Este post ha sido publicado en El Blog de Ncora el 02/03/2016 - http://blog.ncora.com/2016/03/solucion-al-usn-rollback-en-windows.html
Hola de nuevo lectores!!
Hoy os traigo un post donde hablamos del USN Rollback y como podemos evitarlo actualizando nuestros Domain Controllers (Controladores de dominio) a la versión Windows Server 2012 o Windows Server 2012 R2
Introducción
Tenemos una infraestructura virtualizada con VMWare, por lo que podemos aprovechar la característica de snapshots o restauración de backups de VM, permitiéndonos una agilidad a la hora de restaurar muy elevada.
Microsoft no soporta la virtualización de DCs que sean sistema operativo Windows Server 2003, 2003 r2, 2008 o 2008 r2.
El no soporte de virtualización es debido a que si nosotros disponemos de dos servidores DC virtualizados (DC01 y DC02) sería comprensible que para realizar, por ejemplo, una actualización de parches, realicemos un snapshot de DC01 y en el caso que surja algún problema revertir este snapshot para recuperar el estado de nuestro servidor.
Este proceso de revertir el estado de nuestro servidor en el caso de ser un DC caería en la problemática del USN Rollback, lo cual rompería la replicación de AD entre DC01 y DC02, creando problemas de desfase entre los datos de ambos servidores.
Replicación de AD
La replicación de AD funciona de tal modo que cada cambio en alguno de los dos servidores se replica de manera inmediata al otro servidor. Para que ambos servidores no puedan solapar información y mantengan los mismos datos, se genera un código por cada replicación, en el cual se basan ambos servidores para establecer la siguiente replicación.
Problema USN Rollback
Nosotros en el día a día realizamos un snapshot de DC01 y en ese momento el estado de réplica entre ambos DC es de USN200.
Suponemos que todo sigue normal y la replica se sigue haciendo correctamente, pero justo en un momento determinado, estando la réplica en USN350, el DC01 se “rompe” y nosotros realizamos una restauración del último snapshot, también sucede con una recuperación de una copia de seguridad con Veeam B&R o Acronis o Nakivo, etc…
En ese momento nuestro DC01 está intentando replicar contra DC02 son un identificador USN200, pero DC02 tiene el estado de la réplica en USN350, por lo que al existir esta diferencia, la replicación entre ambos servidores queda en error sin poder replicar nunca más.
Solución USN Rollback
Para poder solucionar este problema, deberemos desconectar de la red el servidor DC01, que es el recuperado del snapshot y tiene una versión de AD más vieja. Una vez apagado deberemos realizar una limpieza manual de todos los sitios donde aparece nuestro servidor DC01 para que nuestro AD no siga buscandolo, Usuarios y Equipos de AD, Sitios y Servicios de AD, DNS, etc…
A todos los efectos estaremos eliminando un servidor que ya no puede conectarse contra nuestro AD.
Evitar USN Rollback
Para poder evitar este problema, Microsoft ha lanzado un sistema que controla mediante un identificador ubicado en la configuración de nuestra VM, que mediante las VMWare Tools lo envia a nuestro Windows Server 2012 o 2012 r2, la comprobación de si esa VM se ha restaurado de un snapshot o de un backup.
Esta medida se llama VM GenerationID, para entender el funcionamiento nos situaremos en el ejemplo anterior, en el momento que tenemos nuestro DC01 con un snapshot en el momento de réplica USN200 y nuestro entorno sigue replicando sin problemas situando la réplica en USN350 y en ese momento nuestro DC01 se “rompe”.
Ahora nosotros restauraríamos el DC01 de un snapshot o backup, y en el momento de restaurarse, el VMID cambiaría del valor que tenía, por ejemplo G1, a G2.
Este cambio no afecta en nada a nuestro Windows Server, pero en el momento de lanzar la réplica contra DC02, nuestro DC01 le informará del cambio del VMID por lo que ambos servidores renegociarán la réplica con un nuevo valor USN400 para que ambos puedan empezar la replicación de nuevo, sin entrar en el problema del USN Rollback.
Conclusión
Conociendo esta problemática de los DC en entornos virtuales, solo podemos pensar un una solución viable, la actualización de nuestros DC a Windows Server 2012 o 2012 r2. Con ello tendremos la tranquilidad de poder usar las funciones de plataformas virtuales en nuestros DC sin riesgo a tener problemas de recuperaciones o restauraciones.
Os dejo el link oficial de Technet para ampliar la información - https://technet.microsoft.com/es-es/library/hh831734.aspx
Espero que haya sido útil y si es así compartidlo!!!
Hasta la próxima.