locked
Domain Controller com erro para abrir AD RRS feed

  • Pergunta

  • Olá,

    Em meu ambiente tenho 3 Domain Controllers, sendo que o Master parou de funcionar

    Windows Server 2008 Enterprise Edition SP2

    Server com Global Catalog

     

    quando tento abrir o AD Users and Computers ocorre erro.

    No event Viewer aparece a seguinte menssagem:

    Log Name:      Directory Service
    Source:        Microsoft-Windows-ActiveDirectory_DomainService
    Date:          04/08/2010 16:30:10
    Event ID:      2108
    Task Category: Replication
    Level:         Error
    Keywords:      Classic
    User:          ANONYMOUS LOGON
    Computer:      DC.forumaccess.net
    Description:
    This event contains REPAIR PROCEDURES for the 1084 event which has previously been logged. This message indicates a specific issue with the consistency of the Active Directory Domain Services database on this replication destination. A database error occurred while applying replicated changes to the following object. The database had unexpected contents, preventing the change from being made.
     
    Object:
    DC=forumaccess,DC=net
    Object GUID:
    beca3e69-8251-4574-bedb-7ccc78b19aa6
    Source domain controller:
    c992f632-3358-49ab-bfe3-3fede425daa8._msdcs.forumaccess.net

    User Action
     
     Please consult KB article 837932, http://support.microsoft.com/?id=837932. A subset of its repair procedures are listed here.
     1. Confirm that sufficient free disk space resides on the volumes hosting the Active Directory Domain Services database then retry the operation. Confirm that the physical drives hosting the NTDS.DIT and log files do not reside on drives where NTFS compression is enabled. Also check for anti-virus software accessing these volumes.
     2. It may be of benefit to force the Security Descriptor Propagator to rebuild the object container ancestry in the database. This may be done by following the instructions in KB article 251343, http://support.microsoft.com/?id=251343.
     3. The problem may be related to the object's parent on this domain controller. On the source domain controller, move the object to have a different parent.
     4. If this machine is a global catalog and the error occurs in one of the read-only partitions, you should demote the machine as a global catalog using the Global Catalog checkbox in the Sites & Services user interface.   If the error is occurring in an application partition, you can stop the application partition from being hosted on this replica. This may be changed using the ntdsutil.exe command.
     5. Obtain the most recent ntdsutil.exe by installing the latest service pack for your operating system. Prior to booting into Directory Services Restore Mode (DSRM), verify that the DSRM password is known. Otherwise reset it prior to restarting the system.
     6. In DSRM, run the NT CMD prompt, run "ntdsutil files integrity". If corruption is found and other replicas exist, then demote replica and check your hardware. If no replicas are present, restore a system state backup and repeat this verification.
     7. Perform an offline defragmentation using the "ntdsutil files compact" function.
     8. The "ntdsutil semantic database analysis" should also be performed. If errors are found, they may be corrected using the "go fixup" function.  Note that this should not be confused with the database maintenance function called "ESE repair", which should not be used, since it causes data loss for Active Directory Domain Services Databases.
     
     If none of these actions succeed and the replication error continues, you should demote this domain controller and promote it again.
     
    Additional Data
    Primary Error value:
    1127 While accessing the hard disk, a disk operation failed even after retries.
    Secondary Error value:
    -1018 JET_errReadVerifyFailure, Checksum error on a database page
    Event Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
        <EventID Qualifiers="49152">2108</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>5</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2010-08-04T19:30:10.204Z" />
        <EventRecordID>48091</EventRecordID>
        <Correlation />
        <Execution ProcessID="612" ThreadID="408" />
        <Channel>Directory Service</Channel>
        <Computer>Brasil.forumaccess.net</Computer>
        <Security UserID="S-1-5-7" />
      </System>
      <EventData>
        <Data>DC=forumaccess,DC=net</Data>
        <Data>beca3e69-8251-4574-bedb-7ccc78b19aa6</Data>
        <Data>c992f632-3358-49ab-bfe3-3fede425daa8._msdcs.forumaccess.net</Data>
        <Data>While accessing the hard disk, a disk operation failed even after retries.</Data>
        <Data>1127</Data>
        <Data>JET_errReadVerifyFailure, Checksum error on a database page</Data>
        <Data>-1018</Data>
      </EventData>
    </Event>

     

    Iniciei o servidor em modo de restauração do AD

    Tentei efetuar o backup com a ferramenta de backup do windows e não consigo, ele trava no 22 KB.

    Verifiquei o espaço em disco e tem mais de 20 GB disponíveis

    tentei verificar a integridade da base com o comando:

    esentutl /g "path\ntds.dit"

    ocorre o erro:

    Integrity check completed.
    Database is CORRUPTED, the last full backup of this database was on 08/02/2010 09:47:30

    Tento reparar com o comando:

    esentutl /p "path\ntds.dit"

    ocorre o erro:

    Operation terminated with error -1018 (JET_errReadVerifyFailure, Checksum error on a database page) after 31.700 seconds.

    Tentei o procedimento do link

    http://support.microsoft.com/?id=251343

    Aparece a mensagem:

    ***Call Modify...
    ldap_modify_s(ld, '(null)',[1] attrs);
    Error: Modify: Operations Error. <1>
    Server error: 00000000: LdapErr: DSID-0C090A1A, comment: In order to perform this operation a successful bind must be completed on the connection., data 0, vece
    Error 0x0 The operation completed successfully.

     

     

    Alguém poderia me ajudar? Não achei outro modo que eu possa tentar resolver o problema.

     

     


    Danilo Hideki Saito Analista de Suporte Técnico
    quarta-feira, 4 de agosto de 2010 20:02

Respostas

  • Danilo,

    Penso que se tu fizer um offline defrag/compact e depois um integrity check do teu database novo o teu problema pode se resolver. Segue o artigo explicando o procedimento, eu já realizei o mesmo para resolver outros erros referenciando corrupção do database:

    http://technet.microsoft.com/en-us/library/cc794920(WS.10).aspx

    Se o integrity check falhar tu ainda tem a opção de executar um Semantic Data Analisys com o FIXUP conforme artigo abaixo:

    http://technet.microsoft.com/en-us/library/cc816754(WS.10).aspx

    Caso isso tudo não funcione daí só restará efetuar um demote usando o /forceremoval, limpar as referências do AD com problema via NTDSUtil e promover o servidor novamente.

    Espero ter ajudado,

    Abraço,

    Marcelo Vighi


    MCSA\MCSE Security Windows 2000/2003 MCITP: Server Administrator MCITP: Enterprise Administrator
    • Sugerido como Resposta Marcelo Vighi quinta-feira, 5 de agosto de 2010 14:16
    • Marcado como Resposta Danilo Saito sexta-feira, 13 de agosto de 2010 19:35
    quinta-feira, 5 de agosto de 2010 14:16

Todas as Respostas

  • Danilo,

    Penso que se tu fizer um offline defrag/compact e depois um integrity check do teu database novo o teu problema pode se resolver. Segue o artigo explicando o procedimento, eu já realizei o mesmo para resolver outros erros referenciando corrupção do database:

    http://technet.microsoft.com/en-us/library/cc794920(WS.10).aspx

    Se o integrity check falhar tu ainda tem a opção de executar um Semantic Data Analisys com o FIXUP conforme artigo abaixo:

    http://technet.microsoft.com/en-us/library/cc816754(WS.10).aspx

    Caso isso tudo não funcione daí só restará efetuar um demote usando o /forceremoval, limpar as referências do AD com problema via NTDSUtil e promover o servidor novamente.

    Espero ter ajudado,

    Abraço,

    Marcelo Vighi


    MCSA\MCSE Security Windows 2000/2003 MCITP: Server Administrator MCITP: Enterprise Administrator
    • Sugerido como Resposta Marcelo Vighi quinta-feira, 5 de agosto de 2010 14:16
    • Marcado como Resposta Danilo Saito sexta-feira, 13 de agosto de 2010 19:35
    quinta-feira, 5 de agosto de 2010 14:16
  • Marcelo,

     

    Muito obrigado pela resposta, o primeiro procedimento eu já tinha feito, e não deu certo.

    O Segundo acabei de fazer e deu erro na análise, dei um recover mas não funcionou.

    Eu queria resolver sem despromovê-lo, mas pelo que esotu vendo não tem jeito mesmo né?

    Vou dar um /forceremoval e depois promovê-lo novamente então.

    Mais tarde volto e informo se funcionou.

    Abraços,


    Danilo Hideki Saito Analista de Suporte Técnico
    quinta-feira, 5 de agosto de 2010 15:14
  • Olá Danilo.

    Alguma novidade sobre o problema?

     

    Abraço.


    Richard Juhasz
    sexta-feira, 13 de agosto de 2010 19:27
  • opa!

    Então ... Eu o removi, efetuei a limpeza do AD e o promovi novamente, ele está como um domain controller adicional e está rodando perfeitamente, replicando e sem nenhum erro no event viewer.

    Semana que vem vou colocá-lo novamente como PDC e monitorar.

    Problema resolvido, muito obrigado!


    Danilo Hideki Saito Analista de Suporte Técnico
    sexta-feira, 13 de agosto de 2010 19:34