L’azienda per la quale lavoro è dotata di una infrastruttura Active Directory distribuita sul territorio.
Recentemente un domain controller (DC) di un uffico periferico ha mostrato alcuni errori e esperienze passate mi hanno indotto a pensare ad una possibile corruzione del database di Active Directory.
Normalmente i vari passaggi avrebbero previsto il boot in “Directory Service Restore Mode” (accesso ottenuto premendo F8 durante la fase di avvio) e l’uso di Ntdsutil per la verifica di integrità del database, ma in questo caso, fuori dai “normali” orari di lavoro in cui nell’uffico remoto non c’era nessuno che potesse aiutarmi, il solo accesso possibile restava Terminal Services.
Cercando una possibile scappatoia, mi sono ricordato di un vecchio documento dove avevo appuntato i parametri possibili del file “boot.ini”, ed ecco trovato il workaround.

1. Su “Esegui” digitate Mstsc /console
2. Inserite il FQDN o indirizzo IP del server remoto
3. Fate logon al DC utilizzando un utente di dominio
4. Su “Esegui” (DC) digitate notepad %HOMEDRIVE%boot.ini
5. Aggiungete la seguente stringa in fondo all’ultima riga del boot.ini

Ottenendo un risultato simile a questo:

6. Riavviate il server
7. Ripetete i punti 1 e 2
8. Dopo la riconnessione, in “Safe Mode“, fate logon con un account per la modalità ripristino servizi directory (non un account di Active Directory) utilizzando la password inserita nel corso del processo di promozione del controller di dominio.
9. Aprite una console (cmd.exe) e digitate Ntdsutil + Invio
10. Digitate Files + Invio
11. Digitate Integrity , per verificare il database.
12. Al termine premete q + Invio per tornare al menu precedente
13. Premete ancora q + Invio per uscire da Ntdsutil.
14. Modificare il boot.ini rimuovendo la stringa aggiunta in precedenza
15. Riavviare il DC.

Molto spesso è sufficiente mettere il database offline ed eseguire la verifica di integrità appena descritta per risolvere buona parte dei problemi che possono verificarsi al database di AD.