Vorgehen bei defekter NTDS.dit

[AndiH 10]

Hallo Zusammen,

habe einen DC, der seit gestern nicht mehr hochfahren kann (Verzeichnisdienst kann nicht gestartet werden). Habe schon ntdsutil und esentutl zum reparieren versucht, leider ohne Erfolg. Habe mir jetzt Folgendes überlegt, da das Backup unbrauchbar ist:

 

1. NTDS.dit vom 2. DC kopieren und defekte NTDS.dit ersetzen.

2. DC vom Netzwerk nehmen und dann mit dcpromo das AD komplett entfernen.

3. In der produktiven Umgebung alle hinweise auf den defekten DC löschen

4. DC wieder ins Netz nehmen und mit dcpromo wieder ins AD aufnehmen.

 

Meint ihr das funktioniert und ich komme ums neu aufsetzen rum so???

 

 

Grüße

Andi

[LukasB 10]

Die ntds.dit geht nicht "einfach so" kaputt. Du hast wahrscheinlich ein tieferliegendes Problem:

 

* Memory (ECC?) (wahrscheinlichsten)

* Disk Controller / Disks / Treiber

* Mainboard / CPU (am wenigsten wahrscheinlich)

 

Find erst heraus wieso das ganze kaputtging bevor du dich ans flicken machst - ansonsten hast du in zwei Wochen wieder dasselbe Problem.

 

Dein vorgehen kann klappen - muss aber nicht. Die Frage ist ob das demoten mit dcpromo klappt. Ich würde die Kiste auf jeden Fall Plätten - bei einem DC ist das ja trivial.

[AndiH 10]

Ich habe das neuste Update für den WSUS draufgespielt, wollte ihn dann booten und er ist nicht mehr hochgekommen. Hatte vorher eigentlich keine Probleme mit dem Rechner gehabt und auch keine Fehler in den Logs gefunden.

 

Welche Tools würdest du für nen Memorytest verwenden?

[LukasB 10]

Ich habe das neuste Update für den WSUS draufgespielt, wollte ihn dann booten und er ist nicht mehr hochgekommen. Hatte vorher eigentlich keine Probleme mit dem Rechner gehabt und auch keine Fehler in den Logs gefunden.

 

Welche Tools würdest du für nen Memorytest verwenden?

 

Memtest86.com - Memory Diagnostic

[bits 10]

Ich tendiere auf einen HD Fehler oder Dateisystem Korruption. Mal Checkdisk ausführen..

[olc 18]

Hallo Andi,

 

wie LukasB schon geschrieben hat, solltest Du vor den weiteren Aktionen zumindest prüfen, woran der Defekt lag. Ob es dann wirklich der Speicher ist, defekte HDDs / RAID-Sets oder Treiberprobleme etc. pp. läßt sich sicherlich herausfinden. Was für Hardware ist der Server? Namenhafter Hersteller? Falls ja, bringen die Hersteller meist Diagnosesoftware mit.

 

Ansonsten ist Dein Vorgehen außer Punkt 1(!) korrekt.

 

In groben Schritten würde ich wahrscheinlich so vorgehen:

 

1. Ist der andere DC voll funktionstüchtig? Unbedingt prüfen.
    
   
2. Prüfen, ob irgendwelche Abhängigkeiten vom defekten DC existieren (DNS, DHCP, WINS, LDAP, FSMO Rollen, GC etc.) und ggf. auf den anderen DC umziehen.
    
   
3. Defekten DC mittels DCPROMO /FORCEREMOVAL entfernen.
    
   
4. Metadata Cleanup für den defekten DC durchführen: How to remove data in Active Directory after an unsuccessful domain controller demotion
    
   
5. Erneutes DCPROMO des (dann hoffentlich nicht mehr defekten ;) ) DCs.
   

 

Ggf. solltest Du auch prüfen, ob das Betriebssystem des defekten DCs ein Problem hat - dann wäre eine Neuinstallation vor dem DCPROMO sinnvoll.

 

Viele Grüße

olc

[AndiH 10]

Werde morgen mal die Hardware durchtesten und schaun ob ich was finde. Was mir gerade eingefallen ist: Vor ca 2 Wochen ist die USV ausgefallen und der Server dadurch "hart" ausgeschalten worden. Hatte da aber keine Probleme gefunden....

