Jump to content

Notfall mit AD Restore Mode Passwort


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute!

 

Ich bin echt scho am verzweifeln...

 

Lage:

Exchange 2003 ist auch Domaincontroller und die Datenbank hat sich verabschiedet.

Habe nun ein Backup zurückgespielt und stehe nun vor der Tatsache dass das Passwort für den Restore Mode nicht bekannt ist.

Ich steh vor der Anmeldemaske und komm nicht rein.

 

Habe erstmal versucht mittels ntdsutil das Passwort zurückzusetzen, aber außer einer Fehlermeldung gibts nix.

 

Mit dem Offline Passwort Recovery Tool bin ich auch erfolglos, es kann die Partition nicht mounten.

 

Und sonst geht nichts, da der DC gleich wieder runterfährt wenn man nicht im Restore Mode hochfährt, da das AD erst repariert werden muß.

 

Kann mir da noch jemand einen Tipp geben?

 

Wäre sehr sehr dankbar für rasche Hilfe!

Hat niemand einen Rat??

:confused:

Weiß jemand weiter?

Link zu diesem Kommentar

Hola,

 

Ich bin echt scho am verzweifeln...

 

immer locker bleiben (im Ernst).

 

 

Exchange 2003 ist auch Domaincontroller

 

Ein Exchange auf einem DC wird z.B. auch aus genau deinem Problem heraus, seitens Microsoft nicht empfohlen. Es wird aber supportet.

 

 

und die Datenbank hat sich verabschiedet.

 

Welche Datenbank? Die AD (NTDS.dit)? Und was bitte bedeutet "verabschiedet"? Macht die DB gerade eine Rundreise oder wie? :p

 

 

Habe nun ein Backup zurückgespielt

 

Welches Backup? Das System State?

 

 

und stehe nun vor der Tatsache dass das Passwort für den Restore Mode nicht bekannt ist.

 

Das ist natürlich mehr als ungünstig.

 

 

Habe erstmal versucht mittels ntdsutil das Passwort zurückzusetzen, aber außer einer Fehlermeldung gibts nix.

 

Welche Fehlermeldung erhälst du beim zurücksetzen des DSRM-Kennworts?

Unter Windows Server 2003 lautet der Befehl: set dsrm password

How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server 2003

 

Oder mit SETPWD:

How to Change the Recovery Console Administrator Password on a Domain Controller

 

 

Und sonst geht nichts, da der DC gleich wieder runterfährt wenn man nicht im Restore Mode hochfährt, da das AD erst repariert werden muß.

 

Wieso muss erst das AD repariert werden? Wenn du eine System State Sicherung rücksicherst, muss anschließend nichts noch zusätzlich repariert werden. Für was sichert man dann die Sicherung zurück?

 

 

Erläutere bitte detaillierter deine Situation.

Link zu diesem Kommentar

Hi!

 

Also erstmal danke für deine beruhigenden Worte ;-)

 

Ja, die NTDS.dit ist defekt.

 

Also ich habe mit Acronis die C Partition zurückgesichert, die beinhaltet auch das AD.

Die Fehlermeldung beim hochfahren lautet in der kurzversion so:

Sicherheitskontenverwaltung nicht initialisiert da der Verzeichnisdienst nicht gestartet werden konnte. OK um Neuzustarten und in den Restoremodus zu wechseln.

 

Nachdem ich nun in diesen Modus gewechselt hatte, wollte ich mit ntdsutil und Reset Password on server \\sowieso das Passwort rücksetzen, wobei ich die Fehlermeldung Zugriff verweigert bekam.

Beim Versuch ein leeres PW zu erstellen kam zwar keine Fehlermeldung, funktioniert hat es aber auch nicht....

 

Ich werde mich in Rudi Ratlos umtaufen lassen..

Ach ja, die setpwd Möglichkeit hab ich nicht. Dürfte eben nur auf w2k funktionieren.

Link zu diesem Kommentar
Ja, die NTDS.dit ist defekt.

 

Unschön. Existieren noch weitere DCs (lass mich raten, nein)?

 

Also ich habe mit Acronis die C Partition zurückgesichert, die beinhaltet auch das AD.

 

Eieieii... du hast nicht zurückgesichert, sondern zurückgeimaget. Ein kleiner aber feiner (und wesentlicher) Unterschied. Wie ich dieses Thema Imaging liebe... :rolleyes:

 

 

Die Fehlermeldung beim hochfahren lautet in der kurzversion so:

Sicherheitskontenverwaltung nicht initialisiert da der Verzeichnisdienst nicht gestartet werden konnte. OK um Neuzustarten und in den Restoremodus zu wechseln.

 

Nicht gut.

 

 

Nachdem ich nun in diesen Modus gewechselt hatte, wollte ich mit ntdsutil und Reset Password on server \\sowieso das Passwort rücksetzen, wobei ich die Fehlermeldung Zugriff verweigert bekam.

