Событие 2095 контроллера домена Windows Server регистрирует событие службы каталогов 2095 при обнаружении отката USN

В этой статье описывается, как определить и восстановить, если контроллер домена Windows Server неправильно откатывается с помощью установки операционной системы на основе образа.

Исходный номер базы знаний: 875495

Примечание.

Эта статья предназначена только для агентов технической поддержки и ИТ-специалистов. Если вы ищете помощь с проблемой, обратитесь к сообществу Майкрософт.

Итоги

В этой статье описывается ошибка автоматической репликации Active Directory, вызванная откатом номера последовательности обновления (USN). Откат USN возникает, когда старая версия базы данных Active Directory неправильно восстановлена или вставлена на место.

При откате USN изменения объектов и атрибутов, происходящих на одном контроллере домена, не реплицируются в другие контроллеры домена в лесу. Так как партнеры репликации считают, что у них есть актуальная копия базы данных Active Directory, мониторинг и устранение неполадок, такие как Repadmin.exe не сообщают об ошибках репликации.

Контроллеры домена регистрируют события служб каталогов 2095 в журнале событий служб каталогов при обнаружении отката USN. Текст сообщения о событии направляет администраторов в эту статью, чтобы узнать о параметрах восстановления.

Пример записи журнала Event 2095

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

В следующих разделах описывается обнаружение и восстановление отката USN в контроллере домена на основе Windows Server.

Поддерживаемые методы резервного копирования Active Directory на контроллерах домена под управлением Windows Server 2012 и более поздних версий

Windows Server 2012 добавляет поддержку идентификатора поколения Hyper-Visor (GenID). Это позволяет виртуальному гостьу обнаруживать тома диска с новым идентификатором и отвечать на новый genID. В Active Directory службы каталогов реагируют так, как если бы контроллер домена был восстановлен из резервной копии. Затем он создает новый идентификатор вызова. Используя новый идентификатор вызова, экземпляр базы данных может безопасно повторно ввести репликацию в лесу.

Это один из сценариев, описанных в развертывании и настройке виртуализированного контроллера домена.

Поддерживаемые методы резервного копирования Active Directory на контроллерах домена под управлением Windows Server 2003 или более поздних версий Windows Server

В течение жизненного цикла контроллера домена может потребоваться восстановить или "откатить" содержимое базы данных Active Directory до известной хорошей точки во времени. Кроме того, может потребоваться откат элементов операционной системы узла контроллера домена, включая Active Directory, к известной хорошей точке.

Ниже приведены поддерживаемые методы, которые можно использовать для отката содержимого Active Directory:

• Используйте программу резервного копирования и восстановления с поддержкой Active Directory, которая использует API, предоставляемые Корпорацией Майкрософт и протестированные корпорацией Майкрософт. Эти API неавторно или авторитетно восстанавливают резервную копию состояния системы. Восстановленная резервная копия должна происходить из той же установки операционной системы и из того же физического или виртуального компьютера, который восстанавливается.

• Используйте служебную программу резервного копирования и восстановления с поддержкой Active Directory, которая использует API службы теневого копирования томов Майкрософт. Эти API резервное копирование и восстановление состояния системы контроллера домена. Служба теневого копирования томов поддерживает создание теневых копий отдельных или нескольких томов на компьютерах под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2. Одноточечные теневые копии также называются моментальными снимками. Дополнительные сведения см. в разделе "Служба теневого копирования томов" в служба поддержки Майкрософт.

• Восстановите состояние системы. Определите, есть ли действительные резервные копии состояния системы для этого контроллера домена. Если допустимая резервная копия состояния системы была выполнена до неправильного восстановления контроллера домена отката, а если резервная копия содержит последние изменения, внесенные на контроллере домена, восстановите состояние системы из последней резервной копии.

