если сдохший контроллер был единственным, то вряд ли что-нибудь получится .
Только новый домен и настраивай заново

[Guest]

Домен поднимать слишком долго. Пока будет одноранговая сеть. Но возникла проблема: не на все машины известен пароль локального админа. Подскажите в каком файле он храниться?

[monkkey]

sam

[keyF]

история такая:
домен, в нем 3 контроллера (2 - win 2k server и 1 - win 2k3 server).
2k3 навернулся. после восстановления стал выдавать какие-то очень недобрые слова про AD и я решил от греха подальше восстановить AD из backup'а (sysstate). не надо было это делать наверняка, но тем не менее..
последний backup sysstate'а был на момент когда контроллер в домене был только один (как раз этот 2k3 server). ситуация получилась следующая: сейчас все хорошо и весело работает, пока кто-нить не пытается обратиться к двум 2k серверам как к контроллерам, например для проверки пользователя. к примеру, если попытаться соедениться с MS SQL server которые стоят на обоих контроллерах 2k с windows проверкой подлинности, получаем такое сообщение: .... Не удается генерировать контекст SSPI. Если пытаемся проводником зайти с любого из 2k-серверов на живой контроллер домена (который 2k3) получаем сообщение: "Вход в систему не произведен. Конечная учетная запись указана неверно."
Логично, что два сервера 2k продолжаюсь себя считать контроллерами домена. Я попытался их в этом разубедить, с помощью dcpromo, но ничего не вышло, т.к. они не смогли авторизироваться на основном контроллере 2k3.
Есть пара мыслей у меня, например попробовать при запуске dcpromo сказать что это последний сервер домена, что домен надо совсем удалить. не думаю что какие-то изменения отразятся на рабочем контроллере, т.к. авторизироваться все равно удаляемый сервер не сможет.

хочется услышать компетентное мнение уважамых экспертов. понимаю, что допустил пару нехороших ляпов, просьба ногами сильно не бить.

[SkyF]

нда..

Цитата:

последний backup sysstate'а был на момент когда контроллер в домене был только один

это плохо номер 1

Цитата:

Логично, что два сервера 2k продолжаюсь себя считать контроллерами домена.

но это ведь здорово, тк они все считали что их все же 3е...

Цитата:

Я попытался их в этом разубедить, с помощью dcpromo, но ничего не вышло, т.к. они не смогли авторизироваться на основном контроллере 2k3.

конечно, ведь их для него нет..

Цитата:

Есть пара мыслей у меня, например попробовать при запуске dcpromo сказать что это последний сервер домена, что домен надо совсем удалить. не думаю что какие-то изменения отразятся на рабочем контроллере, т.к. авторизироваться все равно удаляемый сервер не сможет.

а может быть сказать - так - а фиг с ним с этим первым сервером и отформатировать его? потом сделать задания на резервирование того что осталось, чтобы больше не было того что в первых строчках.

перехватить зозяев ролей (см FSMO во встроенной спраке и команду ntdsutil) и флаг глобального каталога.. на любой из этих 2х КД.
удалить с работающих КД всякое упоминание о первом (см удаление записей из AD о старом контроллере домена - How To Remove Orphaned Domains from Active Directory )
проверить что DNS сервер есть где-то еще - если нет попробоват просто установить эту службу на один из КД, и указать ему в TCP/IP свойствах что он и есть свой предпочитаемый DNS сервер (если повезет и зоны были интегрированы в AD , то на сервере они появятся сами)
если DNS так сработает (после установки появятся зоны) - другой КД и всех клиентов настройками TCP\IP на него как на предпочитаемый DNS сервер.
установить ОС на старый сервер , добавить его в домен и сделать контроллером (можно с тем же именем, если очистите)

ЗЫ поищите по разделу в fix! темах (по названию), кажется это уже не раз подминалось ( как удалить данные о старом сервере из AD)


PS How to remove data in Active Directory after an unsuccessful domain controller demotion

[keyF]

прежде всего, спасибо за обстоятельный ответ

идем дальше. для простоты и удобства, назовем КД 2k3 серером А, а оставшиеся 2 КД - В и С соответственно.

идея убить сервер А и переустановить не нравится мне по нескольким причинам:
1. кроме AD на нем крутится еще пара сервисов которые придется восстанавливать
2. сервера В и С - контроллеры в своих подсетях (по 10-15 машин в каждой), созданные исключительно для отказоустойчивости (по этой причине DNS на них есть, и зоны храняться в AD),а сервер А обслуживает 80% офиса.
3. После восстановления срв А (кстати резервирование я настроил сразу после сбоя, к сожалению до этого момента "руки не доходили") именно на нем были восстановлены все те изменения в AD которые произошли с момента последнего backup'а.

спасибо за линки, буду читать доки

[keyF]

не сказал окончательный вывод:
я все же буду работать в сторону преубеждения серверов В и С в том что они КД, а после этого - сделаю их таковыми снова.

[GalloSha]

Пропадало несколько раз электричество. После этого первичный контроллер домена говорит "Невозможно инициализировать SAM. Невозможно запустить службу каталогов" и предлагает загрузиться в режиме восстановления каталога. Есть вторичный контроллер домена, с ним всё нормально. Бэкап возможно есть, не помню, что именно там копировалось, но сделан на ленте, из под Веритаса на этом же сервере. Т.е сейчас веритас в safemode не запустить, в нормальном режиме сервер не грузится, к другому компу стриммер не подключить технически.
Вопрос 1 - как бы мне попроще восстановить это дело
Вопрос 2 - Где лежат эти АД, какие папки надо восстаналивать кроме %SYSTEMROOT%\SYSVOL
Спасибо.

Решение проблемы:ТУТ