Erreur lorsque vous démarrez votre contrôleur de domaine Windows : Les services d’annuaire ne peuvent pas démarrer

Cet article explique comment effectuer une récupération à partir d’une base de données Active Directory endommagée ou d’un problème similaire qui empêche votre ordinateur de démarrer en mode normal.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 258062

Résumé

Cet article vous guide tout au long d’une série d’étapes qui peuvent vous aider à diagnostiquer la cause de l’erreur système des services d’annuaire. Ces étapes peuvent inclure :

• Vérification de l’existence des fichiers du service d’annuaire Active Directory.
• Vérification que les autorisations du système de fichiers sont correctes.
• Vérification de l’intégrité de la base de données Active Directory.
• Exécution d’une analyse sémantique de base de données.
• Réparation de la base de données Active Directory.
• Suppression et recréation de la base de données Active Directory.

Cet article explique également comment utiliser Ntdsutil ou Esentutl pour effectuer une réparation avec perte de la base de données Active Directory. Étant donné qu’une réparation avec perte supprime des données et peut introduire de nouveaux problèmes, n’effectuez une réparation avec perte que s’il s’agit de la seule option disponible.

Symptômes

Lorsque vous démarrez votre contrôleur de domaine, l’écran peut s’afficher vide et le message d’erreur suivant peut s’afficher :

LSASS.EXE - Erreur système, l’initialisation du gestionnaire de comptes de sécurité a échoué en raison de l’erreur suivante : Les services d’annuaire ne peuvent pas démarrer. Erreur status 0xc00002e1.

Cliquez sur OK pour arrêter ce système et redémarrer en mode de restauration des services d’annuaire, case activée le journal des événements pour obtenir des informations plus détaillées.

En outre, les messages d’ID d’événement suivants peuvent apparaître dans le journal des événements :

ID d’événement : 700
Description : « NTDS (260) La défragmentation en ligne commence une transmission de base de données NTDS. DIT. »
ID d’événement : 701
Description : « NTDS (268) La défragmentation en ligne a terminé une transmission complète sur la base de données 'C :\WINNT\NTDS\ntds.dit'. »
ID d’événement : 101
Description : « NTDS (260) le moteur de base de données s’est arrêté. »
ID d’événement : 1004
Description : « Le répertoire a été arrêté avec succès ».
ID d’événement : 1168
Description : « Erreur : 1032 (fffffbf8) s’est produite. (ID interne 4042b). Contactez les services de support technique Microsoft pour obtenir de l’aide. »
ID d’événement : 1103
Description : « Impossible d’initialiser la base de données des services d’annuaire Windows et de retourner l’erreur 1032. Erreur irrécupérable, le répertoire ne peut pas continuer. »

Cause

Ce problème se produit car une ou plusieurs des conditions suivantes sont remplies :

• Les autorisations du système de fichiers NTFS à la racine du lecteur sont trop restrictives.
• Les autorisations du système de fichiers NTFS sur le dossier NTDS sont trop restrictives.
• La lettre de lecteur du volume qui contient la base de données Active Directory a changé.
• La base de données Active Directory (Ntds.dit) est endommagée.
• Le dossier NTDS est compressé.

Résolution

Pour résoudre ce problème, procédez comme suit :

1. Redémarrez le contrôleur de domaine.

2. Lorsque les informations du BIOS s’affichent, appuyez sur F8.

3. Sélectionnez Mode de restauration des services d’annuaire, puis appuyez sur Entrée.

4. Ouvrez une session à l’aide du mot de passe du mode de restauration des services d’annuaire.

5. Cliquez sur Démarrer, sélectionnez Exécuter, tapez cmd dans la zone Ouvrir , puis cliquez sur OK.

6. À l’invite de commandes, tapez informations sur les fichiers ntdsutil.

   Une sortie similaire à ce qui suit s’affiche :

   Informations sur le lecteur :

   C :\ NTFS (Lecteur fixe ) free (533,3 Mo) total (4,1 Go)

   Informations sur le chemin d’accès DS :

   Base de données : C :\WINDOWS\NTDS\ntds.dit - 10,1 Mo Rép de sauvegarde : C :\WINDOWS\NTDS\dsadata.bak Rép de travail : C :\WINDOWS\NTDS Log dir : C :\WINDOWS\NTDS S - 42,1 Mo au total temp.edb - 2,1 Mo res2.log - 10,0 Mo res1.log - 10,0 Mo edb00001.log - 10,0 Mo edb.log - 10,0 Mo

   Remarque

   Les emplacements de fichiers inclus dans cette sortie se trouvent également dans la sous-clé de Registre suivante :
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

   Les entrées suivantes de cette clé contiennent les emplacements des fichiers :

   • Chemin d’accès de la sauvegarde de base de données
   • Chemin des fichiers journaux de base de données
   • Répertoire de travail DSA

7. Vérifiez que les fichiers répertoriés dans la sortie de l’étape 6 existent.

8. Vérifiez que les dossiers de la sortie Ntdsutil disposent des autorisations appropriées. Les autorisations appropriées sont spécifiées dans les tableaux suivants.

