Ein Windows Server-Domänencontroller protokolliert verzeichnisdienste-Ereignis 2095, wenn ein USN-Rollback auftritt

In diesem Artikel wird beschrieben, wie Sie erkennen und wiederherstellen, ob ein Windows Server-Domänencontroller mithilfe einer imagebasierten Installation des Betriebssystems fälschlicherweise zurückgesetzt wurde.

Ursprüngliche KB-Nummer: 875495

Notiz

Dieser Artikel richtet sich nur an technische Supportmitarbeiter und IT-Experten. Wenn Sie hilfe zu einem Problem suchen, bitten Sie die Microsoft-Community.

Übersicht

In diesem Artikel wird ein automatischer Active Directory-Replikationsfehler beschrieben, der durch ein USN-Rollback (Update Sequence Number) verursacht wird. Ein USN-Rollback tritt auf, wenn eine ältere Version einer Active Directory-Datenbank fälschlicherweise wiederhergestellt oder eingefügt wurde.

Wenn ein USN-Rollback auftritt, werden Änderungen an Objekten und Attributen, die auf einem Domänencontroller auftreten, nicht auf andere Domänencontroller in der Gesamtstruktur repliziert. Da Replikationspartner glauben, dass sie über eine aktuelle Kopie der Active Directory-Datenbank verfügen, melden Überwachungs- und Problembehandlungstools wie Repadmin.exe keine Replikationsfehler.

Domänencontroller protokollieren Directory Services-Ereignis 2095 im Verzeichnisdienste-Ereignisprotokoll, wenn sie ein USN-Rollback erkennen. Der Text der Ereignisnachricht leitet Administratoren zu diesem Artikel weiter, um mehr über Wiederherstellungsoptionen zu erfahren.

Beispiel für ereignis 2095-Protokolleintrag

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

In den folgenden Themen wird erläutert, wie Sie ein USN-Rollback in einem Windows Server-basierten Domänencontroller erkennen und wiederherstellen.

Unterstützte Methoden zum Sichern von Active Directory auf Domänencontrollern, die Windows Server 2012 und höhere Versionen ausführen

Windows Server 2012 bietet Unterstützung für die Hyper-Visor-Generation-ID (GenID). Auf diese Weise kann der virtuelle Gast die Datenträgervolumes mit einer neuen ID erkennen und auf die neue GenID reagieren. In Active Directory reagiert Verzeichnisdienste so, als ob der Domänencontroller aus einer Sicherung wiederhergestellt wurde. Anschließend wird eine neue Aufruf-ID generiert. Mithilfe der neuen Aufruf-ID kann die Datenbankinstanz die Replikation in der Gesamtstruktur sicher erneut eingeben.

Dies ist eines der Szenarien, die in der Virtualisierten Domänencontrollerbereitstellung und -konfiguration behandelt werden.

Unterstützte Methoden zum Sichern von Active Directory auf Domänencontrollern, die Windows Server 2003 oder höhere Versionen von Windows Server ausführen

Über den Lebenszyklus eines Domänencontrollers müssen Sie möglicherweise den Inhalt der Active Directory-Datenbank auf einen bekannten guten Zeitpunkt wiederherstellen oder "zurücksetzen". Oder Sie müssen möglicherweise Elemente des Hostbetriebssystems eines Domänencontrollers, einschließlich Active Directory, auf einen bekannten guten Punkt zurücksetzen.

Im Folgenden finden Sie unterstützte Methoden, mit denen Sie den Inhalt von Active Directory zurücksetzen können:

• Verwenden Sie ein Active Directory-fähiges Sicherungs- und Wiederherstellungsprogramm, das von Microsoft bereitgestellte und von Microsoft getestete APIs verwendet. Diese APIs stellen nicht autoritativ oder autoritativ eine Systemstatussicherung wieder her. Die wiederhergestellte Sicherung sollte von derselben Betriebssysteminstallation und von demselben physischen oder virtuellen Computer stammen, der wiederhergestellt wird.

• Verwenden Sie ein Active Directory-fähiges Sicherungs- und Wiederherstellungsprogramm, das Microsoft Volume Shadow Copy Service-APIs verwendet. Diese APIs sichern und wiederherstellen den Domänencontroller-Systemstatus. Der Volumeschattenkopiedienst unterstützt das Erstellen einzelner Schattenkopien einzelner oder mehrerer Volumes auf Computern, auf denen Windows Server 2003, Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird. Einzelpunkt-in-Time-Schattenkopien werden auch als Momentaufnahmen bezeichnet. Weitere Informationen finden Sie unter "Volume Shadow Copy Service" in Microsoft-Support.

