USN (Update Sequence Number):
L'USN (Update Sequence Number) permet de gérer la réplication des modifications effectuées sur les objets active directory.Chaque contrôler de domaine incrémente son propre nombre USN à chaque modification d'un objet.
A la prochaine réplication, ses partenaires vont détecter les modifications effectuées grâce à la nouvelle valeur d'USN qui est supérieur à l'USN de la dernière réplication.
La restauration d'un contrôleur de domaine à travers une solution de sauvegarde non supporté pourra créer un problème au niveau de la réplication suite à une restauration USN (Rollback USN).
Comment connaitre les symptômes de la restauration USN (Update Sequence Number):
- Pas de réplication:
Comme l'indique la figure ci-dessous, quand vous lancer la commande repadmin /showrepl, vous aurez un message d'erreur indiquant que "le serveur de destination rejette actuellement les demandes de réplication":
Il est aussi impossible de forcer la réplication à travers la commande repadmin /syncall en cas de Rollback USN, comme l'indique la figure ci-dessous:
- Incohérence au niveau de l'USN du contrôleur de domaine endommagé:
Si la valeur de l'USN local d'un contrôleur de domaine est inférieure à celle enregistrée sur les autres contrôleurs de domaine cela veut dire qu'il y a une de restauration USN.
La commande repadmin /showutdvec * "dc=domain,dc=lan" permet d'afficher la valeur USN de chaque contrôleur de domaine sur tous les contrôleurs de domaine comme l'indique la figure ci-dessous:
- Le journal d'événement:
Dans le journal d'événement du contrôleur de domaine endommagé par restauration USN, on trouve l'événement d'ID 2095 et Source ActiveDirectory_DomainServices qui explique bien que la réplication a été bloquée suite à un problème Rollback USN:
Comment résoudre le problème du Rollback USN:
Pour résoudre le problème du Rollback USN, il faut arrêter et forcer la suppression du contrôleur de domaine endommagé via la procédure Metadacleanup comme l'explique le lien suivant :Forcer la suppression d'un contrôleur de domaine via Metadata Cleanup.
Pour déterminer le contrôleur de domaine endommagé, il faut trouver les deux symptômes suivants:
- L'événement d'ID 2095 et Source ActiveDirectory_DomainServices dans le journal d'événement du contrôleur de domaine endommagé
- Incohérence du nombre USN du contrôleur de domaine endommagé affiché via la commande suivante: repadmin /showutdvec * "dc=domain,dc=lan"
- La valeur 4 dans la clé de registre suivante :HKLM\System\CurrentControlSet\Services\NTDS\Parameters\DSA not Writable
Aucun commentaire:
Enregistrer un commentaire