quattro Compute 10 Geschrieben 22. März 2007 Melden Teilen Geschrieben 22. März 2007 Hallo Leute, wo kann ich erfahren, wie ich die Inkonsistens der ntds.dit am sinnvollsten behebe. Ich habe gelesen, dass man dazu in den Verzeichniswdh. Modus gehen muss, habe aber keine Erfahrung in welcher Reihenfolge man hier am Besten vorgehn sollte und welche Tools hier wie zum Einsatz kommen sollten. Fakt ist, seid ich das Problem (wieder einmal auf einem meiner SBS-Server) habe, kann ich weder ein Passwort ändern, noch einen User neu anlegen. Mir fehlt der Mut hier einfach drauf los zu legen. (bestimmt besser so) Gibt es hier jemanden der mir ein paar Infos dazu geben kann. Ereignis 474 im Verzeichnisdienst; Fehler in der Seitenprüfsumme ... evtl. Hardware defekt Mit HP habe ich bereits gesprochen, die schicken mir einen neuen SATA RAID Controller, weil die der Meinung sind, dass es daran liegen könnte. Ich denke mal nicht, dass damit einfach das Problem behoben ist, oder? Es sind hier 3x250GB SATA Platten, die alle samt neu waren (02/07). Eine weitere spannende Frage für mich ergibt sich, ob man einen Adaptec RAID 2610 SA einfach mal eben gegen einen beugleichen tauscht ohne wohmöglich größere Problem zu bekommen. (Klar Sicherunge soweit möglich werde ich vorher ziehen) Danke, Gruß Bernd :( Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 22. März 2007 Melden Teilen Geschrieben 22. März 2007 Servus, wo kann ich erfahren, wie ich die Inkonsistens der ntds.dit am sinnvollsten behebe. dann führe mit NTDSUTIL eine SEMANTIC DATABASE ANALYSIS durch: Yusuf`s Directory - Blog - Die Active Directory-Datenbank reparieren Ich denke mal nicht, dass damit einfach das Problem behoben ist, oder? Das kommt eben darauf an, aber führe mal die oben genannte Analyse durch. Zitieren Link zu diesem Kommentar
quattro Compute 10 Geschrieben 24. März 2007 Autor Melden Teilen Geschrieben 24. März 2007 Hallo zusammen, heute habe ich den SATA-Raid Controller getauscht, danach den Server wieder hochgefahren und das ging schon deutlich schneller. Im Anschluß habe ich wie von Daim enpfohlen mal das Tool ntdsutil.exe versucht wie bei Yusuf´s Link beschrieben. Hier das Ergebnis: C:\WINDOWS\system32\ntdsutil.exe: files file maintenance: integrity Die Datenbank [Current] wird geöffnet. Befehl wird ausgeführt: C:\WINDOWS\system32\esentutl.exe /g"C:\WINDOWS\NTDS\ntds.dit" /o Initiating INTEGRITY mode... Database: C:\WINDOWS\NTDS\ntds.dit Temp. Database: TEMPINTEG1716.EDB Checking database integrity. Scanning Status (% complete) 0 10 20 30 40 50 60 70 80 90 100 |----|----|----|----|----|----|----|----|----|----| ................................................... Integrity check completed. Database is CORRUPTED! Operation terminated with error -1206 (JET_errDatabaseCorrupted, Non database file or corrupted db) after 1.125 seconds. Erstellter Prozessbeendigungscode 0xfffffb4a(-1206) Es wird empfohlen, eine semantische Datenbank- analyse durchzuführen, wenn die Integrität einwandfrei war. Dadurch wird die semantische Konsistenz gewährleistet. file maintenance: q C:\WINDOWS\system32\ntdsutil.exe: semantic database analysis semantic checker: verbose on Ausführlicher Modus ist aktiviert. semantic checker: go fixup Fixup-Modus: on Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen. Der Vorgang ist abgeschlossen. Die Datenbank [Current] wird geöffnet.......Der Vorgang ist abgeschlossen. Die Anzahl der Datensätze wird abrufen...7291 Einträge Sicherheitsbeschreibungsanzahl wird abgerufen...154 Sicherheitsbeschreibung(en) Die Zusammenfassung wird in die Protokolldatei dsdit.dmp.0 geschrieben. Überprüfte SDs: 154 