在 Windows Server 中如何检测 USN 回滚并从中进行恢复Word下载.docx
《在 Windows Server 中如何检测 USN 回滚并从中进行恢复Word下载.docx》由会员分享,可在线阅读,更多相关《在 Windows Server 中如何检测 USN 回滚并从中进行恢复Word下载.docx(10页珍藏版)》请在冰豆网上搜索。
在域控制器的生命周期中,您可能必须将ActiveDirectory数据库的内容还原(或“回滚”)到一个已知正常的时间点。
或者,您可能必须将域控制器主机操作系统的元素(包括ActiveDirectory)回滚到一个已知正常的时间点。
下面是两种可用于回滚ActiveDirectory内容的支持的方法:
∙使用采用Microsoft提供和经Microsoft测试的API的ActiveDirectory感知备份和还原实用程序。
这些API会以非权威性或权威性方式还原系统状态备份。
所还原的备份应来源于相同的操作系统安装,并来源于正在还原的相同物理或虚拟计算机。
∙使用采用Microsoft卷影复制服务API的ActiveDirectory感知备份和还原实用程序。
这些API可备份和还原域控制器系统状态。
卷影复制服务支持在WindowsServer2003计算机上创建单个或多个卷的单一时间点卷影副本。
单一时间点卷影副本也称为快照。
有关更多信息,请访问以下Microsoft网站并搜索“卷影复制服务”:
(
更多信息
恢复ActiveDirectory感知系统状态备份时发生的典型行为WindowsServer2003域控制器将USN与调用ID结合使用来跟踪...
恢复ActiveDirectory感知系统状态备份时发生的典型行为
WindowsServer2003域控制器将USN与调用ID结合使用来跟踪必须在ActiveDirectory林中的复制伙伴之间复制的更新。
源域控制器使用USN来确定请求更改的目标域控制器已经收到了哪些更改。
目标域控制器使用USN来确定应从源域控制器请求哪些更改。
调用ID标识在给定域控制器上运行的ActiveDirectory数据库的版本或例示。
在域控制器上通过使用经Microsoft设计和测试的API和方法还原ActiveDirectory时,将会在还原的域控制器上正确地重置调用ID。
林中的域控制器将收到有关调用重置的通知。
因此,它们会相应调整其高水位标记值。
导致USN回滚的软件和方法
当使用以下环境、程序或子系统时,管理员可能会忽略Microsoft设计为在还原域控制器系统状态时进行的检查和验证操作:
∙启动其ActiveDirectory数据库文件已通过使用映像程序(比如NortonGhost)还原(复制)到位的ActiveDirectory域控制器。
∙启动以前保存的域控制器虚拟硬盘映像。
以下情形可能会导致USN回滚:
1.在虚拟宿主环境中提升域控制器。
2.创建虚拟宿主环境的快照或替代版本。
3.允许域控制器继续进行入站复制和出站复制。
4.启动在步骤2中创建的域控制器映像文件。
∙导致这种情形的虚拟宿主环境的示例包括MicrosoftVirtualPC2004、MicrosoftVirtualServer2005和EMCVMWARE。
其他虚拟宿主环境也可能会导致此情形。
∙有关虚拟宿主环境中域控制器的支持条件的更多信息,请单击下面的文章编号,以查看Microsoft知识库中相应的文章:
∙通过使用以前保存的操作系统映像(而不需要ActiveDirectory的系统状态还原),启动位于磁盘子系统从中加载的卷中的ActiveDirectory域控制器。
情形A:
启动位于磁盘子系统(存储一个卷的多个版本)上的ActiveDirectory的多个副本
5.提升域控制器。
在可存储卷的多个版本(该卷承载Ntds.dit文件)的磁盘子系统上找到Ntds.dit文件。
6.使用磁盘子系统为域控制器创建承载Ntds.dit文件的卷的快照。
7.继续让域控制器从您在步骤1中创建的卷中加载ActiveDirectory。
8.启动ActiveDirectory数据库在步骤2中保存的域控制器。
情形B:
