In diesem Beitrag wird gezeigt wie die Active Directory Datenbank repariert werden kann. Streikt der Domain-Controller, dann muss gehandelt werden. Benutzer können sich nicht mehr an der Domäne anmelden und auf Ressourcen zugreifen.
Möglichkeit 1
Login am DC möglich: Dienst Active Directory-Domänendienste anhalten
Ist keine Anmeldung an der Domäne möglich, dann musste bei älteren Betriebssystemen der Server im Reparaturmodus neu gestartet werden. Mit Windows Server 2012 und 2016 kann eine Reparatur auch ohne Neustart erfolgen. Wenn eine Anmeldung am Domain-Controller möglich ist, dann kann der zugehörige Dienst angehalten werden. Danach kann die Reparatur beginnen.
Services.msc öffnen und den Dienst Active Directory-Domänendienste anhalten.
Danach PowerShell öffnen und mithilfe von ntdsutil die Datenbank versuchen zu reparieren.
ntdsutil
activate instance ntds
files
recover
Sollte die Wiederherstellung nicht funktionieren, dann empfehle ich ein Restore vom Backup: Active Directory: Sichern und Wiederherstellen (Autoritatives Restore).
Möglichkeit 2
Login am DC nicht möglich: Neustart des Servers
Sollte kein Login am DC möglich sein, dann kann auch logischerweise ntdsutil nicht gestartet werden. Dann einfach DC neu starten, F8 drücken und den Reparaturmodus für Verzeichnisdienste wählen. Danach startet der DC im Abgesicherten Modus.
Da im abgesicherten Modus keine Domäne zur Verfügung steht muss das Verzeichnisdienstwiederherstellungskennwort (DSRM) Kennwort eingegeben werden.
Danach in PowerShell ntdsutil starten und wie oben angeführt ein Recover durchführen.
ntdsutil
activate instance ntds
files
recover
Danach den Server neu starten.
Viel Glück!
Categories: Cyber Security, Windows Server
2 replies »