Упал контроллер домена (на одно колено)
 

поискал - не нашел похожей темы, может светлые головы подскажут (направление решения)
жил да был домен - 2 контроллера - 2003 standard, он же терминальный сервер, и 2003 enterprise - он же ISA, он же держатель всех 5 ролей FSMO
и случились на ISA вирусы (а не было там антивируса) и умерли административные шары ( C$, D$, ADMIN$ etc) и стало грусно домену.
Перестал он авторизировать пользователей, стали они по локальным кешам заходить в домен.
Тут появился я ( ;) )....(дня через 2-3 после трагедии)
вирусы поубивал, веточку в реестре которая за админ шары отвечает востановил, но оказалось что синхронизация AD уже не идет, хотя сеть живет, но не авторизует; и время от одного источника синхронизировал.
Держатель ролей роли держит и про себя говорит все ок (хотя на него терминально попасть можно, а вот с него по сети уже нет), а вот второй заплутал немного и ничего вразумительного про хозяина операций сказать не может.
Я их под белы ручки и акронисом в образ, да под vmware развернул - загрузились, живут потихоньку (так же плохо как и в оригиналы).
А хозяин домена (реальный, живой) пароль админа домена мне не сказал ( ищет человека кто домен ставил).
Решил я пароль сбросить - загрузился на терминал winkey 8.x и пробую сбросить пароль, а он мне и говорит: - а у вас молоко сбежало, в смысле база AD повреждена, ничего сделать не смогу.
Тогда я ISA сервер тем же маневром - он с радостью готов пароль сбросить.

Вот сижу я и думаю - а что лучше сделать то ?
Мысли такие:
1. на терминальном сервере загрузиться в режиме востановления AD (если как и обещяли пароль найдут) и попробовать востановить
2. на ISA пароль админа сбросить, роли насильно перехватить, второго друга из домена выгнать, AD, DNS подчистить и по новой ввести ( с терминальными учетками правда по полной огребу)
3. ....... на этом мысль заканчивается .......

Если кто знает подскажите, не дайте умереть в потемках

Вот это ОЧЕНЬ нехорошо... Синхронизацию можно было попробовать подтолкнуть с помощью replmon.exe. Роли если уж и перетягивать, то не на ISA, а на обычный сервак. Попробуйте понизить не-ISA, если останутся хвосты, убейте с помощью ntdsutil.exe, потом поднимайте как дополнительный, если AD еще жива. Если нет, то пробуйте это, к примеру.

"Нормальные Герои всегда идудт в обход" :)
Я бы сделал следующее.
1. Инсталировал на какаом то ПК новый 2003 Интерпраз
2. задисипромил бы его до роли ДК
3. ПопробЫвал бы передать роли от ISA на новый ДК.
4. После чего можно понизить в роли Терминал до простого мембера. (и ввобще, использовать сервер с удаленным доступом в роли ДК- не очень хорошо)
5. Для работы в "Рекавери.." нужен :рекавери пассворд", как его поменять, если не знаешь, можно сдесь увидеть: http://support.microsoft.com/kb/322672

Igor533, monkkey, Спасибо за поддержку

monkkey, я знаю что не хорошо, но это было мое знакомство с данными серверами
Igor533,
пароль поменял, как у МС написано, но его не принимает

Не принимает когда, когда ты через рекавери консоль делаешь репеир директори, или когда ты логинешься в домен?
Логин пасворд админа он другой, если его не знаешь, но есть пассворд другого юзвреря с административными правами, то поменяй пароль админа

Ситуация прояснилась и выправилась - оказалось что кроме административных шар в политиках были убиты все sid-ы
после востановления sid-ов с живого сервера все пошло нормально

dim-soft,
Это как это Вы сиды воссановили?!

Butunin Klim, с соседнего сервера посмотрели какие должны быть в разделе сетевой доступ и по образу и подобию свои прописали.
sid были из политик стерты, всего 2 sida осталось