Heute habe ich an einem SBS 2008 (einziger Domain Controller der Domäne) ca. 10 Windows-Updates installiert und anschließend den Server neu gestartet. Der Neustart hat auffällig lange gedauert, führte aber irgendwann zum normalen „Strg-Alt-Entf“ Bildschirm.
Nach Eingabe von Name und Kennwort erscheint die Fehlermeldung „Es stehen momentan keine Anmeldeserver zur Verfügung„. Zugriff per Remote Desktop war nicht möglich und der DNS auf dem Server lief auch nicht.
In einem Blog-Posting habe ich die Lösung gefunden: Domain Controller glauben manchmal immer im „Active Directory Reperatur Modus“ starten zu müssen. Und in diesem Modus kann man sich am Active Directory nicht anmelden. Die Lösung war den Server im Verzeichnisdienstwiederherstellungsmodus hochzufahren (über F8). Das führt wieder zum ganz normalen „Strg-Alt-Entf“ Bildschirm, an dem man sich in diesem Modus aber mit dem Benutzer RECHNERNAME\Administrator (oder .\Administrator) und dem Verzeichnisdienstwiederherstellungs-Kennwort (das bei der Installation hoffentlich dokumentiert wurde) lokal an dem Server anmelden kann. Nach den Anmeldung kann man dann MSCONFIG starten und dort auf dem Reiter „Start“ das Häkchen bei „Abgesicherter Start“ entfernen. Nach dem nächsten Neustart kann man sich dann wieder ganz normal an dem Server anmelden.
Wenn man das Verzeichnisdienstwiederherstellungs-Kennwort eines Domain Controllers nicht mehr kennt, sollte man es unbedingt – solange man noch normalen Zugriff auf diesen Domain Controller hat – wie hier beschrieben per ntdsutil zurücksetzen und dokumentieren!
In dem gleichen Blog habe ich ein hochinteressantes Posting gefunden wie man (wenn man physikalischen Zugang zu einem Server hat) zu einer Eingabeaufforderung mit Systemrechten kommt ohne ein Kennwort zu kennen und ohne ein vorhandenes Kennwort zurückzusetzen.