Назад | Перейти на главную страницу

Это откат USN?

У меня 6 контроллеров домена Windows 2008 R2, все сборщики мусора, в разных местах (2 + 2 + 2).

На моем основном сайте у меня есть клон одного из наших контроллеров домена, созданный несколько месяцев назад, обычно полностью изолированный от сети. Сегодня утром я сделал ошибку, случайно связав этот клон со своей стандартной сетью. (Никогда не щелкайте правой кнопкой мыши по параметрам редактирования, не выбрав правильную виртуальную машину). Я оставил это подключенным на 25 минут, пока не заметил проблему. Я побежал dcdiag на другом сайте без уведомления о конкретной проблеме.

Я хотел бы узнать, есть ли у меня большие проблемы, согласно статье службы поддержки Microsoft Как обнаружить и восстановить после отката USN. Я не совсем понимаю это.

Это результат repadmin: Это клон DC1, который я включил сегодня утром ..

C:\Users\admin>repadmin /showutdvec DC1 dc=mydomain,dc=local
Caching GUIDs.
..
mainsite\DC2                   @ USN  28895532 @ Time 2014-02-26 12:41:58
mainsite\DC1                      @ USN 202723681 @ Time 2014-02-26 12:42:29

C:\Users\admin>repadmin /showutdvec DC2 dc=mydomain,dc=local
Caching GUIDs.
..
mainsite\DC2                   @ USN  28895538 @ Time 2014-02-26 12:42:30
mainsite\DC1                      @ USN 202723672 @ Time 2014-02-26 12:42:11

Как я вижу, у меня есть:

Поскольку 202723681 больше 202723672, все в порядке?

Чтобы убедиться, что репликация в порядке, я провел следующие тесты:

  1. Тест 1

    • Заблокируйте весь трафик с моего компьютера, кроме DC1.
    • Изменить свой пароль
    • Попробуйте аутентифицироваться с этим новым паролем на другом компьютере -> ОК

  2. Тест 2

    • Блокировать весь трафик с моего компьютера, кроме DC2
    • Изменить свой пароль
    • Попробуйте пройти аутентификацию с этим новым паролем на другом компьютере -> ОК

Актуальны ли результаты этих тестов?

Ваше словоблудие могло бы быть более ясным, но если вы сбежали repadmin /showutdvec на фактическом DC1 (а не на его клоне), эти результаты показывают, что вы наверное иметь не произошел откат USN.

Из статьи, которую вы связали (курсив мой):

Один из способов обнаружить откат USN - использовать версию Repadmin.exe для Windows Server для запуска repadmin. /showutdvec command. Эта версия Repadmin.exe отображает USN вектора актуальности для всех контроллеров домена, которые реплицируют общий контекст именования. Чтобы обнаружить откат USN, сравните вывод repadmin /showutdvec на контроллере домена с выходными данными той же команды на партнерах по репликации контроллера домена. Если партнеры по прямой репликации имеют более высокий номер USN для контроллера домена, чем контроллер домена для самого себя, а repadmin /showreps не сообщает об ошибках репликации между прямыми партнерами репликации, у вас есть убедительные доказательства отката USN.

DC1 имеет более высокий номер USN для себя, чем DC2, поэтому это не указывает на ситуацию отката USN.

Чтобы быть в безопасности, запустите тот же тест для всех партнеров по репликации (контроллеры домена 3, 4, 5 и 6), но похоже, что клон DC1, который вы подключили к сети, был либо отклонен как партнер репликации, либо репликация помешала конфликтная ситуация IP.