   Windows Server 2003

   Compte	Autorisations	Héritage
   Système	Contrôle total	Ce dossier, sous-dossiers et fichiers
   Administrateurs	Contrôle total	Ce dossier, sous-dossiers et fichiers
   Propriétaire du créateur	Contrôle total	Sous-dossiers et fichiers uniquement
   Local Service	Créer des dossiers / Ajouter des données	Ce dossier et sous-dossiers

   Windows 2000

   Compte	Autorisations	Héritage
   Administrateurs	Contrôle total	Ce dossier, sous-dossiers et fichiers
   Système	Contrôle total	Ce dossier, sous-dossiers et fichiers

   Remarque

   En outre, le compte système nécessite des autorisations Contrôle total sur les dossiers suivants :

   • Racine du lecteur qui contient le dossier Ntds
   • Dossier %WINDIR%

   Dans Windows Server 2003, l’emplacement par défaut du dossier %WINDIR% est C :\WINDOWS. Dans Windows 2000, l’emplacement par défaut du dossier %WINDIR% est C :\WINNT.

9. Vérifiez l’intégrité de la base de données Active Directory. Pour ce faire, tapez ntdsutil files integrity à l’invite de commandes.

   Si le case activée d’intégrité n’indique aucune erreur, redémarrez le contrôleur de domaine en mode normal. Si le case activée d’intégrité ne se termine pas sans erreurs, passez aux étapes suivantes.

10. Effectuer une analyse sémantique de base de données. Pour ce faire, tapez la commande suivante à l’invite de commandes, y compris les guillemets :

    ntdsutil "sem d a" go
    

11. Si l’analyse sémantique de la base de données n’indique aucune erreur, passez aux étapes suivantes. Si l’analyse signale des erreurs, tapez la commande suivante à l’invite de commandes, y compris les guillemets :

    ntdsutil "sem d a" "go f"
    

12. Suivez les étapes décrites dans l’article suivant de la Base de connaissances Microsoft pour effectuer une défragmentation hors connexion de la base de données Active Directory :

    232122 La défragmentation hors connexion de la base de données Active Directory

13. Si le problème persiste après la défragmentation hors connexion et qu’il existe d’autres contrôleurs de domaine fonctionnels dans le même domaine, supprimez Active Directory du serveur, puis réinstallez Active Directory. Pour ce faire, suivez les étapes décrites dans la section « Solution de contournement » de l’article suivant de la Base de connaissances Microsoft :

    332199 contrôleurs de domaine ne rétrogradent pas correctement lorsque vous utilisez l’Assistant Installation d’Active Directory pour forcer la rétrogradation dans Windows Server 2003 et windows 2000 Server

    Remarque

    Si votre contrôleur de domaine exécute Microsoft Small Business Server, vous ne pouvez pas effectuer cette étape, car Small Business Server ne peut pas être ajouté à un domaine existant en tant que contrôleur de domaine supplémentaire (réplica). Si vous disposez d’une sauvegarde de l’état du système plus récente que la durée de vie tombstone, restaurez cette sauvegarde de l’état du système au lieu de supprimer Active Directory du serveur. Par défaut, la durée de vie de la pierre tombstone est de 60 jours.

14. Si aucune sauvegarde de l’état du système n’est disponible et qu’il n’existe aucun autre contrôleur de domaine sain dans le domaine, nous vous recommandons de reconstruire le domaine en supprimant Active Directory, puis en réinstallant Active Directory sur le serveur, en créant un domaine. Vous pouvez réutiliser l’ancien nom de domaine ou utiliser un nouveau nom de domaine. Vous pouvez également reconstruire le domaine en reformatant et en réinstallant Windows sur le serveur. Toutefois, la suppression d’Active Directory est plus rapide et supprime efficacement la base de données Active Directory endommagée.

    Si aucune sauvegarde de l’état du système n’est disponible, il n’y a pas d’autres contrôleurs de domaine sains dans le domaine et que le contrôleur de domaine doit fonctionner immédiatement, effectuer une réparation avec perte à l’aide de Ntdsutil ou d’Esentutl.

    Remarque

    Microsoft ne prend pas en charge les contrôleurs de domaine une fois que Ntdsutil ou Esentutl est utilisé pour récupérer une base de données Active Directory endommagée. Si vous effectuez ce type de réparation, vous devez reconstruire le contrôleur de domaine pour qu’Active Directory se trouve dans une configuration prise en charge. La commande repair dans Ntdsutil utilise l’utilitaire Esentutl pour effectuer une réparation avec perte de la base de données. Ce type de réparation corrige l’endommagement en supprimant les données de la base de données. Utilisez uniquement ce type de réparation en dernier recours.

    Bien que le contrôleur de domaine puisse démarrer et qu’il semble fonctionner correctement après la réparation, son état n’est pas pris en charge, car les données supprimées de la base de données peuvent entraîner un certain nombre de problèmes qui peuvent ne pas apparaître plus tard. Il n’existe aucun moyen de déterminer quelles données ont été supprimées lors de la réparation de la base de données. Dès que possible après la réparation, vous devez reconstruire le domaine pour renvoyer Active Directory à une configuration prise en charge. Si vous utilisez uniquement les méthodes de défragmentation hors connexion ou d’analyse sémantique de base de données référencées dans cet article, vous n’avez pas besoin de reconstruire le contrôleur de domaine par la suite.