Типичное поведение, возникающее при восстановлении резервного копирования состояния системы с поддержкой Active Directory

Контроллеры домена Windows Server используют идентификаторы USN вместе с идентификаторами вызова для отслеживания обновлений, которые необходимо реплицировать между партнерами репликации в лесу Active Directory.

Исходные контроллеры домена используют USN для определения того, какие изменения уже были получены конечным контроллером домена, запрашивающим изменения. Контроллеры домена назначения используют USN для определения того, какие изменения следует запрашивать с контроллеров исходного домена.

Идентификатор вызова определяет версию или экземпляр базы данных Active Directory, которая выполняется на определенном контроллере домена.

Когда Active Directory восстанавливается на контроллере домена с помощью API и методов, разработанных корпорацией Майкрософт, идентификатор вызова правильно сбрасывается на восстановленном контроллере домена. контроллеры домена в лесу получают уведомление об сбросе вызова. Таким образом, они корректируют их высокие значения водяного знака соответствующим образом.

Программное обеспечение и методологии, которые приводят к откату USN

Если используются следующие среды, программы или подсистемы, администраторы могут обойти проверки и проверки, которые корпорация Майкрософт разработала для восстановления состояния системы контроллера домена:

• Запуск контроллера домена Active Directory, файл базы данных Active Directory которого был восстановлен (скопирован) на месте с помощью программы создания образов, например Norton Ghost.

• Запуск ранее сохраненного образа виртуального жесткого диска контроллера домена. Следующий сценарий может привести к откату USN:

  1. Повышение уровня контроллера домена в виртуальной среде размещения.
  2. Создайте моментальный снимок или альтернативную версию виртуальной среды размещения.
  3. Позвольте контроллеру домена продолжать реплицировать входящие и исходящие реплицировать.
  4. Запустите файл образа контроллера домена, созданный на шаге 2.

• Примеры виртуализированных сред размещения, вызывающих этот сценарий, включают Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 и EMC VMWARE. Другие виртуализированные среды размещения также могут привести к этому сценарию.

• Дополнительные сведения об условиях поддержки контроллеров домена в виртуальных средах размещения см. в статье "Вещи", которые следует учитывать при размещении контроллеров домена Active Directory в виртуальных средах размещения.

• Запуск контроллера домена Active Directory, расположенного на томе, где подсистема диска загружается с помощью ранее сохраненных образов операционной системы, не требуя восстановления состояния системы Active Directory.

  • Сценарий A. Запуск нескольких копий Active Directory, расположенных в подсистеме диска, в которой хранятся несколько версий тома.

    1. Повышение уровня контроллера домена. Найдите файл Ntds.dit в подсистеме диска, которая может хранить несколько версий тома, на котором размещен файл Ntds.dit.
    2. Используйте подсистему диска для создания моментального снимка тома, на котором размещен файл Ntds.dit для контроллера домена.
    3. Продолжайте загружать Active Directory контроллером домена из тома, созданного на шаге 1.
    4. Запустите контроллер домена, сохраненный базой данных Active Directory на шаге 2.

  • Сценарий B. Запуск Active Directory с других дисков в сломанном зеркале

    1. Повышение уровня контроллера домена. Найдите файл Ntds.dit на зеркальном диске.
    2. Разорвать зеркало.
    3. Продолжайте реплицировать входящие и исходящие реплицируемые данные с помощью файла Ntds.dit на первом диске зеркального отображения.
    4. Запустите контроллер домена с помощью файла Ntds.dit на втором диске в зеркале.

Даже если они не предназначены, каждый из этих сценариев может привести к откату контроллеров домена к более старой версии базы данных Active Directory неподдерживаемыми методами. Единственный поддерживаемый способ отката содержимого Active Directory или локального состояния контроллера домена Active Directory — использовать служебную программу резервного копирования и восстановления Active Directory для восстановления резервной копии состояния системы, созданной из той же установки операционной системы и того же физического или виртуального компьютера, который восстанавливается.

