SID-500

Home » Security » Active Directory: Domain-Controller reparieren

Active Directory: Domain-Controller reparieren

In diesem Beitrag wird gezeigt wie die Active Directory Datenbank repariert werden kann. Streikt der Domain-Controller, dann muss gehandelt werden. Benutzer können sich nicht mehr an der Domäne anmelden und auf Ressourcen zugreifen.

Möglichkeit 1

Login am DC möglich: Dienst Active Directory-Domänendienste anhalten

Ist keine Anmeldung an der Domäne möglich, dann musste bei älteren Betriebssystemen der Server im Reparaturmodus neu gestartet werden. Mit Windows Server 2012 und 2016 kann eine Reparatur auch ohne Neustart erfolgen. Wenn eine Anmeldung am Domain-Controller möglich ist, dann kann der zugehörige Dienst angehalten werden. Danach kann die Reparatur beginnen.

Services.msc öffnen und den Dienst Active Directory-Domänendienste anhalten.

1.PNG

Danach PowerShell öffnen und mithilfe von ntdsutil die Datenbank versuchen zu reparieren.

ntdsutil
activate instance ntds
files
recover

2.PNG

Sollte die Wiederherstellung nicht funktionieren, dann empfehle ich ein Restore vom Backup: Active Directory: Sichern und Wiederherstellen (Autoritatives Restore).

Möglichkeit 2

Login am DC nicht möglich: Neustart des Servers

Sollte kein Login am DC möglich sein, dann kann auch logischerweise ntdsutil nicht gestartet werden. Dann einfach DC neu starten, F8 drücken und den Reparaturmodus für Verzeichnisdienste wählen. Danach startet der DC im Abgesicherten Modus.

3.PNG

Da im abgesicherten Modus keine Domäne zur Verfügung steht muss das Verzeichnisdienstwiederherstellungskennwort (DSRM) Kennwort eingegeben werden.

4.PNG

Danach in PowerShell ntdsutil starten und wie oben angeführt ein Recover durchführen.

5.PNG

ntdsutil
activate instance ntds
files
recover

Danach den Server neu starten.

Viel Glück!


2 Comments

  1. […] zu können. Zum Thema DSRM und weiterem Troubleshooting verweise ich hier auf meine Artikel Active Directory: Domain-Controller reparieren und Active Directory: Sichern und Wiederherstellen (Autoritatives […]

    Like

  2. […] das Booten im abgesicherten Modus wird Active Directory nicht ausgeführt, d.h. der Server ist kein Domain-Controller. Wenn dieser […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com