Я унаследовал лес Active Directory, который устроен очень плохо. Он имеет единственный лес с деревом доменов для каждого сайта, каждый с одним контроллером домена. Ни один домен не является дочерним по отношению к другому домену.
Теперь у одного из контроллеров домена, назовем его M1 для домена M, возникла проблема, когда мы перемещали виртуальную машину с одного гипервизора на другой, поэтому мы вернулись к рабочему, это вызвало откат USN, и DC M1 2008r2 обнаружил этот. Во время этой выдумки в домене M было сделано 2 записи DNS, которые, вероятно, были единственными потерянными во время отката, поскольку в то время в домене M не было активных пользователей. В настоящее время для DC M1 повторно включена входящая и исходящая репликация с repadmin /options M1 -DISABLE_INBOUND_REPL и repadmin /options M1 -DISABLE_OUTBOUND_REPL и его служба входа в сеть продолжалась после запуска в состоянии паузы с идентификатором 2103 события.
Решение, которое я хотел бы, - создать новый единый домен для всех 10 сайтов и начать все сначала. Однако, помимо раздражения, связанного с запуском netlogon в приостановленном состоянии, он все равно работает нормально. У меня есть следующие вопросы:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA Not Writable и игнорируйте откат, как это повлияет на один домен DC в многодоменном лесу?Потому что это единственный DC, который мы не можем выполнить
Изменить: да, у нас есть или мы можем сделать резервную копию состояния системы из старого образа системы, который моложе срока жизни захоронения.
Я думаю, что самый безопасный способ сделать это - позвонить в службу поддержки Microsoft и попросить их помочь вам в этом. Дело в том, что достаточно просто изменить вручную Dsa Not Writable запись в реестре может привести к тому, что вы окажетесь в постоянно неподдерживаемом состоянии.
С этим отказом от ответственности проблема с откатом USN заключается в том, что вам нужен другой DC в домене, который будет авторитетным стандартом для отката для вашего домена. Поскольку у вас есть только 1 DC в домене, у вас его нет.
У вас есть резервная копия состояния системы?
Правильно восстановленный контроллер домена сбрасывает свой атрибут идентификатора локального вызова при перезапуске в Active Directory после восстановления состояния системы с помощью поддержанный метод резервного копирования и восстановления. При исходящей репликации идентификатора вызова сброса удаленные контроллеры домена в лесу записывают идентификатор вызова сброса как новый экземпляр базы данных на восстановленном контроллере домена. Хотя восстановленный контроллер домена по-прежнему остается тем же контроллером домена, удаленные контроллеры домена подтверждают этот восстановленный контроллер домена как нового партнера по репликации, поскольку изменился идентификатор вызова. (Идентификатор вызова - это идентификатор экземпляра базы данных.) Сам восстановленный контроллер домена будет принимать изменения от других удаленных контроллеров домена, которые возникли на удаленных контроллерах домена и на контроллере домена до его восстановления.
Это в значительной степени ваша библия по этому поводу: http://support.microsoft.com/kb/875495/en-US
Нет резервной копии состояния системы? Вы можете настроить базу данных AD на присвоение себе нового идентификатора вызова:
Ничего из этого не сработало? Тогда посмотри на светлую сторону: по крайней мере, ты только проиграл один домен!