dduchardt
Goto Top

Welchen DC für USN-Rollback-Behebung

Hallo,
Habe vor kurzem in einer neuen Firma angefangen und musste feststellen, dass die DC's nicht mehr syncen seit 2007 wegen Tombstone-Zeit überschritten.
Mittlerweile haben wir denke ich eine USN-Rollback-Situation erreicht.
Benötige mal eure Hilfe ob es ein USN-Problem gibt und wenn ja, welchen DC ich behalten soll und welche rausnehmen.

Wir haben 3 2003 R2 DC's (DC1SVRE,DC2SVRD,DC3SVRE) mit Stand SP2. Alle 3 sind am selben Standort, DNS- und GC-Server.
PDC und alle anderen einmaligen Rollen hält der Server DC1SVRE.

Zunächst einmal habe ich gemäß MS-KB (genauen weiß ich nicht mehr) nach "lingering objects gefandet" und nachdem keine vorhanden waren über die Registry das syncen mit möglicherweise korrupten Quellen erlaubt usw.
Folge war, dass alle 3 DC's erfolgreich untereinander gesynct haben.
Es traten 5 Objekte auf, die dabei wegen gleicher GUID unbenannt wurden.
Da im Anschluss aber keine Probleme feststellbar waren, habe ich das ignoriert.
Anschließend wurde die Registry wieder auf standard zurück geändert.
Auf allen DC's waren dann, soweit überprüfbar, die gleichen Objekte.

Nach ca. 1 Woche wurde dann auf dem DC1SVRE der NetLogon-Dienst pausiert. Im Ereignisprotokoll stand dann die Meldung von wegen einer falschen Wiederherstellungsmethode usw.
Ich kann die Dienst durch anhalten und neustarten wieder normal in Gang setzen.
Vorher scheitert bei einem dcdiag /e logischwerweise der Test Netlogon und der Test Advertising auf dem DC1SVRE (weil stattdessen ein anderer DC antwortet).
Nachdem der NetLogon-Dienst beendet und neu gestartet wurde läuft er erstmal und dann meldet dcdiag /e keine Fehler mehr.

Ich habe dann mit repadmin /showutdvec mal die USN-Nummern auf den 3 DC's ausgelesen mit folgendem Ergebnis:

C:\Dokumente und Einstellungen\Administrator>repadmin /showutdvec DC1SVRE DC=de,DC=domainname,DC=global
Caching GUIDs.
..
Standort1\DC1SVRE @ USN 7978164 @ Time 2011-08-02 08:42:06
Standort1\DC2SVRD @ USN 9007087 @ Time 2011-08-02 08:41:21
Standort1\DC3SVRW @ USN 4865958 @ Time 2011-08-02 08:41:10


C:\Dokumente und Einstellungen\Administrator>repadmin /showutdvec DC2SVRD DC=de,DC=domainname,DC=global
Caching GUIDs.
..
Standort1\DC1SVRE @ USN 7978149 @ Time 2011-08-02 08:39:39
Standort1\DC2SVRD @ USN 9007087 @ Time 2011-08-02 08:42:24
Standort1\DC3SVRW @ USN 4865958 @ Time 2011-08-02 08:41:10


C:\Dokumente und Einstellungen\Administrator>repadmin /showutdvec DC3SVRW DC=de,DC=domainname,DC=global
Caching GUIDs.
..
Standort1\DC1SVRE @ USN 7978149 @ Time 2011-08-02 08:39:39
Standort1\DC2SVRD @ USN 9007087 @ Time 2011-08-02 08:41:18
Standort1\DC3SVRW @ USN 4865961 @ Time 2011-08-02 08:42:42

Da die USN-Nummern unterschiedlich sind gehe ich davon aus, dass wir eine USN-Rollback-Situation haben und diese gemäß MS-KB durch rausnehmen von 2 DC's behoben werden muss.
Nur welchen behalten?
Oder kennt ihr noch eine andere Lösung?
Im Moment läuft zwar alles und augenscheinlich syncen die DC's auch neuere Objekte aber ich bezweifel, dass es so bleibt.

EDIT:
Kleiner Nachtrag: Alle Benutzer- und Computerobjekte werden gesynct. DNS, Standorte und Dienste macht auch keinen Ärger.
GPO-Ordner und andere Dateien wie Scripte im Sysvol werden jedoch nur zwischen DC2SVRD und DC3SVRW gesynct aber nicht vom DC1SVRE.

Content-ID: 170782

Url: https://administrator.de/contentid/170782

Ausgedruckt am: 22.11.2024 um 14:11 Uhr

dduchardt
dduchardt 08.08.2011 um 10:20:59 Uhr
Goto Top
71x gelesen und null Rückmeldung... face-sad
Wenn es Lotterie ist, wovon ich im Moment ausgehe, dann sagt es doch zumindest.