Um controlador de domínio do Windows Server regista o evento 2095 dos Serviços de Diretório quando encontra uma reversão do USN

Este artigo descreve como detetar e recuperar se um controlador de domínio do Windows Server é revertido incorretamente com uma instalação baseada em imagens do sistema operativo.

Número original da BDC: 875495

Observação

Este artigo destina-se apenas a agentes de suporte técnico e profissionais de TI. Se estiver à procura de ajuda para resolver um problema, pergunte à Comunidade Microsoft.

Resumo

Este artigo descreve uma falha de replicação silenciosa do Active Directory causada por uma reversão do número de sequência de atualização (USN). Uma reversão do USN ocorre quando uma versão mais antiga de uma base de dados do Active Directory é restaurada incorretamente ou colada no local.

Quando ocorre uma reversão do USN, as modificações a objetos e atributos que ocorrem num controlador de domínio não são replicadas para outros controladores de domínio na floresta. Uma vez que os parceiros de replicação acreditam que têm uma cópia atualizada da base de dados do Active Directory, as ferramentas de monitorização e resolução de problemas, como Repadmin.exe não comunicam erros de replicação.

Os Controladores de Domínio registam o Evento 2095 dos Serviços de Diretório no registo de eventos dos Serviços de Diretório quando detetam uma reversão do USN. O texto da mensagem de evento direciona os administradores para este artigo para saber mais sobre as opções de recuperação.

Exemplo de entrada de registo do Evento 2095

Log Name:      <Service name> Service  
Source:        Microsoft-Windows-ActiveDirectory_DomainService  
Date:          <DateTime>
Event ID:      2095  
Task Category: Replication  
Level:         Error  
Keywords:      Classic  
User:          <USER NAME>  
Computer:      SERVER.contoso.com  
Description:

During an Active Directory Domain Services replication request, the local domain controller (DC) identified a remote DC which has received replication data from the local DC using already-acknowledged USN tracking numbers.

Because the remote DC believes it is has a more up-to-date Active Directory Domain Services database than the local DC, the remote DC will not apply future changes to its copy of the Active Directory Domain Services database or replicate them to its direct and transitive replication partners that originate from this local DC.

If not resolved immediately, this scenario will result in inconsistencies in the Active Directory Domain Services databases of this source DC and one or more direct and transitive replication partners. Specifically the consistency of users, computers and trust relationships, their passwords, security groups, security group memberships and other Active Directory Domain Services configuration data may vary, affecting the ability to log on, find objects of interest and perform other critical operations.

To determine if this misconfiguration exists, query this event ID using http://support.microsoft.com or contact your Microsoft product support.

The most probable cause of this situation is the improper restore of Active Directory Domain Services on the local domain controller.

User Actions:

If this situation occurred because of an improper or unintended restore, forcibly demote the DC.

Os tópicos seguintes abordam como detetar e recuperar de uma reversão do USN num controlador de domínio baseado no Windows Server.

Métodos suportados para criar cópias de segurança do Active Directory em controladores de domínio com o Windows Server 2012 e versões posteriores

O Windows Server 2012 adiciona suporte para Hyper-Visor ID de Geração (GenID). Isto permite ao convidado virtual detetar os volumes de disco que têm um novo ID e responder ao novo GenID. No Active Directory, os Serviços de Diretório reagem como se o controlador de domínio tivesse sido restaurado a partir de uma cópia de segurança. Em seguida, gera um novo ID de Invocação. Ao utilizar o novo ID de Invocação, a instância da base de dados pode voltar a introduzir a replicação na floresta com segurança.

Este é um dos cenários abrangidos pela Implementação e Configuração do Controlador de Domínio Virtualizado.

Métodos suportados para criar cópias de segurança do Active Directory em controladores de domínio com o Windows Server 2003 ou versões posteriores do Windows Server

Ao longo do ciclo de vida de um controlador de domínio, poderá ter de restaurar ou "reverter", os conteúdos da base de dados do Active Directory para um bom ponto no tempo conhecido. Em alternativa, poderá ter de reverter os elementos do sistema operativo anfitrião de um controlador de domínio, incluindo o Active Directory, para um bom ponto conhecido.

Seguem-se métodos suportados que pode utilizar para reverter os conteúdos do Active Directory:

• Utilize um utilitário de cópia de segurança e restauro com suporte para o Active Directory que utilize APIs fornecidas pela Microsoft e testadas pela Microsoft. Estas APIs restauram, de forma não autoritativa ou autoritativa, uma cópia de segurança do estado do sistema. A cópia de segurança restaurada deve ter origem na mesma instalação do sistema operativo e no mesmo computador físico ou virtual que está a ser restaurado.