• Stellen Sie den Systemzustand wieder her. Werten Sie aus, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn eine gültige Systemstatussicherung vorgenommen wurde, bevor der Rollback-Domänencontroller fälschlicherweise wiederhergestellt wurde und die Sicherung aktuelle Änderungen enthält, die auf dem Domänencontroller vorgenommen wurden, stellen Sie den Systemstatus aus der letzten Sicherung wieder her.

Typisches Verhalten, das auftritt, wenn Sie eine Active Directory-fähige Systemstatussicherung wiederherstellen

Windows Server-Domänencontroller verwenden USNs zusammen mit den Aufruf-IDs, um Updates nachzuverfolgen, die zwischen Replikationspartnern in einer Active Directory-Gesamtstruktur repliziert werden müssen.

Quelldomänencontroller verwenden USNs, um zu bestimmen, welche Änderungen bereits vom Zieldomänencontroller empfangen wurden, der Änderungen anfordert. Zieldomänencontroller verwenden USNs, um zu bestimmen, welche Änderungen von Quelldomänencontrollern angefordert werden sollen.

Die Aufruf-ID identifiziert die Version oder Instanziierung der Active Directory-Datenbank, die auf einem bestimmten Domänencontroller ausgeführt wird.

Wenn Active Directory auf einem Domänencontroller mithilfe der VON Microsoft entworfenen und getesteten APIs und Methoden wiederhergestellt wird, wird die Aufruf-ID auf dem wiederhergestellten Domänencontroller ordnungsgemäß zurückgesetzt. Domänencontroller in der Gesamtstruktur erhalten Benachrichtigung über den Aufrufzurücksetzung. Daher passen sie ihre hohen Wasserzeichenwerte entsprechend an.

Software und Methoden, die USN-Rollbacks verursachen

Wenn die folgenden Umgebungen, Programme oder Subsysteme verwendet werden, können Administratoren die Von Microsoft entworfenen Überprüfungen und Überprüfungen umgehen, wenn der Domänencontrollersystemstatus wiederhergestellt wird:

• Starten eines Active Directory-Domänencontrollers, dessen Active Directory-Datenbankdatei mithilfe eines Imageerstellungsprogramms wie Norton Ghost wiederhergestellt (kopiert) wurde.

• Starten eines zuvor gespeicherten virtuellen Festplattenimages eines Domänencontrollers Das folgende Szenario kann zu einem USN-Rollback führen:

  1. Höherstufen eines Domänencontrollers in einer virtuellen Hostingumgebung.
  2. Erstellen Sie eine Momentaufnahme oder eine alternative Version der virtuellen Hostingumgebung.
  3. Lassen Sie den Domänencontroller weiterhin eingehende Replikationen und ausgehende Replikationen durchführen.
  4. Starten Sie die Domänencontroller-Imagedatei, die Sie in Schritt 2 erstellt haben.

• Beispiele für virtualisierte Hostingumgebungen, die dieses Szenario verursachen, sind Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 und EMC VMWARE. Andere virtualisierte Hostingumgebungen können auch dieses Szenario verursachen.

• Weitere Informationen zu den Supportbedingungen für Domänencontroller in virtuellen Hostingumgebungen finden Sie unter Dinge, die Sie berücksichtigen sollten, wenn Sie Active Directory-Domänencontroller in virtuellen Hostingumgebungen hosten.

• Starten eines Active Directory-Domänencontrollers, der sich auf einem Volume befindet, auf dem das Datenträgersubsystem geladen wird, indem zuvor gespeicherte Images des Betriebssystems verwendet werden, ohne dass eine Wiederherstellung des Systemzustands von Active Directory erforderlich ist.

  • Szenario A: Starten mehrerer Kopien von Active Directory, die sich auf einem Datenträgersubsystem befinden, in dem mehrere Versionen eines Volumes gespeichert werden

    1. Höherstufen eines Domänencontrollers. Suchen Sie die Datei "Ntds.dit" auf einem Datenträgersubsystem, das mehrere Versionen des Volumes speichern kann, das die Datei Ntds.dit hostt.
    2. Verwenden Sie das Datenträgersubsystem, um eine Momentaufnahme des Volumes zu erstellen, das die Datei "Ntds.dit" für den Domänencontroller hosten soll.
    3. Lassen Sie den Domänencontroller Active Directory von dem Volume laden, das Sie in Schritt 1 erstellt haben.
    4. Starten Sie den Domänencontroller, den die Active Directory-Datenbank in Schritt 2 gespeichert hat.

