um dos DCs únicos por domínio DC sofreu reversão do USN

Navegue suas respostas
7

Eu herdei uma floresta do Active Directory muito mal definida. Ele tem uma floresta única com uma árvore de domínio para cada site, cada um com um único controlador de domínio. Nenhum domínio é filho de qualquer outro domínio.

Agora um dos DCs, vamos chamá-lo de M1 para o domínio M, teve um problema quando estávamos movendo a VM de um hipervisor para outro, então voltamos para o trabalho, ele causou a reversão do USN e o DC 2008r2 M1 detectou isso. Durante esse fudge, havia duas entradas de DNS feitas no domínio M, que provavelmente eram as únicas coisas perdidas durante a reversão, já que nenhum usuário estava ativo no domínio M naquele momento. Atualmente, o DC M1 teve sua replicação de entrada e saída reativada com repadmin /options M1 -DISABLE_INBOUND_REPL e repadmin /options M1 -DISABLE_OUTBOUND_REPL e seu serviço de netlogon continuou depois que ele foi iniciado em um estado pausado com o ID de evento 2103.

A solução que desejo é criar um novo domínio único para todos os 10 sites e começar de novo. No entanto, além do incômodo de netlogon começando em um estado pausado, parece estar funcionando de qualquer maneira. As perguntas que tenho são:

  1. Alguma sugestão menos severa ou seria tão difícil começar de novo e fazê-lo corretamente?
  2. Se eu apenas excluo a chave de registro HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writable e ignorar a reversão, qual será o efeito no domínio DC único em uma floresta de vários domínios?

Por ser um único CD, não podemos executar

  • rebaixar, em seguida, promova o DC a ser replicado de outro DC existente, pois não há nenhum no mesmo domínio para replicar de
  • Faça uma restauração não autoritativa do estado do sistema, pois isso exige que um DC saudável funcione para ser replicado também.

Editar: sim, temos ou podemos fazer um backup de estado do sistema a partir de uma imagem de sistema antiga, que seja mais nova que a vida útil da marca de exclusão.

    
por BeowulfNode42 20.01.2014 / 01:41

1 resposta

5

Acho que a coisa mais segura a fazer é chamar o suporte da Microsoft e orientá-lo. A coisa é, fazer algo tão simples quanto modificar manualmente a entrada de registro Dsa Not Writable pode colocá-lo em um estado permanentemente sem suporte.

Com esse aviso de isenção de responsabilidade, o problema com as reversões do USN é que você precisa de outro controlador de domínio no domínio para ser o padrão autoritativo a ser revertido para seu domínio. Como você tem apenas 1 DC no domínio, não tem isso.

Você tem um backup de estado do sistema?

A correctly restored domain controller resets its local invocation ID attribute when it restarts into Active Directory after its system state is restored by using a supported backup and restore method. When the reset invocation ID is outbound-replicated, remote domain controllers in the forest record the reset invocation ID as a new database instance on the restored domain controller. Although the restored domain controller is still the same domain controller, the remote domain controllers acknowledge this restored domain controller as a new replication partner because the invocation ID changed. (The invocation ID is the identity of the database instance.) The restored domain controller itself will accept changes from other remote domain controllers that originated on the remote domain controllers and on the domain controller before it was restored.

Essa é praticamente a sua Bíblia sobre esse assunto: link

Não tem um backup de estado do sistema? Você pode definir o banco de dados do AD para obter um novo ID de invocação:

link

Nada disso funcionou? Então olhe pelo lado positivo: pelo menos você só perdeu um domínio!

    
por 20.01.2014 / 03:13

Tags

A APC realmente melhora o desempenho com PHP 5.3+ Estou tentando usar o “aws s3 sync” na minha instância do EC2. A opção '--exclude' está quebrada?