• Utilize um utilitário de cópia de segurança e restauro com suporte para o Active Directory que utilize as APIs do Serviço de Cópia Sombra de Volumes da Microsoft. Estas APIs efetuam uma cópia de segurança e restauram o estado do sistema do controlador de domínio. O Serviço de Cópia Sombra de Volumes suporta a criação de cópias sombra de um único ponto no tempo de um ou vários volumes em computadores com o Windows Server 2003, Windows Server 2008 ou Windows Server 2008 R2. As cópias sombra de um ponto anterior no tempo também são conhecidas como instantâneos. Para obter mais informações, pesquise "Serviço de Cópia Sombra de Volumes" no Suporte da Microsoft.

• Restaure o estado do sistema. Avalie se existem cópias de segurança de estado do sistema válidas para este controlador de domínio. Se tiver sido feita uma cópia de segurança de estado do sistema válida antes de o controlador de domínio revertido ter sido restaurado incorretamente e se a cópia de segurança contiver alterações recentes efetuadas no controlador de domínio, restaure o estado do sistema a partir da cópia de segurança mais recente.

Comportamento típico que ocorre quando restaura uma cópia de segurança do estado do sistema com deteção do Active Directory

Os controladores de domínio do Windows Server utilizam USNs juntamente com os IDs de invocação para controlar as atualizações que têm de ser replicadas entre parceiros de replicação numa floresta do Active Directory.

Os controladores de domínio de origem utilizam USNs para determinar que alterações já foram recebidas pelo controlador de domínio de destino que está a pedir alterações. Os controladores de domínio de destino utilizam USNs para determinar que alterações devem ser pedidas aos controladores de domínio de origem.

O ID de invocação identifica a versão ou a instanciação da base de dados do Active Directory que está em execução num determinado controlador de domínio.

Quando o Active Directory é restaurado num controlador de domínio com as APIs e os métodos que a Microsoft concebeu e testou, o ID de invocação é reposto corretamente no controlador de domínio restaurado. os controladores de domínio na floresta recebem uma notificação da reposição da invocação. Por conseguinte, ajustam os seus valores de marca d'água elevados em conformidade.

Software e metodologias que causam reversões do USN

Quando são utilizados os seguintes ambientes, programas ou subsistemas, os administradores podem ignorar as verificações e validações que a Microsoft concebeu para ocorrerem quando o estado do sistema do controlador de domínio é restaurado:

• Iniciar um controlador de domínio do Active Directory cujo ficheiro de base de dados do Active Directory foi restaurado (copiado) para o local através de um programa de imagem, como o Norton Ghost.

• Iniciar uma imagem de disco rígido virtual guardada anteriormente de um controlador de domínio. O cenário seguinte pode causar uma reversão do USN:

  1. Promover um controlador de domínio num ambiente de alojamento virtual.
  2. Crie um instantâneo ou uma versão alternativa do ambiente de alojamento virtual.
  3. Permita que o controlador de domínio continue a replicar de entrada e a replicar de saída.
  4. Inicie o ficheiro de imagem do controlador de domínio que criou no passo 2.

• Exemplos de ambientes de alojamento virtualizados que causam este cenário incluem Microsoft Virtual PC 2004, Microsoft Virtual Server 2005 e EMC VMWARE. Outros ambientes de alojamento virtualizados também podem causar este cenário.

• Para obter mais informações sobre as condições de suporte para controladores de domínio em ambientes de alojamento virtual, veja Aspetos a ter em conta quando aloja controladores de domínio do Active Directory em ambientes de alojamento virtual.

• Iniciar um controlador de domínio do Active Directory localizado num volume onde o subsistema de disco é carregado com imagens guardadas anteriormente do sistema operativo sem que seja necessário restaurar o estado do sistema do Active Directory.

  • Cenário A: Iniciar várias cópias do Active Directory localizadas num subsistema de disco que armazena várias versões de um volume

    1. Promover um controlador de domínio. Localize o ficheiro Ntds.dit num subsistema de disco que possa armazenar várias versões do volume que aloja o ficheiro Ntds.dit.
    2. Utilize o subsistema de disco para criar um instantâneo do volume que aloja o ficheiro Ntds.dit para o controlador de domínio.
    3. Continue a permitir que o controlador de domínio carregue o Active Directory a partir do volume que criou no passo 1.
    4. Inicie o controlador de domínio que a base de dados do Active Directory guardou no passo 2.

