DC-Imaging/ USN-Rollback

Hallo,

Es gibt zwei schöne KB-Artikel, die sich mit dem Dauerbrenner "DC-Imaging" bzw. DCs auf virtuellen MAschinen beschäftigen

 

How to detect and recover from a USN rollback in Windows Server 2003

Considerations when hosting Active Directory domain controller in virtual hosting environments

 

Wer's schon kennt, umso besser

 

cu

blub

 

btw: obwohl am 13.11.2006 reviewed

Operations that are not supported include the following: 1. Starting an Active Directory domain controller whose operating system was restored to a hard disk by using an imaging program such as Norton Ghost "

klingt sehr kategorisch, ohne Ausnahme!

Nachtrag:

 

Acronis True Image Server 9.1 (Acronis VSS Provider - 'Enable Microsoft VSS Support' muss verwendet werden!) kann einen DC erfolgreich widerherstellen - mehrere von mir durchgeführte Tests waren erfolgreich, und die üblichen Meldungen auf einem W2K3 SP1 DC wie

 

Message 4

 

Event Type: Error

Event Source: NTDS General

Event Category: Service Control

Event ID: 2103

Date: 3/10/2005

Time: 4:26:51 PM

User: USN\2B25VB$

Computer: 2B9A

Description: The Active Directory database has been restored using an unsupported restoration procedure. Active Directory will be unable to log on users while this condition persists. As a result, the Net Logon service has paused. User Action See previous event logs for details. For more information, see Help and Support Center at

Microsoft Help and Support.

 

 

...waren nicht zu finden. Sehr wahrscheinlich beherrschen das auch andere Produkte, da fehlt mir aber der Efahrungsbericht.

 

 

Gruss

Velius

Hi velius,

hast du die Prüfung mit "repadmin /showutdvec" gemacht?

 

cu

blub

Nö, noch nicht, könnte ich aber noch nachreichen.

 

Es ist blos ein DC in einer virtuellen Umgebung (virtuell geswitcht und physisch getrennt), aber physisch waren es sechs in derselben Domain. Klar motz er rum, dass im die Replikationspartner fehlen, was aber nicht weiter tragisch ist. Eines hat mich dann aber doch verwundert: Obwohl er RID-Master ist, konnte er keinen RID-Pool mehr ausstellen. Bei MS fand ich dann diesen Artikel: Event ID 16650: The account-identifier allocator failed to initialize in Windows 2000 and in Windows Server 2003

 

• When the relative ID (RID) Master is restored from backup, it tries to synchronize with other domain controllers to verify that there are no other RID Masters online. However, the synchronization process fails if there are no domain controllers available to synchronize with, or if replication is not working. The synchronization requirement was implemented in the Windows 2000 hotfix that is described in the following Microsoft Knowledge Base article:

(Konkret bedeutet das für mich, da ja dieses Problem exakt auf meinen virtualisierten DC zutrifft, dass dieser Tatsächlich glaubt von einem echten Backup wiederhergestellt worden zu sein.)

 

 

Das, das fehlen der Eventlog-Einträge, und die VSS Untzerstützung seitens Acronis waren für mich Beweis genug, kann aber bei bedarf gerne noch einen zweiten DC virtualisieren.:D

das wäre z.B. ein interessanter Versuchsaufbau

 

- min. 2 DCs in einer domäne bereitstellen

- DC1 imagen

- auf DC1 per Skript z.B. 10000 User anlegen und replizieren lassen

- DC1 restoren

- auf DC1 wieder ein oder zwei neue Objekte anlegen und ein paar Objekte verändern

 

Fragen:

-werden die neuen Objekte und die Änderungen repliziert?

- was sagt "repadmin /showutdvec"?

 

cu

blub

Zu dem Thema sind folgende Webcasts unbedingt sehenswert:

 

WWE - Event Details - On-Demand Webcast

 

WWE - Event Details - On-Demand Webcast

 

Christoph

@Blub

 

 

Werde es bei Gelegenheit testen.

 

 

P.S.:

 

- min. 2 DCs in einer domäne bereitstellen

- DC1 imagen

- auf DC1 per Skript z.B. 10000 User anlegen und replizieren lassen

- DC1 restoren

- auf DC1 wieder ein oder zwei neue Objekte anlegen und ein paar Objekte verändern

 

Du meinst aber "- auf DC2 per Skript z.B. 10000 User anlegen und replizieren lassen", oder? Wäre sonst nicht wirklich logisch der ablauf....

nene, DC1 !! Das gibt dann den USN-Rollback.

Ich glaub nur nicht, dass VSS daran etwas verändern kann, aber lass mich gerne durch konkrete Versuche und Ergebnisse eines Besseren belehren

Ach so, nachdem die Dinger schon virtualisiert wurden den einen neu Clonen und Restoren...hmm, ok.