 

Wenn du das Kennwort vom DSRM (Directory Services Restore Mode) resetten möchtest, was du im Übrigen nur online durchführen kannst, dass Kennwort also nicht kennst, wie um Himmels Willen konntest du dich dann anmelden?

 

Du sprichst weiterhin für mich in Rätseln. :(

Link zu diesem Kommentar

Ach ja, ich bin ein wenig cryptisch... Die Hektik. :-)

 

Ja, wir haben einen 2. DC und von dem aus habe ich set dsrm ausgeführt.

 

Hast du eine Idee?

Komisch ist dass ich zwar shutdown -m \\sowieso durchführen darf, aber set dsrm nicht...

Ok, ein Schritt ist mal getan.

Habe mit psexec eine cmd auf dem betreffenden Server starten können und mit 'net user administrator *' das Passwort leeren können.

Es war zwar ein wenig buggy das Ganze, da ich kein Passwort eingeben konnte, da Enter anscheinend "selbsttätig" gedrückt wurde, aber Hauptsache es hat funktioniert. :)

 

Juhuu!

 

Der Rest wird hoffe ich auch irgendwie gehen!

 

Wirklich sehr praktisch dieses psexec!

 

Solltet ihr euch mal anschauen falls ihr es noch nicht kennt!!

Link zu diesem Kommentar
Hast du eine Idee?

 

Das wird schwierig, denn um das zurücksetzen des Kennworts für den DSRM muss der entsprechende DC natürlich online und erreichbar sein.

 

Die Vorgehensweise wäre dann wie folgt:

 

1. Auf einem anderen DC gehst du auf START-AUSFÜHREN und rufst NTDSUTIL auf.

2. Danach gibst du diesen Befehl ein: set dsrm password

3. Als nächstes folgt dieser Befehl: reset password on server <FQDN-des DCs>

4. Mit "q" (zweimal) verlässt du NTDSUTIL.

Link zu diesem Kommentar
Das wird schwierig, denn um das zurücksetzen des Kennworts für den DSRM muss der entsprechende DC natürlich online und erreichbar sein.

 

Die Vorgehensweise wäre dann wie folgt:

 

1. Auf einem anderen DC gehst du auf START-AUSFÜHREN und rufst NTDSUTIL auf.

2. Danach gibst du diesen Befehl ein: set dsrm password

3. Als nächstes folgt dieser Befehl: reset password on server <FQDN-des DCs>

4. Mit "q" (zweimal) verlässt du NTDSUTIL.

 

Ich werf mal die Frage nach einen aktuellen Systemstate Backup des Exchangeservers in die Runde. Denn das ist zwar sicherlich mit mehr Arbeit verbunden, aber dafür wenigstens sauber.

 

Bye

Norbert

Link zu diesem Kommentar

Hi Leute!

 

Anscheinend bin ich auch zu dumm um einen neuen Eintrag hier zu erstellen wenn der letzte Eintrag von mir ist.....:cry:

 

Wie ich schon geschrieben habe, das Passwortproblem habe ich gelöst, hätte ich ja fast nicht mehr daran geglaubt.

 

Nun sieht es leider so aus, dass sich das AD nicht reparieren läßt.

 

Ich habe alles mit ntdsutil probiert was mir einfällt, habe folgende Seite abgearbeitet --> "Directory Services cannot start" error message when you start your Windows-based or SBS-based domain controller

 

Die Offlinedefragmentierung wird auch abgebrochen.

Die Datenbank muß dermaßen kaputt sein dass gar nichts mehr mit ihr geht.

 

Wenn dem so ist wird empfohlen den DC depromoten, was ich aber nicht kann, da im abgesicherten Modus nichts zu machen ist, und normal Anmelden kann ich mich nicht.

 

Sieht so aus als wäre das echt ein Riesenproblem hier.

 

Sicherungen gibt es nur von Acronis. Leider!

 

Was nun?

Link zu diesem Kommentar
Hi Leute!

 

Anscheinend bin ich auch zu dumm um einen neuen Eintrag hier zu erstellen wenn der letzte Eintrag von mir ist.....:cry:

 

Wie ich schon geschrieben habe, das Passwortproblem habe ich gelöst, hätte ich ja fast nicht mehr daran geglaubt.

 

Nun sieht es leider so aus, dass sich das AD nicht reparieren läßt.

 

Ich habe alles mit ntdsutil probiert was mir einfällt, habe folgende Seite abgearbeitet --> "Directory Services cannot start" error message when you start your Windows-based or SBS-based domain controller

 

Die Offlinedefragmentierung wird auch abgebrochen.

Die Datenbank muß dermaßen kaputt sein dass gar nichts mehr mit ihr geht.

