DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 875495 - Geändert am: Sonntag, 3. Mai 2015 - Version: 2.0

Hotfix-Download ist verfügbar
Hotfix-Downloads anzeigen und anfordern
 
 

Auf dieser Seite

Ein Microsoft Windows 2000 Server-Version dieses Artikels finden Sie unter 885875  (http://support.microsoft.com/kb/885875/ ) .

Zusammenfassung

Dieser Artikel beschreibt eine Bedingung, die auftritt, wenn ein Domänencontroller, auf dem ausgeführt wird, Windows 2000, Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 aus einer Active Directory-Datenbank, die nicht ordnungsgemäß wiederhergestellt oder an Stelle kopiert wurde gestartet. Diese Bedingung wird als ein Update Sequence Number Rollback bezeichnet oder Ein USN-Rollback.

Tritt ein USN-Rollback, werden Änderungen an Objekten und Attributen, die auf einem Domänencontroller auftreten, nicht auf andere Domänencontroller in der Gesamtstruktur repliziert. Da Replikationspartner glauben, dass sie über eine aktuelle Kopie der Active Directory-Datenbank verfügen, melden Überwachung und Problembehandlung von Tools wie z. B. Repadmin.exe ob Replikationsfehler nicht.

Nach der Installation von Hotfix 875495 oder Windows Server 2003 Service Pack 1 protokolliert ein Microsoft Windows Server 2003-Domänencontroller Directory Services-Ereignis 2095, wenn es einen USN-Rollback auftritt. Der Text der Ereignismeldung weist Administratoren zu diesem Artikel lernen Sie die Recovery-Optionen.

Da es schwierig ist, erkennen und die Wiederherstellung nach einem USN-Rollback, empfehlen wir, dass Administratoren Hotfix 875495 installierenoder das neueste Servicepack verfügbar ist)auf Windows Server 2003 RTM. Dieser Hotfix wird in Windows Server 2003 SP1 und in Windows Server 2008 und Windows Server 2008 R2 enthalten..Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
888794  (http://support.microsoft.com/kb/888794/ ) Überlegungen beim Hosten von Active Directory-Domänencontroller in virtuellen Hostumgebungen

Einführung

Dieser Artikel behandelt die folgenden Themen:
  • Unterstützte Methoden zum Sichern von Active Directory auf Domänencontrollern, auf denen Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt werden
  • Typische Verhalten, das auftritt, wenn Sie eine Active Directory-fähigen Systemstatussicherung wiederherstellen
  • Wie Kopieren einer früheren Active Directory-Datenbank in Thefolder, die ohne Restoringthe des Systemstatus die aktuelle Active Directory-Datenbank enthält ein USN-Rollback kann
  • Auswirkungen von Active Directory-Replikation, wenn Microsoft Windows Server 2003-Domänencontroller ein USNrollback auftritt
  • Möglichkeiten zum Wiederherstellen einer Active Directory-Domäne-Controller Afterit Erfahrungen einen USN-rollback
  • Verbesserungen im Hotfix 875495 (und in Windows Server 2003 Service Pack 1, Windows Server 2008 und Windows Server 2008 R2) zum Erkennen von USN-Rollbacks und betroffenen Domänencontrollern unter Quarantäne stellen
Über den Lebenszyklus eines Domänencontrollers müssen Sie wiederherstellen oder "Zurücksetzen" den Inhalt des Active Directory-Datenbank auf einen bekannten guten Zeitpunkt. Oder Sie möglicherweise Elemente des Domänencontrollers Host-Betriebssystem, einschließlich Active Directory auf einen funktionsfähigen Zeitpunkt zurücksetzen.