Einträge gescannt: 7291 Einträge werden verarbeitet..Der Vorgang ist abgeschlossen. semantic checker: Inhalt der Protokolldatei dsdit.dmp.0 ist: WARNING: Deleted object 1471 has timestamp[12/30/9999] later than now WARNING: Deleted object 1477 has timestamp[12/30/9999] later than now Warning SE_DACL_PROTECTED for 1687(VolumeTable) .... WARNING: Deleted object 1917 has timestamp[12/30/9999] later than now WARNING: Deleted object 1929 has timestamp[12/30/9999] later than now Warning SE_DACL_PROTECTED for 3273(Domain Power Users) ....... Warning SE_DACL_PROTECTED for 7682(Sophos_AU_Server) 7291 total records walked. Summary: Active Objects 7270 Phantoms 1 Deleted 20 Security descriptor summary: SD count: 154 Total SD size before single-instancing: 3065 Kb Total SD size after single-instancing: 226 Mehr habe ich noch nicht unternommen, da ich wie schon erwähnt, noch mit dem Server arbeiten kann und ich ungern "eigene,schmerzhafte" Erfahrungen mache. Kann mir jemand einen Tip geben, wie ich nun weiter vorgehen sollte? Danke Gruß Bernd Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 24. März 2007 Melden Teilen Geschrieben 24. März 2007 Servus, lass nun erneut eine Analyse laufen, wie sieht nun das Ergebnis aus, tauchen immer noch Fehler auf ? Falls immer noch Fehler auftauchen, lass noch einmal ein FIXUP laufen. Hast Du noch einen weiteren DC oder ist das der einzigste (was ich vermute) ? Wenn das Dein einzigster DC ist und die Fehler bestehen weiterhin, rate ich Dir den MS-PSS anzurufen. Denn wenn die Active Directory-Datenbank NTDS.DIT weiterhin korrupt ist, solltest Du zügig zu einer Lösung kommen. Weiterhin solltest Du (bei nur einem DC) zusehen, dass Du einen weiteren DC für die Zukunft in die Domäne bringst. Zitieren Link zu diesem Kommentar
quattro Compute 10 Geschrieben 25. März 2007 Autor Melden Teilen Geschrieben 25. März 2007 Hi Daim, Danke für die schnelle Antwort. Es ist der einzige DC da es sich um ein Small Business Server handelt. Soweit wie ich das auch verstanden habe, ist beim SBS auch mit einem Schluß. Ich werde da aber noch mal nachvorschen. Das Problem.... die Kosten für einen weiteren, ich will nicht diskutieren über Sinn und Risiko, mir ist das schon bewußt, ich bin aber nur der Admin..... Ich stimme Dir zu, das Problem muss schnellstens aus dem Weg geräumt werden. Ich mache normalerweise immer Extra-Backups, da ich mir nicht immer sicher bin, dass der Server auch wieder kommt, beim Durchstarten. Egal, ich fahre heute noch mal hin und werde den Test noch einmal laufen lassen. Wenn ich ein Backup vom Systemstate von Mitte März einspiele was habe ich dann für Probleme oder auf was muss ich da achten? Danke Gruß Bernd Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 25. März 2007 Melden Teilen Geschrieben 25. März 2007 Soweit wie ich das auch verstanden habe, ist beim SBS auch mit einem Schluß Nein, Du kannst in einer SBS Domäne weitere DCs haben. Yusuf`s Directory - Blog - Die Besonderheiten eines Small Business Server`s (SBS) Ob Dir ein weiterer DC (bei noch bestehender korrupter NTDS.DIT) etwas bringt, sei mal dahingestellt. Das Problem.... die Kosten für einen weiteren, ich will nicht diskutieren über Sinn und Risiko, mir ist das schon bewußt, ich bin aber nur der Admin..... Dann nimm eine etwas änltere Client-Hardware als weiteren DC. Das muss ja keine Hammer-Maschine sein, sondern nur eine, die Dir die Domäne sichert. Eine ältere Client-Hardware wäre mit viel lieber, als nur einen DC zu haben. Dann gibt es noch Virtual PC. Wenn ich ein Backup vom Systemstate von Mitte März einspiele was habe ich dann für Probleme oder auf was muss ich da achten? Keine Probleme die nicht zu lösen wären, aber das es ein SBS ist und daran etwas mehr hängt, würde ich vorher wirklich den MS-PSS anrufen, da es eben Dein einzigster DC ist und da wäre ich vorsichtig. Nicht das Du am Ende ohne DC da stehst :( Zitieren Link zu diesem Kommentar
