» Восстановление КД Win2000 (хозяина основных ролей)

В сети два контроллера домена.

Первый Windows 2000 Advanced Server, второй Windows 2003 Server.

Первый был создан ранее и как я понимаю все основные роли ему и принадлежали.

На нем произошел технический сбой и он теперь недоступен. Скорее всего на том же железе доступен не будет. Единственный вариант установить новую такую же систему на другое железо. Возможно ли в таком случае восстановить его функции контроллера домена, если есть резервная копия SystemState.

Что делать в такой ситуации?

Стоит ли пытаться перехватить его роли насильным путем, чтобы они стали принадлежать оставшемуся контроллеру домена?

Благодарю за помощь!

Продолжение...

У первого сервера вышел из строя ЖД. Информацию с него удалось ПОСЕКТОРНО скопировать на новый ЖД (подобный), после чего, вставил новый ЖД в сервер и пытаюсь его загрузить.

При обычной загрузке Windows 2000 Advanced Server грузится нормально (предложил только проверить диски скандиском, я пока пропустил по совету тех, кто восстанавливал информацию) до окна ввода пароля, на фоне которого выдается сообщение об ошибке, где сказано, что невозможно запустить службу каталогов и предлагается перезагрузить компьютер в режиме восстановления Active Directory.

Попробывал загрузить в Safe Mode. Доходит до драйвера mup.sys и останавливается.
(из конфигурации до проблемы, убрал сейчас только второй ЖД).

При этом индикатор ЖД мигает и мигает. Долго ждал. Делал несколько попыток. После пары часов такого моргания пошла загрузка. В безопасном режиме на фоне окна ввода пароля то же самое сообщение об ошибке.

Загрузил в режиме восстановления Active Directory. Загрузился. Но, дает зайти только под локальной учетной записью Administrator без пароля. А с учетной записью Administrator домена и паролем не пускает.

При этом из под локальной учетной записи запустить Active Directory Users & Computers не дает.

Что делать?

Попытаться ли прогнать диски Скандиском (хотябы С)?

Пытаться восстановить Active Directory из последней копии System State (я надеюсь оно там есть?)

Есть второй контроллер домена, если просто включить Сервер в сеть, он же с него наверное не возьмет Active Directory?!

Буду признателен за помощь!!!! Очень нужно.

Цитата:

При этом из под локальной учетной записи запустить Active Directory Users & Computers не дает.

В режиме восстановления AD служба каталогов не запускается и логин возможен под паролем восстановления AD, который указывался при установке.

Сервер 2003 имеет роль контроллера домена? Если да то проще на первом сервере(там где 2000) поставить систему с нуля. На рабочем сервере захватить все роли, удалить всю информацию из AD про сервер с 2000(все это делается при помощи ntdsutil).
После чего поднимается роль контроллера на вновь установленном сервере.

Попытаюсь помочь
По поводу загрузки с новым жестким диском и скопированной на него информацией сказать сложно какой результат даст scandisk. Судя по твоему описание востановили похоже не корректно. (а RAID`а на сервере до этого не было чтоли?)

!!!! Перед дальнейшими действиями рекомендую сделать полную копию системного диска, чтобы была возможность куда откатиться в случае чего. Соответственно копию делаем без загрузки системы. И соответственно сохранить всю персональную информацию (документы, базы и прочее) в надежное место.


Цитата:

Пытаться восстановить Active Directory из последней копии System State (я надеюсь оно там есть?)

Если копия не очень старая можно попробовать, но могут в принципе возникнуть сложности с репликацией на другой контролер. Но если удасться произвести нормальную загрузку системы это будет хорошо. Если так востановились то смотрим что в логах, прогоняем dcdiag, netdiag смотрим результаты.
Если ошибки или вообше этот способ не помог, то можно кинуть старый контроллер в топку и потом заново поднять. Если загрузились и работаем (но куча ошибок все же) то по хорошему отдаем все принадлежащие ему роли и ГК, понижаем роль КД. Не забываем про DNS. Если похорошему не получилось, то потом рабочим КД захвати потерянные роли, ГК если такие имелись на потеряном. Чистим следы от старого сервака. Потом поднимаем уже новый резервный.

Соответственно смотриш по ситуации и как тебе удобнее. Если до этого КД ни когда не терял или не отправлял в топку то советую потренироваться сначала с этим.

Цитата:

!!!! Перед дальнейшими действиями рекомендую сделать полную копию системного диска, чтобы была возможность куда откатиться в случае чего. Соответственно копию делаем без загрузки системы. И соответственно сохранить всю персональную информацию (документы, базы и прочее) в надежное место.

Это как? "Без загрузки системы" - о какой системе речь?

