» Переустановить домен

День добрый всем
Нужно переустановить домен или все перенести в новый
Может кто-либо расписать всю последовательность действий?
Просьба не пинать, так как в AD я только чуть выше азов, учусь

Предыстория
Имею контроллер домена
Он все работает (тьфу-тьфу) без нареканий кроме одного но
Постоянно в журнал пишется ошибка
NTDS (684) NTDSA: База данных C:\Windows\NTDS\ntds.dit: индекс DRA_USN_index таблицы datatable поврежден (0).
Иногда бывают еще другие индексы, но не суть
В принципе оно работает, если не трогать так, сказать...
Т.е из багов, например, найдено, что не удаляется компьютер один из домена (или не обновляется информация по нему)

Пробовал несколько раз восстанавливать и лечить базу - "esentutil /p" не есть хорошо, но даже и это не помогает
Т.е процентов до 20 доходит и также ругается на дублирующие индексы и т.д
Базу никак восстановить не получается. Бекапов также нет.
Вовремя замечено не было, а потом спущено на тормозах - "работает не трогай" (уже более года эта ошибка)

В общем, набрался смелости грохнуть весь домен
Ну как набрался смелости, бекапы если что есть, не получится - так вернуть, что есть сейчас...
А потому прошу совета
Как переустановить домен? (или же создать новый с переносом всех учеток)
Т.е мне в результате нужно, чтобы все учетки пользователей, компьютеров, групп и т. д были перенесены в новый домен
Ну, или в текущий переустановленный (как правильно сказать)
Чтобы вся групповая политика работала, как и прежде и т.д
И самое главное, - чтобы пользователи ничего не заметили и работали, как и ранее

Спасибо за ответы
P.S Windows Server 2008

Я не понял, в чем смысл переустановки домена в вашем случае.
Вы не пишете ни сколько пользователей у вас, ни сколько контроллеров.
Если по поводу каждой ошибки переустанавливать домен AD... должны быть игрушечные пользователи.
Не набедакурьте там с ntds пока не поздно.
Количество контроллеров, количество пользователей, сервисы, завязанные на AD???

Цитата:

Если по поводу каждой ошибки переустанавливать домен AD

Ну не из-за каждой ошибки для начала.Это же не нотисы какие-то
Как по мне повреждение базы не простая ошибка, на которую можно закрывать глаза
Да она работает, но где гарантия, что завтра ничего не изменится

Цитата:

Количество контроллеров, количество пользователей, сервисы, завязанные на AD???

Контроллеров - 1 (AD + DNS + маршрутизация). Да нужно 2 как минимум, да сервисы на одну не вешаются, но организация бюджетная, денег как всегда...
Пользователей - порядка 100
Компьютеров - порядка 80
Сервисы, завязанные на AD - да думаю ничего на нее не завязано. Т.е она как для авторизации идет и все
Интернет сервак, касперский и прочие имеют свою базу не связанную с AD

Цитата:

Я не понял, в чем смысл переустановки домена в вашем случае.

Смысл в том, что мне нужна нормальная рабочая база, в котороя я уверен
Сперва пробовал NTDS.dit отдельно копировать и восстанавливать - как и писал - результата нет
Потому и думаю так сказать AD с нуля поставить. Только как все перенести в новую базу
Есть вариант поднять второй контроллер, передать на него все FSMO роли
Но только опять же как и писал ранее, слаб я в этом и не уверен, что все верно сделаю
Да и не уверен, что перенесется все корректно. Т.е где гарантия что NTDS.dit просто не скопируется на новый сервак и все...
Нужно перенести все записи, но битые не трогать - ручками сам если что потом доставлю

И вообще
Есть какой либо редактор внешний NTDIS.dit
Т.е чтобы индексы эти перестроить, может удалить битые (возможно новые сам создаст) и т.д

xPdFox

Цитата:

Есть вариант поднять второй контроллер, передать на него все FSMO роли Но только опять же как и писал ранее, слаб я в этом и не уверен, что все верно сделаю