  • Szenario B: Starten von Active Directory von anderen Laufwerken in einem fehlerhaften Spiegel

    1. Höherstufen eines Domänencontrollers. Suchen Sie die Datei Ntds.dit auf einem gespiegelten Laufwerk.
    2. Brechen Sie den Spiegel auf.
    3. Fahren Sie mit der Ntds.dit-Datei auf dem ersten Laufwerk in der Spiegelung fort, um die eingehende replizierte und ausgehende Replikation fortzusetzen.
    4. Starten Sie den Domänencontroller mithilfe der Ntds.dit-Datei auf dem zweiten Laufwerk im Spiegel.

Auch wenn nicht beabsichtigt, kann jedes dieser Szenarien dazu führen, dass Domänencontroller ein Rollback auf eine ältere Version der Active Directory-Datenbank durch nicht unterstützte Methoden ausführen. Die einzige unterstützte Möglichkeit, den Inhalt von Active Directory oder den lokalen Zustand eines Active Directory-Domänencontrollers zurückzusetzen, besteht darin, ein Active Directory-fähiges Sicherungs- und Wiederherstellungsprogramm zum Wiederherstellen einer Systemstatussicherung zu verwenden, die von derselben Betriebssysteminstallation und demselben physischen oder virtuellen Computer stammt, der wiederhergestellt wird.

Microsoft unterstützt keine anderen Prozesse, die eine Momentaufnahme der Elemente des Systemzustands eines Active Directory-Domänencontrollers erstellen und Elemente dieses Systemzustands in ein Betriebssystemimage kopiert. Wenn ein Administrator nicht eingreift, führen solche Prozesse zu einem USN-Rollback. Dieser USN-Rollback bewirkt, dass die direkten und transitiven Replikationspartner eines falsch wiederhergestellten Domänencontrollers inkonsistente Objekte in ihren Active Directory-Datenbanken enthalten.

Auswirkungen eines USN-Rollbacks

Bei USN-Rollbacks werden Änderungen an Objekten und Attributen bei der eingehenden Replikation nicht von Zieldomänencontrollern repliziert, auf denen die USN zuvor vorhanden war.

Da diese Zieldomänencontroller annehmen, dass sie auf dem neuesten Stand sind, werden keine Replikationsfehler in der AD DS-Ereignisprotokollen oder von Überwachungs- und Diagnosetools gemeldet.

Ein USN-Rollback kann sich auf die Replikation aller Objekte oder Attribute in einer beliebigen Partition auswirken. Der häufigste Nebeneffekt ist, dass auf dem Rollback-Domänencontroller erstellte Benutzerkonten und Computerkonten auf mindestens einem Replikationspartner nicht vorhanden sind. Alternativ können Kennwortupdates, die vom Rollbackdomänencontroller stammen, auf Replikationspartnern nicht vorhanden sein.

Die folgenden Schritte zeigen die Abfolge von Ereignissen, die zu einem USN-Rollback führen können. Ein USN-Rollback tritt auf, wenn der Domänencontrollersystemstatus mithilfe einer nicht unterstützten Systemzustandswiederherstellung zurückgesetzt wird.

1. Ein Administrator fördert drei Domänencontroller in einer Domäne. (In diesem Beispiel sind die Domänencontroller DC1, DC2 und DC2, und die Domäne Contoso.com.) DC1 und DC2 sind direkte Replikationspartner. DC2 und DC3 sind auch direkte Replikationspartner. DC1 und DC3 sind keine direkten Replikationspartner, sondern empfangen transitiv über DC2 ausgehende Updates.

2. Ein Administrator erstellt 10 Benutzerkonten, die USNs 1 bis 10 auf DC1 entsprechen. Alle diese Konten werden in DC2 und DC3 repliziert.

3. Ein Datenträgerimage eines Betriebssystems wird auf DC1 erfasst. Dieses Bild enthält einen Datensatz von Objekten, die lokalen USNs 1 bis 10 auf DC1 entsprechen.