Вставить диск в другой комп и снимать образ с помощью специального ПО?

Простым копированием файлов тут не поможешь же?!

RAID не было. Сервак был старый, из обычного ПК. Диск обычный IDE был.

Это рекомендую на всякий случий сделать, вдруг всеже придется вернуться если что то забудеш.
А делается так загружаешся с диска (CD) Acronicsa или Symanteca (соответственно для этой операции требуются серверные версии продуктов) и делаеш образ системного диска.
Даже если сервер чудесным образом оживет лучше сразу поднимать вопрос о новом железе и установке нового КД.

Цитата:

А делается так загружаешся с диска (CD) Acronicsa или Symanteca (соответственно для этой операции требуются серверные версии продуктов) и делаеш образ системного диска.

Блин, никогда так не делал. Что это за диски, где его взять и куда делается образ (на какой диск)?


Дополнительно:

Загрузился в режим восстановления Active Directory, зашел в просмотр сбытий (раздел Active Directory), там в основном три уведомления и три ошибки (повторяются, видимо из-за нескольких попыток загрузки в safe mode и обычном). В остальных разделах особых ошибок не видно.

EventID, Source, Category, Description (в порядке того, как случаются):

(X - цифры)

Information:
100, NTDS ISAM, General, NTDS (272) The database engine X.XX.XXXX.XXXX started.

300, NTDS ISAM, Logging/Recovery, NTDS (272) The database engine initiating recovery steps.

301, NTDS ISAM, Logging/Recovery, NTDS (272) The database is replaying logfile C:\WINNT\NTDS\edb.log.

Error:
454, NTDS ISAM, Logging/Recovery, NTDS (272) The database recovery/restore failed with unexpected error - 1018.

1168, NTDS General, Internal Processing, Error - 1018 (XXXXXX) has occured (Internal ID 4042b) Please contact Microsoft Product Support Services for assistance.

1003, NTDS General, Internal Processing, The Windows Directory Service database could not be initialized and returned error - 1018. Unrecoverable error, the directory can't continued.

1473, NTDS Inter-Site, Inter-site messaging, The Inter-site messaging service failed to read the configuration of the Intersite Transports out of the Directory. The errore message is a follow:
Много текста...

Я так понимаю, что загрузка в последней удачной конфигурации тут помочь не должна или может?

Коллеги, выручайте! Дни идут, проблема не решается...

Привожу более подробную информацию об ошибке, которая выдается при загрузке в обычном и безопасном режиме.

Текст в точности таков:
"Security Accounts Manager initialization failed because of the following error: Directory Service cannot start. Error Status: 0xc00002e1. Please click OK to shutdown this system and reboot into Directory Services Restore Mode, check the event log for more detailed information."

Удалось найти наиболее полезную информацию о проблеме в двух ссылках:
http://support.microsoft.com/default.aspx?scid=kb;en-us;240655

и

http://support.microsoft.com/kb/258062/ru

Разрешения на папки и диски вроде как в порядке.

Запустил ntdsutil files info, показывает правильные пути. Папка ntds около 60 Мб. Есть все указанные после выполнения команды файлы, кроме dsadata.bak.

В расшаренных папках нет SYSVOL. Но это проблема возникала и ранее, правда на втором Сервере, когда его поднял до КД, а на первом на диске С было менее 512 Мб и репликация не шла как будто-бы.

Сейчас свободного места очень немногим более 512 Мб. Но, первый сервер, грузился успешно один когда на диске С было и 200 Мб свободно, т.к. подкачка на диске D.

Что сделать в первую очередь дабы не усугубить существующую ситуацию? Хотелось бы сначала понять причину проблемы прежде чем наугад предпринимать меры.

Стоит ли все-таки скандиском прогнать диск или он в таком случае может напортачить?

Восстановление из System State помогает обычно? Кто-нибудь сам делал? Какие шаги после этого еще надо предпринять?

Поделитесь опытом пожалуйста!

P.S.: Что такое время жизни захоронения? Второй сервер постоянно выдает ошибки: репликация, синхронизация времени. Указывает 60 дней время жизни захоронения. Т.е. он через 60 дней поймет, что первый сервер исчез окончательно?

В дополнение ко всему вышеспрошенному:

Нашел файлы с сохраненными состояними системы (System State) созданные стандартными средствами архивации данных.

Последние два за Март (около 250 Мб) и Декабрь (290 Мб) соответственно. Все предыдущие были не менее 277 Мб. Думаю, что мартовская версия может быть записана с ошибкой, к примеру из-за того, что закончилось место на диске. Они должны же быть примерно одинаковые по объему?