quattro Compute 10 Geschrieben 25. März 2007 Autor Melden Teilen Geschrieben 25. März 2007 Hi Daim, Danke für die Hinweise, ich werde sie mir gerne zu Herzen nehmen. Bislang sieht es aber so aus, dass auch der erneute Reperaturversuch nichts an meinem Problem gelöst hat. Ich bin zwar nicht bei Jauch, würde aber nun doch gerne jemanden anrufen: Wo bekomme ich am schnellsten den "richtigen" Draht zu MS-PSS? Bislang habe ich die Jungs dort noch nicht gebraucht. Hast Du vielleicht eine Telefonnummer? Kurz noch mal zum Rücksichern des Februar Backups: Ich fand im Netz, dass die 60 Tage eine Rolle spielen würden, ist bei mir ja dann noch nicht das Problem. Es ist eine kleine Umgebung mit Standardeinstellungen, nichts außergewöhnliches im AD. Kann ich dann einfach (nur mal als Gedanke, ich will vorher schon mit MS-PSS telefonieren) das Systemstate Backup einspielen und dann den Server neustarten. Alles was ich im Netz dazu fand war die Geschichte mit mehr als einem DC aber nicht nur ein SBS? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 25. März 2007 Melden Teilen Geschrieben 25. März 2007 Wo bekomme ich am schnellsten den "richtigen" Draht zu MS-PSS? Bislang habe ich die Jungs dort noch nicht gebraucht. Hast Du vielleicht eine Telefonnummer? Versuche es hier: Microsoft Hilfe und Support Ich fand im Netz, dass die 60 Tage eine Rolle spielen würden, ist bei mir ja dann noch nicht das Problem. Ja, die Rede ist von der Tombstone Lifetime. Mit dem SP1 für Windows Server 2003 wurde dieser auf 180 Tage erweitert. Diese greifen allerdings nur, wenn der allererste DC einer Gesamtstruktur damit installiert wurde oder das dementsprechende Attribut bearbeitet wurde. Das Geheimnis der Tombstone Lifetime - faq-o-matic.net Kann ich dann einfach (nur mal als Gedanke, ich will vorher schon mit MS-PSS telefonieren) das Systemstate Backup einspielen und dann den Server neustarten. Im Prinzip schon. Bei einem DC ist das ganze auch nicht so kritisch wie mit mehreren DCs. Allerdings ist es trotzdem gewagt, denn wer sagt Dir das die gesicherte NTDS.DIT das Du mit der System State gesichert hast, nicht ebenfalls korrupt ist ? Dir ist die korrupte Datei nur jetzt bei dem Ausfall des RAIDs ausgefallen, aber vielleicht hatte die AD-DB schon vorher einen Schaden. Daher kann ich Dir nur wärmstens ans Herz legen, rufe auf alle Fälle den PSS an. Wenn Du weitere DCs hättest, dann wäre es kein Problem. Dann würdest Du diesen herunterstufen und erneut zum DC promoten. Da nur ein DC/SBS existiert, hängt daran Deine Domäne. Noch hast Du eine und es besteht durchaus Hoffnung diese wieder zu "reparieren". Also bitte keine überstürtzten Schritte vornehmen. Zitieren Link zu diesem Kommentar
quattro Compute 10 Geschrieben 25. März 2007 Autor Melden Teilen Geschrieben 25. März 2007 Hi, Danke, mir ist die "Gesamtsitution" schon bewußt, ich werde nicht leichtfertig mein Glück versuchen. Ich werde morgen mal da anrufen und hören, was die dazu meinen. Gruß Bernd Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 25. März 2007 Melden Teilen Geschrieben 25. März 2007 Das Ergebnis und die Lösung würde mich interessieren :-) Zitieren Link zu diesem Kommentar
quattro Compute 10 Geschrieben 25. März 2007 Autor Melden Teilen Geschrieben 25. März 2007 Klar, mache ich gerne. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.