 

Wenn dem so ist wird empfohlen den DC depromoten, was ich aber nicht kann, da im abgesicherten Modus nichts zu machen ist, und normal Anmelden kann ich mich nicht.

 

Sieht so aus als wäre das echt ein Riesenproblem hier.

 

Sicherungen gibt es nur von Acronis. Leider!

 

Was nun?

 

Du hast nur einen DC und auf dem ist auch Exchange installiert, soweit richtig? Und beides hast du nur als Acronis Image gesichert?

 

Bye

Norbert

Link zu diesem Kommentar
Du hast nur einen DC und auf dem ist auch Exchange installiert, soweit richtig? Und beides hast du nur als Acronis Image gesichert?

 

Bye

Norbert

Nein, es ist auch noch ein zweiter DC da, siehe Beitrag #5.

 

Aber nur mit Acronis gesichert, und das IMage funktioniert nicht, das sieht schlecht aus.

Als erstes würde ich die Supportnummer von Acronis raussuchen und dort fragen (wird nichts bringen).

Den DC kannst du nicht demoten, wie berichtet technisch nicht, und weil Exchange drauf (klar beim SBS) auch nicht von Microsoft supportet.

Sieht bis jetzt nach einem Neuaufsetzen aus.

 

Kannst du Festplattenfehler ausschließen?

Welche Fehlermeldungen stehen denn im Log bzw. kommen genau?

 

 

grizzly999

Link zu diesem Kommentar
Nein, es ist auch noch ein zweiter DC da, siehe Beitrag #5.

 

Ah ok.

 

Aber nur mit Acronis gesichert, und das IMage funktioniert nicht, das sieht schlecht aus.

 

Hmm. Ich würde mir jetzt die Mühe machen den SBS (Exchange/DC) plattzumachen. Das Acronisbackup nutzt immerhin noch für Ontrack Powercontrols. Kostet Geld, dürfte aber sicher auch die praktischste Lösung sein. Hinterher den SBS (Exchange/DC) wieder neu in das bereits bestehende AD integrieren und die Daten mit Ontrack wieder einspielen.

Dann für ein korrektes Backup meiner Daten sorgen.

 

Sieht bis jetzt nach einem Neuaufsetzen aus.

 

ACK.

 

Bye

Norbert

Link zu diesem Kommentar

Wobei es aber immer noch nicht ganz klar ist, ob es sich hierbei tatsächlich um einen SBS handelt. Bisher hat der OP lediglich einen Link der zwar für einen SBS gedacht ist gepostet, aber die Vorgehensweise in dem KB-Artikel zum Überprüfen der AD-DB wie auf jedem anderen (normalen) DC identisch ist.

 

Das ändert aber natürlich nichts an der Tatsache, dass hier der DC neu aufgesetzt werden muss.

Link zu diesem Kommentar
Du hast nur einen DC und auf dem ist auch Exchange installiert, soweit richtig? Und beides hast du nur als Acronis Image gesichert?

 

Bye

Norbert

 

 

 

Nein, weiter oben hab ich ja schon geschrieben dass ich 2 DC habe, vom Anderen aus konnte ich ja mit psexec eine cmd auf dem betreffenden Server starten und mit 'net user administrator *' das Passwort leeren.

 

Es ist zwar Backupexec in Verwendung, aber die Systempartitionen selbst werden nur mehr mit Acronis gesichert.

 

Eine Frage, wenn ich Punkt 15 von meinem Link ausführe, also 'esentutl /p' werden die gelöschten Objekte dann repliziert, also auch auf anderen DCs gelöscht?

 

Oder weiß jemand wie ich die Datenbank von einem anderen DC rüberbekomme ohne dass AD läuft?

Wobei es aber immer noch nicht ganz klar ist, ob es sich hierbei tatsächlich um einen SBS handelt.

 

 

Nein, es handelt sich nicht um einen SBS.

 

Und vom Neuaufsetzen will ich nichts hören! :D

 

Mal sehen....

Link zu diesem Kommentar
Es ist zwar Backupexec in Verwendung, aber die Systempartitionen selbst werden nur mehr mit Acronis gesichert.

 

Weil man in BackupExec ja nicht einfach den Systemstatus mit anhaken kann. :rolleyes: Warum kommen solche Infos eigentlich jetzt erst? Existiert also ein Exchangebackup mit Backup Excec welches kein Bricklevel/Mapi Backup darstellt, sondern ein ESE Backup?

 

Oder weiß jemand wie ich die Datenbank von einem anderen DC rüberbekomme ohne dass AD läuft?

 

Wenn ich das lese wird mir übel.

 

Nein, es handelt sich nicht um einen SBS.

 

Und vom Neuaufsetzen will ich nichts hören! :D

 

OK, ich klink mich dann mal aus.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...