4. Die folgenden Änderungen werden in Active Directory vorgenommen:

   • Die Kennwörter für alle 10 Benutzerkonten, die in Schritt 2 erstellt wurden, werden auf DC1 zurückgesetzt. Diese Kennwörter entsprechen USNs 11 bis 20. Alle 10 aktualisierten Kennwörter werden in DC2 und DC3 repliziert.
   • 10 neue Benutzerkonten, die USNs 21 bis 30 entsprechen, werden auf DC1 erstellt. Diese 10 Benutzerkonten replizieren auf DC2 und DC3.
   • 10 neue Computerkonten, die USNs 31 bis 40 entsprechen, werden auf DC1 erstellt. Diese 10 Computerkonten werden auf DC2 und DC3 repliziert.
   • 10 neue Sicherheitsgruppen, die USNs 41 bis 50 entsprechen, werden auf DC1 erstellt. Diese 10 Sicherheitsgruppen replizieren auf DC2 und DC3.

5. DC1 verursacht einen Hardwarefehler oder einen Softwarefehler. Der Administrator verwendet ein Dienstprogramm für die Datenträgerbildverarbeitung, um das Betriebssystemimage zu kopieren, das in Schritt 3 erstellt wurde. DC1 beginnt jetzt mit einer Active Directory-Datenbank mit Kenntnissen von USNs 1 bis 10.

   Da das Betriebssystemimage an die Stelle kopiert wurde und eine unterstützte Methode zum Wiederherstellen des Systemzustands nicht verwendet wurde, verwendet DC1 weiterhin die gleiche Aufruf-ID, die die ursprüngliche Kopie der Datenbank erstellt hat, und alle Änderungen bis zu USN 50. DC2 und DC3 behalten auch die gleiche Aufruf-ID für DC1 sowie einen aktuellen Vektor von USN 50 für DC1 bei. (Ein aktueller Vektor ist der aktuelle Status der neuesten ursprünglichen Aktualisierungen, die auf allen Domänencontrollern für eine bestimmte Verzeichnispartition auftreten sollen.)

   Es sei denn, ein Administrator greift ein, dc2 und DC3 replizieren nicht die Änderungen, die lokalen USN 11 bis 50 entsprechen, die von DC1 stammen. Entsprechend der Aufruf-ID, die DC2 verwendet, verfügt DC1 bereits über Kenntnisse der Änderungen, die USN 11 bis 50 entsprechen. Daher sendet DC2 diese Änderungen nicht. Da die Änderungen in Schritt 4 auf DC1 nicht vorhanden sind, schlagen Anmeldeanforderungen mit einem Fehler "Zugriff verweigert" fehl. Dieser Fehler tritt auf, weil Kennwörter nicht übereinstimmen oder weil das Konto nicht vorhanden ist, wenn sich die neueren Konten zufällig bei DC1 authentifizieren.

6. Administratoren, die die Replikationsintegrität in der Gesamtstruktur überwachen, beachten Die folgenden Situationen:

   • Das Repadmin /showreps Befehlszeilentool meldet, dass die bidirektionale Active Directory-Replikation zwischen DC1 und DC2 und zwischen DC2 und DC3 ohne Fehler auftritt. Diese Situation erschwert die Erkennung von Replikationsinkonsistenzen.

   • Replikationsereignisse in den Verzeichnisdienstereignisprotokollen von Domänencontrollern, die Windows Server ausführen, geben keine Replikationsfehler in den Verzeichnisdienstereignisprotokollen an. Diese Situation erschwert die Erkennung von Replikationsinkonsistenzen.

   • Active Directory-Benutzer und -Computer oder das Active Directory-Verwaltungstool (Ldp.exe) zeigen eine andere Anzahl von Objekten und unterschiedlichen Objektmetadaten an, wenn die Domänenverzeichnispartitionen auf DC2 und DC3 mit der Partition auf DC1 verglichen werden. Der Unterschied besteht aus den Änderungen, die USN-Änderungen 11 bis 50 in Schritt 4 zuordnen.

     Notiz

     In diesem Beispiel gilt die unterschiedliche Objektanzahl für Benutzerkonten, Computerkonten und Sicherheitsgruppen. Die verschiedenen Objektmetadaten stellen die unterschiedlichen Benutzerkonten-Kennwörter dar.

