vendredi 24 mars 2017

Problème de réplication active directory suite à une restauration USN (Rollback USN)


 USN (Update Sequence Number):

L'USN (Update Sequence Number) permet de gérer la réplication des modifications effectuées sur les objets active directory.
Chaque contrôler de domaine incrémente son propre nombre USN à chaque modification d'un objet.
A la prochaine réplication, ses partenaires vont détecter les modifications effectuées grâce à la nouvelle valeur d'USN qui est supérieur à l'USN de la dernière réplication.

La restauration d'un contrôleur de domaine à travers une solution de sauvegarde non supporté  pourra créer un problème au niveau de la réplication suite à une restauration USN (Rollback USN).

Comment connaitre les symptômes de la restauration USN (Update Sequence Number):


  •  Pas de réplication:


Si vous avez le problème USN Rollback, le premier symptôme constaté est le blocage de la réplication.
Comme l'indique la figure ci-dessous, quand vous lancer la commande repadmin /showrepl, vous aurez un message d'erreur indiquant que "le serveur de destination rejette actuellement les demandes de réplication":



Il est aussi impossible de forcer la réplication à travers la commande repadmin /syncall en cas de Rollback USN, comme l'indique la figure ci-dessous:




  • Incohérence au niveau de l'USN du contrôleur de domaine endommagé:


 La vérification du nombre USN  permet de détecter et identifier la restauration USN.
Si la valeur de l'USN local d'un contrôleur de domaine est inférieure à celle enregistrée sur les autres contrôleurs de domaine cela veut dire qu'il y a une de restauration USN.

La commande repadmin /showutdvec * "dc=domain,dc=lan" permet d'afficher la valeur USN de chaque contrôleur de domaine sur tous les contrôleurs de domaine comme l'indique la figure ci-dessous:




  • Le journal d'événement:


Dans le journal d'événement du contrôleur de domaine endommagé par restauration USN, on trouve l'événement d'ID 2095 et Source ActiveDirectory_DomainServices qui explique bien que la réplication a été bloquée suite à un problème Rollback USN:





Comment résoudre le problème du Rollback USN:

Pour résoudre le problème du Rollback USN, il faut arrêter et forcer la suppression du contrôleur de domaine endommagé via la procédure Metadacleanup comme l'explique le lien suivant :

Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup.

Pour déterminer le contrôleur de domaine endommagé, il faut trouver les deux symptômes suivants:


  •  L'événement d'ID 2095 et Source ActiveDirectory_DomainServices dans le journal d'événement du contrôleur de domaine endommagé
  • Incohérence du nombre USN du contrôleur de domaine endommagé affiché via la commande suivante: repadmin /showutdvec * "dc=domain,dc=lan"
  • La valeur 4 dans la clé de registre suivante :HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA not Writable




Aucun commentaire:

Enregistrer un commentaire