[2000 domain] Active Directory onderuit, recovery lukt niet

Ik heb een probleem met een Windows 2000 Server waarvan Active Directory niet meer wil draaien. Helaas is het de enige domain controller in het domein en er is geen backup (niet mijn idee en gelukkig ook niet mijn verantwoordelijkheid; ik ben slechts gevraagd voor ondersteuning). Met ntdsutil hebben we de Active Directory files gechecked en gecomprimeerd (offline dus) en daarbij geen fouten geconstateerd. Het opstarten van de server duurt heel erg lang (20min ongeveer) omdat hij AD niet kan vinden en daardoor ook de DNS niet functioneert. In de eventviewer komen ook meldingen naar voren dat de global catalog niet gevonden kan worden.

Nu hebben we de noodzakelijkheid voor de global catalog uitgeschakeld via een registersleutel (conform info van MS), maar dan nog zegt hij dat gc niet gevonden kan worden.

Vandaag geprobeerd om AD te restoren naar een andere machine, dmv een backup die we gemaakt hebben mbv Windows Backup. Op een pc ingericht als Windows 2000 Server (met SP4 zoals de gewone server) geprobeerd, maar die loopt steeds vast na restoren van systemstate. Gezeur met HALs en drivers. Daarna geprobeerd met Windows 2000 Server in VMWare, die loopt niet vast na een systemstate restore, maar wat me opvalt is dat de map C:\WINNT\NTDS niet bestaat nadien. De restore op zich gaat goed, want er komen geen foutmeldingen.

AD is dan na die restore op de server binnen VMWare ook niet actief.

Iemand nog een idee wat er nog gedaan kan worden?

Als het recoveren niet lukt dan is er weinig anders mogelijk dan een reinstall van Server+AD, is er nog iets te doen met de AD database zonder dat AD actief is? Ergste is natuurlijk dat alle pc's opnieuw aangemeld moeten worden en dat gebruikersprofielen dan ook weer ingesteld moeten worden. Als dat nog op een of andere manier is te exporteren en te importeren dan scheelt dat veel tijd.

sanfranjake schreef op zaterdag 14 april 2007 @ 10:09:
Hoe staat de dns op die bak ingesteld? Geef even een ipconfig /all van de server, en kijk even in de dns welke records de server daar heeft.

Wat staat er aan errors in de eventlogs? De exacte error graag, inclusief bron en eventnummer. Daar had je zelf ook al heel veel over kunnen vinden op bijvoorbeeld google of eventid.net

Restore van een AD op andere hardware moet je wat meer stappen voor verrichten dan enkel een system state terugzetten: How to move a Windows installation to different hardware

DNS van de 'gecrashte' DC wijst naar zichzelf, maar die DNS service draait dus niet. Instellen van andere DNS helpt niet, dat hebben we ook geprobeerd.

Op de server in VMWare heb ik eerst (voor het restoren van de systemstate) DNS geïnstalleerd, niet geconfigureerd, want dat zou met AD weer terug moeten komen zou je zeggen.

Op de meldingen in de eventlogs hebben we al gezocht en aan de hand daarvan de info teruggevonden hoe de server gerestored kan worden naar een andere server (met andere hardware).

Onderstaande links hebben we gevonden:
"Directory Services cannot start" error message when you start your Windows-based or SBS-based domain controller
How to perform a disaster recovery restoration of Active Directory on a computer with a different hardware configuration
How to disable the requirement that a global catalog server be available to validate user logons
DNS, Intersite Messaging, Global Catalog, NTFRS, and "Invalid Credentials" Error Messages on Domain Controller

Precieze meldingen heb ik niet bij de hand, maar aan de hand van die meldingen hebben we bovenstaande gevonden.

De stappen in de link die jij opgeeft zijn net weer even anders, zal dat ook proberen maandag.

@Question Mark:

Bedankt voor je input, lijkt me idd wel goed om eerst even te proberen met een andere DNS waar de juiste records in staan. Als het dan nog niet werkt dan proberen we de restore methode die beschreven is in de onderste link van jouw reply. Dat ziet er ook weer anders uit dan de andere methodes.

Vandaag de DNS records zoals beschreven in een andere DNS server gezet en getracht dit werkend te krijgen. Dat leek eerst niet goed te lukken omdat naast de bovengenoemde SRV record nog meer SRV records nodig zijn. Na e.e.a. geprobeerd te hebben werden na uitvoeren van 'dcdiag /test:registerindns /dnsdomain:example.microsoft.com' (waar example.microsoft.com staat uiteraard onze eigen domeinnaam), zie DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation, de juiste records aangemaakt.