Im folgenden werden die empfohlenen Methoden, mit denen Sie den Inhalt von Active Directory einen Rollback:
  • Verwenden Sie einen Active Directory-kompatiblen Backup und Restorationutility, die APIs von Microsoft bereitgestellten und getestet von Microsoft verwendet. Diese wiederherstellen APIsnon autorisierenden oder autorisierenden Daten eine Sicherungskopie des Systemstatus. Thebackup, die wiederhergestellt wird sollte in diesem Fenster stammen aus der gleichen Betrieb Systeminstallation und demselben physischen oder virtuellen Computer, der Beingrestored ist.
  • Verwenden Sie ein Active Directory-kompatiblen Backup und Wiederherstellung-Dienstprogramm, das Microsoft Volume Shadow Copy Service-APIs verwendet. Diese APIs sichern und Wiederherstellen den Systemstatus des Domänencontrollers. Der Volumeschattenkopie-Dienst unterstützt das Erstellen von single Point-in-Time-Schattenkopien von einzelnen oder mehreren Volumes auf Computern mit Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2. Single Point-in-Time-Schattenkopien sind auch Snapshots. Weitere Informationen finden Sie auf der folgenden Microsoft-Website und suchen Sie nach "Volume Shadow Copy Service":
    http://support.Microsoft.com/ (http://support.microsoft.com/)
  • Stellen Sie den Systemstatus wieder her. Überprüfen Sie, ob gültige Sicherungen des Systemstatus für diesen Domänencontroller vorhanden sind. Eine gültige Sicherung des Systemstatus vorgenommen wurde, bevor der Rollback-Domänencontroller nicht ordnungsgemäß wiederhergestellt wurde und wenn die Sicherung Änderungen enthält, die auf dem Domänencontroller vorgenommen wurden, stellen Sie den Systemstatus aus der letzten Sicherung wieder her.

Weitere Informationen

Typische Verhalten, das auftritt, wenn Sie eine Active Directory-fähige Systemstatus-Sicherung wiederherstellen

Windows Server 2003-Domänencontroller verwenden USNs zusammen mit den Aufruf-IDs zum Verfolgen von Aktualisierungen, die zwischen Replikationspartnern in Active Directory-Gesamtstruktur repliziert werden müssen.

Quelldomänencontroller verwenden USNs, um zu bestimmen, welche Änderungen bereits von dem Zieldomänencontroller empfangen wurden, die Änderungen angefordert werden. Ziel-Domäne-Controller verwenden USNs, um zu bestimmen, welche Änderungen sollten von Quell-Domänencontrollern angefordert werden.

Die Aufruf-ID identifiziert die Version oder die Instanziierung der Active Directory-Datenbank, die auf einem bestimmten Domänencontroller ausgeführt wird.

Wenn Active Directory auf einem Domänencontroller mithilfe der APIs und Methoden, mit denen Microsoft entwickelt und getestet hat wiederhergestellt wird, wird die Aufruf-ID auf dem wiederhergestellten Domänencontroller ordnungsgemäß zurückgesetzt. Domänencontroller in der Gesamtstruktur erhalten Notification Invocation zurücksetzen. Aus diesem Grund sie deren Werte das Kontingent entsprechend angepasst.

Software und Methoden, die dazu führen, USN-Rollbacks dass

Die folgenden Umgebungen, Programme oder Teilsysteme verwendet, können Administratoren umgehen, die Kontrollen und Überprüfungen, die Microsoft treten auf, wenn der Domain Controller-Systemstatus wiederhergestellt wird:
  • Starten Sie einen Active Directory-Domänencontroller, dessen Active Directory-Datenbankdatei wiederhergestellt wurde (kopiert) mit einem Imagingprogram wie Norton Ghost einrastet.
  • Starten Sie eine zuvor gespeicherte virtuelle Festplattenabbildung Adomain-Controller. Das folgende Szenario kann dazu führen, dass einen USN-Rollback:
    1. Fördern Sie einen Domänencontroller in einer virtuellen Umgebung hosten.
    2. Erstellen Sie eine Snapshot- oder eine alternative Version von virtual hosting-Umgebung.
    3. Können Sie den Domänencontroller weiterhin eingehende replizieren und auf ausgehende replizieren.
    4. Starten Sie die Controller-Bilddatei, die Sie in Schritt 2 erstellt haben.
  • Beispiele für virtualisierte Umgebungen hosten, UrsacheDieses Szenario gehören Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 und EMC VMWARE. Auch können andere virtualisierten Hostumgebungen Thisscenario führen.
  • Weitere Informationen zu den Supportbedingungen für Domänencontroller in virtuellen Hostumgebungen klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
    888794  (http://support.microsoft.com/kb/888794/ ) Überlegungen beim Hosten von Active Directory-Domänencontroller in virtuellen Hostumgebungen
  • Starten eines Active Directory-Domänencontrollers, liegt auf einem Datenträger, in denen das Festplatten-Teilsystem mit zuvor Savedimages des Betriebssystems lädt ohne ein System State Wiederherstellung OfActive Verzeichnis.