Именно этот вариант и нужно использовать. Там нет никаких рифов, всё практически для блондинок.
Коротенько, но по делу:
Поднимаете второй контроллер в существующем лесу и домене. Ставите галку GC, ДНС, не обращаете внимание на делегирование ДНС. Главное, чтобы он поднялся. Вот, теперь у вас теперь два контроллера.
Ждете, не суетитесь. Как все отреплицируется, перенастраиваете клиентов на новый ДНС. Обычно, это делается через ДХЦП, но мало ли, вдруг циска раздает или еще что. Если ДХЦП на старом, то погуглите. Перенос ДХЦП, это отдельная, но несложная тема.
Итак, клиенты как-то будут хватать новый контроллер как основной ДНС. Проверили обязательно. С ДХЦП тоже всё в порядке.
Теперь со старого контроллера деинсталлируем саму роль (dcpromo), роли передадутся на оставшийся DC автоматически.
Затем выводим его уже как рядовой комп из домена, полностью обслуживаем, инсталим чистые виндуса (только R2 я вас умоляю), обновляемся по полной, вводим в домен и поднимаем роль DC заново.
Всё. И никогда не держите один контроллер.
Практически инструкция получилась

xPdFox Надо лечить, а не переставлять. При переустановке потеряете все сиды юзеров, ака профили. Сделай бэкап SYSTEM STATE c AD, если получится. Или типа акронисом клонируй диск. Затем про лечение читай тут:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/3435b66b-f4d2-43e7-8713-e8cf8ff293e7/active-directory-2008-stop-funcation-after-shadow-copy-freeze?forum=winserverDS
http://www.winvistatips.com/threads/ntds-isam-database-corruption.610598/

Но сначала прочитай про хотфикс https://support.microsoft.com/en-us/kb/2566592
если не стоит, то поставь

ipmanyak я находил данное обновление
Оно у меня не стоит, но может я чего не понимаю...

Скачиваю его
http://support2.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2566592&kbln=en-us
Но пишет что платформа x86 там только
Скачивается файл Windows6.1-KB2566592-x86.msu, который ожидаемо не ставится - не применимо к данному компьютеру
Есть другой способ, чтобы скачать x64 версию?

Туплю...
Вопрос снят (последний) - буду пробовать )
И ведь раньше сам же находил его...

xPdFox есть там под 64 и 32 бит, жмакай синию надпись Show hotfixes for the platform and language of your browser (1) и увидишь
требование - Windows Server2008 R2 SP1

К сожалению не помогло
Результат OffLine дефрагментации тот же что и ранее
Как раз эти индексы поврежеднные или повторяющиеся

=====
Запуск режима ДЕФРАГМЕНТАЦИИ...
Исходная база данных: C:\Windows\NTDS\ntds.dit
Конечная база данных: d:\ntds.dit

Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
.............
Операция прекращена с ошибкой -1605( JET_errKeyDuplicate, Illegal duplicate key ).
file maintenance: quit

Добавлено:
В статье отписано

If you know which attributes are affected, remove the index from these attributes, and then add the index back to them.

Я знаю какие индексы повреждены (один)
А какие аттрибуты не совсем, но не суть
Как можно удалить индексы с этих аттрибутов? (remove the index from these attributes)

Т.е в логах
NTDS (676) NTDSA: База данных C:\Windows\NTDS\ntds.dit: индекс INDEX_00090001 таблицы datatable поврежден (0).

Возможно поможет

Что не помогло? Зачем вы спрашиваете, если прёте своей дорогой?
Пока вы там дефрагментировали юзеры что делали? Бамбук курили, разве нет?
Не, ну хотите бейтесь лбом хоть об стену, да хоть о потолок. Eseutil это когда край, когда нож к горлу. А esentutil... дожили
Впрочем, изобретайте велосипед. Купите вазелин, если найдете.
Инструкция вам была дана в полпятого утра.

Цитата:

Зачем вы спрашиваете, если прёте своей дорогой?

Я не пру своей дорогой, а делаю ровно то, что описано в статье от MS
Обновления этого нет? - нет. Ошибка такая же? - такая же, один в один
Пытаюсь сделать все малыми средствами для начала
У Вас спустит шина на авто, Вы же не идете покупать новую машину
Сперва попробуете более быстрый и простой способ
Оба варианта приведут к одному результату
Также и я - не хочу делать то, в чем я не силен
Тем более что сменить DNS на клиентах не могу - они статически прописаны и бегать тоже как то
Да и поправить (удалить/добавить) один несчастный индекс - гораздо логичнее операции с базой какие либо провести непосредственно, нежели поднимать второй сервер, передавать FSMO и потом снова обратно...


Цитата:

Пока вы там дефрагментировали юзеры что делали? Бамбук курили, разве нет?

Понятия не имею, что они делают у себя дома в 10 вечера
Каждый имеет право на свой бамбук )


Цитата:

Eseutil это когда край, когда нож к горлу. А esentutil... дожили

Пускай будет так.
Главное что все поняли, а то, что я ошибся - извините, если ранил Вас


Цитата:

Впрочем, изобретайте велосипед. Купите вазелин, если найдете. Инструкция вам была дана в полпятого утра.