  • Cenário B: Iniciar o Active Directory a partir de outras unidades num espelho partido

    1. Promover um controlador de domínio. Localize o ficheiro Ntds.dit numa unidade espelhada.
    2. Parta o espelho.
    3. Continue a replicar e a replicar de saída de entrada com o ficheiro Ntds.dit na primeira unidade no espelho.
    4. Inicie o controlador de domínio com o ficheiro Ntds.dit na segunda unidade no espelho.

Mesmo que não se destine, cada um destes cenários pode fazer com que os controladores de domínio revertam para uma versão mais antiga da base de dados do Active Directory através de métodos não suportados. A única forma suportada de reverter os conteúdos do Active Directory ou do estado local de um controlador de domínio do Active Directory é utilizar um utilitário de cópia de segurança e restauro com suporte para o Active Directory para restaurar uma cópia de segurança de estado do sistema que tenha origem na mesma instalação do sistema operativo e no mesmo computador físico ou virtual que está a ser restaurado.

A Microsoft não suporta qualquer outro processo que tire um instantâneo dos elementos do estado do sistema de um controlador de domínio do Active Directory e copie elementos desse estado do sistema para uma imagem do sistema operativo. A menos que um administrador intervenha, esses processos causam uma reversão do USN. Esta reversão do USN faz com que os parceiros de replicação direta e transitiva de um controlador de domínio restaurado incorretamente tenham objetos inconsistentes nas respetivas bases de dados do Active Directory.

Os efeitos de uma reversão do USN

Quando ocorrem reversões do USN, as modificações a objetos e atributos não são replicadas de entrada por controladores de domínio de destino que tenham visto anteriormente o USN.

Uma vez que estes controladores de domínio de destino acreditam que estão atualizados, não são comunicados erros de replicação nos registos de eventos do Serviço de Diretório ou através de ferramentas de monitorização e diagnóstico.

A reversão do USN pode afetar a replicação de qualquer objeto ou atributo em qualquer partição. O efeito colateral mais frequentemente observado é que as contas de utilizador e contas de computador criadas no controlador de domínio de reversão não existem num ou mais parceiros de replicação. Em alternativa, as atualizações de palavras-passe originadas no controlador de domínio de reversão não existem em parceiros de replicação.

Os passos seguintes mostram a sequência de eventos que podem causar uma reversão do USN. Uma reversão do USN ocorre quando o estado do sistema do controlador de domínio é revertido no tempo através de um restauro do estado do sistema não suportado.

1. Um administrador promove três controladores de domínio num domínio. (Neste exemplo, os controladores de domínio são DC1, DC2 e DC2 e o domínio é Contoso.com.) DC1 e DC2 são parceiros de replicação direta. DC2 e DC3 também são parceiros de replicação direta. O DC1 e o DC3 não são parceiros de replicação direta, mas recebem atualizações de origem transitivamente através do DC2.

2. Um administrador cria 10 contas de utilizador que correspondem a USNs 1 a 10 no DC1. Todas estas contas são replicadas para DC2 e DC3.

3. Uma imagem de disco de um sistema operativo é capturada no DC1. Esta imagem tem um registo de objetos que correspondem aos USNs locais 1 a 10 no DC1.

4. As seguintes alterações são efetuadas no Active Directory:

   • As palavras-passe de todas as 10 contas de utilizador que foram criadas no passo 2 são repostas no DC1. Estas palavras-passe correspondem a USNs 11 a 20. Todas as 10 palavras-passe atualizadas são replicadas para DC2 e DC3.
   • São criadas 10 novas contas de utilizador que correspondem a USNs 21 a 30 no DC1. Estas 10 contas de utilizador são replicadas para DC2 e DC3.
   • São criadas 10 novas contas de computador que correspondem a USNs 31 a 40 no DC1. Estas 10 contas de computador são replicadas para DC2 e DC3.
   • São criados 10 novos grupos de segurança que correspondem a USNs 41 a 50 no DC1. Estes 10 grupos de segurança são replicados para DC2 e DC3.

5. O DC1 detetou uma falha de hardware ou uma falha de software. O administrador utiliza um utilitário de processamento de imagens de disco para copiar a imagem do sistema operativo que foi criada no passo 3. O DC1 começa agora com uma base de dados do Active Directory que tem conhecimentos de USNs 1 a 10.

   Uma vez que a imagem do sistema operativo foi copiada e não foi utilizado um método suportado para restaurar o estado do sistema, o DC1 continua a utilizar o mesmo ID de invocação que criou a cópia inicial da base de dados e todas as alterações até USN 50. DC2 e DC3 também mantêm o mesmo ID de invocação para DC1, bem como um vetor atualizado de USN 50 para DC1. (Um vetor atualizado é o estado atual das atualizações de origem mais recentes a ocorrer em todos os controladores de domínio para uma determinada partição de diretório.)