    Szenario A: gestartet mehrere Kopien von Active Directory, die sich auf Laden-Subsystem, in dem mehrere Versionen eines Volumes gespeichert
    1. Heraufstufen eines Domänencontrollers. Suchen Sie der Datei "NTDS.dit" auf einem Datenträgersubsystem, die mehrere Versionen des Datenträgers werden, die als Host gespeichert kann der Datei "NTDS.dit".
    2. Verwenden Sie das Festplatten-Teilsystem, erstellen Sie einen Snapshot des Datenträgers, auf dem die Datei "NTDS.dit" für den Domänencontroller gehostet.
    3. Weiterhin können den Domänencontroller, die Active Directory vom Datenträger zu laden, die Sie in Schritt 1 erstellt haben.
    4. Starten Sie den Domänencontroller, den Active Directory-Datenbank in Schritt 2 gespeichert.
    Szenario B: starten Active Directory von anderen Laufwerken in einer aufgeteilten Spiegelung
    1. Heraufstufen eines Domänencontrollers. Suchen Sie die Datei "NTDS.dit" auf einem gespiegelten Laufwerk.
    2. Die Spiegelung aufteilen.
    3. Weiterhin repliziert eingehende und ausgehende Replikation mithilfe der Datei "NTDS.dit" auf das erste Laufwerk in der Spiegelung.
    4. Starten Sie den Domänencontroller mithilfe der Datei "NTDS.dit" auf dem zweiten Laufwerk im Spiegel.
Auch wenn nicht, kann jedes dieser Szenarien Domänencontroller Rollback auf eine ältere Version von Active Directory-Datenbank von nicht unterstützten Methoden führen. Die einzige unterstützte Möglichkeit für das Rollback für den Inhalt von Active Directory oder der lokale Zustand der einem Active Directory-Domänencontroller ist die Verwendung einer Active Directory-kompatiblen Dienstprogramm zur Sicherung und Wiederherstellung wiederherstellen eine Sicherung des Systemstatus, die stammen aus derselben Betriebssysteminstallation und demselben physischen oder virtuellen Computer, der wiederhergestellt werden.

Microsoft unterstützt nicht die einen anderen Prozess, der eine Momentaufnahme der Elemente des Systemstatus für einen Active Directory-Domänencontroller und kopiert die Elemente des betreffenden Systems zu einem Betriebssystemabbild führt. Es sei denn, der Administrator interveniert, führen solche Prozesse einen USN-Rollback. Ein USN-Rollback wird die direkte und transitive Replikationspartner eines Domänencontrollers fälschlicherweise wiederhergestellten inkonsistent Objekte in Active Directory-Datenbanken haben.

Die Auswirkungen eines USN-Rollbacks

Beim Auftreten von USN-Rollbacks sind Änderungen an Objekten und Attributen nicht eingehend repliziert von Ziel-Domänencontroller, die die USN zuvor gesehen haben.

Da diese Zieldomänencontrollern, dass sie auf dem neuesten Stand sind glauben, werden keine Replikationsfehler im Verzeichnisdienst-Ereignisprotokollen oder durch Überwachung und Diagnose-Tools gemeldet.

Ein USN-Rollback kann die Replikation der Objekte oder Attribute in jeder Partition auswirken. Die am häufigsten beobachteten Nebeneffekt ist, dass Benutzer- und Computerkonten, die auf dem Domänencontroller Rollback erstellt werden auf einem oder mehreren Replikationspartnern nicht vorhanden sind. Oder die Kennwort-Updates, die auf dem Domänencontroller Rollback stammen existieren nicht auf Replikationspartner.