За инструкцию спасибо, правда, хоть какое то подспорье
Просто как и писал ранее, хочу все сделать малыми силами и средствами
Тем более что нет никакой гарантии, что NTDS.dit просто битый не скопирует на новый контроллер домена и делов
Т.е будет все не по записям отдельным тащить (пропуская битые), а просто всей базой скопирует (так же гораздо проще и в обычной ситуации намного логичнее)
Если новых советов не поступит, наверное так и буду делать, просто очень не хотелось бы

Цитата:

Операция прекращена с ошибкой -1605( JET_errKeyDuplicate, Illegal duplicate key ).

Очень неприятная и практически неизлечимая ошибка. Поднять второй контролер домена вероятней всего не получится, т.к. база на первом повреждена. Скорей всего придется создавать новый домен и с помощью ADMT переносить пользователей и компьютеры в него.

Drron, может это и вариант тоже
А пользователи увидят, что они переехали? Т.е у них что либо изменится?
Групповые политики и т.д все также и останется работать или все с нуля снова набивать нужно будет?
База данных нового домена при этом создается в том же самом текущем NTDS.dit файле?
Или же будет создан другой файл?
Т.е я интересуюсь последовательностью действий.
Придется поднимать второй контроллер со своим доменом и переносить через ADMT на него
Или все делается в рамках текущего контроллера?
Т.е создается новый домен на текущем серваке и все переносится в него, затем старый удаляется

Цитата:

А пользователи увидят, что они переехали? Т.е у них что либо изменится?

Им будет нужно выбрать новый домен в списке. Профиль пользователей сохранится.


Цитата:

Групповые политики и т.д все также и останется работать или все с нуля снова набивать нужно будет?

Групповые политики можно попробовать перенести через бэкап в старом домене и восстановлении в новом.


Цитата:

База данных нового домена при этом создается в том же самом текущем NTDS.dit файле?

Новый домен - новый сервер (можно поднять на виртуальной машине).


Цитата:

Т.е я интересуюсь последовательностью действий.

http://sqrnotes.blogspot.ru/2010/09/admt-32.html


Цитата:

Придется поднимать второй контроллер со своим доменом и переносить через ADMT на него

Да.


Цитата:

Т.е создается новый домен на текущем серваке и все переносится в него, затем старый удаляется

Нет. Новый домен на новом сервере. После успешного переноса старый сервер можно отформатировать, установить ОС заново, ввести его вторым контролером в новый домен и передать ему все роли.

Ага ясно
Не так все просто и безоблачно...
В общем все обдумаю, какой вариант самый лучший
Наберусь смелости и может чего и сделаю
Всем большое спасибо за ответы

xPdFox
Вы уперлись в фикс ошибки. А так... это ничего, что пока вы с базой возитесь юзеры нервно курят в стороне? Поднимайте второй контроллер.

Пользователей нужно "закалять". Ничего страшного. А то слишком от техники будут зависеть Для них же законный повод побалдеть...

Цитата:

А так... это ничего, что пока вы с базой возитесь юзеры нервно курят в стороне?

В каком месте они нервно курят?
Ошибке уже год, если не два
И никто ничего не нервничает, все работает

xPdFox
А ХтоЗнает, оффлайн или онлайн дефрагментацией вы у себя там занимаетесь, если вообще ей занимаетесь. Имя утилы вы озвучили, и скопипастили с шела в поле ввода форума. Пока что всё.
Извините, но что мешает поднять еще один контроллер? Это Best Practices вапще-то. Ну что, кроме упёртости? HDD программист что ли?
Поднимайте второй. Надоело уговаривать

Так
Поставил второй контроллер домена
Вроде бы он успешно подхватился
Все пользователи и компьютеры перенеслись
Однако DNS сервер почему то не реплицировался (правильно выражаюсь с основного)
В логах ошибка
=====
Зона _msdcs.ap47.local настроена для принятия обновлений, однако запись A для основного сервера в SOA-записи зоны недоступна на данном DNS-сервере. Это может свидетельствовать об ошибках конфигурации. Если адрес основного сервера для зоны не удастся разрешить, клиенты DNS не смогут определять местоположение сервера, принимающего обновления для данной зоны. В результате клиенты DNS не смогут выполнять обновление DNS.
=====
Т.е зона прямого просмотра _msdcs.ap47.local автоматически сама создалась
А зоны ap47.local нет
Ее всю самому набивать? Или есть путь как то правильнее сделать?
Спасибо за помощь

up
(утонувшая тема)