje się do dc2 i DC3.
   • 10 nowych kont użytkowników, które odpowiadają usn 21 do 30 są tworzone na DC1. Te 10 kont użytkowników replikuje się do dc2 i DC3.
   • 10 nowych kont komputerów, które odpowiadają usn 31 do 40 są tworzone na DC1. Te 10 kont komputerów replikuje się do dc2 i DC3.
   • 10 nowych grup zabezpieczeń odpowiadających usn 41 do 50 są tworzone na DC1. Te 10 grup zabezpieczeń replikuje się do dc2 i DC3.

5. Dc1 doświadcza awarii sprzętu lub awarii oprogramowania. Administrator używa narzędzia do obrazowania dysku, aby skopiować obraz systemu operacyjnego utworzony w kroku 3 na miejsce. Kontroler DC1 zaczyna się teraz od bazy danych usługi Active Directory, która ma wiedzę na temat nazw USN od 1 do 10.

   Ponieważ obraz systemu operacyjnego został skopiowany na miejsce, a obsługiwana metoda przywracania stanu systemu nie została użyta, kontroler DC1 nadal używa tego samego identyfikatora wywołania, który utworzył początkową kopię bazy danych i wszystkie zmiany w usn 50. Kontrolery DC2 i DC3 obsługują również ten sam identyfikator wywołania dla dc1, a także aktualny wektor USN 50 dla DC1. (Aktualnym wektorem jest bieżący stan najnowszych aktualizacji źródłowych, które mają wystąpić na wszystkich kontrolerach domeny dla danej partycji katalogu).

   O ile administrator nie interweniuje, dc2 i DC3 nie są replikowane przychodzące zmiany, które odpowiadają lokalnej usn 11 do 50, które pochodzą z DC1. Ponadto zgodnie z identyfikatorem wywołania używanym przez kontroler DC2 dc1 ma już wiedzę na temat zmian, które odpowiadają usn 11 do 50. W związku z tym dc2 nie wysyła tych zmian. Ponieważ zmiany w kroku 4 nie istnieją na kontrolerze DC1, żądania logowania nie powiodły się z powodu błędu "odmowa dostępu". Ten błąd występuje, ponieważ hasła nie są zgodne lub ponieważ konto nie istnieje, gdy nowsze konta są losowo uwierzytelniane przy użyciu kontrolera DC1.

6. Administratorzy, którzy monitorują kondycję replikacji w lesie, zauważają następujące sytuacje:

   • Narzędzie wiersza Repadmin /showreps polecenia informuje, że dwukierunkowa replikacja usługi Active Directory między dc1 i DC2 oraz między DC2 i DC3 występuje bez błędu. Taka sytuacja sprawia, że wszelkie niespójności replikacji są trudne do wykrycia.

   • Zdarzenia replikacji w dziennikach zdarzeń usługi katalogowej kontrolerów domeny z systemem Windows Server nie wskazują żadnych błędów replikacji w dziennikach zdarzeń usługi katalogowej. Taka sytuacja sprawia, że wszelkie niespójności replikacji są trudne do wykrycia.

   • Użytkownicy i komputery usługi Active Directory lub Narzędzie administracji usługi Active Directory (Ldp.exe) pokazują inną liczbę obiektów i różnych metadanych obiektów, gdy partycje katalogu domeny dc2 i DC3 są porównywane z partycją na kontrolerze DC1. Różnica polega na zestawie zmian mapowania zmian usn od 11 do 50 w kroku 4.

     Uwaga

     W tym przykładzie liczba różnych obiektów dotyczy kont użytkowników, kont komputerów i grup zabezpieczeń. Różne metadane obiektu reprezentują różne hasła konta użytkownika.

   • Żądania uwierzytelniania użytkowników dla 10 kont użytkowników, które zostały utworzone w kroku 2, czasami generują błąd "odmowa dostępu" lub "nieprawidłowe hasło". Ten błąd może wystąpić, ponieważ istnieje niezgodność haseł między tymi kontami użytkowników w kontrolerze DC1 i kontami dc2 i DC3. Konta użytkowników, na których występuje ten problem, odpowiadają kontom użytkowników utworzonym w kroku 4. Konta użytkowników i resetowanie hasła w kroku 4 nie zostały zreplikowane do innych kontrolerów domeny w domenie.