   A menos que um administrador intervenha, DC2 e DC3 não replicam as alterações que correspondem ao USN local 11 a 50 com origem no DC1. Além disso, de acordo com o ID de invocação que o DC2 utiliza, o DC1 já tem conhecimento das alterações que correspondem a USN 11 a 50. Por conseguinte, o DC2 não envia essas alterações. Uma vez que as alterações no passo 4 não existem no DC1, os pedidos de início de sessão falham com um erro de "acesso negado". Este erro ocorre porque as palavras-passe não correspondem ou porque a conta não existe quando as contas mais recentes são autenticadas aleatoriamente com DC1.

6. Os administradores que monitorizam o estado de funcionamento da replicação na floresta registam as seguintes situações:

   • A Repadmin /showreps ferramenta de linha de comandos informa que a replicação bidirecional do Active Directory entre DC1 e DC2 e entre DC2 e DC3 está a ocorrer sem erros. Esta situação dificulta a deteção de qualquer inconsistência de replicação.

   • Os eventos de replicação nos registos de eventos do serviço de diretório dos controladores de domínio que estão a executar o Windows Server não indicam falhas de replicação nos registos de eventos do serviço de diretório. Esta situação dificulta a deteção de qualquer inconsistência de replicação.

   • Os Utilizadores e Computadores do Active Directory ou a Ferramenta de Administração do Active Directory (Ldp.exe) mostram uma contagem diferente de objetos e metadados de objetos diferentes quando as partições de diretório de domínio no DC2 e DC3 são comparadas com a partição no DC1. A diferença é o conjunto de alterações que mapeiam para o USN altera 11 a 50 no passo 4.

     Observação

     Neste exemplo, a contagem de objetos diferente aplica-se a contas de utilizador, contas de computador e grupos de segurança. Os diferentes metadados de objeto representam as diferentes palavras-passe da conta de utilizador.

   • Os pedidos de autenticação do utilizador para as 10 contas de utilizador que foram criadas no passo 2 geram ocasionalmente um erro de "acesso negado" ou "palavra-passe incorreta". Este erro pode ocorrer porque existe um erro de correspondência de palavras-passe entre estas contas de utilizador no DC1 e as contas no DC2 e DC3. As contas de utilizador com este problema correspondem às contas de utilizador que foram criadas no passo 4. As contas de utilizador e as reposições de palavra-passe no passo 4 não foram replicadas para outros controladores de domínio no domínio.

7. DC2 e DC3 começam a replicar atualizações de origem de entrada que correspondem a números USN superiores a 50 de DC1. Esta replicação prossegue normalmente sem intervenção administrativa porque o limiar de vetor de atualização registado anteriormente, USN 50, foi excedido. (USN 50 foi o USN vetor atualizado registado para DC1 em DC2 e DC3 antes de DC1 ser colocado offline e restaurado.) No entanto, as novas alterações que correspondiam a USNs 11 a 50 no DC1 de origem após o restauro não suportado nunca serão replicadas para DC2, DC3 ou os respetivos parceiros de replicação transitiva.

Embora os sintomas mencionados no passo 6 representem alguns dos efeitos que uma reversão do USN pode ter nas contas de utilizador e de computador, uma reversão do USN pode impedir a replicação de qualquer tipo de objeto em qualquer partição do Active Directory. Estes tipos de objeto incluem o seguinte:

• Topologia e agenda da replicação do Active Directory

• A existência de controladores de domínio na floresta e as funções que estes controladores de domínio detêm

  Observação

  Estas funções incluem o catálogo global, alocações de identificador relativo (RID) e funções de mestre de operações. (As funções principais de operações também são conhecidas como operações mestre únicas flexíveis ou FSMO.)

• A existência de partições de domínio e aplicações na floresta

• A existência de grupos de segurança e as respetivas associações a grupos atuais

• Registo de registos DNS em zonas DNS integradas no Active Directory

O tamanho do buraco usn pode representar centenas, milhares ou até dezenas de milhares de alterações a utilizadores, computadores, confianças, palavras-passe e grupos de segurança. (O buraco USN é definido pela diferença entre o número USN mais elevado que existia quando a cópia de segurança do estado do sistema restaurado foi efetuada e o número de alterações de origem que foram criadas no controlador de domínio revertido antes de ser colocado offline.)

Detetar uma reversão do USN num controlador de domínio do Windows Server

Uma vez que é difícil de detetar uma reversão do USN, um controlador de domínio do Windows Server 2003 SP1 ou versão posterior regista o evento 2095 quando um controlador de domínio de origem envia um número USN reconhecido anteriormente para um controlador de domínio de destino sem uma alteração correspondente no ID de invocação.