Microsoft änderte den Artikel in letzter Zeit häufiger.

These APIs and methods also make sure that other domain controllers in the forest are notified that invocation IDs have been reset.

 

Mit API ist in W2K3 der VSS gemeint, aber auch ntbackup (Systemstate restore) kann das natürlich auch und auch auf W2K.

Solange Microsoft nichts daran ändert, geht das auch durch manipulieren der Registry bevor der DC normal hochfährt.

Das Ärgernis mit USN Rollback

@Das Urmel

 

Genau meine Meinung. Unter W2K3 wird ja auch VSS initialisiert, sobald NTbackup angekickt wird. Das lässt sich so ohne Weiteres nicht unterdrücken. Blub möchte wohl eher 'knallharte Fakten' sehen.

Also, folgendes Szenario:

 

Physische Domain mit 8 Contollern insgesamt, wovon zwei mit Acronis 9.1 und MS VSS Support auf einer virtuellen Umgebung zeitverschoben geklont und wiederhergestellt wurden. DC2 wurde früher und DC1 später wiederhergestellt. Die beiden DC's sehen nur sich selbst, nicht aber die anderen 6 oder den Rest des Forests.

 

 

In den Eventlogs war folgendes zu finden.

 

Event Type:	Information
Event Source:	NTDS Replication
Event Category:	Replication 
Event ID:	1587
Date:		07.12.2006
Time:		12:04:39
User:		[color="Purple"][b][i]Domäne\DC2[/i][/b][/color]
Computer:	DC1
Description:
This domain controller has been restored or has been configured to host an application partition. As a result, its replication identity has changed. A partner has requested replication changes using our old identity. The starting sequence number has been adjusted. 
The destination domain controller corresponding to the following object GUID has requested changes starting at a USN that precedes the USN at which the local domain controller was restored from backup media. 

Object GUID:
[color="Purple"][b][i]GUID DC1[/i][/b][/color]
USN at the time of restore:
2595124 

As a result, the up-to-dateness vector of the destination domain controller has been configured with the following settings. 

Previous database GUID:
[color="Blue"]e7d5d33c-7a08-4a9c-ae3b-9b2dbd5f1af8 [/color]
Previous object USN:
[color="Blue"]2587130 [/color]
Previous property USN:
[color="Blue"]2587130 [/color]
New database GUID:
[color="Blue"]481b6299-005c-4431-b089-d82e37c484a2 [/color]
New object USN:
[color="Blue"]2587130 [/color]
New property USN:
[color="Blue"]2587130[/color]

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

 

Event Type:	Information
Event Source:	NTDS Replication
Event Category:	Replication 
Event ID:	1587
Date:		12/7/2006
Time:		12:04:09 PM
User:		[color="Purple"][b][i]Domäne\DC1[/i][/b][/color]
Computer:	DC2
Description:
This domain controller has been restored or has been configured to host an application partition. As a result, its replication identity has changed. A partner has requested replication changes using our old identity. The starting sequence number has been adjusted. 
The destination domain controller corresponding to the following object GUID has requested changes starting at a USN that precedes the USN at which the local domain controller was restored from backup media. 

Object GUID:
[color="Purple"][b][i]GUID DC2[/i][/b][/color]
USN at the time of restore:
16984046 

As a result, the up-to-dateness vector of the destination domain controller has been configured with the following settings. 

Previous database GUID:
[color="Blue"]ffa0724d-7d8f-4b0a-88a4-016b4d3b983b [/color]
Previous object USN:
[color="Blue"]16990727[/color] 
Previous property USN:
[color="Blue"]16990727 [/color]
New database GUID:
[color="Blue"]a28baf63-674a-4aa4-9412-19c6f67c25d1[/color] 
New object USN:
[color="Blue"]16984046 [/color]
New property USN:
[color="Blue"]16984046[/color]

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

 

 

Man kann deutlich erkennnen, dass beide DCs ihre Datenbank GUID geändert haben, während die USNs bei DC2 angepasst wurden, bei DC1 jedoch nicht (DC2 wurde früher wiederhergestellt, daher hat DC1 Änderungen erhalten, die der Kopie von DC2 unbekannt waren, dem physischen DC2 jedoch nicht!).

Ausserdem sind die USN-Rollback Eventlogs nicht zu finden und Änderungen in der DB werden fleissig repliziert.

 

Ich denke das sollte als Beweis genügen.

Ich sage nur Danke Velius

Ich sage nur Danke Velius

 

Nicht vergessen aber, ohne VSS Support in der Imaging Software wird das meiner Meinung nach nicht klappen (hab keinen Bock das anders rum, also ohne VSS, auch noch zu testen:p )!

Ja aber z.B Backup Exec System Recovery hat VSS Support