AD entfernen, wenn Normalstart nicht geht

[HinnrichT 10]

Hallo Leute!

 

Folgende Situation: Ein Kunde von uns hat zwei Firmenstandorte. Am Hauptsitz läuft ein SBS 2k3R2, am Außensitz ein 2k3R2 Standard. Beide sind (waren) DCs für ein und dieselbe Domäne.

Nun hatte der Server am Außensitz einen irreparablen Defekt und ich musste ihn neu aufsetzen (neuer Name, neue IP).

 

Es war mir möglich, den neuen Server zum Mitglied der Domäne zu machen. Danach wollte ich ihn per dcpromo zum DC heraufstufen. Der Vorgang lief auch durch ohne irgendwelche Fehlermeldungen. Abschließend wollte der Server nur noch den obligatorischen Neustart. Aber bei dem kam dann folgende Fehlermeldung:

 

LSASS.EXE - Systemfehler. Die Sicherheitskontenverwaltung konnte nicht initialisiert werden, da folgender Fehler aufgetreten ist: Der Verzeichnisdienst kann nicht gestartet werden. Fehlerstatus: 0xc00002e1.

 

Klicken Sie auf "OK", um das System herunterzufahren, und wählen Sie beim nächsten Neustart "Verzeichnisdienste wiederherstellen". Weitere Informationen finden Sie im Ereignisprotokoll.

 

Im Modus "Verzeichnisdienst wiederherstellen" lässt er sich starten. Im Normalmodus kommt er nicht mal bis zum Anmeldebildschirm. Laut MS-KB soll man bei dem Fehler AD entfernen, das geht ja aber nur im Normalmodus.

 

Vor dem nochmaligen neu Aufsetzen sträube ich mich noch, da der Kunde bissl weit weg ist von uns. Hat vllt. jemand Erfahrung mit folgendem Weg?

 

[...] Und schließlich der "harte Weg", das AD zu entfernen. Achtung: Einsatz auf eigene Gefahr! Hierfür gibt es keinen Support!

Man ändere in der Registry des zu deinstallierenden DC folgenden Schlüssel:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions]

Wert alt: "ProductType"="LanmanNT"

Wert neu: "ProductType"="ServerNT"

Neu starten

Den NTDS-Ordner im Dateisystem löschen [...]

 

Quelle: faq-o-matic.net » Wie kann ich Active Directory von einem DC gewaltsam entfernen?

 

Mir ist v.a. unerklärlich, wie es überhaupt zu dem Fehler kommen konnte. Kann es an der Standortverknüpfung liegen? Die Verknüpfung läuft über ne Router-Router-Kopplung per VPN. Internet kommt auf beiden Seiten per UMTS zustande. Signalstärke ist oft nicht gut (~ -90dBm).

 

Außerdem hatt ich vor dem dcpromo keine Metadatenbereinigung am SBS durchgeführt. Dürfte ja aber auch nicht die Ursache sein, oder? Schließlich kam es zu keiner Fehlermeldung bis zum Neustart.

 

Vielen Dank für jede Hilfe.

[NilsK 2.785]

Moin,

 

für mich klingt das nach einem Hardwarefehler. Die Logik des AD kann nicht die Ursache für das Problem sein, also muss sie im lokalen Betriebssystem oder in der Hardware liegen.

 

Aus dem Grund würde ich nicht den "harten Weg" nehmen, sondern die HW prüfen und den Server neu aufsetzen. Die DC-Metadaten sollte man natürlich auf jeden Fall bereinigen.

 

Gruß, Nils

[HinnrichT 10]

Vielen Dank für die vor allem so schnelle Antwort!

 

Nen Hardwaredefekt würde ich nicht ausschließen, aber momentan noch hinten anstellen. Der ursprüngliche Defekt des vorigen Servers kam durch eine defekte HDD, wodurch die Spiegelung (Software RAID - bitte keine Diskussion, warum kein Hardware RAID) inkonsistent wurde.

 

Aber die aktuellen Platten hatte ich vor dem neu Aufsetzen getestet.

 

Vielleicht könntest Du mir noch 2 Fragen beantworten:

 

1. Kann es zu dem beschriebenen aktuellen Fehler kommen, wenn zum Zeitpunkt des DCPROMO die Spiegelung inkonsistent ist?

 

2. Was wäre die Konsequenz aus dem "harten Weg", außer daß er weder sehr elegant ist noch supportet wird? Hätte er irgendwelche fatalen Folgen für das AD? Daß ne Bereinigung nötig wird, ist klar.

[NilsK 2.785]

Moin,

 

1. Kann es zu dem beschriebenen aktuellen Fehler kommen, wenn zum Zeitpunkt des DCPROMO die Spiegelung inkonsistent ist?

 

natürlich. Ein generischer Fehler der Art "kann Dienst XY nicht starten" kann selbstverständlich durch Platten- bzw. IO-Probleme verursacht werden.

 

2. Was wäre die Konsequenz aus dem "harten Weg", außer daß er weder sehr elegant ist noch supportet wird? Hätte er irgendwelche fatalen Folgen für das AD? Daß ne Bereinigung nötig wird, ist klar.

 

Für das AD ist das folgenlos, das interessiert sich dafür nicht. Ich würde der Maschine aber nicht trauen, wenn sie mal eben Daten zerstört hat. Das liegt mit Sicherheit nicht am AD, sodass das Problem durch das Entfernen des AD auch nicht verschwinden wird.

 

Gruß, Nils

[HinnrichT 10]

Ok, ich danke Dir für die Hilfe/Hinweise.

 

Habe nun Punkt 2 (den "harten Weg") zunächst gewählt und nun konnte ich zumindest wieder ins System. Habe NTDS gelöscht und das AD/DNS am SBS bereinigt.

 

Gerade hab ich das "Problemkind" erneut in die Domäne aufgenommen.

 

Danach lass ich DCPROMO nochmal auf den los. Sollte es erneut scheitern, sehe ich die These "Hardwareproblem" als gesichert ;)

 

Vielen Dank nochmals!

[HinnrichT 10]

So, ich will nochmal schildern, wie sich das Ganze weiter entwickelt hatte.

 

Obwohl ich besagten Server aus DNS und AD entfernt hatte und ihm vor der erneuten Aufnahme in die Domäne einen neuen Namen verpasst hatte, konnte ich mich zunächst nicht auf dem Server an der Domäne anmelden. Er hatte irgendein Problem mit der SID. Kann mir nicht erklären, wieso, denn die müsste meiner Meinung nach ja mit Änderung des Namens neu vergeben werden.

 

Nach Benutzung von "newSID" ging auch das dann.

 

Danach habe ich DCPROMO nochmal gestartet. Wieder lief die Installation etc. ohne Probleme durch. Nach dem Neustart kam exakt derselbe Fehler wie beim ersten Mal.

Für mich spricht das nun wieder gegen einen Hardwaredefekt, aber das ist jetzt egal. Der Server wird nun neu aufgesetzt.

 

Vielen Dank für die Unterstützung!