Comments 14
На просторах интернета решение проблемы найти было трудно
Первая ссылка в Яндексе - достаточно трудно?
В моем случае, первая ссылка в Яндексе показала способ NTDS + esentutl. Не получилось восстановить целостность таблицы из мануала, ошибка даже не была найдена.
Порылся на просторах ютуба и стековерфлоу, там кое что нашел.
Здесь еще подчеркивается то, что это виртуалка, проблема может быть не очевидной по сравнению с реально установленным сервером. Контроллер домена работал стабильно до удаления снапшотов.
В целом, тому кто столкнется с аналогичной проблемой в виртуалке достаточно будет два раза открыть CMD, выполняя последовательно команды, чем углубляться в эту тему, сроки зачастую не позволяют этого
Замечательно. Так в чем же была проблема - в log файлах, размерах базы ntds или её фрагментации?
Не могу точно сказать. Но вероятней всего фрагментация, точной цифры не помню, но размер БД был в пределах нормы
Есть журнал событий System и Active Directory.
Без этого вашу статью можно отнести только к вредным советам. Не знаем что было, не знаем что именно помогло, не знаем что получилось.
ok
.. но пара ребутов помогла.
В ивенты конечно же никто не лез. Минидампы не вычитывал windbg.
С таким же успехом поднять новый ДЦ проще. Делов на полчаса.
Самое интересное, что люди потом на проде также сделают. А потом после таких приколов получишь недо-что-то, на котором 5 лиц училось, 5 лиц доламывало и домену 20 лет. Еще и будет создан криво с NetBios неймом с точкой внутри, например: когда ни радиус выше 2008 неR2 не встанет, ни переименовать, т.к. эксч, ни в м365 гибрид не собрать.
Кмк, действия пункта 1 нужны только лишь для оценки состояния базы AD (ntds.dit)
Второй пункт естественно, может помочь сохранить всё, что не попало в резервный backup.
Про второе не знал. (А что, так можно было?)
Но бекапы наше всё.
Если домен одноконтроллерный standalone, достаточно лишь восстановить файл из исправной копии (если она у вас есть ;). Естественно, изменения в AD за прошедший период будут утеряны.
В случае не единственного контроллера такое восстановление вернёт только загрузку DC в нормальном режиме, но нарушит доверительные отношения этого контроллера в домене.
Для восстановления всё равно придётся накатывать резервную копию Active Directory из Windows Backup этой машины (в разных версиях OC это могут быть разные MS решения, но суть одна), с указанием, что эта копия будет "подчинённой", т.е. изменения от домена (других контроллеров) реплицируются в эту копию в одностороннем порядке. Оба варианта были в моей практике.
нарушит доверительные отношения
эта копия будет "подчинённой"
nonauthoritative . Делать так нежелательно - затрат больше, чем на переустановку.
затрат больше, чем на переустановку.
В парадигме "одна роль - один сервер, причём виртуальный", конечно, проще заново переустановить. Когда диски и память большие, я так теперь и делаю. Но тогда в моих случаях это были физические, не самые мощные серверы, причём кроме AD-, там же были и SQL- и Exchange-сервер роли, переустановка вышла бы слишком дорого.
Active Directory / Microsoft Exchange - самая наихудшая практика с чем-то их попробовать совместить на одной VM.
Для вашего тестового случая можно удалить роль ADDS, вычистить на живом Sites and Services, заново установить роль и сделать promotion. Полная чистая репликация всегда проще и надежнее, чем репликация поверх восстановленных данных.
Спасибо за информацию, да, получится отказоустойчивая система.
Бекапа конечно же не было, это виртуалка, которую развернул на пару дней для тестов доменной аутентификации, поэтому CD один. Пришлось чинить таким образом
домен на 5 машин. снапшоты работают не корректно, это какой то сюр, домен после настройки в офф, и копию всей машины, чтобы там чудес не было. те более там больше чем 50 гигов не будет, если снапшоты не делаются гипервизор настроен криво.
Дело в том, что работа со снапшотами это отдельная тема. Где-то на хабре я потом прочитал как правильно их выполнять. Да, нужно выключить машину. Количество снапшотов не более трех. У меня было штук 20, потому что я первый раз настраивал домен, днс, почтовый сервер, веб-сервер, сертификаты, кластеры на WinServ2019 (обычно же тестеры работают в средах, которые им подготавливают девопсы или сисадмины) дальше нужно удалить лишние снимки. Если удалять слева-направо - 100% виртуалка сломается. Если просто в разброс - сломается тоже, ну 50 на 50, если справа налево - то не должно ничего сломаться, но может просто домен потерять доверие, это лечится по другому
Как Устранить Stop Code 0xc00002e2 в доменной сети на серверной ОС в VMware?