Die folgenden Schritte zeigen die Abfolge der Ereignisse, die einen USN-Rollback zur Folge haben kann. Ein USN-Rollback tritt auf, wenn Sie der Status der Domäne-Controller mit einem nicht unterstützten Zustand Systemwiederherstellung rückgängig gemacht wird.
  1. Ein Administrator stuft drei Domänencontroller in Adomain. (In diesem Beispiel die Domänencontroller DC1, DC2 und DC2 sind und vom WebShield e500 verwendeten "contoso.com" ist.) DC1 und DC2 sind direkte Replikationspartner. DC2 andDC3 sind ebenfalls direkte Replikationspartner. DC1 und DC3 sind nicht Directreplication Partner jedoch Ursprungsaktualisierungen transitiv empfangen throughDC2.
  2. Ein Administrator erstellt 10 Benutzerkonten, Correspondto USNs 1 bis 10 auf DC1. Alle diese Konten auf DC2 andDC3 replizieren.
  3. Auf DC1 wird ein Datenträgerabbild eines Betriebssystems erfasst. Dieses Bild hat einen Eintrag für Objekte, die lokalen USNs 1 bis 10on-DC1 entsprechen.
  4. In Active Directory werden die folgenden Änderungen vorgenommen:
    • Die Kennwörter für alle 10 Benutzerkonten, die in Schritt 2 erstellt wurden, werden auf DC1 zurückgesetzt. Diese Kennwörter entsprechen USNs 11 bis 20. Alle 10 Kennwörtern replizieren auf DC2 und DC3 aktualisiert.
    • 10 neue Benutzerkonten, die USNs 21 bis 30 entsprechen, werden auf DC1 erstellt. Diese 10 Benutzerkonten auf DC2 und DC3 zu replizieren.
    • 10 neue Computerkonten, die USNs 31 bis 40 entsprechen, werden auf DC1 erstellt. Diese 10 Computerkonten replizieren auf DC2 und DC3.
    • 10 neue Sicherheitsgruppen, die USNs 41 bis 50 entsprechen, werden auf DC1 erstellt. Diese 10 Sicherheitsgruppen auf DC2 und DC3 zu replizieren.
  5. DC1 Erfahrungen eines Hardware- oder Softwarefehler angegeben. Der Administrator verwendet ein Dienstprogramm von Festplattenabbildern betrieblichen Systemimage kopieren, die in Schritt 3 in Stelle erstellt wurde. DC1 jetzt beginnt mit einem Active Directory-Datenbank verfügt über Kenntnisse des USNs 1 bis 10.

    Becausethe-Betriebssystemabbild einrastet, kopiert wurde und eine unterstützte Methode Ofrestoring den Systemstatus nicht verwendet wurde, DC1 verwendet weiterhin die Sameinvocation-ID, die die erste Kopie der Datenbank und alle Änderungen bis zu 50 USN erstellt. DC2 und DC3 verwalten auch die gleichen Aufruf-ID für DC1 sowie eine aktuelle Vektor USN 50 für DC1. (Ein Vektor auf dem neuesten Stand ist der aktuelle Status der neuesten Ursprungsaktualisierungen an alle Domänencontroller für eine Givendirectory Partition ausgeführt.)

    Es sei denn, der Administrator interveniert, eingehende DC2 und DC3do nicht replizieren die Änderungen, die lokale USN 11 bis 50that entsprechen, DC1 stammen. Auch nach dem Aufruf-ID, DC2 verwendet, DC1 hat bereits Kenntnisse über die Änderungen, die 50.Therefore, USN 11 entsprechen, DC2 sendet diese Änderungen nicht. Da die in Schritt 4 auf DC1 vorhanden sind, werden Anmeldeanforderungen mit der Fehlermeldung "Zugriff verweigert" fehl. Diese Erroroccurs mit DC1 entweder da Kennwörter stimmen nicht überein oder weil das Konto Konten nach dem Zufallsprinzip ' notexist ', wenn die neuere authentifizieren.
  6. Administratoren, die Replikation in Theforest überwachen Beachten Sie Folgendes:
    • Das Befehlszeilenprogramm Repadmin/showreps meldet die bidirektionale Active Directory-Replikation zwischen DC1 und DC2 und DC2 und DC3 wird ohne Fehler ausgeführt. Diese Situation macht Inkonsistenzen Replikation schwer zu erkennen.
    • Alle Replikationsfehler in den Verzeichnisdienst-Ereignisprotokollen Replikationsereignisse in der Verzeichnisdienst-Ereignisprotokollen von Domänencontrollern mit Windows Server nicht an. Diese Situation macht Inkonsistenzen Replikation schwer zu erkennen.
    • Active Directory-Benutzer und-Computer oder Active Directory-Verwaltungstool (Ldp.exe) zeigen eine unterschiedliche Anzahl von Objekten und anderen Objektmetadaten Vergleich die Domänenverzeichnispartitionen auf DC2 und DC3 auf DC1 der Partition. Der Unterschied besteht darin, der Satz von Änderungen, die USN zuordnen 11 bis 50 in Schritt 4 geändert.