   • Benutzerauthentifizierungsanforderungen für die 10 Benutzerkonten, die in Schritt 2 erstellt wurden, generieren gelegentlich einen Fehler "Zugriff verweigert" oder "falsches Kennwort". Dieser Fehler kann auftreten, da zwischen diesen Benutzerkonten auf DC1 und den Konten auf DC2 und DC3 ein Kennwortkonflikt besteht. Die Benutzerkonten, die dieses Problem haben, entsprechen den Benutzerkonten, die in Schritt 4 erstellt wurden. Die Benutzerkonten und Kennwortzurücksetzungen in Schritt 4 wurden nicht auf andere Domänencontroller in der Domäne repliziert.

7. DC2 und DC3 beginnen mit eingehenden replizierten Updates, die USN-Zahlen entsprechen, die größer als 50 von DC1 sind. Diese Replikation verläuft normal ohne administrative Interventionen, da der zuvor aufgezeichnete Vektorschwellenwert USN 50 überschritten wurde. (USN 50 war der aktuelle Vektor USN, der für DC1 auf DC2 und DC3 aufgezeichnet wurde, bevor DC1 offline und wiederhergestellt wurde.) Die neuen Änderungen, die USNs 11 bis 50 auf dem ursprünglichen DC1 entsprechen, nach der nicht unterstützten Wiederherstellung werden jedoch nie auf DC2, DC3 oder ihre transitiven Replikationspartner repliziert.

Obwohl die in Schritt 6 erwähnten Symptome einige auswirkungen, die ein USN-Rollback auf Benutzer- und Computerkonten haben kann, kann ein USN-Rollback verhindern, dass jeder Objekttyp in jeder Active Directory-Partition repliziert wird. Zu diesen Objekttypen gehören die folgenden:

• Die Active Directory-Replikationstopologie und -Planung

• Das Vorhandensein von Domänencontrollern in der Gesamtstruktur und die Rollen, die diese Domänencontroller enthalten

  Notiz

  Zu diesen Rollen gehören die globalen Katalog-, Relative Identifier-Zuweisungen (RID) und Operationsmasterrollen. (Operations master roles are also known as flexible single master operations or FSMO.)

• Das Vorhandensein von Domänen- und Anwendungspartitionen in der Gesamtstruktur

• Das Vorhandensein von Sicherheitsgruppen und ihren aktuellen Gruppenmitgliedschaften

• Registrierung des DNS-Eintrags in in Active Directory integrierten DNS-Zonen

Die Menge der fehlenden USNs kann Hunderten, Tausenden oder sogar Zehntausenden Änderungen an Benutzern, Computern, Vertrauensstellungen, Kennwörtern und Sicherheitsgruppen entsprechen. (Das USN-Loch wird durch die Differenz zwischen der höchsten USN-Nummer definiert, die beim Erstellen der wiederhergestellten Systemstatussicherung vorhanden war, und der Anzahl der ursprünglichen Änderungen, die auf dem Rollback-Domänencontroller erstellt wurden, bevor sie offline geschaltet wurde.)

Erkennen eines USN-Rollbacks auf einem Windows Server-Domänencontroller

Da ein USN-Rollback schwer zu erkennen ist, protokolliert ein Windows Server 2003 SP1 oder höher das Ereignis 2095, wenn ein Quelldomänencontroller eine zuvor anerkannte USN-Nummer ohne entsprechende Änderung der Aufruf-ID an einen Zieldomänencontroller sendet.

Der Anmeldedienst wird angehalten, um die Erstellung eindeutiger Quellupdates für Active Directory auf dem nicht ordnungsgemäß wiederhergestellten Domänencontroller zu verhindern. Wenn der Net-Anmeldedienst angehalten wird, können Benutzer- und Computerkonten das Kennwort auf einem Domänencontroller nicht ändern, der solche Änderungen nicht ausgehend repliziert. Ebenso bevorzugen Active Directory-Verwaltungstools einen fehlerfreien Domänencontroller, wenn sie Updates an Objekten in Active Directory vornehmen.

Wenn die folgenden Bedingungen auf einem Domänencontroller vorliegen, werden Ereignismeldungen ähnlich den folgenden aufgezeichnet:

• Ein Quelldomänencontroller sendet eine zuvor anerkannte USN-Zahl an einen Zieldomänencontroller.
• Es liegt keine entsprechende Änderung in der Aufruf-ID vor.

