Domänendienste haben den Dienst quittiert

[tozzy 10]

Hallo zusammen,

 

da unser NAS plötzlich Probleme hatte die Domäne zu erreichen, habe ich unseren DC neu gestartet.

Wenn ich mich direkt am Server anmelde, bekomme ich nachdem Neustart prompt eine Meldung das nicht alle Dienste gestartet werden konnten.

Versuche ich mich per RDP anzumelden, kommt folgende Fehlermeldung:

"Die angebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden."

 

Mir ist aufgefallen das sämtliche Freigaben nicht mehr freigegeben sind. Darunter auch das sysvol-Verzeichnis.

Offensichtlich wurde der entsprechende Dienst auch nicht gestartet.

 

Der Windows-Zeitgeber Dienst ist nicht gestartet. Beim Versuch den zu starten bekomme ich folgende Meldung:

"Es wurde versucht sich anzumelden, aber der Netzwerkanmeldedienst war nicht gestartet."

 

Versuche ich den Anmeldedienst zu starten, bekomme ich folgende Meldung:

"Der Abhängigkeitsdienst oder die Abhängigkeitsgruppe konnte nicht gestartet werden."

 

Der Server-Dienst (lanmanserver) meldet:
"Der Abhängigkeitsdienst ist nicht vorhanden oder wurde zum Löschen markiert."

 

Hat vielleicht jemand eine Idee wie ich die Kiste wieder flott bekomme? :(

 

 

Danke und Gruß

Christian

bearbeitet 15. Mai 2015 von tozzy

[testperson 1.729]

Hi,

 

was findest du denn alles im Ereignisprotokoll des Servers?

Im Worst Case hilft dir vermutlich dein Backup ;)

 

Gruß

Jan

[tozzy 10]

Es gibt kein Backup! Es gibt auch nur einen DC. Und bevor jetzt irgendwelche Kommentare diesbezüglich kommen, ich bin erst seit Montag in der Firma. Entsprechende Pläne habe ich bereits vorbereitet, aber noch nicht umsetzen können.

[Doso 77]

Nochmal neu starten, wenn das auch nicht klappt wird es vmtl. ekelig.

[tozzy 10]

Ich hab den Server inzwischen mehrfach neu gestartet, aber es sind offensichtlich immer die gleichen Dienste die nicht aus den Schuhen kommen.

[lefg 276]

Moin,

 

wurde dann schon mal in die Ereignisanzeige geschaut? Festgestellt, welche Dienst nicht gestartet, welche Abhängigkeiten bestehen, ob es primär an einem Dienst liegt? Und dann warum dieser Dienst nicht startet, wird vielleicht die Datei dazu nicht gefunden?

[tozzy 10]

Die wichtigsten Dienste und Fehlermeldungen habe ich doch bereits im ersten Beitrag angegeben.

Im Moment habe ich keinen Zugriff auf das System, ich wollte aber gleich nochmal hinfahren und einen Blick riskieren.

[lefg 276]

Dann wünsche ich viel Erfolg am Montag.

 

Die Eröffnung habe ich gelesen, daraus ist aber nicht erkennbar, ob die Abhängigkeiten der nicht gestrteten Dienste geprügt, festgestellt, an ob und an welchem Dienst es primär liegt und an dem die genauere Ursache geschlossen.

 

Falls also der Dienst Server nicht gestartet (steht dazu noch etwas in der Ereingnisanzeige?), von welchen anderen Diensten ist dieser abhängig? Möglicherweise kommt man auf diesem Weg weiter.

 

Letztendlich wird aber etwas beschädigt sein, wohl eine Datei, eine exe?

 

Oder liegt es an der Registry? Wurde schon mal versucht der F8-Punkt: Letzte bekannte funktionierende Konfiguration?

 

Wie ist es eigentlich im abgesicherten Modus?

bearbeitet 16. Mai 2015 von lefg

[tozzy 10]

Welcher Dienst der Auslöser für mein Problem ist, habe ich auch noch nicht herausgefunden. :(

Einzig die Tatsache das diverse Dienste nicht gestartet sind und sich auch nicht starten lassen ist bis jetzt sicher.

 

Ich versuche heute noch die Protokolle zu sichten. Sollte ich dabei neue Erkenntnisse sammeln, teile ich diese natürlich sofort.

[mba 133]

Ist zwar nun weniger fachlich, dafür aber eventuell hinsichtlich der Ursache interessant. Wie endete das Arbeitsverhältnis mit Deinem Vorgänger? Nicht dass Du hier auf eine Tretmine gelaufen bist.

[lefg 276]

Meiner Einschätzung wird es wohl auf eine defekte Datei hinauslaufen. Warum ist eine solche aber defekt? Defekt des Datenträgers? Wiederherstellen aus einer Schattenkopie oder vom Installationsdatenträger? Ist der Festplatter noch zu trauen? Chkdsk? Oderi könnte das kontraproduktiv sein? Ob man vom Datenträger vorher ein Abbild auf eine andere Platte macht?

bearbeitet 16. Mai 2015 von lefg

[tozzy 10]

Man hat sich definitiv nicht im Guten getrennt. Deine Vermutung ist also nicht völlig abwegig.

[Sunny61 811]

Gibt es Sicherheitssoftware die auf dem Server läuft? Chkdsk evtl. mal laufen lassen. Bei einem W2003SP2 kann auch eine Reparatur Installation helfen. Aber die Ereignisprotokolle sind jetzt erstmal die wichtigste Anlaufstelle.

[DocData 85]

Man hat sich definitiv nicht im Guten getrennt. Deine Vermutung ist also nicht völlig abwegig.

Dann würde ich da gar nichts mehr machen, sondern Experten für die forensische Beweissicherung heranziehen. Je mehr du am System fummelst, desto wahrscheinlicher wird es, dass man im Zweifel eine Beweise mehr für eine Manipulation findet. Wirtschaftsprüfungsunternehmen, wie z.B. Baker Tilly Roelfs, KPMG oder PWC haben Teams für die Themenbereiche Compliance, Fraud & Risk. Da würde ich schnellstmöglich Kontakt aufnehmen.

[lefg 276]

Bisher gibt es aber kein Indiz für Sabotage.

bearbeitet 16. Mai 2015 von lefg