      Hinweis In diesem Beispiel ist für die Anzahl der verschiedenen Objekte Benutzerkonten, Computerkonten und Sicherheitsgruppen. Anderes Objekt-Metadaten stellt die unterschiedliche Kennwörter von Benutzerkonten.
    • Benutzerauthentifizierungsanforderungen für 10 Benutzerkonten, die gelegentlich in Schritt 2 erstellten generieren ein "Zugriff verweigert" oder "falsches Kennwort"-Fehler. Dieser Fehler kann auftreten, da zwischen diesen Benutzerkonten auf DC1 und DC2 und DC3 Konten Kennwörter stimmen nicht vorhanden ist. Die Benutzerkonten, bei die dieses Problem auftreten entsprechen die Benutzerkonten, die in Schritt 4 erstellt wurden. Die Benutzerkonten und das Zurücksetzen von Kennwörtern in Schritt 4 nicht auf andere Domänencontroller in der Domäne repliziert.
  7. DC2 und DC3 starten, um eingehende Replikation ursprünglichen Updatesthat entsprechen größer als 50 von DC1 USN-Nummern. Thisreplication wird normal ohne Eingreifen des Administrators da Thepreviously Aktualität Vektor Schwellenwert, USN-50 aufgezeichnet überschritten wurde. (USN 50 war die Aktualität Vektor USN für DC1 auf DC2 und DC1 DC3before aufgezeichnet wurde offline geschaltet und wiederhergestellt werden.) Neue Änderungen Thatcorresponded USNs 11 bis 50 auf der ursprünglichen DC1 nach der Unsupportedrestore wird jedoch nie auf DC2, DC3 oder ihre transitive Replicationpartners repliziert.
Obwohl die Symptome, die in Schritt 6 erwähnten einige des Effekts, die ein USN-Rollback auf Benutzer- und Computerkonten darstellen, kann ein USN-Rollback einen Objekttyp in einer Active Directory-Partition repliziert verhindern. Die folgenden: Objekttypen
  • Die Active Directory-Replikation Topologie andschedule
  • Das Vorhandensein von Domänencontrollern in der Gesamtstruktur und Theroles, die dieser Domänencontroller enthalten.

    Hinweis Diese Rollen umfassen die globalen Katalog, relativen ID (RID) Zuordnungen und Funktionen des Betriebsmasters. (Betriebsmasterfunktionen sind Alsoknown als flexible single master Operations oder FSMO).
  • Das Vorhandensein von Domänen und Partitionen in theforest
  • Das Vorhandensein von Sicherheitsgruppen und ihre aktuellen groupmemberships
  • DNS-Eintragsregistrierung im Active Directory-integrierte DNSzones
Die Größe der Bohrung USN möglicherweise Hunderten, Tausenden oder sogar Zehntausende von Änderungen für Benutzer, Computer, Vertrauensstellungen, Kennwörter und Sicherheitsgruppen darstellen. (Die Bohrung USN wird definiert, um die Differenz zwischen der höchsten Aktualisierungssequenznummer ab, unter denen die wiederhergestellten Systemstatussicherung vorgenommen wurde und die Anzahl der Ursprung ändert, die auf dem Rollback Domänencontroller erstellt wurden, bevor er offline geschaltet wurde.)

Erkennen von einem USN-Rollback auf einem Domänencontroller, auf dem Windows Server ausgeführt wird

Da Fehler im Ereignisprotokoll oder im Replikationsmodul nicht angemeldet sind, kann ein USN-Rollback schwer zu erkennen sein.

