Jump to content
Sign in to follow this  
HinnrichT

AD entfernen, wenn Normalstart nicht geht

Recommended Posts

Hallo Leute!

 

Folgende Situation: Ein Kunde von uns hat zwei Firmenstandorte. Am Hauptsitz läuft ein SBS 2k3R2, am Außensitz ein 2k3R2 Standard. Beide sind (waren) DCs für ein und dieselbe Domäne.

Nun hatte der Server am Außensitz einen irreparablen Defekt und ich musste ihn neu aufsetzen (neuer Name, neue IP).

 

Es war mir möglich, den neuen Server zum Mitglied der Domäne zu machen. Danach wollte ich ihn per dcpromo zum DC heraufstufen. Der Vorgang lief auch durch ohne irgendwelche Fehlermeldungen. Abschließend wollte der Server nur noch den obligatorischen Neustart. Aber bei dem kam dann folgende Fehlermeldung:

 

LSASS.EXE - Systemfehler. Die Sicherheitskontenverwaltung konnte nicht initialisiert werden, da folgender Fehler aufgetreten ist: Der Verzeichnisdienst kann nicht gestartet werden. Fehlerstatus: 0xc00002e1.

 

Klicken Sie auf "OK", um das System herunterzufahren, und wählen Sie beim nächsten Neustart "Verzeichnisdienste wiederherstellen". Weitere Informationen finden Sie im Ereignisprotokoll.

 

Im Modus "Verzeichnisdienst wiederherstellen" lässt er sich starten. Im Normalmodus kommt er nicht mal bis zum Anmeldebildschirm. Laut MS-KB soll man bei dem Fehler AD entfernen, das geht ja aber nur im Normalmodus.

 

Vor dem nochmaligen neu Aufsetzen sträube ich mich noch, da der Kunde bissl weit weg ist von uns. Hat vllt. jemand Erfahrung mit folgendem Weg?

 

[...] Und schließlich der "harte Weg", das AD zu entfernen. Achtung: Einsatz auf eigene Gefahr! Hierfür gibt es keinen Support!

Man ändere in der Registry des zu deinstallierenden DC folgenden Schlüssel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions]

Wert alt: "ProductType"="LanmanNT"

Wert neu: "ProductType"="ServerNT"

Neu starten

Den NTDS-Ordner im Dateisystem löschen [...]

 

Quelle: faq-o-matic.net » Wie kann ich Active Directory von einem DC gewaltsam entfernen?

 

Mir ist v.a. unerklärlich, wie es überhaupt zu dem Fehler kommen konnte. Kann es an der Standortverknüpfung liegen? Die Verknüpfung läuft über ne Router-Router-Kopplung per VPN. Internet kommt auf beiden Seiten per UMTS zustande. Signalstärke ist oft nicht gut (~ -90dBm).

 

Außerdem hatt ich vor dem dcpromo keine Metadatenbereinigung am SBS durchgeführt. Dürfte ja aber auch nicht die Ursache sein, oder? Schließlich kam es zu keiner Fehlermeldung bis zum Neustart.

 

Vielen Dank für jede Hilfe.

Share this post


Link to post
Share on other sites

Moin,

 

für mich klingt das nach einem Hardwarefehler. Die Logik des AD kann nicht die Ursache für das Problem sein, also muss sie im lokalen Betriebssystem oder in der Hardware liegen.

 

Aus dem Grund würde ich nicht den "harten Weg" nehmen, sondern die HW prüfen und den Server neu aufsetzen. Die DC-Metadaten sollte man natürlich auf jeden Fall bereinigen.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Vielen Dank für die vor allem so schnelle Antwort!

 

Nen Hardwaredefekt würde ich nicht ausschließen, aber momentan noch hinten anstellen. Der ursprüngliche Defekt des vorigen Servers kam durch eine defekte HDD, wodurch die Spiegelung (Software RAID - bitte keine Diskussion, warum kein Hardware RAID) inkonsistent wurde.

 

Aber die aktuellen Platten hatte ich vor dem neu Aufsetzen getestet.

 

Vielleicht könntest Du mir noch 2 Fragen beantworten:

 

1. Kann es zu dem beschriebenen aktuellen Fehler kommen, wenn zum Zeitpunkt des DCPROMO die Spiegelung inkonsistent ist?

 

2. Was wäre die Konsequenz aus dem "harten Weg", außer daß er weder sehr elegant ist noch supportet wird? Hätte er irgendwelche fatalen Folgen für das AD? Daß ne Bereinigung nötig wird, ist klar.

Share this post


Link to post
Share on other sites

Moin,

 

1. Kann es zu dem beschriebenen aktuellen Fehler kommen, wenn zum Zeitpunkt des DCPROMO die Spiegelung inkonsistent ist?

 

natürlich. Ein generischer Fehler der Art "kann Dienst XY nicht starten" kann selbstverständlich durch Platten- bzw. IO-Probleme verursacht werden.

 

2. Was wäre die Konsequenz aus dem "harten Weg", außer daß er weder sehr elegant ist noch supportet wird? Hätte er irgendwelche fatalen Folgen für das AD? Daß ne Bereinigung nötig wird, ist klar.

 

Für das AD ist das folgenlos, das interessiert sich dafür nicht. Ich würde der Maschine aber nicht trauen, wenn sie mal eben Daten zerstört hat. Das liegt mit Sicherheit nicht am AD, sodass das Problem durch das Entfernen des AD auch nicht verschwinden wird.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Ok, ich danke Dir für die Hilfe/Hinweise.

 

Habe nun Punkt 2 (den "harten Weg") zunächst gewählt und nun konnte ich zumindest wieder ins System. Habe NTDS gelöscht und das AD/DNS am SBS bereinigt.

 

Gerade hab ich das "Problemkind" erneut in die Domäne aufgenommen.

 

Danach lass ich DCPROMO nochmal auf den los. Sollte es erneut scheitern, sehe ich die These "Hardwareproblem" als gesichert ;)

 

Vielen Dank nochmals!

Share this post


Link to post
Share on other sites

So, ich will nochmal schildern, wie sich das Ganze weiter entwickelt hatte.

 

Obwohl ich besagten Server aus DNS und AD entfernt hatte und ihm vor der erneuten Aufnahme in die Domäne einen neuen Namen verpasst hatte, konnte ich mich zunächst nicht auf dem Server an der Domäne anmelden. Er hatte irgendein Problem mit der SID. Kann mir nicht erklären, wieso, denn die müsste meiner Meinung nach ja mit Änderung des Namens neu vergeben werden.

 

Nach Benutzung von "newSID" ging auch das dann.

 

Danach habe ich DCPROMO nochmal gestartet. Wieder lief die Installation etc. ohne Probleme durch. Nach dem Neustart kam exakt derselbe Fehler wie beim ersten Mal.

Für mich spricht das nun wieder gegen einen Hardwaredefekt, aber das ist jetzt egal. Der Server wird nun neu aufgesetzt.

 

Vielen Dank für die Unterstützung!

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...