从损坏的镜像中的其他驱动器中启动ActiveDirectory
9.提升域控制器。
在镜像驱动器上找到Ntds.dit文件。
10.损坏镜像。
11.通过使用镜像中第一个驱动器上的Ntds.dit文件继续进行入站复制和出站复制。
12.通过使用镜像中第二个驱动器上的Ntds.dit文件启动域控制器。
即使不是有意为之,以上每种情形都可能导致域控制器通过不支持的方法回滚到ActiveDirectory数据库的某个较旧版本。
唯一支持用于回滚ActiveDirectory内容或ActiveDirectory域控制器本地状态的方法是:
使用ActiveDirectory感知备份和还原实用程序来还原系统状态备份,该备份来源于相同的操作系统安装,并来源于正在还原的相同物理或虚拟计算机。
Microsoft不支持用于获取ActiveDirectory域控制器系统状态元素的快照和将该系统状态的元素复制到操作系统映像的任何其他过程。
除非管理员介入,否则这种过程将会导致USN回滚。
这种USN回滚将导致未正确还原的域控制器的直接或可传递的复制伙伴在其ActiveDirectory数据库中出现不一致的对象。
USN回滚的影响
如果发生了USN回滚,之前看到过该USN的目标域控制器将不会以入站方式复制对象和属性的修改内容。
由于这些目标域控制器认为它们是最新的,因此DirectoryService事件日志中或监控和诊断工具不会报告任何复制错误。
USN回滚可能会影响任何分区中任何对象或属性的复制。
最常见的副作用是:
在回滚域控制器上创建的用户帐户和计算机帐户在一个或多个复制伙伴上不存在。
或者,在回滚域控制器上更新的密码在复制伙伴上不存在。
以下步骤显示了可能导致USN回滚的事件的顺序。
当使用不支持的系统状态还原将域控制器系统状态回滚到某个时间时,将发生USN回滚。
1.管理员提升了某个域中的三个域控制器。
(在本例中,域控制器为DC1、DC2和DC3,域为C。
)DC1和DC2是直接复制伙伴。
DC2和DC3也是直接复制伙伴。
DC1和DC3不是直接复制伙伴,但通过DC2以中间方式接收原始更新。
2.管理员在DC1上创建了与USN1至10对应的10个用户帐户。
所有这些帐户都复制到DC2和DC3。
3.在DC1上捕获了操作系统的磁盘映像。
此映像有一个对象记录,这些对象与DC1上的本地USN1至10对应。
4.在ActiveDirectory中进行了以下更改:
o在DC1上重置了在步骤2中创建的所有10个用户帐户的密码。
这些密码对应于USN11至20。
所有10个更新的密码都复制到DC2和DC3。
o在DC1上创建了与USN21至30对应的10个新用户帐户。
这10个用户帐户复制到DC2和DC3。
o在DC1上创建了与USN31至40对应的10个新计算机帐户。
这10个计算机帐户复制到DC2和DC3。
o在DC1上创建了与USN41至50对应的10个新安全组。
这10个安全组复制到DC2和DC3。
5.DC1遇到硬件故障或软件错误。
管理员使用磁盘映像实用程序将在步骤3中创建的操作系统映像复制到位。
DC1现在使用知道USN1至10的ActiveDirectory数据库启动。
由于操作系统映像已复制到位,并且未使用支持的系统状态还原方法,因此DC1将继续使用创建数据库初始副本的同一调用ID和直至USN50的所有更改。
DC2和DC3也为DC1保留同一调用ID,并为DC1保留USN50的最新矢量。
(最新矢量是要在给定目录分区的所有域控制器上进行的最新原始更新的当前状态。
)
除非管理员介入,否则DC2和DC3不会以入站方式复制与本地USN11至50(源自DC1)对应的更改。
同时,根据DC2使用的调用ID,DC1已经知道了与USN11到50对应的更改。
因此,DC2不会发送这些更改。
由于步骤4中的更改在DC1上不存在,因此登录请求将失败,并出现“拒绝访问”错误。
之所以发生此错误,原因是密码不匹配,或者是较新的帐户在以随机方式向DC1进行身份验证时帐户不存在。
6.在林中监控复制状况的管理员会注意到以下情形:
oRepadmin/showreps命令行工具会报告DC1和DC2之间以及DC2和DC3之间正在发生双向ActiveDirectory复制,并且没有错误。