Eine Möglichkeit zum Erkennen von eines USN-Rollbacks ist die Verwendung die Windows Server-Version von Repadmin.exe zum Ausführen des BefehlsRepadmin-/showutdvec . Diese Version von Repadmin.exe zeigt der Aktualitätsvektor USN für alle Domänencontroller, die einen gemeinsamen Namenskontext replizieren. Um ein USN-Rollback zu erkennen, vergleichen Sie die Ausgabe des Befehls Repadmin-/showutdvec auf dem Domänencontroller mit der Ausgabe desselben Befehls auf Replikationspartner des Domänencontrollers. Wenn die direkte Replikationspartner eine höhere Aktualisierungssequenznummer für den Domänencontroller haben als der Domänencontroller für sich selbst hat und der Befehl Repadmin/showreps keinen Replikationsfehler zwischen direkten Replikationspartnern meldet, haben Sie überzeugende Beweise für ein USN-Rollback.

Hinweis Ein ordnungsgemäß wiederhergestellten Domänencontroller setzt das ID-Attribut von lokaler Aufruf zurück, wenn in Active Directory neu gestartet, nachdem dessen Systemstatus wiederhergestellt wurde, mit einer unterstützten Backup und Restore-Methode. Wird die zurücksetzen-Aufruf-ID ausgehende repliziert wird, erfasst remote-Domänencontrollern in der Gesamtstruktur die zurücksetzen-Aufruf-ID als einer neuen Datenbankinstanz auf dem wiederhergestellten Domänencontroller. Zwar der wiederhergestellten Domänencontroller nach wie vor denselben Domänencontroller, Erkennen der remote-Domäne-Controller Diese wiederhergestellten Domänencontroller als neuen Replikationspartner an, da die Aufruf-ID geändert. (Die Aufruf-ID ist die Identität der Datenbankinstanz.) Der wiederhergestellte Domänencontroller selbst akzeptiert Änderungen von anderen remote-Domänencontrollern, die auf den remote-Domänencontrollern und auf dem Domänencontroller stammen, bevor es wiederhergestellt wurde.

Das folgende Beispiel zeigt die Ausgabe des Befehls Repadmin /showutdvec auf DC1 und DC2 in der Domäne contoso.com. In diesem Beispiel wird der Befehl sofort nach dem Rollback in Schritt 5 ausgeführt.
C:\>repadmin /showutdvec-dc1 dc = Contoso, dc = com
GUIDs werden zwischengespeichert.
Site1\DC1 @ USN 10 @ Time 2004-08-04 15:07:15
Site2\DC2 USN @ 24805 @ Time 2004-08-04 15:06:59
C:\>repadmin /showutdvec dc2 dc = Contoso, dc = com
GUIDs werden zwischengespeichert.
Site1\DC1 @ USN 50 @ Time 2004-08-04 15:07:15
Site2\DC2 USN @ 24805 @ Time 2004-08-04 15:06:59
Die Ausgabe von DC1 zeigt eine lokale USN von 10. DC2 hat eine eingehende Replikation USN 50 und ignoriert die Active Directory-Updates, die als Nächstes 40 USN-Nummern von der ursprünglichen DC1 entsprechen.

Erkennen von einem USN-Rollback auf einem Windows Server-Domänencontroller, der den Hotfix 875495 (oder ein Betriebssystem, das diesen Hotfix enthält) installiert

Da ein USN-Rollback schwer zu erkennen ist, installiert einen Windows Server-Domänencontroller, die 875495 Hotfix-Funktionalität aufweist, Protokolle Ereignis als Quell-Domänencontroller eine zuvor bestätigten Aktualisierungssequenznummer auf einen Ziel-Domänencontroller ohne eine entsprechende Änderung der Aufrufkennung sendet 2095

Um zu verhindern, dass ist eindeutig mit Ursprung Aktualisierungen in Active Directory erstellt wird, auf dem nicht korrekt wiederhergestellten Domänencontroller der Anmeldedienst angehalten. Wenn der Anmeldedienst angehalten wird, können nicht Benutzer- und Computerkonten das Kennwort auf einem Domänencontroller ändern, die keine ausgehende Änderungen Replikation wird. Active Directory-Verwaltungstools werden auf ähnliche Weise einen fehlerfreien Domänencontroller bevorzugen, wenn sie Aktualisierungen zu Objekten in Active Directory vornehmen.

