AD Troubleshooting: Restaurando la DB (ntds.dit) de Active Directory… Event Id: 454, 1003, 1168 {HowTo}

Hola, hoy vamos a ver como recuperar un dominio cuando nuestro Active Directory esta roto y no inicia correctamente mostrándonos el siguiente error:

Security Accounts Manager initialization failed because of the following error: Directory Service cannot start. Error Status: 0xc00002e1. Please click OK to shutdown this system and reboot into Directory Services Restore Mode, check the event log for more detailed information.

e01

Este inconveniente puede producirse si se marcan objetos de Active Directory como autoritativo con la herramienta Ntdsutil y, luego restauramos Active Directory desde un backup. Como toda base de datos podría corromperse por varias causas, pero en nuestro caso ocurrió después que el servidor se reinicio inesperadamente 2 veces.

01

Para resolver este inconveniente vamos a tener que iniciar nuestro equipo en modo Directory Services Restore Mode, y luego vamos a realizar varias comprobaciones sobre la base de datos de Active Directory.

02

Al iniciar en este modo podremos logearnos y ver los siguientes eventos: 454 NTD ISAM,

1003 NTDS General y 1168 NTDS General:

Evento454Evento1003Evento1168

Entonces lo que hacemos una vez que nos logeamos en este modo, abrimos una consola de comando y ejecutamos el comando ntdsutil file info, esto nos mostrara la ubicación de nuestra DB de AD. Si queremos podemos verificar en la carpeta y veremos los archivos. Si la ubicación esta mal debemos esto no fuera así, debemos configurar la ubicación correcta mediante el comando ntdsutil file set path Ubicacion

03

En nuestro caso coinciden. También lo podemos verificar en la registry por medio de RegEdit, en el siguiente screenshoot pueden ver los campos a verificar y la ubicación dentro del registro:

04

Ahora lo que vamos a hacer es verificar la integridad de nuestra base NTDIS.DIT, con el comando NTDSUTIL FILES INTEGRITY.

05

Si intentamos hacer un recovery con el ntdsutil, veremos que nos da un error en la DB: Jet_errLogFileCorrupt, Log file is corrupt.

06

Volvemos a verificar la integridad:

07

Vamos a realizar una reparación de la misma por medio del comando: esentutl /p "C:\WINDOWS\NTDS\ntds.dit"

El sistema nos mostrara un mensaje de Warning:

08

Comienza el proceso de reparación:

10

Una vez que termino el proceso debemos eliminar los dos archivos de logs del directorio.

11

Verificamos nuevamente la integridad de las bases, y podemos ver que termina correctamente.

14

Como vemos en la pantalla se nos recomienda verificar semánticamente la base de datos, para asegurarnos de la consistencia de ella:

15

Comienza el procedimiento de verificación y termina correctamente:

16

Reiniciamos nuestro equipo:

17

Mientras reinicia el equipo, podemos ver que no nos da mas el error y que el equipo reinicia normalmente. Nos podemos logear al equipo y si abrimos la consola de Active Directory Users and Computers y vemos todos los usuarios y el servidor inicio correctamente.

Espero que les sea de utilidad este troubleshooting. Saludos, Roberto Di Lello.

18

19

20

22

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

12 Comments

  1. Juan Fco, Muchas gracias por participar del blog y ayudar a que siga creciendo! Te cuento que hay mucho material en el.

    Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

  2. Buenos Dias, me parece muy didáctico tu tutorial de restore, yo tengo un incoveniente respecto a este tema y es que he realizado el esentutl /p “C:\WINDOWS\NTDS\ntds.dit”
    y aun no puedo ingresar de forma normal a mi AD, ahora a diferencia de tu manual es que cuando corria el analisis todo me aperecia sin problemas a diferencia de tu lab publicado. Que otro problema puede ser que no puedo ingresar de forma normal solo Restore mode.Te comento rapidamento lo que hecho:
    1. Ejecute el check de integridad CORRECTO
    2. semantic analysis/fix
    3. defragmentada, borre los logs
    Reinicie e igual no puedo acceder
    4. Verificacion de integridad CORRECTO
    5. esentutl /p “C:\WINDOWS\NTDS\ntds.dit”, los logs cambie la extención por .bak como lo indica la página de Microsoft
    Reinicie e igual no puedo acceder de forma normal

  3. Luis Lara, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Algo que no entiendo. Cual es tu error? que error te daba? que eventos tenias y cuales tenes ahora? Restauraste un backup de la db?

    Muchas gracias por tus comentarios.Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  4. Victor, un placer haber podido ayudarte. Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  5. Mil gracias, me sirvio bastante, principalmente para solucionar un gran problema en mi red… Muchas gracias de nuevo… saludos

  6. Buenisimo Cristian! Gracias por comentar, me alegra haber podido ayudarte!
    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google. Saludos!

  7. En mi caso las llaves del registro son diferentes porque es win server 2008 R2 pero igual gracias a su post pude encontrar los valores que necesitaba y me ha sido de mucha utilidad.
    Gracias!!

  8. Dysney, muchas gracias por comentar y participar. Disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.

    Buenisimo que te sirviera. Si quieres pasame las llaves de registro de tu cao y hago el update de la nota, asi le sirve a mas gente.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del blog y my Twitter @RaDiansBlog asi podemos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Saludos y gracias!

  9. Hola, intentando reparar la base de datos NTDS.dit me da el siguiente error. Agradezco si me pueden ayudar.

    Executing Command: C:\WINNT\system32\esentutl.exe /d
    “C:\WINNT\NTDS\ntds.dit” /8
    /o /l”C:\WINNT\NTDS” /s”C:\WINNT\NTDS” /t”d:\new\ntds.dit” /!10240 /p

    Initiating DEFRAGMENTATION mode…
    Database: C:\WINNT\NTDS\ntds.dit
    Log files: C:\WINNT\NTDS
    System files: C:\WINNT\NTDS
    Temp. Database: d:\new\ntds.dit

    Defragmentation Status ( % complete )

    0 10 20 30 40 50 60 70 80 90 100
    |—-|—-|—-|—-|—-|—-|—-|—-|—-|—-|
    ……………………….Operation terminated with error -1601
    (JET
    _errRecordNotFound, The key was not found) after 552.484 seconds.

  10. Mauricio Villagran, disculpa mi demora en contestar pero estuve muy complicado con varios temas de trabajo, con el cambio de empresa he estado muy tapado de trabajo, pero voy respondiendo de a poco a medida que puedo y voy a responder todas las consultas.

    Te paso dos notas que hablan de tu problema y te brindan una posible solucion, te recomiendo leerlas cuidadosamente y trabajar primero en un ambiente de laboratorio para evitar ipacto en tu arquitectura actual. Cualquier inconveniente volve a escribirme.
    * Troubleshooting AD Replication error 8451: The replication operation encountered a database error support.microsoft.com/kb/2645996/en-gb
    * Compact the Directory Database File (Offline Defragmentation) technet.microsoft.com/fr-fr/library/cc794920(v=ws.10).aspx

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del sitio y mi twitter @RaDiansBlog, asi sumamos mas gente. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    En 2014 debido a nuevas disposiciones de la ley Argentina debo afrontar distintos gastos para mantener el blog en funcionamiento. Si te parecio util la informacion del blog hace click en el boton “DONATE”

    Seguimos en contacto! Saludos y gracias!

Comments are closed.