这种情形使得任何复制不一致情况难以被检测到。
o运行WindowsServer2003的域控制器的目录服务事件日志中的复制事件不会在目录服务事件日志中指明任何复制错误。
o在将DC2和DC3上的域目录分区与DC1上的分区进行比较时,“ActiveDirectory用户和计算机”或ActiveDirectory管理工具(Ldp.exe)会显示不同的对象计数和不同的对象元数据。
不同之处是在步骤4中映射到USN更改11至50的更改集合。
注意:
在本例中,不同的对象计数牵涉到用户帐户、计算机帐户以及安全组。
不同的对象元数据代表不同的用户帐户密码。
o在步骤2中创建的10个用户帐户的用户身份验证请求偶尔会产生“拒绝访问”或“密码不正确”错误。
之所以可能发生此错误,原因是DC1上的这些用户帐户与DC2和DC3上的帐户之间存在密码不匹配情况。
遇到此问题的用户帐户对应于在步骤4中创建的用户帐户。
步骤4中进行的用户帐户和密码重置未复制到域中的其他域控制器。
7.DC2和DC3开始以入站方式从DC1复制与大于50的USN编号对应的原始更新。
此复制过程在没有管理介入的情况下将正常进行,因为已超出了以前记录的最新矢量阈值USN50。
(USN50是在使DC1脱机并对其进行还原之前在DC2和DC3上为DC1记录的最新矢量USN。
)但是,在进行了不支持的还原后,与原始DC1上的USN11至50对应的新更改将从不会复制到DC2、DC3或他们的可传递的复制伙伴。
尽管步骤6中提到的症状代表了USN回滚可能会对用户和计算机帐户产生的一些影响,但USN回滚可能会使任何ActiveDirectory分区中的任何对象类型无法进行复制。
这些对象类型包括:
∙ActiveDirectory复制拓扑和计划
∙域控制器在林中的存在性,以及这些域控制器保留的角色
这些角色包括全局编录、相对标识符(RID)分配和操作主机角色。
(操作主机角色也称为灵活单一主机操作,或FSMO。
)
∙域和应用程序分区在林中的存在性
∙安全组的存在性以及他们的当前组成员关系
∙集成了ActiveDirectory的DNS区域中的DNS记录注册
USN空洞的大小可能代表数百、成千或者甚至上万个用户、计算机、信任、密码或安全组更改。
(USN空洞的定义是:
进行还原系统状态备份时存在的最高USN数量与回滚域控制器脱机之前在其上创建的原始更改的数量之间的差。
在运行WindowsServer2003的域控制器上检测USN回滚
由于事件日志或复制引擎中不会记录错误,因此USN回滚可能难于检测。
检测USN回滚的一种方法是:
使用Repadmin.exe的WindowsServer2003版本来运行repadmin/showutdvec命令。
此版本的Repadmin.exe可显示复制通用命名上下文的所有域控制器的最新矢量USN。
要检测USN回滚,请将域控制器上repadmin/showutdvec命令的输出与该域控制器的复制伙伴上的同一命令的输出进行比较。
如果直接复制伙伴的域控制器USN编号比域控制器本身的USN编号高,并且repadmin/showreps命令未报告直接复制伙伴之间的复制错误,您就有了USN回滚非常有说服力的证据。
经过正确还原的域控制器在通过使用支持的备份和还原方法还原了其系统状态后,在重新启动到ActiveDirectory中时会重置其本地调用ID。
在以出站方式复制了重置的调用ID后,林中的远程域控制器会将重置的调用ID记录为已还原域控制器上的一个新数据库实例。
尽管还原的域控制器仍然是同一域控制器,但远程域控制器会认为这个还原的域控制器是一个新的复制伙伴,因为调用ID发生了变化。
(调用ID是数据库实例的身份。
)还原后的域控制器本身将从其他远程域控制器接受源自远程域控制器上以及源自还原之前该域控制器上的更改。
以下示例显示了域中DC1和DC2上repadmin/showutdvec命令的输出。
在本例中,该命令是在步骤5的回滚之后随即运行的。
C:
\>
Repadmin/showutdvecdc1dc=contoso,dc=com
CachingGUIDs...