Auf einem Domänencontroller, der die 875495 Hotfix Funktionen installiert wurde, werden Ereignismeldungen, die wie folgt aufgezeichnet, wenn die folgenden Bedingungen erfüllt sind:
  • Quell-Domänencontroller sendet eine zuvor AcknowledgedUSN Anzahl an ein Ziel-Domänencontroller.
  • Es gibt keine entsprechende Änderung in der Aufruf.
Nachricht 1

Ereignistyp: Fehler
Ereignisquelle: NTDS-Replikation
Ereigniskategorie: Replikation
Ereignis-ID: 2095
Datum: 3/10/2005
Uhrzeit: 16:26:51 Uhr
Benutzer: USN\2B25VB$
Computer: 2B9A
Beschreibung: Der lokale Domänencontroller (DC) identifiziert während einer Active Directory-Replikationsanforderung einen remote-DC die replizierten Daten aus dem lokalen DC bereits bestätigt USN-Nummern erhalten hat. Da remote DC davon, es ist eine aktuellere Active Directory-Datenbank als dem lokalen DC verfügt ausgeht, der entfernte DC nicht zukünftige Änderungen an seiner Kopie der Active Directory-Datenbank oder auf seine direkten und transitiven Replikationspartner, die aus diesem lokalen Domänencontroller zu replizieren. Wenn nicht sofort behoben, führt dieses Szenario zu Inkonsistenzen in den Active Directory-Datenbanken von diesem Quell-DC und eine oder mehrere direkte und transitive Replikationspartner. Speziell die Konsistenz der Benutzer, Computer und Vertrauensstellungen, ihre Kennwörter, Sicherheitsgruppen, Sicherheitsgruppenmitgliedschaften und anderen Active Directory-Konfiguration Daten können Auswirkungen auf die Möglichkeit zur Anmeldung, variieren, Sehenswürdigkeiten suchen und andere wichtige Vorgänge ausführen. Um festzustellen, ob diese Fehlkonfiguration vorhanden ist, eine Abfrage diese Ereignis-ID verwenden http://support.microsoft.com oder wenden Sie sich an die Microsoft Produktsupport Services. Die wahrscheinlichste Ursache für diese Situation wird das Wiederherstellen von Active Directory auf dem lokalen Domänencontroller. Benutzeraktionen: Wenn dies aufgrund einer falschen oder unbeabsichtigten Wiederherstellung aufgetreten ist, zwangsweise herabstufen des Domänencontrollers. Entfernte DC: b55ee67f-ed73-4970-b2d4-7dc6f571439f Partition: CN = Configuration, DC usn, DC = Loc USN gemeldet von entfernten DC =: 24707 USN vom lokalen DC ausgegeben: 20485 Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Nachricht 2

Ereignistyp: Warnung
Ereignisquelle: NTDS Allgemein
Ereigniskategorie: Replikation
Ereignis-ID: 1113
Datum: 3/10/2005
Uhrzeit: 16:26:51 Uhr
Benutzer: USN\2B25VB$
Computer: 2B9A
Beschreibung: Die eingehende Replikation wurde vom Benutzer deaktiviert. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Meldung 3

Ereignistyp: Warnung
Ereignisquelle: NTDS Allgemein
Ereigniskategorie: Replikation
Ereignis-ID: 1115
Datum: 3/10/2005
Uhrzeit: 16:26:51 Uhr
Benutzer: USN\2B25VB$
Computer: 2B9A
Beschreibung: Die ausgehende Replikation wurde vom Benutzer deaktiviert. Weitere Informationen finden Sie in Hilfe und Support-Center unter http://support.microsoft.com

Nachricht 4

Ereignistyp: Fehler
Ereignisquelle: NTDS Allgemein
Kategorie: Dienststeuerung
Ereignis-ID: 2103
Datum: 3/10/2005
Uhrzeit: 16:26:51 Uhr
Benutzer: USN\2B25VB$
Computer: 2B9A
Beschreibung: Active Directory-Datenbank wurde wiederhergestellt anhand eines Verfahrens für die Wiederherstellung nicht unterstützt. Active Directory ist nicht möglich, Benutzer anmelden, wenn das Problem weiterhin besteht. Daher wurde der Netlogon-Dienst angehalten. Benutzer Aktion finden Sie vorherige Ereignisprotokolle nach Einzelheiten. Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.

Diese Ereignisse können im Verzeichnisdienst-Ereignisprotokoll aufgezeichnet. Sie können jedoch überschrieben werden, bevor sie von einem Administrator eingehalten werden.