Para impedir que as atualizações de origem exclusivas do Active Directory sejam criadas no controlador de domínio restaurado incorretamente, o serviço Net Logon é colocado em pausa. Quando o serviço de Início de Sessão Net está em pausa, as contas de utilizador e de computador não podem alterar a palavra-passe num controlador de domínio que não irá replicar essas alterações de saída. Da mesma forma, as ferramentas de administração do Active Directory favorecem um controlador de domínio em bom estado de funcionamento quando efetuam atualizações a objetos no Active Directory.

Num controlador de domínio, as mensagens de evento semelhantes às seguintes são registadas se as seguintes condições forem verdadeiras:

• Um controlador de domínio de origem envia um número USN reconhecido anteriormente para um controlador de domínio de destino.
• Não existe nenhuma alteração correspondente no ID de invocação.

Estes eventos podem ser capturados no registo de eventos do Serviço de Diretório. No entanto, podem ser substituídos antes de serem observados por um administrador.

Pode suspeitar que ocorreu uma reversão do USN. No entanto, não vê os eventos correlacionados no registo de eventos do Serviço de Diretório. Neste cenário, verifique a entrada de registo Dsa Not Writable. Esta entrada fornece provas forenses de que ocorreu uma reversão da USN.

• Subchave do registo: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
• Entrada de registo: Dsa Não Gravável
• Valor: 0x4

Eliminar ou alterar manualmente o valor de entrada de registo Dsa Not Writable coloca o controlador de domínio de reversão num estado permanentemente não suportado. Por conseguinte, tais alterações não são suportadas. Especificamente, modificar o valor remove o comportamento de quarentena adicionado pelo código de deteção de reversão do USN. As partições do Active Directory no controlador de domínio de reversão serão permanentemente inconsistentes com os parceiros de replicação direta e transitiva na mesma floresta do Active Directory.

Recuperar a partir de uma reversão do USN

Existem três abordagens para recuperar de uma reversão do USN.

• Remova o Controlador de Domínio do domínio. Para fazer isso, siga estas etapas:

  1. Remova o Active Directory do controlador de domínio para forçá-lo a ser um servidor autónomo. Para obter mais informações, veja Controladores de domínio não despromover corretamente quando utiliza o Assistente de Instalação do Active Directory para forçar a despromoção.

  2. Encerre o servidor despromovido.

  3. Num controlador de domínio em bom estado de funcionamento, limpe os metadados do controlador de domínio despromovido. Para obter mais informações, veja Limpar metadados do servidor do Controlador de Domínio do Active Directory.

  4. Se o controlador de domínio restaurado incorretamente aloja funções mestras de operações, transfira estas funções para um controlador de domínio em bom estado de funcionamento. Para obter mais informações, veja Transferir ou apreender funções de Mestre de Operações nos Serviços de Domínio do Active Directory.

  5. Reinicie o servidor despromovido.

  6. Se for necessário, instale novamente o Active Directory no servidor autónomo.

  7. Se o controlador de domínio era anteriormente um catálogo global, configure o controlador de domínio para ser um catálogo global. Para obter mais informações, veja Como criar ou mover um catálogo global.

  8. Se o controlador de domínio tiver anteriormente alojado funções de mestre de operações, transfira as funções de mestre de operações de volta para o controlador de domínio. Para obter mais informações, veja Transferir ou apreender funções de Mestre de Operações nos Serviços de Domínio do Active Directory.

• Restaure o estado do sistema de uma boa cópia de segurança.

  Avalie se existem cópias de segurança de estado do sistema válidas para este controlador de domínio. Se tiver sido efetuada uma cópia de segurança de estado do sistema válida antes de o controlador de domínio revertido ter sido restaurado incorretamente e a cópia de segurança contiver alterações recentes efetuadas no controlador de domínio, restaure o estado do sistema a partir da cópia de segurança mais recente.

• Restaure o estado do sistema sem a cópia de segurança do estado do sistema.

  Pode utilizar o instantâneo como origem de uma cópia de segurança. Em alternativa, pode definir a base de dados para fornecer um novo ID de invocação ao utilizar o procedimento na secção Para restaurar uma versão anterior de um VHD do controlador de domínio virtual sem a cópia de segurança de dados de estado do sistema dos Controladores de Domínio em Execução no Hyper-V.

Referências

• Aspetos a ter em conta quando aloja controladores de domínio do Active Directory em ambientes de alojamento virtual

• Arquitetura do controlador de domínio virtualizado