Корпорация Майкрософт не поддерживает любой другой процесс, который принимает моментальный снимок элементов состояния системы контроллера домена Active Directory и копирует элементы этого состояния системы в образ операционной системы. Если администратор не вмешивается, такие процессы вызывают откат USN. Этот откат USN приводит к тому, что партнеры прямой и транзитной репликации неправильно восстановленного контроллера домена имеют несогласованные объекты в базах данных Active Directory.

Последствия отката USN

При откате USN изменения объектов и атрибутов не реплицируются контроллерами домена назначения, которые ранее видели USN.

Так как эти контроллеры домена назначения считают, что они актуальны, ошибки репликации не сообщаются в журналах событий службы каталогов или средствами мониторинга и диагностики.

Откат номера последовательного обновления может затронуть репликацию любого объекта или атрибута в любом разделе. Очень часто при этом учетные записи пользователей и компьютеров, созданные в контроллере домена с выполненным откатом, отсутствуют на одном партнере репликации или нескольких. Кроме того, обновления паролей, возникшие на контроллере домена отката, не существуют в партнерах репликации.

В следующих шагах показано последовательность событий, которые могут вызвать откат USN. Откат USN возникает, когда состояние системы контроллера домена откатывается вовремя с помощью неподдерживаемого восстановления состояния системы.

1. Администратор продвигает три контроллера домена в домене. (В этом примере контроллеры домена — DC1, DC2 и DC2, а домен — Contoso.com.) DC1 и DC2 являются партнерами прямой репликации. DC2 и DC3 также являются прямыми партнерами по репликации. DC1 и DC3 не являются партнерами прямой репликации, но получают исходящие обновления транзитивно через DC2.

2. Администратор создает 10 учетных записей пользователей, соответствующих USNs 1–10 в DC1. Все эти учетные записи реплицируются в DC2 и DC3.

3. Образ диска операционной системы записывается в DC1. На этом изображении есть запись объектов, которые соответствуют локальным usNs 1–10 в DC1.

4. В Active Directory вносятся следующие изменения:

   • Пароли для всех 10 учетных записей пользователей, созданных на шаге 2, сбрасываются на DC1. Эти пароли соответствуют USN 11–20. Все 10 обновленных паролей реплицируются в DC2 и DC3.
   • 10 новых учетных записей пользователей, соответствующих USNs 21–30, создаются в DC1. Эти 10 учетных записей пользователей реплицируются в DC2 и DC3.
   • 10 новых учетных записей компьютеров, соответствующих USNs 31–40, создаются в DC1. Эти 10 учетных записей компьютеров реплицируются в DC2 и DC3.
   • 10 новых групп безопасности, соответствующих USNs 41–50, создаются в DC1. Эти 10 групп безопасности реплицируются в DC2 и DC3.

5. DC1 возникает сбой оборудования или сбой программного обеспечения. Администратор использует программу создания образов дисков для копирования образа операционной системы, созданного на шаге 3. DC1 теперь начинается с базы данных Active Directory, которая имеет знания об USN 1–10.

   Так как образ операционной системы был скопирован на месте, и поддерживаемый метод восстановления состояния системы не использовался, DC1 продолжает использовать тот же идентификатор вызова, который создал начальную копию базы данных и все изменения до USN 50. DC2 и DC3 также поддерживают тот же идентификатор вызова для DC1, а также актуальный вектор USN 50 для DC1. (Актуальный вектор — это текущее состояние последних исходных обновлений для всех контроллеров домена для заданного раздела каталога.)

   Если администратор не вмешивается, DC2 и DC3 не реплицируют входящий трафик изменений, которые соответствуют локальному usN 11–50, исходящим из DC1. Кроме того, согласно идентификатору вызова, который использует DC2, DC1 уже знает об изменениях, которые соответствуют USN 11 до 50. Поэтому DC2 не отправляет эти изменения. Поскольку изменения в шаге 4 не существуют в DC1, запросы входа завершаются ошибкой "отказано в доступе". Эта ошибка возникает либо из-за того, что пароли не совпадают, либо поскольку учетная запись не существует, если новые учетные записи случайно проходят проверку подлинности с помощью DC1.