Wiederherstellung nach einem USN-rollback

Es gibt zwei Ansätze zur Wiederherstellung nach eines USN-Rollbacks:

Rder Domänencontroller aus der Domäne entfernen, wie folgt:
  1. Entfernen Sie Active Directory vom Domänencontroller zu Forceit als eigenständigen Server. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    332199  (http://support.microsoft.com/kb/332199/ ) Domänencontroller können nicht herabgestuft bei Verwendung des Active Directory-Installationsassistenten für eine erzwungene Herabstufung in Windows Server 2003 und Windows 2000 Server
  2. Den herabgestuften Server Herunterfahren.
  3. Bereinigen Sie die Metadaten des herabgestuften Domänencontroller auf einem fehlerfreien Domänencontroller aus. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    216498  (http://support.microsoft.com/kb/216498/ ) Gewusst wie: Entfernen von Daten in Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung
  4. Wenn die falsch wiederhergestellten Domäne-Controller Hostsoperations Rollen Master-, übertragen Sie diese Rollen in einen fehlerfreien Domänencontroller. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    255504  (http://support.microsoft.com/kb/255504/ ) Verwenden Ntdsutil.exe zur Übertragung oder Übernahme der FSMO-Funktionen auf einen Domänencontroller
  5. Starten Sie den herabgestuften Server neu.
  6. Wenn Sie auf erforderlich sind, installieren Sie Active Directory auf Thestand-alone-Server erneut.
  7. Wenn der Domänencontroller bereits ein globaler Katalog war, konfigurieren Sie, den Domänencontroller zu einem globalen Katalog. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    313994  (http://support.microsoft.com/kb/313994/ ) Das Erstellen oder Verschieben eines globalen Katalogs in Windows 2000
  8. Wenn der Domänencontroller zuvor Operationsmaster Rollen gehostet, übertragen Sie die Betriebsmasterfunktionen Betriebsmasterfunktionen auf den Domänencontroller zurück. Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
    255504  (http://support.microsoft.com/kb/255504/ ) Verwenden Ntdsutil.exe zur Übertragung oder Übernahme der FSMO-Funktionen auf einen Domänencontroller
Stellen Sie eine Sicherungskopie des Systemstatus wieder her.

Überprüfen Sie, ob gültige Sicherungen des Systemstatus für diesen Domänencontroller vorhanden sind. Wenn eine gültige Sicherung des Systemstatus erstellt wurde, bevor der Rollback-Domänencontroller wurde nicht ordnungsgemäß wiederhergestellt, und die Sicherung enthält Änderungen, die auf dem Domänencontroller vorgenommen wurden, wiederherstellen Sie Systemstatus aus der letzten Sicherung.

Sie können auch Thesnapshot als Quelle für eine Sicherung. Oder Sie können die Datenbank selbst eine neue Invokationskennung mit dem Verfahren im Abschnitt "auf eine frühere Version eines virtuellen Domänencontrollers VHD ohne Daten Systemstatussicherung wiederherstellen" in diesem Artikel geben: http://technet.Microsoft.com/en-us/library/dd363545 (ws (http://technet.microsoft.com/en-us/library/dd363545(WS.10).aspx)

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support (http://support.microsoft.com/contactus/?ws=support)
Hinweis Das Formular "Hotfixdownload available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Datei-Informationen

Die englische Version dieses Hotfixes weist Dateiattribute (oder spätere Attribute), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu finden, verwenden Sie die Registerkarte Zeitzone unter Datum und Uhrzeit in der Systemsteuerung.Stellen Sie den Systemstatus wieder her.

Überprüfen Sie, ob gültige Sicherungen des Systemstatus für diesen Domänencontroller vorhanden sind. Wenn eine gültige Sicherung des Systemstatus erstellt wurde, bevor der Rollback-Domänencontroller wurde nicht ordnungsgemäß wiederhergestellt, und die Sicherung enthält Änderungen, die auf dem Domänencontroller vorgenommen wurden, wiederherstellen Sie Systemstatus aus der letzten Sicherung.

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Keywords: 
kbautohotfix kbqfe kbhotfixserver kbmt KB875495 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 875495  (http://support.microsoft.com/kb/875495/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store