Поэтому восстанавливать мартовскую я опосаюсь. Если восстановить декабрьскую и КД заработает, то как может повести себя репликация со вторым КД при включении первого в сеть? Разберуться ли они что информация более свежая на втором КД, который все время был в работе?

на 2003 размер backup`a состояния системы 500-600 Мб, на 2000 меньше, точные границы сейчас сказать не могу.
если восстанавливать через Режим восстановления КД из архива сделанного ntbackup процесс должен пройти удачно, без возникновения проблем с репликацией с другим КД, но даже в таком варианте есть ограничения очень не желательно чтобы архив был сделан например больше 3-х месяцев назад (даже в случае одного единственного КД).
Я так понял что ты еще не решился произвести востановление системы из архивной копии? Сейчас комп загружается, но AD на нем не работает? верно?
И сама ситуация: востанавливали данные на жестком диске (причем состояние системы) очень нехорошая, как видно на первый взгляд вроде востановили, но какие там версии файлов оказались в каком состоянии хз... Поэтому наиболее целесообразно востановиться из архивной копии, в которой сохранялось состояние системы.

Как я и говорил попробуй сделать оффлайн копию проблемного КД, потом разверни ее на виртуалке, после установки поправь настройки как это на реальном КД и уже пробуй там произвести восстановление из архивной копии. Посмотреть что дадут эти эксперименты, а потом уже готовиться их проверсти на настоящем КД.

По поводу решения описанных выше ошибок сложно точно сказать что поможет в данной ситуации. Я бы готовился к переустановке поломанного КД о чем говорилось выше.

Можно я тоже спрошу тут а то я боюсь на этом форуме темы создавать
Ситуация такая. в сети было 2 контроллера домена(2003). из за проблем с жестким диском на PDC появились проблемы(перестал пускать локально только теримнал). Из за малого опыта работы с 2х контроллерной кнфиграцией я обратился к знающим людям которые мне дали ссылку на ntdsutil и я по глупости захватил 3 роли.(Domain role owner, RID pool manager, infrastructure owner).после чего я физически отключил примари от сети и попробовал захватить оставшиеся 2 роли.но они незахваываются. (fsmo maintenance: Seize schema master
Попытка безопасной передачи schema FSMO перед захватом.) вот на этом все и встало. с эмуляторм PDC то же самое. как теперь захватить оставшиеся роли?

Да, восстанвления пока не делал, именно потому, что сомневаюсь в недавней копии, т.к. не заметил своевременно, что она меньшего размера. Если с нее восстанавливаться он сначала ее проверит на полноценность или может при попытке восстановить вообще сломать систему?

Проверил диск С скандиском с включенной проверкой системных файлов и секторов. После проверки при загрузке в обычном режиме сообщение об ошибке сменилось на (если по-русски) "LSASS.EXE – Системная ошибка, не удалось инициализировать диспетчер учетных записей безопасности из-за следующей ошибки: Невозможно запустить службы каталогов. Состояние ошибки 0xc00002e1.
Нажмите кнопку ОК для завершения работы системы и перезагрузки в режиме восстановления служб каталогов, подробные сведения содержатся в журнале событий."

Пробовал запускать ntdsutil c параметрами files info; files integrity; "sem d a" go; "sem d a" "go f". Выполнение всех комманд, кроме первой сейчас натыкается на ошибку -1018.

Opening database [Current] *** Error: DBInitializeJetDatabase filed with [Jet error -1018]

До проверки скандиском мне кажется что выполнение ntdsutil c ключами давало тот же код ошибки, но с описанием "JET_errReadVerifyFailure". Если я ничего не путаю, а то уже столько перечитал и сравнил со своей ситуацией, что могу уже запутаться где мое, где не мое.

Добавлено:

Цитата:

если восстанавливать через Режим восстановления КД из архива сделанного ntbackup процесс должен пройти удачно, без возникновения проблем с репликацией с другим КД, но даже в таком варианте есть ограничения очень не желательно чтобы архив был сделан например больше 3-х месяцев назад (даже в случае одного единственного КД).

У меня получается 14 декабря последняя копия системы.
Железо не менял. Политики не менял. В лучшем случае добавлял пользователей и компьютеры. Касперского поставил в январе-феврале.

Изменений вроде не очень много должно быть в АД. Меня больше волнует то, что на том сервере, который нужно восстановить, все роли. И чтобы более свежая информация на него со второго реплицировалась, а не наоборот. Если не выполнять авторитарного восстановления, то по логике должно так и быть.

Глобальный каталог на обоих был.

И еще. В сервере было два ЖД. Один, с резервными копиями данных и системы я отключил, когда вставил новый диск с восстановленной системой. Тот диск добавляли после установки всей системы, думаю его отсутствие никак не должно сказаться на возможности (невозможности) запуска Active Directory. Буква системного тома осталась прежней С.

Попробывал восстановиться с Декабрьской резервной копии SystemState. Ошибка не исчезла. В отчете о восстановлении выдал ошибку относительно AD.

The \Active Directory service on \\\\SERVER has reported an error. Check the event log for more information.

В логах между стартом и завершением восстановления одно событие, ошибка 8012, источник NTBackUp, которая гласит, что резервная копия слишком старая как я понял.

Service: Active Directory, error: "DS Contents in the backup copy are out of date. Try restoring with a more recent copy.
' from a call to "RestoreRepair()" additional data "\\SERVER"

Вот тут вроде как в первом комментарии (comments) говорится что это время можно увеличить, но я чего то не пойму как. Если кто знает подскажите, пожалуйста?
http://www.eventid.net/display.asp?eventid=8012&eventno=566&source=NTBackup&phase=1

А если системное время изменить, вообще все сглючит?

Еще есть ntdsutil files repair. Восстановление с потерей данных. Может оно бы помогло? Репликация потом со вторым контроллером должа восстановить все, что будет потеряно?

ntdsutil files repair тоже не помагает. Та же самая неожидаемая ошибка -1018 при попытке сначала выполнить "мягкое" восстановление.

Видимо база AD серьезно все-таки повреждена. Что еще можно попробывать сделать?

Добавлено:
Изменил системную дату на январь, восстановил состояние системы. Ошибок при восстановлении не возникло. Но, неработоспособность осталась. Только при выполнении ntdsutil ошибка -1018 сменилась на -538 насколько я помню.

Поскольку возникли проблемы с восстановлением AD, но сама операционная система Сервера функционирует (хотя и с восстановленным состоянием системы из декабрьской резервной копии, восстановить исходное состояние из копии диска не удалось), думаю стоит сделать так, чтобы не поднимать сервер на другой машине:

1. Захватить все основные роли вторым (работающим) сервером.

2. Удалить AD с первого сервера. Можно ли это сделать из Режима восстановления AD?

3. Снова установить на первый сервер AD, чтобы оно скопировалось со второго сервера.

4. И оставить первый сервер работать в качестве резервного контроллера домена.

Правильное ли это решение?

Какие могут возникнуть проблемы при удалении AD и восстановлении AD на первом сервере? Стоит ли удалять информацию о нем из AD Users&Computers прежде, чем подключать его обратно? Что необходимо не забыть сделать обязательно?

Не писал раньше потому что по делу нечего было добавить, просто очень сильно смущает вот это

Цитата:

У первого сервера вышел из строя ЖД. Информацию с него удалось ПОСЕКТОРНО скопировать на новый ЖД (подобный), после чего, вставил новый ЖД в сервер и пытаюсь его загрузить.

как востановили? какие версии файлов и тд. сбой из-за такой аппаратной ошибки весьма серьезное дело.

Цитата:

1. Захватить все основные роли вторым (работающим) сервером.

Да, если есть возможность? так это чтобы 1-й сам их отдал резервному, если нет то принудительно. Перенести ГК.

Цитата:

2. Удалить AD с первого сервера. Можно ли это сделать из Режима восстановления AD?

Грубо говоря Режим востановления домена это подобие безопасного режима только с отключенными функциями AD, поэтому и можно приозводить над AD операции.

Цитата:

3. Снова установить на первый сервер AD, чтобы оно скопировалось со второго сервера.

Повторюсь, хз как востановили инфу на диск, я бы лучше заново инсталировал ОС, чтоб наверняка в будущем не всплыли всякие сюрпризы. Ну а потом соответственно резервный КД развернуть, так как основным уже будет второй.

Цитата:

4. И оставить первый сервер работать в качестве резервного контроллера домена.

Сам смотри какой тебе нужен основной, а какай резервный.


Цитата:

акие могут возникнуть проблемы при удалении AD и восстановлении AD на первом сервере?

Так как проблемы с функционированием AD и репликацией со вторым, то возможно AD "по хорошему" не захочет удаляться. А что сейчас показывают dcdiag и netdiag с 1-го и со 2-го? и как сейчас ведет себя резервные выдает только ошибки о нарушении репликации? или что то еще?

Цитата:

Стоит ли удалять информацию о нем из AD Users&Computers прежде, чем подключать его обратно?

Если все пройдет по плану то она сама должна там почиститься, так как резервный должен понять что он остался один и взял все роли на себя. А вот если принудительно будеш делать тогда да чистить данные.

Цитата:

Что необходимо не забыть сделать обязательно?

Ознакомиться с инфой по этой теме в базе данных MS