Sign in Subscribe

USN rollback avec Windows 2K8 R2. Replication impossible.

Romain Forlot

2 min read

Qu’est ce qu’un USN ?

le numéro USN permet de contrôler l’état d’une partition AD. A chaque modification dans la base d’AD est faite alors le numéro USN est incrémenté.

Qu’est ce qu’un USN rollback ?

Ce cas se produit typiquement lorsque vous restaurez un contrôleur de domaine ou revenez en arrière avec un snapshot d’une solution de virtu (VMware, HyperV…). Vous revenez en arrière dans le temps et si des modifs ont été faites entre temps sur le serveur restauré alors celui-ci reviendra avec le #USN qu’il avait au moment de la sauvegarde.

Comment repérer un USN rollback ?

Grâce à l’outil repadmin, exécuter la commande suivante sur l’un des contrôleurs de domaine (dc):

C:\ > repadmin /showutdvec dc1 "dc=example,dc=com"
GUID de la mise en cache...
Site1\DC1 @ USN 10 @ temps 2004-08-04 15 : 07 : 15
Site2\DC2 @ USN 24805 @ temps 2004-08-04 15 : 06 : 59
C:\ > repadmin /showutdvec dc2 "dc=example,dc=com"
GUID de la mise en cache...
Site1\DC1 @ USN 50 @ temps 2004-08-04 15 : 07 : 15
Site2\DC2 USN @ 24805 @ temps 2004-08-04 15 : 06 : 59

Ici on peut voir que le dc2 s’attend à un USN de 50 pour le dc1 or celui-ci n’est qu’à 10.

Et pour le réparer ? Comment faire ?

Je n’ai réussi qu’une solution donc je vais vous l’expliquer ici sinon veuillez vous reportez à l’article suivant de la KB MS.

La solution consiste à supprimer le rôle de contrôleur de domaine sur le serveur en retard. Au préalable, il faut dans le cas où le serveur en question possède les rôles de maître RID et autres rôles, les transférer sur un autre serveur. Pour cela, connecter vous sur un serveur et dans une commande Powershell (je préfère PowerShell à la commande DOS classique mais à vous de voir):

C:/> ntdsutil
ntdsutil >> roles
fsmo maintenance >> connections
server connections >> connect to server sane_dc
server connections >> q
fsmo maintenance >> seize role# Effectuer ceci pour chaque rôle que possède le dc avec l'USN erroné
fsmo maintenance >> q
ntdsutil >> q

Ensuite il faut démettre le contrôleur de domaine avec l’outil dcpromo. Suivre l’assistant en prenant . Si la manière classique dcpromo ne fonctionne pas car il ne peut joindre d’autre DC ou autre, utiliser la commande :

C:> dcpromo /forceremoval

Assurez-vous de bien avoir transférer tous ses rôles à d’autres contrôleurs de domaine et confirmer les boîtes de dialogues qui s’ouvriront. Veuillez bien lire chacune d’entre elles et être sûr de ce que vous faites.

Après la suppression du contrôleur de domaine défectueux, il faudra supprimer son enregistrement dans le PDC (et attendre une éventuelle réplication sur d’autre DC sains). Dans le Gestionnaire de serveur :

  • Développer Site et service Active Directory
  • Développer Sites, puis et enfin développer Servers
  • Clic-droit sur le NTDS settings correspondant au mauvais DC et Supprimer
  • Clic-droit sur le serveur défectueux et Supprimer

Une fois fais, vous pourrez réintégrer le contrôleur de domaine supprimer dans le domaine pour en faire de nouveau un contrôleur de domaine.