15. Avant d’effectuer une réparation avec perte, contactez les services de support technique Microsoft pour confirmer que vous avez examiné toutes les options de récupération possibles et pour vérifier que la base de données est vraiment dans un état irrécupérable. Pour obtenir la liste complète des numéros de téléphone des services de support technique Microsoft et des informations sur les coûts de support, visitez le site web Microsoft suivant :

    Contact Support Microsoft

    Sur un contrôleur de domaine Windows 2000 Server, utilisez Ntdsutil pour récupérer la base de données Active Directory. Pour ce faire, tapez ntdsutil files repair à une invite de commandes en mode de restauration du service d’annuaire.

    Pour effectuer une réparation avec perte d’un contrôleur de domaine Windows Server 2003, utilisez l’outil Esentutl.exe pour récupérer la base de données Active Directory. Pour ce faire, tapez esentutl /p à une invite de commandes sur le contrôleur de domaine Windows Server 2003.

16. Une fois l’opération de réparation terminée, renommez les fichiers .log dans le dossier NTDS en utilisant une autre extension telle que .bak, puis essayez de démarrer le contrôleur de domaine en mode normal.

17. Si vous pouvez démarrer le contrôleur de domaine en mode normal après la réparation, migrez les objets Active Directory pertinents vers une nouvelle forêt dès que possible. Étant donné que cette méthode de réparation avec perte corrige l’altération en supprimant des données, elle peut entraîner des problèmes ultérieurs extrêmement difficiles à résoudre. À la première occasion après la réparation, vous devez reconstruire le domaine pour rétablir Active Directory dans une configuration prise en charge.

    Vous pouvez migrer des utilisateurs, des ordinateurs et des groupes à l’aide de l’outil de migration Active Directory (ADMT), de Ldifde ou d’un outil de migration non-Microsoft. ADMT peut migrer des comptes d’utilisateur, des comptes d’ordinateur et des groupes de sécurité avec ou sans historique d’identificateur de sécurité (SID). ADMT migre également les profils utilisateur. Pour utiliser ADMT dans un environnement Small Business Server, consultez le livre blanc « Migration à partir de Small Business Server 2000 ou Windows 2000 Server ». Pour obtenir ce livre blanc, visitez le site web Microsoft suivant :

    Migration de Small Business Server 2000 ou Windows 2000 Server vers Windows Small Business Server 2003

    Vous pouvez utiliser Ldifde pour exporter et importer de nombreux types d’objets du domaine endommagé vers le nouveau domaine. Ces objets incluent les comptes d’utilisateur, les comptes d’ordinateur, les groupes de sécurité, les unités de organization, les sites Active Directory, les sous-réseaux et les liens de site. Ldifde ne peut pas migrer l’historique du SID. Ldifde fait partie de Windows 2000 Server et Windows Server 2003.

    Pour plus d’informations sur l’utilisation de Ldifde, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

    237677 Utilisation de Ldifde pour importer et exporter des objets d’annuaire vers Active Directory

    Vous pouvez utiliser la console de gestion stratégie de groupe (GPMC) pour exporter le système de fichiers et la partie Active Directory de l’objet de stratégie de groupe du domaine endommagé vers le nouveau domaine.

    Pour obtenir la console GPMC, visitez le site web Microsoft suivant :

    Cloud Computing Services

    Pour plus d’informations sur la migration d’objets de stratégie de groupe à l’aide de la console GPMC, consultez le livre blanc « Migrer des objets de stratégie de groupe entre domaines avec la console GPMC ». Pour obtenir ce livre blanc, visitez le site web Microsoft suivant :

    Migration d’objets de stratégie de groupe entre domaines

18. Après la récupération, évaluez votre plan de sauvegarde actuel pour vous assurer que vous avez planifié des sauvegardes de l’état du système suffisamment fréquemment. Planifiez des sauvegardes de l’état du système au moins tous les jours, ou après chaque modification importante. Les sauvegardes d’état du système doivent contenir le niveau de tolérance de panne requis. Par exemple, ne stockez pas les sauvegardes sur le même lecteur que l’ordinateur que vous sauvegardez. Dans la mesure du possible, utilisez plusieurs contrôleurs de domaine pour éviter un point de défaillance unique. Stockez les sauvegardes dans un emplacement hors site afin que l’incident de site (incendie, vol, inondation, vol d’ordinateur) n’affecte pas votre capacité à récupérer. Les sites Web Microsoft suivants peuvent vous aider à développer un plan de sauvegarde.

    • Windows Server 2003 : Création d’un plan de sauvegarde et de récupération
    • Windows 2000 : Chapitre 14 : Sauvegarde et récupération des données
    • Windows Small Business Server : Windows Server Essentials (Small Business Server)