7. Kontrolery DC2 i DC3 zaczynają replikować przychodzące aktualizacje źródłowe, które odpowiadają numerom USN większym niż 50 od kontrolera DC1. Ta replikacja odbywa się normalnie bez interwencji administracyjnej, ponieważ wcześniej odnotowany próg wektora aktualności, USN 50, został przekroczony. (USN 50 był aktualnym wektorem USN zapisanym dla DC1 w dc2 i DC3, zanim dc1 został przełączony w tryb offline i przywrócony). Jednak nowe zmiany, które odpowiadały usn od 11 do 50 na źródłowym kontrolerze DC1 po nieobsługiwany przywracania nigdy nie będą replikowane do DC2, DC3 lub ich przechodnich partnerów replikacji.

Chociaż objawy wymienione w kroku 6 reprezentują część wpływu wycofywania nazwy USN na konta użytkowników i komputerów, wycofanie nazwy USN może uniemożliwić replikację dowolnego typu obiektu w dowolnej partycji usługi Active Directory. Te typy obiektów obejmują następujące elementy:

• Topologia replikacji usługi Active Directory i harmonogram

• Istnienie kontrolerów domeny w lesie i ról przechowywanych przez te kontrolery domeny

  Uwaga

  Role te obejmują wykaz globalny, alokacje identyfikatora względnego (RID) i role wzorca operacji. (Role główne operacji są również nazywane elastycznymi operacjami jednego wzorca lub FSMO).

• Istnienie partycji domeny i aplikacji w lesie

• Istnienie grup zabezpieczeń i ich bieżących członkostw w grupach

• Rejestracja rekordu DNS w strefach DNS zintegrowanych z usługą Active Directory

Rozmiar dziury USN może reprezentować setki, tysiące, a nawet dziesiątki tysięcy zmian użytkowników, komputerów, relacji zaufania, haseł i grup zabezpieczeń. (Otwór USN jest definiowany przez różnicę między najwyższą liczbą nazw USN, która istniała podczas tworzenia kopii zapasowej przywróconego stanu systemu, a liczbą zmian źródłowych utworzonych na kontrolerze domeny wycofanej przed przełączeniem do trybu offline).

Wykrywanie wycofywania nazw USN na kontrolerze domeny systemu Windows Server

Ponieważ wycofanie nazwy USN jest trudne do wykrycia, kontroler domeny systemu Windows Server 2003 z dodatkiem SP1 lub nowszym rejestruje zdarzenie 2095, gdy źródłowy kontroler domeny wysyła wcześniej uznany numer USN do docelowego kontrolera domeny bez odpowiedniej zmiany identyfikatora wywołania.

Aby zapobiec tworzeniu unikatowych aktualizacji źródłowych usługi Active Directory na niepoprawnie przywróconym kontrolerze domeny, usługa Net Logon jest wstrzymana. Po wstrzymaniu usługi Net Logon konta użytkowników i komputerów nie mogą zmienić hasła na kontrolerze domeny, który nie będzie replikował takich zmian wychodzących. Podobnie narzędzia administracyjne usługi Active Directory będą sprzyjać kontrolerowi domeny w dobrej kondycji podczas aktualizowania obiektów w usłudze Active Directory.

Na kontrolerze domeny komunikaty zdarzeń podobne do następujących są rejestrowane, jeśli spełnione są następujące warunki:

• Źródłowy kontroler domeny wysyła wcześniej potwierdzony numer USN do docelowego kontrolera domeny.
• Nie ma odpowiedniej zmiany w identyfikatorze wywołania.

Te zdarzenia mogą być przechwytywane w dzienniku zdarzeń usługi katalogowej. Jednak mogą zostać zastąpione, zanim zostaną zaobserwowane przez administratora.

