Wer bereits einen Active Directory Domain Controller, kurz DC, aus einem Backup wiederhergestellt hat, ohne dabei irgendetwas spezielles zu beachten, kennt die folgenden Phänomene unter Umständen:
Das alles hat mit einem sogenannten USN-Rollback zu tun, der aufgrund des Restores des Domain Controllers stattgefunden hat.
USN stehet für «Update Sequence Number» und beschreibt eine vorlaufende Nummer, die bei jeder Änderung eines AD-Objekts erhöht wird. Ein Domain Controller kennt seine USN und synchronisiert nur Objekte, die selbst eine höhere USN, als er selbst, besitzen. So kann einfach sichergestellt werden, dass neue oder geänderte Objekte effizient in der gesamten AD-Struktur verteilt werden.
Und genau da beginnen die Probleme bei einem nicht sauber durchgeführten Restore eines Domain Controllers.
Ein USN-Rollback tritt typischerweise auf, wenn eine unsachgemässe Wiederherstellung eines Domain Controllers erfolgte, bspw. wenn ein Domain Controller von einer nicht unterstützten Backup-Methode wiederhergestellt wird (z. B. mit Snapshot- oder Imaging-Tools, die nicht AD-aware sind).
In diesem Fall wird der Domain Controller in einem früheren Zustand bzw. Zeitpunkt wiederhergestellt, wobei seine USN ebenfalls zurückgesetzt wird, was zu Diskrepanzen im Replikationsprozess führt.
Andere Domain Controller erkennen die auf dem wiederhergestellten Domain Controller vorgenommenen Änderungen nicht, da sie diese Änderungen als veraltet ansehen, da der wiederhergestellte Domain Controller nun einen niedrigeren USN hat. Nämlich den zum Zeitpunkt des Backups.
Das kann dazu führen, dass der wiederhergestellte Domain Controller Daten nicht korrekt mit anderen Domain Controllern repliziert, was wiederum zu inkonsistenten AD-Objekten und Replikationsfehlern führt.
Für das Backup und die Wiederherstellung von Domain Controllern dürfen ausschliesslich Active Directory-fähige Backuplösungen eingesetzt werden. Keine Verwendung von Snapshots oder Imaging-Tools, die nicht speziell für AD konzipiert sind. Dies gilt auch für alle Hypervisor Snapshot-Technologien. Regelmässiges Überwachen des Replikationsstatus und der Ereignisprotokolle, um mögliche Probleme frühzeitig zu erkennen.
Die Ereignisprotokolle (Event ID 2095) auf den Domain Controllern können Hinweise auf einen USN-Rollback liefern.Tools wie «repadmin» können dabei helfen, Replikationsprobleme zu identifizieren, die auf einen USN-Rollback hindeuten könnten.
Um die Konsistenz der Objekte in Active Directory, nach einem USN-Rollback, wieder herzustellen, sollte folgendes getan werden:
Active Directory (AD) ist ein von Microsoft entwickelter Verzeichnisdienst für Windowsnetzwerke, der dazu dient, Berechtigungen und den Zugriff auf Netzwerkressourcen zu verwalten und Informationen über Objekte wie Benutzer, Gruppen und Computer zu speichern.
Unsere Lösung gewährleistet, dass Ihre Domain Controller korrekt und sicher gesichert und wiederhergestellt werden können, ohne das Risiko eines USN-Rollbacks einzugehen. Unsere spezialisierte Technologie und unsere umfassenden Erfahrungen im Bereich der Datensicherung machen uns zu Ihrem idealen Partner für Active Directory Backups. Jetzt mehr erfahren.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht