Fehlermeldung "Der Verzeichnisdienst kann nicht gestartet werden" beim Starten Ihres Windows- oder SBS-basierten Domänencontrollers

Artikel-ID: 258062 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
258062
(http://support.microsoft.com/kb/258062/EN-US/ )
"Directory Services cannot start" error message when you start your Windows-based or SBS-based domain controller
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel führt Sie durch eine Reihe von Schritten, die Ihnen helfen können, die Ursache des Systemfehlers "Der Verzeichnisdienst kann nicht gestartet werden" zu ermitteln. Zu diesen Schritten können gehören:
  • Überprüfen, ob die Active Directory-Verzeichnisdienstdateien vorhanden sind
  • Überprüfen, ob die Dateisystemberechtigungen korrekt sind
  • Überprüfen der Integrität der Active Directory-Datenbank
  • Durchführen einer semantischen Analyse der Datenbank
  • Reparieren der Active Directory-Datenbank
  • Entfernen und Neuerstellen der Active Directory-Datenbank
Dieser Artikel beschreibt außerdem die Verwendung der Dienstprogramme "Ntdsutil" oder "Esentutl" zum Durchführen einer verlustbehafteten Reparatur der Active Directory-Datenbank. Da bei einer verlustbehafteten Reparatur Daten gelöscht werden und neue Probleme entstehen können, führen Sie diese Art der Reparatur nur durch, wenn dies die einzig verfügbare Möglichkeit ist.
Zum Anfang | Ihr Feedback an uns

Problembeschreibung

Wenn Sie Ihren Domänencontroller starten, wird der Bildschirm möglicherweise schwarz, und es wird möglicherweise die folgende Fehlermeldung angezeigt:
LSASS.EXE - Systemfehler. Die Sicherheitskontenverwaltung konnte nicht initialisiert werden, da folgender Fehler aufgetreten ist: Der Verzeichnisdienst kann nicht gestartet werden. Fehlerstatus: 0xc00002e1.

Klicken Sie auf "OK", um das System herunterzufahren, und wählen Sie beim nächsten Neustart "Verzeichnisdienste wiederherstellen". Weitere Informationen finden Sie im Ereignisprotokoll.
Außerdem können im Ereignisprotokoll Ereignismeldungen protokolliert werden, die in etwa folgenden Wortlaut haben:

Ereigniskennung: 700
Beschreibung: "NTDS (260) Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank NTDS.DIT begonnen."

Ereigniskennung: 701
Beschreibung: "NTDS (268) Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank 'C:\WINNT\NTDS\ntds.dit' abgeschlossen."

Ereigniskennung: 101
Beschreibung: "NTDS (260) Das Datenbankmodul wird angehalten."

Ereigniskennung: 1004
Beschreibung: "Das Verzeichnis wurde ordnungsgemäß heruntergefahren."

Ereigniskennung: 1168
Beschreibung: "Es ist der Fehler 1032 (fffffbf8) aufgetreten. (Interne Kennung 4042b). Wenden Sie sich an Microsoft Support Services."

Ereigniskennung: 1103
Beschreibung: "Die Windows-Verzeichnisdienst-Datenbank konnte nicht initialisiert werden und hat den Fehler 1032 zurückgegeben. Dieser Fehler ist nicht behebbar, und der Verzeichnisdienst kann nicht mehr ausgeführt werden."

Zum Anfang | Ihr Feedback an uns

Ursache

Dieses Problem tritt auf, wenn mindestens eine der folgenden Bedingungen vorliegt:
  • Die NTFS-Dateisystemberechtigungen für den Stamm des Laufwerks sind zu restriktiv.
  • Die NTFS-Dateisystemberechtigungen für den NTDS-Ordner sind zu restriktiv.
  • Der Laufwerkbuchstabe des Volumes, das die Active Directory-Datenbank enthält, hat sich geändert.
  • Die Active Directory-Datenbank (Ntds.dit) ist beschädigt.
  • Der NTDS-Order ist komprimiert.
Zum Anfang | Ihr Feedback an uns

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Starten Sie den Domänencontroller neu.
  2. Wenn die BIOS-Informationen angezeigt werden, drücken Sie die Taste [F8].
  3. Wählen Sie Verzeichnisdienste wiederherstellen, und drücken Sie anschließend die [EINGABETASTE].
  4. Melden Sie sich mit dem Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus an.

    Hinweis: Wenn die Anmeldung fehlschlägt, lesen Sie den folgenden Artikel der Microsoft Knowledge Base:
    249321
    (http://support.microsoft.com/kb/249321/DE/ )
    Keine Anmeldung möglich, wenn sich der Laufwerkbuchstabe der Startpartition geändert hat
  5. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
  6. Geben Sie in der Eingabeaufforderung ntdsutil files info ein.

    Es werden Informationen angezeigt, die den folgenden ähneln:
    Drive Information:

        C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)

DS Path Information:

        Database   : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb
        Backup dir : C:\WINDOWS\NTDS\dsadata.bak
        Working dir: C:\WINDOWS\NTDS
        Log dir    : C:\WINDOWS\NTDS - 42.1 Mb total
                        temp.edb - 2.1 Mb
                        res2.log - 10.0 Mb
                        res1.log - 10.0 Mb
                        edb00001.log - 10.0 Mb
                        edb.log - 10.0 Mb

    Hinweis: Die in dieser Ausgabe enthaltenen Dateipfade stehen auch unter dem folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    Die folgenden Einträge in diesem Schlüssel enthalten die Dateipfade:
    • Pfad der Datenbank-Sicherungskopie
    • Pfad der Datenbank-Protokolldateien
    • DSA-Arbeitsverzeichnis
  7. Vergewissern Sie sich, dass die in der Ausgabe in Schritt 6 aufgelisteten Dateien vorhanden sind. Wenn die Dateien nicht vorhanden sind, führen Sie die Schritte aus dem folgenden Artikel der Microsoft Knowledge Base aus:
    240362
    (http://support.microsoft.com/kb/240362/DE/ )
    Wenn Ntds.dit File nicht vorhanden ist, wird Verzeichnis-Dienst nicht gestartet
  8. Vergewissern Sie sich, dass die Ordner in der Ntdsutil-Ausgabe die korrekten Berechtigungen haben. Die korrekten Berechtigungen sind in den folgenden Tabellen angegeben.

    Windows Server 2003

    Tabelle minimierenTabelle vergrößern
    KontoBerechtigungenVererbung
    SystemVollzugriffDieser Ordner, Unterordner und Dateien
    AdministratorenVollzugriffDieser Ordner, Unterordner und Dateien
    Ersteller-BesitzerVollzugriffNur Unterordner und Dateien
    Lokaler DienstOrdner erstellen/Daten anhängenDieser Ordner und Unterordner

    Windows 2000

    Tabelle minimierenTabelle vergrößern
    KontoBerechtigungenVererbung
    AdministratorenVollzugriffDieser Ordner, Unterordner und Dateien
    SystemVollzugriffDieser Ordner, Unterordner und Dateien
    Hinweis: Außerdem benötigt das Systemkonto Vollzugriff-Berechtigungen für die folgenden Ordner:
    • Der Stamm des Laufwerks, das den Ordner "Ntds" enthält
    • Der Ordner "%WINDIR%"
    In Windows Server 2003 hat der Ordner "%WINDIR%" den Standardpfad "C:\WINDOWS". In Windows 2000 hat der Ordner "%WINDIR%" den Standardpfad "C:\WINNT".
  9. Überprüfen Sie die Integrität der Active Directory-Datenbank. Geben Sie hierzu in der Eingabeaufforderung ntdsutil files integrity ein.

    Wenn die Integritätsprüfung keine Fehler ergibt, starten Sie den Domänencontroller im Normalmodus neu. Wenn die Integritätsprüfung nicht ohne Fehler abgeschlossen wird, fahren Sie mit den folgenden Schritten fort.
  10. Führen Sie eine semantische Analyse der Datenbank durch. Geben Sie hierzu in der Eingabeaufforderung den folgenden Befehl ein (einschließlich der Anführungszeichen):
    ntdsutil "sem d a" go
  11. Wenn die semantische Analyse der Datenbank keine Fehler ergibt, fahren Sie mit den folgenden Schritten fort. Wenn bei der Analyse Fehler gemeldet werden, geben Sie in der Eingabeaufforderung den folgenden Befehl ein (einschließlich der Anführungszeichen):
    ntdsutil "sem d a" "go f"
  12. Führen Sie eine Offline-Defragmentierung der Active Directory-Datenbank durch. Gehen Sie hierzu nach den Schritten im folgenden Artikel der Microsoft Knowledge Base vor:
    232122
    (http://support.microsoft.com/kb/232122/DE/ )
    Offline-Defragmentierung der Active Directory-Datenbank
  13. Wenn das Problem nach der Offline-Defragmentierung immer noch besteht und es andere funktionsfähige Domänencontroller in derselben Domäne gibt, entfernen Sie Active Directory vom Server, und installieren Sie Active Directory anschließend neu. Befolgen Sie hierzu die im Abschnitt "Abhilfe" angegebenen Schritte des folgenden Artikels der Microsoft Knowledge Base:
    332199
    (http://support.microsoft.com/kb/332199/DE/ )
    Domänencontroller können durch Verwendung des Active Directory-Installationsassistenten für eine erzwungene Herabstufung in Windows Server 2003 und Windows 2000 Server nicht herabgestuft werden
    Hinweis: Wenn Ihr Domänencontroller Microsoft Small Business Server ausführt, können Sie diesen Schritt nicht durchführen, weil Small Business Server nicht als zusätzlicher Domänencontroller (Replikat) zu einer vorhandenen Domäne hinzugefügt werden kann. Wenn Sie eine Systemstatus-Sicherung haben, die neuer als die Tombstone-Lebensdauer ist, stellen Sie den Systemstatus anhand der Sicherung wieder her, statt Active Directory vom Server zu entfernen. Die Tombstone-Lebensdauer beträgt standardmäßig 60 Tage.

    Weitere Informationen dazu, wie Sie den Systemstatus mit einer Sicherungskopie wiederherstellen, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    240363
    (http://support.microsoft.com/kb/240363/DE/ )
    SO WIRD'S GEMACHT: Sicherung und Wiederherstellung des Windows 2000-Systemzustands mithilfe des Windows 2000-Sicherungsprogramms
  14. Wenn keine Systemstatus-Sicherung verfügbar ist und es keine weiteren funktionsfähigen Domänencontroller in der Domäne gibt, sollten Sie die Domäne neu erstellen, indem Sie Active Directory entfernen und anschließend auf dem Server neu installieren, um eine neue Domäne zu erstellen. Sie können den alten Domänennamen oder einen neuen Domänennamen verwenden. Sie können die Domäne auch neu erstellen, indem Sie eine Neuformatierung durchführen und Windows auf dem Server neu installieren. Die Entfernung von Active Directory geht jedoch schneller; außerdem wird dabei die beschädigte Active Directory-Datenbank effektiv entfernt.

    Wenn keine Systemstatus-Sicherung verfügbar ist, es keine weiteren funktionsfähigen Domänencontroller in der Domäne gibt und der Domänencontroller sofort funktionsfähig sein muss, führen Sie eine verlustbehaftete Reparatur mithilfe von "Ntdsutil" oder "Esentutl" durch.

    Hinweis: Microsoft unterstützt keine Konfiguration mit denselben Domänencontrollern, nachdem "Ntdsutil" oder "Esentutl" zum Reparieren einer beschädigten Active Directory-Datenbank verwendet wurden. Wenn Sie eine solche Reparatur durchführen, müssen Sie den Domänencontroller für Active Directory neu erstellen, um eine unterstützte Konfiguration zu erhalten. Der Reparaturbefehl in "Ntdsutil" verwendet das Programm "Esentutl", um eine verlustbehaftete Reparatur der Datenbank durchzuführen. Bei dieser Reparatur werden Beschädigungen behoben, indem Daten aus der Datenbank gelöscht werden. Daher sollte diese Reparatur nur als letzte Möglichkeit angewendet werden.

    Der Domänencontroller könnte zwar nach der Reparatur wieder gestartet werden und korrekt funktionieren, befindet sich aber dennoch in einem nicht unterstützten Zustand, weil die Löschung von Daten aus der Datenbank zu diversen Problemen führen kann, die sich erst später äußern können. Es gibt keine Möglichkeit festzustellen, welche Daten bei der Reparatur der Datenbank gelöscht wurden. Sie müssen sobald wie möglich nach der Reparatur die Domäne neu erstellen, um wieder eine unterstützte Active Directory-Konfiguration zu erhalten. Wenn Sie nur die oben erwähnten Methoden der Offline-Defragmentierung oder semantischen Datenbankanalyse anwenden, brauchen Sie den Domänencontroller anschließend nicht neu zu erstellen.
  15. Wenden Sie sich vor der Durchführung einer verlustbehafteten Reparatur an Microsoft Support Services, um sicherzustellen, dass alle verfügbaren Wiederherstellungsoptionen geprüft wurden und dass die Datenbank tatsächlich nicht wiederhergestellt werden kann. Sie erhalten eine vollständige Liste mit Telefonnummern der Microsoft Support Services unter der folgenden Adresse im World Wide Web:
    http://go.microsoft.com/fwlink/?LinkID=117306
    (http://support.microsoft.com/default.aspx?scid=fh;en-us;cntactms)
    Auf einem Domänencontroller, der auf Windows 2000 Server basiert, verwenden Sie "Ntdsutil", um die Active Directory-Datenbank wiederherzustellen. Geben Sie hierzu im Verzeichnisdienst-Wiederherstellungsmodus in der Eingabeaufforderung ntdsutil files repair ein.

    Um einen Domänencontroller, der auf Windows 2003 Server basiert, mit einem gewissen Verlustrisiko zu reparieren, verwenden Sie das Tool "Esentutl.exe", um die Active Directory-Datenbank wiederherzustellen. Geben Sie hierzu auf einem Windows Server 2003-Domänencontroller an einer Eingabeaufforderung den Befehl esentutl /p ein.
  16. Benennen Sie nach dem Abschluss des Reparaturvorgangs die LOG-Dateien im Ordner "NTDS" um, indem Sie eine andere Erweiterung wie z. B. ".bak" verwenden, und versuchen Sie den Domänencontroller im Normalmodus zu starten.
  17. Wenn Sie den Domänencontroller nach der Reparatur im Normalmodus starten können, migrieren Sie sobald wie möglich relevante Active Directory-Objekte in eine neue Gesamtstruktur. Da bei der Methode der verlustbehafteten Reparatur Beschädigungen durch Löschen von Daten behoben werden, können später Probleme auftreten, die extrem schwer zu behandeln sind. Deshalb müssen Sie bei der ersten Gelegenheit nach der Reparatur die Domäne neu erstellen, um wieder eine unterstützte Active Directory-Konfiguration zu erhalten.

    Sie können Benutzer, Computer und Gruppen mit dem Active Directory-Migrationsprogramm (ADMT), mit "Ldifde" oder einem Fremdanbieter-Migrationsprogramm migrieren. ADMT kann Benutzerkonten, Computerkonten und Sicherheitsgruppen mit oder ohne den SID-Verlauf migrieren. ADMT migriert auch Benutzerprofile. Für die Verwendung von ADMT in einer Small Business Server-Umgebung lesen Sie bitte das Whitepaper "Migrating from Small Business Server 2000 or Windows 2000 Server" (Migration von Small Business Server 2000 oder Windows 2000 Server). Sie finden dieses Whitepaper auf der folgenden Website von Microsoft:
    http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx
    (http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx)
    Mit "Ldifde" können Sie viele Objekttypen von der beschädigten Domäne exportieren und in die neue Domäne importieren. Zu diesen Objekten gehören Benutzerkonten, Computerkonten, Sicherheitsgruppen, Organisationseinheiten, Active Directory-Standorte, Subnetze und Standortverknüpfungen. Die Migration des SID-Verlaufs ist mit "Ldifde" nicht möglich. "Ldifde" ist eine Komponente von Windows 2000 Server und Windows Server 2003. Weitere Informationen zum Verwenden von Ldifde finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    237677
    (http://support.microsoft.com/kb/237677/DE/ )
    Importieren und Exportieren von Verzeichnisobjekten in bzw. aus Active Directory mit LDIFDE
    Sie können die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden, um das Dateisystem und den Active Directory-Abschnitt des Gruppenrichtlinienobjekts aus der beschädigten Domäne zu exportieren und in die neue Domäne zu importieren.

    Sie erhalten die GPMC auf der folgenden Website von Microsoft:
    http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
    (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)
    Informationen zum Migrieren von Gruppenrichtlinienobjekten mit der GPMC können Sie dem Whitepaper "Migrate GPOs across domains with GPMC" entnehmen. Sie finden dieses Whitepaper auf der folgenden Website von Microsoft:
    http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx
    (http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx)
  18. Überprüfen Sie nach der Wiederherstellung Ihren aktuellen Sicherungsplan, um sicherzustellen, dass ausreichend häufige Systemstatus-Sicherungen geplant sind. Systemstatus-Sicherungen sollten mindestens einmal täglich oder nach jeder signifikanten Änderung eingeplant werden. Systemstatus-Sicherungen müssen den erforderlichen Fehlertoleranzlevel enthalten. Speichern Sie zum Beispiel keine Sicherungen auf einem Laufwerk des Computers, den Sie sichern. Verwenden Sie wenn möglich mehr als einen Domänencontroller, um das Risiko eines Totalverlusts durch Fehlfunktionen an einem einzigen Punkt zu vermeiden. Speichern Sie Sicherungen an einem anderen Ort, damit Sie Ihr System auch dann wiederherstellen können, wenn der zu sichernde Standort von einer größeren Katastrophe (Brand, Diebstahl, Überschwemmung, Computerdiebstahl) betroffen wurde. Auf den folgenden Websites von Microsoft erhalten Sie Unterstützung bei der Einrichtung eines Sicherungsplans. Weitere Informationen zur Wiederherstellung bei Active Directory finden Sie auf folgender Website von Microsoft:
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en
    (http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en)
Zum Anfang | Ihr Feedback an uns

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
318116
(http://support.microsoft.com/kb/318116/DE/ )
Probleme mit Jet-Datenbank auf komprimierten Laufwerken
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 258062 - Geändert am: Dienstag, 20. Mai 2008 - Version: 13.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Small Business Server 2000 Standard Edition
Keywords: 
kbacl kbenv kberrmsg kbprb kbsecconfiged KB258062
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang