none
Korrupte AD Datenbank RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    auf einem unserer DCs ist wohl die ntds.dit korrupt.

    Da meine gestrigen Rettungsversuche gescheitert sind ersuche ich euch nun um Rat.

    Zur Struktur: 8 DCs an 5 Sites. Alles 2k8R2 Domain und Forest 2k8R2

    Meldung in der Ereignisanzeige

    "Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.

    Object:
    DC=244,DC=0.21.172.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=Domain,DC=de
    Object GUID:
    2ee82d58-102a-475f-b883-65d826d6ac90
    Source directory service:
    a21a0de5-9218-456d-923b-8b43cf8ce9fe._msdcs.domain.de
     
    Synchronization of the directory service with the source directory service is blocked until this update problem is corrected.
     
    This operation will be tried again at the next scheduled replication.
     
    User Action
    Restart the local computer if this condition appears to be related to low system resources (for example, low physical or virtual memory).
     
    Additional Data
    Error value:
    8451 Der Replikationsvorgang ist auf einen Datenbankfehler gestoßen.

    Speicher hat der Server genug. Auch ein Neustart wurde schon durchgeführt. Ich habe verucht die AD Datenbank zu retten, indem ich mit ntdsutil die db analysiert habe (integrity) und anschließend ein GO Fixup. Leider bring das nicht den gewünschten Erfolg. Nach dem Fixup wirft der integrity Check immer noch Fehler.

    Operation terminated with error -1206 (JET_errDatabaseCorrupted, Non database fi
    le or corrupted db) after 12 seconds.

    Da dieser Fehler schon etwas länger existiert ist die TSL bereits abgelaufen.

    Um die ganze Sache noch etwas spannender zu machen ist der DC Schema und Domainnamingmaster.

    Wie ist nun hier das Vorgehen? DC demoten und neu promoten? Die Frage hier: Funktioniert die übergabe der FSMO Rollen wenn die Replikation nicht funktioniert? Mache ich mit einem dcpromo /forceremoval und einer Übernahme der Rollen auf einen anderen DC die Sache nur noch schlimmer?

    Grüße


    Mittwoch, 29. August 2012 05:51
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hallo A.Ernst,
     
    da Du noch andere DCs hast bist Du in der glücklichen Lage die FSMO Rollen
    auf einem anderen DC mit ntdsutil zu übernehmen(seize process).
     
    Danach kannst Du den Problem-DC einfach entfernen aus dem Netzwerk und neu
    installieren. Metadaten aufräumen ist der nächste Schritt, ebenfalls mt ntdsutil
    oder von AD Standorte und Dienste direkt, wo der Prozess auch gestartet werden
    kann Rechtsklick und entfernen, alle Sicherheitsabfragen bestätigen und der
    DC sollte auch ordentlich aus der AD Datenbank entfernt sein.
     
    Dann noch DNS Zonen, SRV Einträge in der Ordnerstruktur und Namensserver-Einträge
    prüfen und ggf. den Server entfernen.
     
    Mit dcpromo -forceremoval kann der DC auch zum Mitgliedsserver heruntergestuft
    werden, falls noch längerfristig Daten benötigt werden. Persönlich ziehe
    ich aber komplettes neu-installieren vor. Metadaten müssen natürlich auch
    hierbei aufgeräumt und die FSMO Rollen übernommen werden von einem anderen
    DC.
     
    Am Ende dann mit den Support tools dcdiag, repadmin und ADREPLSTATUS die
    DCs, Domäne und Replikation auf Fehler prüfen.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert Andreas Ernst Donnerstag, 30. August 2012 05:29
    Mittwoch, 29. August 2012 06:21
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden
    Hallo A.Ernst,
     
    da Du noch andere DCs hast bist Du in der glücklichen Lage die FSMO Rollen
    auf einem anderen DC mit ntdsutil zu übernehmen(seize process).
     
    Danach kannst Du den Problem-DC einfach entfernen aus dem Netzwerk und neu
    installieren. Metadaten aufräumen ist der nächste Schritt, ebenfalls mt ntdsutil
    oder von AD Standorte und Dienste direkt, wo der Prozess auch gestartet werden
    kann Rechtsklick und entfernen, alle Sicherheitsabfragen bestätigen und der
    DC sollte auch ordentlich aus der AD Datenbank entfernt sein.
     