Diese Ereignisse können im Directory Service-Ereignisprotokoll erfasst werden. Sie können jedoch überschrieben werden, bevor ein Administrator sie sieht.

Möglicherweise vermuten Sie, dass ein USN-Rollback aufgetreten ist. Die korrelierenden Ereignisse werden jedoch nicht im Verzeichnisdienst-Ereignisprotokoll angezeigt. Überprüfen Sie in diesem Szenario den Registrierungseintrag "Dsa Nicht schreibbar". Dieser Eintrag bietet forensische Beweise für das Auftreten eines USN-Rollbacks.

• Registrierungsunterschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Registrierungseintrag: Dsa Nicht schreibbar
• Wert: 0x4

Beim Löschen oder manuellen Ändern des Registrierungseintragswerts "Dsa Not Writable " wird der Rollback-Domänencontroller in einen dauerhaft nicht unterstützten Zustand versetzt. Daher werden solche Änderungen nicht unterstützt. Durch das Ändern des Werts wird das Quarantäneverhalten entfernt, das durch den USN-Rollbackerkennungscode hinzugefügt wird. Die Active Directory-Partitionen auf dem Rollbackdomänencontroller werden dauerhaft inkonsistent mit direkten und transitiven Replikationspartnern in derselben Active Directory-Gesamtstruktur sein.

Wiederherstellen aus einem USN-Rollback

Es gibt drei Ansätze zum Wiederherstellen eines USN-Rollbacks.

• Entfernen Sie den Domänencontroller aus der Domäne. Gehen Sie dazu wie folgt vor:

  1. Entfernen Sie Active Directory vom Domänencontroller, um zu erzwingen, dass es ein eigenständiger Server ist. Weitere Informationen finden Sie unter Domänencontroller, die nicht ordnungsgemäß herabstufen, wenn Sie den Active Directory-Installations-Assistenten verwenden, um die Herabstufung zu erzwingen.

  2. Fahren Sie den herabgestuften Server herunter.

  3. Bereinigen Sie die Metadaten des herabgestuften Domänencontrollers über einen fehlerfreien Domänencontroller. Weitere Informationen finden Sie unter Bereinigen Active Directory-Domäne Controllerservermetadaten.

  4. Wenn auf dem falsch wiederhergestellten Domänencontroller Betriebsmasterfunktionen gehostet werden, übertragen Sie diese auf einen fehlerfreien Domänencontroller. Weitere Informationen finden Sie unter Übertragen oder Ergreifen von Vorgangsmasterrollen in Active Directory-Domäne Services.

  5. Starten Sie den herabgestuften Server neu.

  6. Falls erforderlich, installieren Sie Active Directory erneut auf dem eigenständigen Server.

  7. Wenn der Domänencontroller zuvor ein globaler Katalog war, konfigurieren Sie den Domänencontroller erneut als globalen Katalog. Weitere Informationen finden Sie unter Erstellen oder Verschieben eines globalen Katalogs.

  8. Wenn auf dem Domänencontroller zuvor Betriebsmasterfunktionen gehostet wurden, übertragen Sie die Betriebsmasterfunktionen wieder auf den Domänencontroller. Weitere Informationen finden Sie unter Übertragen oder Ergreifen von Vorgangsmasterrollen in Active Directory-Domäne Services.

• Stellen Sie den Systemstatus einer guten Sicherung wieder her.

  Werten Sie aus, ob gültige Systemstatussicherungen für diesen Domänencontroller vorhanden sind. Wenn vor der fehlerhaften Wiederherstellung des Rollback-Domänencontrollers eine Sicherung mit gültigem Systemstatus erstellt wurde, stellen Sie den Systemstatus aus der neuesten Sicherung wieder her.

• Stellen Sie den Systemzustand ohne Systemstatussicherung wieder her.

  Sie können die Momentaufnahme als Quelle einer Sicherung verwenden. Sie können auch festlegen, dass die Datenbank eine neue Aufruf-ID erhält, indem Sie das Verfahren im Abschnitt zum Wiederherstellen einer früheren Version eines virtuellen Domänencontroller-VHD ohne Systemstatusdatensicherung von ausgeführten Domänencontrollern in Hyper-V verwenden.

References

• Überlegungen beim Hosten von Active Directory-Domänencontrollern in virtuellen Hostingumgebungen

• Virtualisierte Domänencontrollerarchitektur