ricopausb
Goto Top

Active Directory - USN Rollback Probleme

Aloha zusammen ...

... bei unserer Standortreplikation traten Fehler auf.
Einer der Server verweigerte das Schreiben der Daten.

Recherche ergab:
You may suspect that a USN rollback has occurred. However, you do not see the correlating events in the Directory Service event log. In this scenario, check for the Dsa Not Writable registry entry. This entry provides forensic evidence that a USN rollback has occurred.

Registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Registry entry: Dsa Not Writable
Value: 0x4
Deleting or manually changing the Dsa Not Writable registry entry value puts the rollback domain controller in a permanently unsupported state. Therefore, such changes are not supported. Specifically, modifying the value removes the quarantine behavior added by the USN rollback detection code. The Active Directory partitions on the rollback domain controller will be permanently inconsistent with direct and transitive replication partners in the same Active Directory forest.

Exakt das war der Fall bei uns!

Also habe ich versucht, den Server "normal" zu demoten, was nicht klappte. Ichmusste die Entfernung erzwingen.
Nach einer guten Stunde startete der Server dann neu.
Nach dem Neustart dann geprüft, ob es geklappt hat. Sah gut aus. In der Domain war er nicht mehr und ich konnte mich auch nur noch lokal anmelden.

Also habe ich auf einem anderen DC die Metadaten bereinigt, wie -> HIER <- beschrieben.

1. Domain-Controller Objekt im AD entfernt
2. Domain-Controller aus Standorte und Dienste entfernt

Danach dann den herabgestuften DC wieder neu gestartet und in die Domain aufgenommen, was einwandfrei klappte.

Also habe ich den Assistenten für Rollen und Features wieder gestartet und wollte ihn wieder zum DC promoten.
Das aber geht nicht mehr. Der Assistent bricht nach gefühlten 70% ab mit der Meldung, dass das Feature nicht hinzugefügt werden kann, weil der Server erst einmal neu gestartet werden muss.

Hat zufällig jmd. noch einen Wink mit der Raketenstütze, bevor ich hier die Kiste neu aufsetze?

greetz

Der Rico

Content-Key: 1223229727

Url: https://administrator.de/contentid/1223229727

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: emeriks
Lösung emeriks 03.09.2021 um 09:06:18 Uhr
Goto Top
Hi,
einen defekten DC, welchen man hart aus dem AD entfernt hat, soll man nie wieder in dieses AD als DC aufnehmen.
Also erst den Server vollkommen neu installieren. Dann kannst Du ihn wieder zum DC heraufstufen.

E.
Mitglied: Lochkartenstanzer
Lösung Lochkartenstanzer 03.09.2021 um 10:55:46 Uhr
Goto Top
Moin,

Warum machst Du ihn nicht "frisch", wenn er doch fehlerhaft war und gewaltsam aus dem AD gerissen werden mußte?

Solange das nur ein DC ist, ist der doch in wenigen Minuten aufgesetzt.

Oder hängt da mehr dran?

lks
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 03.09.2021 um 12:18:27 Uhr
Goto Top
Zitat von @RicoPausB:
Aloha zusammen ...
Mahlzeit!

Zitat von @RicoPausB:
Hat zufällig jmd. noch einen Wink mit der Raketenstütze, bevor ich hier die Kiste neu aufsetze?

Nee. Ich wäre da anders herangegangen:
  • Den USN-Rollback hätte ich gegen alle DCs verifiziert
  • FSMO-Check und ggfs. alle FSMO-Rollen vom fehlerhaften DC weg
  • Replikationstopologie auf manuell und so ändern, so dass der "defekte" DC nur Änderungen wegschreibt, aber nüscht nach außen propagiert.
  • Änderung in der Registry des "defekten" DCs, so dass er seine Datenbank wieder pflegen kann und Kerberos-Dienst runterfahren und gegen Start sichern und Neustart.
  • Replikation prüfen und wenn mehrfach gelaufen und ok (kann etwas dauern), dann Topologie wieder auf auto am DC und Kerberos wieder hochfahren.

So hab ich das bei uns schon gemacht.

Gruß
bdmvg