    Dann noch DNS Zonen, SRV Einträge in der Ordnerstruktur und Namensserver-Einträge
    prüfen und ggf. den Server entfernen.
     
    Mit dcpromo -forceremoval kann der DC auch zum Mitgliedsserver heruntergestuft
    werden, falls noch längerfristig Daten benötigt werden. Persönlich ziehe
    ich aber komplettes neu-installieren vor. Metadaten müssen natürlich auch
    hierbei aufgeräumt und die FSMO Rollen übernommen werden von einem anderen
    DC.
     
    Am Ende dann mit den Support tools dcdiag, repadmin und ADREPLSTATUS die
    DCs, Domäne und Replikation auf Fehler prüfen.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    • Als Antwort markiert Andreas Ernst Donnerstag, 30. August 2012 05:29
    Mittwoch, 29. August 2012 06:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Herr Weber,

    danke für die schnelle Antwort. Da ich leider nicht in der glücklichen Lage bin dedizierte DCs zu haben, läuft noch allerhand anderes auf dem Server SQLexpress, LicenseServer und ähnliches. D.h der Server kann leider nicht einfach neu installiert werden.

    Wäre es auch möglich den Server herunterzustufen das Metadatacleanup zu machen und anschließend den Server wieder als DC hinzuzufügen?

    Grüße Andreas Ernst

    Mittwoch, 29. August 2012 06:34
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo A.Ernst,
     
    wenn noch andere Dienste und Programme auf dem DC laufen solltest Du auf
    jeden Fall vorm Herunterstufen die Daten sichern oder noch besser auf einem
    anderen MITGLIEDSSERVER neu isntallieren.
     
    Genau aus diesem Grund sollen DCs nichts anderes als AD-DNS-GC zur Verfügung
    stellen.
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Mittwoch, 29. August 2012 08:26
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo

    >Genau aus diesem Grund sollen DCs nichts anderes als AD-DNS-GC zur Verfügung stellen.

    Wem sagst du das...

    Ich konnte das Problem nun aber anderweitig lösen. Nach einem Offlinedefrag funktioniert die NTDS.DIT offenbar wieder. Warum ein defrag die db wieder hinbekommt und das eigentliche "reparieren" go fixup nicht ist mir ein Räzel.

    Wer dazu noch Infos hat, bitte immer her damit. Ansonsten erklähre ich die Sache für erledigt und werde heute Abend den Call zu machen. 

    Grüße

    A.Ernst

    Best regards Andreas Ernst MCITP:EA, MCP, MCTS


    Mittwoch, 29. August 2012 11:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    gut zu hören, dass ihr mit defragmentieren die Datenbank retten konntet. Klappt aber nicht immer, welche Prozesse genau im Detail dahinter stecken bin ich ehrlich gesagt überfragt mit.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Mittwoch, 29. August 2012 12:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Ein offline defrag schreibt die komplette Datenbank mit zusätzlichen Checks ohne den eigentlichen Whitespace in eine neue Datei.

    Dies kann u.U. dazu führen, dass logische bzw. Datenstrukturfehler ggf. behoben werden können - was jedoch nicht zwingend ist.

    Deswegen: Zeitnahe Backups für einen möglichen Restore bereitstellen und sämtliche weiteren Rollen, die nicht direkt zu der AD-Rolle gehören von allen DCs entfernen (Ausnahme: SBS), so dass das Restore-Konzept vereinfacht wird. Ggf. mit 1+n Virtual Use Rights der jeweiligen Server-Version arbeiten (s.a. http://www.microsoft.com/Windowsserver2008/tr/tr/licensing-r2.aspx).

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Mittwoch, 29. August 2012 14:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    danke für die Abschließende Antwort. Es sind auch nur die AD Rollen auf dem Server installiert. Leider wird aber das BestPractise (nur AD auf einem Server sonst nix). Bei uns nicht eingehalten :(

    Ich bedanke mich für die schnelle Hilfe.

    Grüße

    Best regards Andreas Ernst MCITP:EA, MCP, MCTS

    Donnerstag, 30. August 2012 05:24
    |