6. Администраторы, которые отслеживают работоспособность репликации в лесу, отмечают следующие ситуации:

   • Средство командной строки сообщает, что двусторонняя Repadmin /showreps репликация Active Directory между DC1 и DC2 и DC2 между DC2 и DC3 происходит без ошибок. Эта ситуация затрудняет обнаружение несоответствия репликации.

   • События репликации в журналах событий службы каталогов контроллеров домена под управлением Windows Server не указывают на ошибки репликации в журналах событий службы каталогов. Эта ситуация затрудняет обнаружение несоответствия репликации.

   • Пользователи и компьютеры Active Directory или средство администрирования Active Directory (Ldp.exe) показывает другое количество объектов и различные метаданные объектов, когда секции каталога домена в DC2 и DC3 сравниваются с разделом на DC1. Разница заключается в наборе изменений, которые сопоставляют с USN, изменяются 11–50 на шаге 4.

     Примечание.

     В этом примере разное число объектов применяется к учетным записям пользователей, учетным записям компьютеров и группам безопасности. Различные метаданные объекта представляют разные пароли учетных записей пользователя.

   • Запросы проверки подлинности пользователей для 10 учетных записей пользователей, созданных на шаге 2, иногда создают ошибку "отказано в доступе" или "неверный пароль". Эта ошибка может возникать из-за несоответствия паролей между этими учетными записями пользователей в DC1 и учетными записями DC2 и DC3. Учетные записи пользователей, которые сталкиваются с этой проблемой, соответствуют учетным записям пользователей, созданным на шаге 4. Учетные записи пользователей и сброс паролей на шаге 4 не реплицировались на другие контроллеры домена в домене.

7. DC2 и DC3 начинают реплицировать исходящие обновления, соответствующие номерам USN, превышающим 50 из DC1. Эта репликация обычно выполняется без вмешательства администратора, так как превышено ранее записанное пороговое значение вектора актуальности , USN 50. (USN 50 был вектором актуальности USN, записанным для DC1 в DC2 и DC3 до того, как DC1 был отключен и восстановлен.) Однако новые изменения, соответствующие USN 11–50 в исходном dc1 после неподдерживаемого восстановления, никогда не будут реплицироваться в DC2, DC3 или их транзитивной репликации.

Хотя симптомы, упомянутые на шаге 6, представляют некоторые из последствий, которые могут иметь откат USN на учетных записях пользователей и компьютеров, откат USN может предотвратить любой тип объекта в любом разделе Active Directory от репликации. Вот некоторые примеры таких типов объектов:

• топология и расписание репликации Active Directory;

• наличие контроллеров домена в лесу и ролей на этих контроллерах домена;

  Примечание.

  К этим ролям относятся глобальный каталог, распределение относительных идентификаторов (RID) и главные роли операций. (Роли главных операций также называются гибкими отдельными главными операциями или FSMO.)

• наличие секций домена и приложений в лесу;

• наличие групп безопасности и участников в этих группах;

• регистрация записей DNS в зонах DNS, которые интегрированы с Active Directory.

Брешь в USN может означать сотни, тысячи или даже десятки тысяч изменений в данных о пользователях, компьютерах, отношениях доверия, паролях и группах безопасности. (Отверстие USN определяется разницей между самым высоким номером USN, существующим при создании резервного копирования состояния системы, и числом исходных изменений, созданных на контроллере домена отката до его отключения.)

Обнаружение отката USN на контроллере домена Windows Server

Так как откат usN трудно обнаружить, контроллер домена Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии регистрирует событие 2095, когда исходный контроллер домена отправляет ранее подтвержденное номер USN в контроллер домена назначения без соответствующего изменения идентификатора вызова.