Als ik 'netdiag /debug' doe dan zie ik melding dat de DC nog niet gevonden kan worden. Hopelijk lost een reboot dat probleem op, maar dat weten we pas morgenochtend omdat mijn collega 'm dan een reboot geeft. Ben benieuwd...

Edit: Helaas, een reboot van de server heeft niets opgelost. We zoeken verder...

[ Voor 5% gewijzigd door alm op 17-04-2007 10:48 ]

Kerberos draait inderdaad niet meer, als we starten krijgen we een foutmelding:
could not start the kerberos key distribution center service on local computer
error 31 a device attached to the system is not functioning.

Op Domain controller is not functioning correctly stonden nog wat tips, stap 5 daarvan hebben we bekeken en die stond al goed.

Stap 6 vragen we ons af wat er nu precies gereset wordt en wat het gevaar is. We hebben maar 1 DC, dus die optie '/server:another domain controller' is ons niet geheel duidelijk. Hieronder heb ik de stap nog even gequote:

Method 6: Reset the machine account password, and then obtain a new Kerberos ticket
1. Stop the Kerberos Key Distribution Center service, and then set the startup value to Manual.
2. Use the Netdom tool from the Windows 2000 Server Support Tools or from the Windows Server 2003 Support Tools to reset the domain controller's machine account password:

netdom resetpwd /server:another domain controller /userd:domain\administrator /passwordd:administrator password

Make sure that the netdom command is returned as completed successfully. If it is not, the command did not work. For the domain Contoso, where the affected domain controller is DC1, and a working domain controller is DC2, you run the following netdom command from the console of DC1:

netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:administrator password
3. Restart the affected domain controller.
4. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

Overigens, stap 4 in het genoemde document kunnen we niet uitvoeren (adsiedit.msc), dan krijgen we een foutmelding "The requested service provider could not be loaded or initialized." en dat een stuk of 6 keer achter elkaar. Daarna zien we Domain NC [ ], Configuration container [ ] en Schema [ ] onder elkaar staan... Ergens op klikken geeft weer die foutmelding.

Suggesties?

Question Mark schreef op dinsdag 17 april 2007 @ 19:37:
Ik weet het niet zeker, maar volgens connecteer je met Adsiedit altijd naar een Global Catalog. Ook volgens de info van technet over het gebruik van Adsiedit kom ik de volgende regel tegen:
[...]
En de Global Catalog flag heb je nu net uitgeschakeld, gezien je eerste post.

Uhh, inderdaad. Maar de afhankelijkheid van de GC hebben we juist uitgeschakeld om daar niet van afhankelijk te zijn en die oorzaak uit te sluiten. Aangezien we nog niet kunnen aanmelden ligt het niet aan de GC dat we niet aan kunnen melden. Tenzij Kerberos weer afhankelijk is van de GC natuurlijk...

Question Mark schreef op dinsdag 17 april 2007 @ 19:37:
Nu ben je in principe in een single domain forest geen Global Catalog nodig, maar ik kan me voorstellen dat sommige applicaties zo geschreven zijn om standaard naar een Global Catalog te connecten, waaronder Adsiedit.

Dat maakt het er allemaal niet makkelijker op die afhankelijkheden.

Question Mark schreef op dinsdag 17 april 2007 @ 19:37:
complimenten trouwens voor je troubleshooting skills en de wijze waarop je dit topic bijwerkt. Wordt er eentje voor in mijn bookmarks

Bedankt hoor, ik doe mijn best. Hopelijk krijgen we het probleem opgelost, anders moeten we zo'n 60 pc's opnieuw gaan aanmelden en profielen weer goedzetten, enz, enz, na een herinstallatie van de server...
Gelukkig kunnen de gebruikers via handmatig koppelen met de server toch nog aan het werk krijgen, anders hadden we dat al lang moeten doen.

Even een update: we hebben verder gezocht naar een oplossing, maar die niet gevonden helaas. We hebben vandaag een tijdelijke server ingericht en daarop een nieuw domein aangemaakt. De bestaande server zullen we proberen te downgraden naar memberserver en daarna weer upgraden naar DC in het nieuwe domein. Helaas moeten we wel alle pc's weer opnieuw aanmelden bij het nieuwe domein en profielen weer goedzetten, maar we hebben geen keus omdat het anders veels te lang gaat duren voor we een oplossing hebben.

Bedankt voor de tips en ideeën die jullie gegeven hebben!