Если у домена есть несколько контроллеров и требуется восстановить один из контроллеров или его базу данных, желательно избежать ситуации, известной как USN rollback (откат USN).
Откат USN маловероятен, если восстанавливается весь контроллер домена из резервной копии на уровне дисков, созданной с помощью службы VSS.
Откат USN очень вероятен в любом из следующих случаев:
Контроллер домена был восстановлен частично: восстановлены не все диски или тома, либо восстановлена только база данных Active Directory.
Контроллер домена был восстановлен из резервной копии, созданной без службы VSS. Например, если резервная копия была создана с помощью загрузочного носителя, если параметр Использовать VSS был отключен или если поставщик VSS работал неправильно.
Следующие несложные действия помогут избежать отката USN.
Репликация номеров USN
Репликация Active Directory между контроллерами домена выполняется постоянно. В любой момент времени на одном контроллере домена может быть более новая версия объекта Active Directory, при этом на другом домене будет более старая версия этого же объекта. Чтобы предотвратить конфликты и потерю данных, Active Directory отслеживает версии объектов на каждом контроллере домена и заменяет старые версии новыми.
Чтобы выполнять такое отслеживание, Active Directory использует номера, которые называются Update Sequence Numbers (номера последовательного обновления), сокращенно USN. Более новым версиям объектов Active Directory соответствуют более высокие номера USN. Каждый контроллер домена хранит номера USN всех остальных контроллеров домена.
Откат USN
После выполнения не заслуживающего доверия восстановления контроллера домена или его базы данных, текущий номер USN этого контроллера домена заменяется на старый (меньшее значение) номер USN из резервной копии. Но другим контроллерам домена не сообщается об этом изменении. Они хранят последний известный им (более высокий) номер USN этого контроллера домена.
В результате возникают следующие проблемы:
Восстановленный контроллер домена повторно использует более старые номера USN для новых объектов, начиная со старого номера USN из резервной копии.
Другие контроллеры домена не выполняют репликацию новых объектов с восстановленного контроллера домена, поскольку его номер USN ниже того, о котором они «знают».
Теперь в Active Directory разные объекты соответствуют одному и тому же номеру USN, т. е. каталог становится несогласованным. Эта ситуация называется откатом USN.
Во избежание отката USN необходимо уведомить контроллер домена о том, что он был восстановлен.
Как предотвратить откат USN
Сразу после восстановления всего контроллера домена или его базы данных загрузите восстановленный контроллер домена и нажмите клавишу F8 во время загрузки.
На экране Дополнительные варианты загрузки выберите Режим восстановления служб каталогов и войдите в режим восстановления служб каталогов (DSRM).
Откройте редактор реестра и разверните следующий раздел реестра:
В этом разделе реестра посмотрите, какое значение имеет параметр DSA Previous Restore Count. Если это значение присутствует, запишите его. Не добавляйте этот параметр в случае его отсутствия.
Добавьте в этот раздел реестра следующий параметр:
Тип значения: Значение DWORD (32-разрядное)
Имя параметра: Database restored from backup
Значение параметра: 1
Перезапустите контроллер домена в обычном режиме.
[Необязательно] После перезагрузки контроллера домена откройте приложение просмотра событий, разверните узел Журналы приложений и служб и выберите журнал Службы каталогов. В журнале Службы каталогов найдите последнюю запись для события с идентификатором 1109. Если вы ее найдете, щелкните эту запись дважды, чтобы удостовериться, что атрибут InvocationID изменился. Это значит, что база данных Active Directory обновлена.
Откройте редактор реестра и убедитесь, что значение параметра DSA Previous Restore Count увеличилось на единицу по сравнению со значением в шаге 4. Если в шаге 4 параметр DSA Previous Restore Count отсутствовал, убедитесь в том, что теперь он присутствует и равен 1.
Если вы видите другое значение (и не можете найти запись для события с идентификатором 1109), убедитесь в том, что на восстановленном контроллере домена установлены последние пакеты обновления, и повторите всю процедуру.