Чтобы предотвратить создание уникальных исходящих обновлений Active Directory на неправильно восстановленном контроллере домена, приостанавливается работа службы сетевого входа в систему. Если служба входа в сеть приостановлена, учетные записи пользователей и компьютеров не могут изменить пароль на контроллере домена, который не будет выполнять исходящие репликации таких изменений. Аналогичным образом, при обновлении объектов в Active Directory средства администрирования Active Directory будут предпочитать работоспособный контроллер домена.

В контроллере домена создаются сообщения о событиях, которые представлены ниже, когда соблюдаются следующие условия:

• исходный контроллер домена отправляет ранее подтвержденное значение USN в целевой контроллер домена;
• отсутствуют соответствующие изменения в значении InvocationID.

Такие события могут регистрироваться в журнале событий службы каталогов. Однако они могут быть перезаписаны перед наблюдением администратора.

Вы можете подозревать, что откат USN произошел. Однако в журнале событий службы каталогов не отображаются коррелирующие события. В этом сценарии проверьте запись реестра Dsa Not Writable. Эта запись служит доказательством того, что случился откат USN.

• Подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Запись реестра: Dsa Not Writable
• Значение: 0x4

Удаление или изменение значения записи реестра Dsa Not Writable помещает контроллер домена отката в постоянное неподдерживаемое состояние. Такие изменения считаются неподдерживаемыми. В частности, изменение этого значения отменяет состояние карантина, которое создается по коду обнаружения отката USN. Разделы Active Directory на восстановленном контроллере домена будут невосстановимо рассогласованными с прямыми и транзитивными партнерами репликации в лесу Active Directory.

Восстановление после отката USN

Существует три подхода для восстановления после отката USN.

• Удалите контроллер домена из домена. Для этого выполните следующие шаги.

  1. Удалите Active Directory из контроллера домена, чтобы заставить его быть автономным сервером. Дополнительные сведения см. в разделе "Контроллеры домена" не усложняют работу при использовании мастера установки Active Directory для принудительного понижения.

  2. Завершите работу сервера с пониженной ролью.

  3. На работоспособном контроллере домена очистите метаданные контроллера домена с пониженной ролью. Дополнительные сведения см. в разделе "Очистка домен Active Directory метаданных сервера контроллера".

  4. Если на неверно восстановленном контроллере домена размещены роли хозяина операций, переместите эти роли на работоспособный контроллер домена. Дополнительные сведения см. в разделе "Передача или захват главных ролей" в службах домен Active Directory.

  5. Перезапустите сервер с пониженной ролью.

  6. При необходимости снова установите Active Directory на автономном сервере.

  7. Если контроллер домена раньше был глобальным каталогом, настройте его как глобальный каталог. Дополнительные сведения см. в статье "Создание или перемещение глобального каталога".

  8. Если на контроллере домена раньше размещались роли хозяина операций, переместите их обратно на контроллер домена. Дополнительные сведения см. в разделе "Передача или захват главных ролей" в службах домен Active Directory.

• Восстановите состояние системы хорошей резервной копии.

  Определите, есть ли действительные резервные копии состояния системы для этого контроллера домена. Если действительная резервная копия состояния системы была создана до неправильного восстановления контроллера домена с выполненным откатом и содержит последние изменения, внесенные на контроллере домена, восстановите состояние системы по самой актуальной резервной копии.

• Восстановите состояние системы без резервного копирования состояния системы.

  Моментальный снимок можно использовать в качестве источника резервной копии. Кроме того, можно задать базу данных для предоставления себе нового идентификатора вызова с помощью процедуры восстановления предыдущей версии виртуального жесткого диска контроллера домена без резервного копирования данных состояния системы в разделе "Запуск контроллеров домена" в Hyper-V.

Ссылки

• Рекомендации по размещению контроллеров домена Active Directory в виртуальных средах размещения

• Архитектура виртуализированного контроллера домена