Site1\DC1@USN10@Time2004-08-0415:
07:
15
Site2\DC2@USN24805@Time2004-08-0415:
06:
59
Repadmin/showutdvecdc2dc=contoso,dc=com
Site1\DC1@USN50@Time2004-08-0415:
DC1的输出显示了本地USN10。
DC2以入站方式复制了USN50,并将忽略对应于原始DC1中接下来40个USN编号的ActiveDirectory更新。
在安装有WindowsServer2003SP1或875495修补程序的WindowsServer2003域控制器上检测USN回滚
由于USN回滚难于检测,因此,当源域控制器将以前确认的USN编号发送到目标域控制器而未对调用ID进行相应更改时,安装有WindowsServer2003ServicePack1(SP1)或875495修补程序的WindowsServer2003域控制器将记录事件2095。
为了防止在不正确还原后的域控制器上创建ActiveDirectory的唯一原始更新,已暂停了NetLogon服务。
暂停NetLogon服务后,用户和计算机帐户将无法在不会以出站方式复制此类更改的域控制器上更改密码。
同样,ActiveDirectory管理工具在对ActiveDirectory中的对象进行更新时将有利于域控制器工作正常。
在安装有WindowsServer2003SP1或875495修补程序的域控制器上,如果出现以下情况,将会记录类似于如下事件消息:
∙源域控制器将以前确认的USN编号发送给目标域控制器。
∙没有对调用ID进行相应更改。
消息1
事件类型:
错误
事件来源:
NTDS复制
事件类别:
复制
事件ID:
2095
日期:
3/10/2005
时间:
4:
26:
51PM
用户:
USN\2B25VB$
计算机:
2B9A
描述:
ActiveDirectory复制请求过程中,本地域控制器(DC)识别出一个远程DC已经从本地DC接收了复制数据,并且使用已知USN跟踪号。
由于远程DC确信其ActiveDirectory数据库比本地DC的更新,远程DC不会将以后的更改应用到自己的ActiveDirectory数据库副本,或将更改复制到自己的直接和可传递的复制伙伴(来自本地DC)。
如果不立即纠正这个问题,将导致此源DC和一个或多个直接和可传递的复制伙伴之间的ActiveDirectory数据库不一致。
特别是用户、计算机和信任关系、相应密码、安全组、安全组成员身份和其他ActiveDirectory配置数据可能不同,这将影响登录、查找有关对象和执行其他重要操作的能力。
要确定是否存在此错误配置,请使用查询此事件ID,或与您的Microsoft产品支持联系。
此情况的常见原因是,在本地域控制器上ActiveDirectory的还原不正确。
用户操作:
如果此情况由于还原错误或失误造成的,请强制降级该DC。
远程DC:
b55ee67f-ed73-4970-b2d4-7dc6f571439f分区:
CN=Configuration,DC=usn,DC=loc远程DC报告的USN:
24707本地DC报告的USN:
20485有关更多信息,请参见位于的帮助和支持中心。
消息2
警告
NTDS一般事件
1113
入站复制已经被用户禁用。
有关更多信息,请参见位于的帮助和支持中心。
消息3
1115
出站复制已被用户禁用。
有关更多信息,请参见位于的帮助和支持中心
消息4
服务控制
2103
使用不支持的还原过程还原了ActiveDirectory数据库。
如果此情况仍然存在,ActiveDirectory将无法使用户登录。
因此,已暂停了NetLogon服务。
有关详细信息,请参见前面的事件日志。
可能会在目录服务事件日志中捕获这些事件。
但是,这些事件在管理员看到之前就可能被覆盖。
从USN回滚中恢复
要从USN回滚中恢复,请按照下列步骤操作:
1.从域控制器中删除ActiveDirectory以强制使其成为独立服务器。
332199
()在WindowsServer2003和Windows2000Server中使用ActiveDirectory安装向导强制降级时,域控制器无法正常降级
升级会员 