Falls die Active Directory-Datenbank (NTDS.DIT) einen Schaden haben oder Inkonsistent sein sollte, kann man diese versuchen zu reparieren.
Dazu geht man folgendermaßen vor:



  • Zuerst muss der Domänencontroller unter Windows 2000 sowie Windows Server 2003 im Modus Verzeichnisdienstwiederherstellung (Windows-Domänencontroller) gestartet werden.
    Auf das Auswahl-Menü gelangt man, wenn man im Bootvorgang des DCs die F8-Taste drückt. Die Anmeldung erfolgt dabei mit dem “Kennwort für den Wiederherstellungsmodus” das beim Heraufstufen des DCs vergeben wurde.


  • Ab Windows Server 2008 ist es nicht zwingend notwendig den DC im Modus Verzeichnisdienstwiederherstellung zu starten, denn es kann im laufenden Betrieb der Dienst Active Directory-Domänendienste (AD-DS) samt den abhängigen Diensten Dateireplikationsdienst, Kerberos-Schlüsselverteilungsdienst, Standortübergreifender Messagingdienst und DNS-Server angehalten werden. Dazu ist entweder in der Dienstesteuerung (services.msc) der Dienst Active Directory-Domänendienste oder in der Kommandozeile mit net stop ntds anzuhalten.


  • Danach gilt es unter START-AUSFÜHREN oder aus der Kommandozeile heraus, dass NTDSUTIL aufzurufen.
    Ab Windows Server 2008 muss nach dem Starten von NTDSUTIL anschließend die Active Directory-Instanz aktiviert werden. Dieses ist mit dem Befehl activate instance ntds möglich.


  • In der NTDSUTIL-Kommandozeile gibt man FILES ein, um in die File-Maintenance Eingabeaufforderung zu gelangen.


  • Zuerst sollte ein Integritätstest der NTDS.DIT mit dem Befehl Integrity durchgeführt werden. Falls nach dem Test Fehler angezeigt werden, könnte man mit NTDSUTIL versuchen diese zu beheben. Nach dem Integritätstest wird ein Protokoll im Verzeichnis “%windir%\ntds\ntds.integ.raw” erstellt, in dem Informationen zum Gesundheitszustand der AD-Datenbank enthalten sind.


 


 




    • Mit “q” (oder quit) gilt es die File-Maintenance Ebene zu verlassen, um in die NTDSUTIL Ebene zu gelangen.


    • Hier gilt es den Befehl SEMANTIC DATABASE ANALYSIS einzugeben, damit man in die “Semantic Checker” Ebene gelangt.


    • Dort angelangt, aktiviert man mit dem Parameter VERBOSE ON die Option, um detaillierte Informationen zu erhalten.


    • Als nächstes gibt man den Befehl GO FIXUP ein, um eine Reparatur über die NTDS.DIT laufen zu lassen. Anschließend wird zum einen in der Kommandozeile eine Zusammenfassung angezeigt und zum anderen wird ein Protokoll im Verzeichnis “C:\dsdit.dmp.0″ mit ausführlichen Informationen erstellt.


 




    • Anschließend verlässt man mit zweimaliger Eingabe von “q” die Kommandozeile und startet den Domänencontroller im normalen Modus neu.
      Ab Windows Server 2008 startet man den Dienst Active Directory-Domänendienste in der Dienstesteuerung oder in der Kommandozeile mit net start ntds.


Nach dem Neustart des DCs, gilt es die Funktionsfähigkeit der NTDS.DIT zu überprüfen.
Sollten immer noch Probleme existieren, können mit den Windows Support Tools DCDIAG [1] und NetDIAG, weiteres Troubleshooting betrieben werden. Falls auch dieses nicht zum Erfolg führt, sollte die Active Directory-Datenbank aus einer System State Sicherung wiederhergestellt und nach dem Restore, die Konsistenz der Datenbank überprüft werden.




Weitere Informationen:


[1] Domänencontroller mit DCDIAG prüfen
DCDiag and NetDiag in Windows 2000 Facilitate Domain Join and DC Creation

Comments are closed, but trackbacks and pingbacks are open.