Как восстановить базу Active Directory?

Question

[IdFox]

День добрый
Подскажите как мне быть

Что имелось изначально
Один контроллер домена SERVER и на нем битая база AD
Постоянно сыпались ошибки, что битые индексы (но тьфу тьфу все работало)
Я даже нашел пару битых объектов, из-за которых эти ошибки идут
Например компьютер не удаляется (в том числе и через adsiedit, неудаляемые DNS зоны и т.д)

Что было сделано
Поднят второй контроллер домена
Переброшены на него все FSMO роли + GC (имя второго компа - SERVER2)
Однако первичная репликация не проходит
Все одна только ошибка

=============
Локальному серверу службы каталогов не удалось загрузить изменения, запрошенные для следующего раздела каталога.
По этой причине не удалось отправить запросы на изменения серверу службы каталогов по следующему сетевому адресу.
Раздел каталога:
DC=DomainDnsZones,DC=ap47,DC=local
=============

Т.е как и говорил ранее - битые DomainDnsZones
Через adsiedit по контексту DC=DomainDnsZones,DC=ap47,DC=local заходит нормально (на SERVER)
Есть объекты и т.д (в том числе и не удаляемые изза битой структуры, при попытке удаления - авария сервера и прочие ошибки)
На SERVER2 по данному пути пусто, - ничего не отреплицировалось само собой
Думал, что одна ошибка не так фатальна (если что и сам набью структуру на новом сервере)
Пробую удалить AD с SERVER через dcpromo
Сделать также этого не могу. Ругается что не переданы все данные ( скрин https://cloud.mail.ru/public/FUy1/sXcKmPStV )
В общем подскажите что можно сделать в данной ситуации?
Если ничего уже не поможет, буду делать через "dcpromo /forceremoval", но очень не охота потом все останки вычищать
Тем более, что потом сервер снова вводить нужно будет с AD
А думаю идентификаторы все перебьются на новые и вдруг где не почищу будут и новые и старые фантомные

В общем, подскажите как быть?
- Быть может можно репликацию принудительно поставить что она успешно завершена и таким образом потом вывести из домена сервер
- Или же DC=DomainDnsZones,DC=ap47,DC=local как то переименовать?
Не совсем пойму как это сделать, т.к это партиция
Не F2 и вписать DC=DomainDnsZones_OLD,DC=ap47,DC=local же...
Т.е нужно как то ее пересоздать
Удалить опять же не получается
===
dnscmd /DeleteDirectoryPartition DomainDnsZones.ap47.local

Не удалось удалить раздел каталога: DomainDnsZones.ap47.local
состояние = 9005 (0x0000232d)
Команда не выполнена: RCODE_REFUSED 9005 0x232D
===

Спасибо за любой совет

Comments

[IdFox]

Не скажу, что не выполнимо, но немного напряжно )
Порядка 50 пользователей / 100 компьютеров

[074909]

Проверьте целостность базы esentutl:
https://www.google.com.ua/search?q=esentutl#q=esen...

Положите на какой-нибудь pastebin/zerobin обезличенный вывод dcdiag c проблемного DC и дополните вопрос ссылкой на него.

[IdFox]

По поводу esentutl ругается что база битая
Это я итак уже делал, когда пытался восстановить
MS советует выполнить OffLine дефрагментацию
Это также не получается

==========================
Запуск режима ДЕФРАГМЕНТАЦИИ...
Исходная база данных: C:\Windows\NTDS\ntds.dit
Конечная база данных: d:\ntds.dit

Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|----|----|----|----|----|----|----|----|----|----|
.............
Операция прекращена с ошибкой -1605( JET_errKeyDuplicate, Illegal duplicate key ).
file maintenance: quit
==========================

>> обезличенный вывод dcdiag c проблемного DC
Да чего там в принципе обезличивать, имя домена только если
Тем более что там все нормально...

С первого контроллера https://cloud.mail.ru/public/En7C/URb6dC2x2
Со второго контроллера https://cloud.mail.ru/public/CQLe/93PhND9JE (Там только ошибка, описанная выше)

Answer 1

[Иван]

Не пробовали поработать с утилитой Esentutl? https://technet.microsoft.com/en-us/library/hh8755...
Для начала конечно снять бэкап с сервера...