Możesz podejrzewać, że nastąpiło wycofanie nazwy USN. Nie widać jednak zdarzeń skorelowania w dzienniku zdarzeń usługi katalogowej. W tym scenariuszu sprawdź wpis rejestru Dsa Not Writable. Ten wpis zawiera dowody kryminalistyczne, że nastąpiło wycofanie nazwy USN.

• Podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Wpis rejestru: Dsa Not Writable
• Wartość: 0x4

Usunięcie lub ręczna zmiana wartości wpisu rejestru Dsa Not Writable powoduje, że kontroler domeny wycofywania jest trwale nieobsługiwany. W związku z tym takie zmiany nie są obsługiwane. W szczególności modyfikowanie wartości usuwa zachowanie kwarantanny dodane przez kod wykrywania wycofywania nazwy USN. Partycje usługi Active Directory na kontrolerze domeny wycofywania będą trwale niespójne z bezpośrednimi i przechodnimi partnerami replikacji w tym samym lesie usługi Active Directory.

Odzyskiwanie po wycofaniu nazwy USN

Istnieją trzy metody odzyskiwania po wycofaniu nazwy USN.

• Usuń kontroler domeny z domeny. Aby to zrobić, wykonaj następujące kroki.

  1. Usuń usługę Active Directory z kontrolera domeny, aby wymusić, aby była serwerem autonomicznym. Aby uzyskać więcej informacji, zobacz Kontrolery domeny nie obniżają się z wdziękiem podczas korzystania z Kreatora instalacji usługi Active Directory w celu wymuszenia degradacji.

  2. Zamknij zdegradowany serwer.

  3. Na kontrolerze domeny w dobrej kondycji wyczyść metadane zdegradowanego kontrolera domeny. Aby uzyskać więcej informacji, zobacz Czyszczenie metadanych serwera kontrolera domena usługi Active Directory.

  4. Jeśli niepoprawnie przywrócony kontroler domeny hostuje role główne operacji, przenieś te role do kontrolera domeny w dobrej kondycji. Aby uzyskać więcej informacji, zobacz Transfer or seize Operation Master roles in Active Directory Domain Services (Transferowanie lub przejmowanie ról wzorca operacji w Active Directory Domain Services).

  5. Uruchom ponownie zdegradowany serwer.

  6. Jeśli jest to wymagane, ponownie zainstaluj usługę Active Directory na serwerze autonomicznym.

  7. Jeśli kontroler domeny był wcześniej wykazem globalnym, skonfiguruj kontroler domeny jako wykaz globalny. Aby uzyskać więcej informacji, zobacz Jak utworzyć lub przenieść wykaz globalny.

  8. Jeśli kontroler domeny wcześniej hostowane role wzorca operacji, przenieś role główne operacji z powrotem do kontrolera domeny. Aby uzyskać więcej informacji, zobacz Transfer or seize Operation Master roles in Active Directory Domain Services (Transferowanie lub przejmowanie ról wzorca operacji w Active Directory Domain Services).

• Przywróć stan systemu dobrej kopii zapasowej.

  Oceń, czy istnieją prawidłowe kopie zapasowe stanu systemu dla tego kontrolera domeny. Jeśli przed nieprawidłowym przywróceniem wycofanego kontrolera domeny została wykonana prawidłowa kopia zapasowa stanu systemu, a kopia zapasowa zawiera ostatnie zmiany wprowadzone na kontrolerze domeny, przywróć stan systemu z najnowszej kopii zapasowej.

• Przywróć stan systemu bez kopii zapasowej stanu systemu.

  Migawki można użyć jako źródła kopii zapasowej. Możesz też ustawić bazę danych tak, aby nadawała sobie nowy identyfikator wywołania, korzystając z procedury w sekcji Aby przywrócić poprzednią wersję wirtualnego dysku twardego kontrolera domeny bez kopii zapasowej danych stanu systemuw sekcji Uruchamianie kontrolerów domeny w funkcji Hyper-V.

Informacje

• Kwestie, które należy wziąć pod uwagę podczas hostowania kontrolerów domeny usługi Active Directory w wirtualnych środowiskach hostingu

• Architektura zwirtualizowanego kontrolera domeny