3
Active Directory - USN Rollback Probleme
Aloha zusammen ...
... bei unserer Standortreplikation traten Fehler auf.
Einer der Server verweigerte das Schreiben der Daten.
Recherche ergab:
Exakt das war der Fall bei uns!
Also habe ich versucht, den Server "normal" zu demoten, was nicht klappte. Ichmusste die Entfernung erzwingen.
Nach einer guten Stunde startete der Server dann neu.
Nach dem Neustart dann geprüft, ob es geklappt hat. Sah gut aus. In der Domain war er nicht mehr und ich konnte mich auch nur noch lokal anmelden.
Also habe ich auf einem anderen DC die Metadaten bereinigt, wie -> HIER <- beschrieben.
1. Domain-Controller Objekt im AD entfernt
2. Domain-Controller aus Standorte und Dienste entfernt
Danach dann den herabgestuften DC wieder neu gestartet und in die Domain aufgenommen, was einwandfrei klappte.
Also habe ich den Assistenten für Rollen und Features wieder gestartet und wollte ihn wieder zum DC promoten.
Das aber geht nicht mehr. Der Assistent bricht nach gefühlten 70% ab mit der Meldung, dass das Feature nicht hinzugefügt werden kann, weil der Server erst einmal neu gestartet werden muss.
Hat zufällig jmd. noch einen Wink mit der Raketenstütze, bevor ich hier die Kiste neu aufsetze?
greetz
Der Rico
... bei unserer Standortreplikation traten Fehler auf.
Einer der Server verweigerte das Schreiben der Daten.
Recherche ergab:
You may suspect that a USN rollback has occurred. However, you do not see the correlating events in the Directory Service event log. In this scenario, check for the Dsa Not Writable registry entry. This entry provides forensic evidence that a USN rollback has occurred.
Registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Registry entry: Dsa Not Writable
Value: 0x4
Deleting or manually changing the Dsa Not Writable registry entry value puts the rollback domain controller in a permanently unsupported state. Therefore, such changes are not supported. Specifically, modifying the value removes the quarantine behavior added by the USN rollback detection code. The Active Directory partitions on the rollback domain controller will be permanently inconsistent with direct and transitive replication partners in the same Active Directory forest.Exakt das war der Fall bei uns!
Also habe ich versucht, den Server "normal" zu demoten, was nicht klappte. Ichmusste die Entfernung erzwingen.
Nach einer guten Stunde startete der Server dann neu.
Nach dem Neustart dann geprüft, ob es geklappt hat. Sah gut aus. In der Domain war er nicht mehr und ich konnte mich auch nur noch lokal anmelden.
Also habe ich auf einem anderen DC die Metadaten bereinigt, wie -> HIER <- beschrieben.
1. Domain-Controller Objekt im AD entfernt
2. Domain-Controller aus Standorte und Dienste entfernt
Danach dann den herabgestuften DC wieder neu gestartet und in die Domain aufgenommen, was einwandfrei klappte.
Also habe ich den Assistenten für Rollen und Features wieder gestartet und wollte ihn wieder zum DC promoten.
Das aber geht nicht mehr. Der Assistent bricht nach gefühlten 70% ab mit der Meldung, dass das Feature nicht hinzugefügt werden kann, weil der Server erst einmal neu gestartet werden muss.
Hat zufällig jmd. noch einen Wink mit der Raketenstütze, bevor ich hier die Kiste neu aufsetze?
greetz
Der Rico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1223229727
Url: https://administrator.de/contentid/1223229727
Ausgedruckt am: 23.11.2024 um 03:11 Uhr
3 Kommentare
Neuester Kommentar
Hi,
einen defekten DC, welchen man hart aus dem AD entfernt hat, soll man nie wieder in dieses AD als DC aufnehmen.
Also erst den Server vollkommen neu installieren. Dann kannst Du ihn wieder zum DC heraufstufen.
E.
einen defekten DC, welchen man hart aus dem AD entfernt hat, soll man nie wieder in dieses AD als DC aufnehmen.
Also erst den Server vollkommen neu installieren. Dann kannst Du ihn wieder zum DC heraufstufen.
E.
1
Moin,
Warum machst Du ihn nicht "frisch", wenn er doch fehlerhaft war und gewaltsam aus dem AD gerissen werden mußte?
Solange das nur ein DC ist, ist der doch in wenigen Minuten aufgesetzt.
Oder hängt da mehr dran?
lks
Warum machst Du ihn nicht "frisch", wenn er doch fehlerhaft war und gewaltsam aus dem AD gerissen werden mußte?
Solange das nur ein DC ist, ist der doch in wenigen Minuten aufgesetzt.
Oder hängt da mehr dran?
lks
Mahlzeit!
Nee. Ich wäre da anders herangegangen:
So hab ich das bei uns schon gemacht.
Gruß
bdmvg
Zitat von @RicoPausB:
Hat zufällig jmd. noch einen Wink mit der Raketenstütze, bevor ich hier die Kiste neu aufsetze?
Hat zufällig jmd. noch einen Wink mit der Raketenstütze, bevor ich hier die Kiste neu aufsetze?
Nee. Ich wäre da anders herangegangen:
- Den USN-Rollback hätte ich gegen alle DCs verifiziert
- FSMO-Check und ggfs. alle FSMO-Rollen vom fehlerhaften DC weg
- Replikationstopologie auf manuell und so ändern, so dass der "defekte" DC nur Änderungen wegschreibt, aber nüscht nach außen propagiert.
- Änderung in der Registry des "defekten" DCs, so dass er seine Datenbank wieder pflegen kann und Kerberos-Dienst runterfahren und gegen Start sichern und Neustart.
- Replikation prüfen und wenn mehrfach gelaufen und ok (kann etwas dauern), dann Topologie wieder auf auto am DC und Kerberos wieder hochfahren.
So hab ich das bei uns schon gemacht.
Gruß
bdmvg
