我有 6 个 Windows 2008 R2 域控制器,都是 GC,分布在多个位置(2+2+2)。
在我的主站点上,我有一个几个月前完成的 DC 克隆,通常与网络完全隔离。今天早上我犯了一个错误,不小心将此克隆链接到我的标准网络。(永远不要在未选择正确 VM 的情况下右键单击编辑设置)我将其连接了 25 分钟,直到我注意到了这个问题。我dcdiag
在另一个站点上运行,没有通知任何特定问题。
我需要帮助,看看我是否遇到了大麻烦,正如 Microsoft 支持文章所述如何检测 USN 回滚并从中恢复。我不太明白。
这是输出repadmin
:这是我今天早上启动的 DC1 的克隆。
C:\Users\admin>repadmin /showutdvec DC1 dc=mydomain,dc=local
Caching GUIDs.
..
mainsite\DC2 @ USN 28895532 @ Time 2014-02-26 12:41:58
mainsite\DC1 @ USN 202723681 @ Time 2014-02-26 12:42:29
C:\Users\admin>repadmin /showutdvec DC2 dc=mydomain,dc=local
Caching GUIDs.
..
mainsite\DC2 @ USN 28895538 @ Time 2014-02-26 12:42:30
mainsite\DC1 @ USN 202723672 @ Time 2014-02-26 12:42:11
如我所见,我有:
- DC2:DC1 的 usn 值:202723672
- DC1:DC1 的 usn 值:202723681
因为 202723681 大于 202723672,所以可以吗?
为了确保复制正确,我做了以下测试:
测试 1
- 阻止来自我的计算机的除 DC1 之外的所有流量。
- 修改我的密码
- 尝试在另一台计算机上使用此新密码进行身份验证 --> 确定
测试 2
- 阻止来自我的计算机的所有流量(除 DC2 之外)
- 修改我的密码
- 尝试在另一台计算机上使用此新密码进行身份验证 --> 确定
这些测试结果相关吗?
答案1
你的措辞可能更清楚一些,但假设你repadmin /showutdvec
在实际的 DC1(而不是它的克隆)上运行,这些结果表明你大概有不是遭受了美国海军的回击。
从您链接的文章中(强调添加):
检测 USN 回滚的一种方法是使用 Windows Server 版本的 Repadmin.exe 运行 repadmin
/showutdvec command
。此版本的 Repadmin.exe 显示复制通用命名上下文的所有域控制器的最新向量 USN。要检测 USN 回滚,请将repadmin /showutdvec
域控制器上的命令输出与域控制器的复制伙伴上的相同命令的输出进行比较。如果直接复制伙伴的域控制器的 USN 编号高于域控制器自身的 USN 编号,并且该repadmin /showreps
命令未报告直接复制伙伴之间的复制错误,则您有令人信服的 USN 回滚证据。
DC1 自身的 USN 编号高于 DC2 的 USN 编号,因此这并不表示存在 USN 回滚情况。
为了安全起见,对所有复制伙伴(DC 3、4、5 和 6)运行相同的测试,但看起来您联机的 DC1 克隆要么被拒绝作为复制伙伴,要么 IP 冲突情况阻止了复制。