AD域控制器引导模式维修核心是进入DSRM后,先用esentutl /g校验ntds.dit完整性,再依损坏程度分层修复:逻辑异常优先用ntdsutil语义分析/fixup,物理损坏则执行esentutl /p修复加/d整理,最后必须验证LDAP查询、事件日志、FSMO角色及复制状态。
ad域控制器在引导模式下维修,核心目标是安全进入修复环境、精准识别问题、执行最小干预操作。这不是常规重启能解决的场景,必须依赖目录服务还原模式(dsrm)和底层工具链,同时避开常见误操作。
很多故障其实不需要进DSRM——比如网络不通、DNS配置错、服务临时卡死。先做三步快速判断:
ping和dir C:
Get-Service NTDS, KDC, Netlogon | Select Name, Status,确认服务是否“Stopped”而非“Starting”只有当lsass.exe报错0xc00002e1、系统反复卡在启动界面、或repadmin /showrepl提示RPC不可用时,才真正需要DSRM。
BIOS阶段按F8选“目录服务还原模式”后,必须用DSRM专用密码登录(不是域管理员密码)。登录后第一件事不是急着还原,而是确认环境可信:
ntdsutil "file maintenance" "info",检查ntds.dit路径、大小、最后一致性检查时间是否合理esentutl /g "C:WindowsNTDSntds.dit"做校验——若返回“Checksum error”,说明物理损坏;若卡住或报“Page not readable”,可能是磁盘坏道repadmin /showrepl:如果还能执行且显示其他DC复制状态正常,说明问题可能局限在本机,优先尝试语义修复而非整库还原修复不是“一刀切”,要按损坏程度选择策略:
ntdsutil "activate instance ntds" "semantic database analysis /fixup" quit quit,自动修复孤儿对象、断裂索引、引用丢失,不删数据,耗时10–45分钟esentutl /p强制修复文件结构,再跟esentutl /d整理碎片,最后ntdsutil "files" "recover"补全日志链wbadmin get versions确认备份时间点,再执行wbadmin start systemstaterecovery -version:xxx -backupTarget:X:,还原后务必立即重做系统状态备份修完重启进正常模式前,漏掉这几步等于白干:
Get-ADUser -Filter * -ResultSetSize 1测试基础LDAP查询是否响应netdom query fsmo确认FSMO角色仍在本机(若已转移,需手动夺回或重新指派)dcdiag /test:replications /test:intersite验证复制链是否恢复不复杂但容易忽略