Awaria kontrolera domeny (DC) — co robić krok po kroku
Scenariusz z życia
Telefon o 8:03: „Nikt nie może się zalogować”, „Nie działa drukarka”, „Nie działa mapowany dysk”, „Internet niby jest, ale nic nie działa”.
➡️ 90% przypadków: padł kontroler domeny (Domain Controller).
Twoim zadaniem NIE jest restart wszystkiego. Twoim zadaniem jest ustalić czy domena żyje.
Krok 1 — Czy to na pewno DC
Na dowolnym komputerze: whoami, echo %logonserver%.
Jeśli \\WORKSTATION albo brak → brak DC.
Krok 2 — Czy DNS działa
Najważniejsza rzecz w AD: AD = DNS.
nslookup domena.localnslookup _ldap._tcp.dc._msdcs.domena.local
Brak odpowiedzi = domena nie istnieje dla sieci. Nie sprawdzasz pingu — sprawdzasz rekordy LDAP.
Krok 3 — Czy DC żyje w sieci
ping nazwaDC, ping IP_DC
Jeśli IP odpowiada a nazwa nie → DNS padł. Jeśli nic nie odpowiada → serwer offline / VM wyłączona / VLAN.
Krok 4 — Jeśli masz drugi DC
Firma bez drugiego DC to tykająca bomba. Sprawdzasz: nltest /dsgetdc:domena.local. Jeśli zwraca drugi DC → domena działa. Problem: tylko jeden serwer padł.
Krok 5 — Jeśli to jedyny DC
Tryb awaryjny. Sprawdź serwer fizycznie / konsolą VM. Najczęściej: brak miejsca na C:, zatrzymane usługi AD, Windows Update, uszkodzony SYSVOL, brak DNS.
Na serwerze wykonujesz
Logowanie lokalne: .\Administrator. Potem services.msc. Sprawdzasz: Active Directory Domain Services, DNS Server, Netlogon, Kerberos Key Distribution Center. Jeśli DNS nie działa → nikt się nie zaloguje.
Gdy AD nie startuje
Event Viewer: Directory Service, System, DNS Server. Najczęstszy komunikat: Database dirty shutdown.
Próba naprawy
Najpierw: ipconfig /registerdns, net stop netlogon, net start netlogon. Potem: dcdiag /v — twoje najważniejsze narzędzie admina AD.
Jeśli baza AD uszkodzona
Tryb DSRM (Directory Services Restore Mode) przy starcie. ntdsutil — naprawa bazy lub przywrócenie System State.
Przywracanie z backupu
Przywracasz tylko System State. Nigdy całej maszyny jeśli masz drugi DC — rozwalisz replikację.
Objawy dla użytkowników
| Objaw | Przyczyna |
|---|---|
| brak logowania | brak Kerberos |
| brak dysków | brak GPO |
| drukarki znikają | brak AD |
| długie logowanie | brak DC |
| hasła nie działają | brak KDC |
Najważniejsze myślenie admina
Nie naprawiasz komputera użytkownika. Naprawiasz źródło uwierzytelniania. Gdy DC nie działa — firma nie działa.
INF.02 — co zapamiętać
- AD zależy od DNS
- Kerberos działa tylko z DC
- Logowanie domenowe wymaga KDC
- DSRM do naprawy AD
- dcdiag podstawowe narzędzie
Realna zasada firmowa
Minimalna infrastruktura produkcyjna: 2 × DC, DNS na obu, backup System State. Bez tego firma kiedyś stanie.