Vermeidung eines USN-Rollbacks

Sollte die Domain über zwei oder mehr Domain-Controller verfügen und sollten Sie einen der Controller oder seine Datenbank wiederherstellen müssen, dann sollten Sie Maßnahmen gegen eine Situation erwägen, die auch als 'USN-Rollback' bekannt ist.

Ein USN-Rollback ist unwahrscheinlich, wenn Sie einen kompletten Domain-Controller von einem VSS-basierten Laufwerk-Backup wiederherstellen.

Ein USN-Rollback ist dagegen deutlich wahrscheinlicher, wenn einer der folgenden Umstände zutrifft:

• Ein Domain-Controller wurde teilweise wiederhergestellt: es wurden nicht alle Laufwerke oder Volumes wiederhergestellt – oder nur die Active Directory-Datenbank.
• Ein Domain-Controller wurde von einem Backup wiederhergestellt, welches ohne VSS erstellt wurde. Das Backup wurde beispielsweise mit einem bootfähigen Medium erstellt. Oder die Option VSS verwenden war deaktiviert. Oder der VSS-Provider hatte eine Fehlfunktion.

Die folgenden Informationen helfen Ihnen, ein USN-Rollback mit einigen einfachen Schritten zu vermeiden.

Replikation und USNs

Ein Active Directory wird kontinuierlich zwischen den Domain-Controllern repliziert. Zu jedem Zeitpunkt kann es zu einem Active Directory-Objekt eine neuere Version auf einem Domain-Controller und eine ältere auf einem anderen geben. Um Konflikte und Informationsverluste zu vermeiden, verfolgt das Active Directory Objektversionen auf jedem Domain Controller und ersetzt veraltete Versionen mit aktuellen Versionen.

Um die Objektversionen zu verfolgen, verwendet das Active Directory Zahlen, die Update-Sequenznummern, USNs, Update Sequence Numbers oder Aktualisierungssequenznummern genannt werden. Neuere Versionen von Active Directory-Objekten entsprechen höheren USNs. Jeder Domain Controller bewahrt die USNs von allen anderen Domain Controllern.

USN-Rollback

Nach Durchführung einer nicht autorisierten Wiederherstellung eines Domain Controllers oder seiner Datenbanken wird die aktuelle USN dieses Domain Controllers durch die alte (niedrigere) USN aus dem Backup ersetzt. Die anderen Domain-Controller wissen jedoch nichts von dieser Änderung. Sie haben immer noch die zuletzt bekannte (höhere) USN dieses Domain Controllers beibehalten.

Als Ergebnis treten folgende Probleme auf:

• Der wiederhergestellte Domain Controller verwendet ältere USNs für neue Objekte; er startet mit der alten USN aus dem Backup.
• Die anderen Domain Controller replizieren die neuen Objekte von dem wiederhergestellten Domain-Controller solange nicht, wie dessen USN niedriger bleibt als die USN, von der die anderen Domain-Controller wissen.
• Das Active Directory startet und hat verschiedene Objekte, die zu der gleichen USN korrespondieren, was bedeutet, dass Sie inkonsistent geworden ist. Diese Situation wird USN-Rollback genannt.

Sie müssen zur Vermeidung eines USN-Rollbacks den Domain-Controller über die Tatsache informieren, dass er wiederhergestellt wurde.

So vermeiden Sie ein USN-Rollback

1. Booten Sie direkt nach der Wiederherstellung eines Domain-Controllers oder seiner Datenbanken den wiederhergestellten Domain-Controller und drücken Sie während des Startvorgangs auf F8.
2. Wählen Sie im Fenster Erweiterte Startoptionen den Eintrag Verzeichnisdienst-Wiederherstellungsmodus – und melden Sie sich dann am Verzeichnisdienste-Wiederherstellungsmodus (DSRM) an.
3. Öffnen Sie den Registry-Editor und erweitern Sie den folgenden Registry-Schlüssel:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

4. Überprüfen Sie in diesem Registry-Schlüssel den Wert DSA Previous Restore Count. Sollte der Wert vorhanden sein, dann notieren Sie sich seine Einstellung. Fügen Sie den Wert nicht hinzu, falls er fehlen sollte.
5. Fügen Sie diesem Registry-Schlüssel folgenden Wert hinzu:
   • Werttyp: DWORD-Wert (32-Bit)
   • Wertname: Von Sicherung wiederhergestellte Datenbank
   • Datenwert: 1
6. Starten Sie den Domain-Controller im normalen Modus neu.
7. [Optional] Öffnen Sie nach dem Neustart des Domain Controllers die Ereignisanzeige, erweitern Sie Anwendungs- und Dienstprotokolle und wählen Sie das Protokoll Verzeichnisdienste. Schauen Sie im Protokoll Verzeichnisdienste nach einem kürzlichen Eintrag mit der Ereignis-ID 1109. Sollten Sie diesen Eintrag finden, dann klicken Sie doppelt darauf, um sicherzustellen, dass das Attribut InvocationID geändert wurde. Das bedeutet, dass die Active Directory-Datenbank aktualisiert wurde.
8. Öffnen Sie den Registry-Editor und überprüfen Sie, dass die Einstellung im Wert DSA Previous Restore Count im Vergleich zu Schritt 4 um den Wert 1 gestiegen ist. Sollte der Wert DSA Previous Restore Count in Schritt 4 gefehlt haben, dann überprüfen Sie, dass er nun vorhanden ist und seine Einstellung 1 beträgt.

   Sollten Sie eine andere Einstellung sehen (und den Eintrag für die Ereignis-ID 1109 nicht finden können), dann stellen Sie sicher, dass der wiederhergestellte Domain-Controller über die aktuellen Service Packs verfügt und wiederholen Sie dann die komplette Prozedur.

Weitere Details über USNs und USN-Rollback finden Sie in folgendem Microsoft Technet-Artikel: http://technet.microsoft.com/de-de/library/virtual_active_directory_domain_controller_virtualization_hyperv.aspx.