[olc 18]

...dann hast Du mit hoher Wahrscheinlichkeit die Ursache für das Problem gefunden. ;)

 

Sind im SYSTEM-Eventlog unter Umständen auch NTFS Fehler zu finden?

 

Wenn Du es wirklich sauber geradebiegen möchtest, solltest Du die HDDs / RAID-Sets Low Level formatieren und das Betriebssystem vor Schritt 5 des Posts oben neu aufsetzen.

 

Viele Grüße

olc

[AndiH 10]

Hallo olc,

was meinst du oben damit, das Schritt 1 nicht korrekt ist? Ohne eine funktionierende NTDS.dit kann ich den Server nicht normal booten und auch keinen dcpromo /forceremoval machen... geht im abgesicherten Modus leider nicht.

[olc 18]

Hallo Andi,

 

das ist ein berechtigter Einwand. :D

 

Die Datenbank zu kopieren kann jedoch nicht funktionieren, daher der Hinweis. Du hättest den gleichen Effekt wie im Moment.

 

Solltest Du Dich für die Neuinstallation entscheiden, stellt sich die Frage des DCPROMO /FORCEREMOVAL weiterhin nicht mehr. :)

 

Möchtest Du den Server doch zumindest irgendwie wieder hinbekommen, kannst du folgendes Vorgehen wählen (siehe Vorgehen im unteren Drittel des Artikels): Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

 

Ich würde jedoch trotzdem empfehlen, den DC (ggf. danach) neu zu installieren und vorher ein Low Level Format der HDDs zu machen.

 

Viele Grüße

olc

[AndiH 10]

Also die Anleitung ist gut beschrieben, aber du hast schon recht mit dem neu aufsetzen. Ausser als DC verwende ich diesen Server nur als SQL Server und WSUS Server. Sollte also schnell aufgesetzt sein. LowLevel seh ich 2 Probleme: Dauert wohl sehr lange, sind 400GB Platten. Und ich hätte gerne die Datenpartitionen so behalten wie sie sind, dann müßte ich nur die Freigaben neu hinterlegen....

[olc 18]

..."nur" ist gut gesagt. Im besten Fall ist der DC ein DC. ;)

 

Aber klar, das läßt sich halt ab und an nicht anders regeln, besonders in kleineren Umgebungen - auch wenn es nicht optimal ist.

 

Du mußt natürlich kein LL Format machen - wenn es "nur" die NTDS.DIT erwischt hat, ist es ein logischer Fehler der Datenbank, kein Fehler im Dateisystem oder auf Harddisk Ebene. Oftmals ist das jedoch nicht so einfach einzugrenzen - daher würde ich in den meisten Fällen auf "Nummer sicher" gehen. Schlichtweg um späteren Problemen vorzubeugen.

 

Wie oben schon angesprochen: Sollte es vom Serverhersteller entsprechende Tools geben, kannst Du die Hardware ja einmal checken. Ansonsten gibt es auch Dritthersteller, die solche Tools bieten. Der Erfahrung nach schneiden die Hersteller Ihre eigene Software natürlich besser auf Ihre Geräte zu, als es Dritthersteller können.

 

Viele Grüße

olc

[AndiH 10]

Hallo Zusammen,

wollte mich zuerst mal für die wirklich tolle und fachliche Unterstützung hier bedanken, vor allem an olc.

 

Hab es gestern so probiert wie es in der Anleitung von olc beschrieben ist, nachdem ich Memory und Platten geprüft hatte. Hat ohne Probleme geklappt und der DC läuft wieder. Ein Punkt in der Anleitung hat mich verwirrt gehabt, der CNAME Eintrag in DNS war schon gelöscht - wird anscheineind von ntdsutil mit entfernt.

 

Ob ichs nochmals so machen würde? Kommt immer drauf an was auf dem Server noch läuft, aber beim nächsten Mal würde ich wohl eine Neuinstallation bevorzugen.

 

Grüße

Andi

[olc 18]

Hallo Andi,

 

das ist doch einmal ein klasse Feedback. Schön, daß alles gut geklappt hat. :)

 

In der Tat erledigt ntdsutil ab der SP1 Version für Windows Server 2003 einiges gleich mit - so auch das Aufräumen der DNS Einträge. Funktioniert leider nicht immer 100%ig, zumindest jedoch meistens recht gut. Überprüfen schadet daher nichts. ;)

 

Viele Grüße

olc