Le message d'erreur « Le service d'annuaire ne peut pas démarrer » s'affiche lorsque vous démarrez votre contrôleur de domaine Windows ou SBS

Numéro d'article: 258062 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Résumé

Cet article présente des instructions étape par étape pour vous permettre de déterminer la cause de l'erreur système « Le service d'annuaire ne peut pas démarrer ». Ces étapes peuvent inclure :
  • Vérification de l'existence des fichiers du service d'annuaire Active Directory
  • Vérification des autorisations du système de fichiers
  • Vérification de l'intégrité de la base de données Active Directory
  • Exécution d'une analyse de base de données sémantique
  • Réparation de la base de données Active Directory
  • Suppression et nouvelle création de la base de données Active Directory
Cet article explique également comment utiliser Ntdsutil ou Esentutl pour exécuter une réparation avec pertes de la base de données Active Directory. Étant donné qu'une réparation avec pertes supprime des données et peut provoquer de nouveaux problèmes, exécutez-la uniquement si c'est la seule option disponible.
Retour au début | Envoyer des commentaires

Symptômes

Lorsque vous démarrez votre contrôleur de domaine, l'écran peut être vide et le message d'erreur suivant peut s'afficher :
LSASS.EXE - Erreur système, l'initialisation du Gestionnaire des comptes de sécurité a échoué en raison de l'erreur suivante : le service d'annuaire ne peut pas démarrer. Statut de l'erreur 0xc00002e1.

Cliquez sur OK pour arrêter le système, puis redémarrez en mode de restauration des services d'annuaire. Consultez le journal des événements pour obtenir des informations plus détaillées.
Par ailleurs, les messages d'ID d'événement suivants peuvent s'afficher dans le journal des événements :

ID de l'événement : 700
Description : « NTDS (260) La défragmentation en ligne lance une passe entière sur la base de données NTDS.DIT. »

ID de l'événement : 701
Description : « NTDS (268) La défragmentation en ligne a terminé une passe entière sur la base de données 'C:\WINNT\NTDS\ntds.dit'. »

ID de l'événement : 101
Description : « NTDS (260) Le moteur de base de données est arrêté. »

ID de l'événement : 1004
Description : « L'annuaire a été arrêté correctement. »

ID de l'événement : 1168
Description : « Erreur : 1032 (fffffbf8) s'est produit. (ID interne 4042b). Contactez les Services de Support Technique de Microsoft pour obtenir de l'aide. »

ID de l'événement : 1103
Description : « Impossible d'initialiser la base de données du service d'annuaire Windows ; elle a renvoyé l'erreur 1032. Erreur irrécupérable, le répertoire ne peut pas continuer. »

Retour au début | Envoyer des commentaires

Cause

Ce problème se produit car une ou plusieurs des conditions suivantes sont remplies :
  • Les autorisations de système de fichiers NTFS à la racine du lecteur sont trop restrictives.
  • Les autorisations de système de fichiers NTFS sur le dossier NTDS sont trop restrictives.
  • La lettre de lecteur du volume qui contient la base de données Active Directory a changé.
  • La base de données Active Directory (Ntds.dit) est endommagée.
  • Le dossier NTDS est compressé.
Retour au début | Envoyer des commentaires

Résolution

Pour résoudre ce problème, procédez comme suit :
  1. Redémarrez le contrôleur de domaine.
  2. Lorsque les informations BIOS s'affichent, appuyez sur F8.
  3. Sélectionnez Mode Restauration des services d'annuaire, puis appuyez sur ENTRÉE.
  4. Ouvrez une session à l'aide du mot de passe du mode de restauration des services d'annuaire.

    Remarque Si vous ne pouvez pas ouvrir de session, consultez l'article suivant de la Base de connaissances Microsoft.
    249321
    (http://support.microsoft.com/kb/249321/ )
    Impossible d'ouvrir une session si la lettre de lecteur de la partition de démarrage a changé
  5. Cliquez sur Démarrer, sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  6. À l'invite de commandes, tapez ntdsutil files info.

    Un résultat semblable au suivant s'affiche :
    Drive Information:

        C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)

DS Path Information:

        Database   : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir    : C:\WINDOWS\NTDS - 42.1 Mb total temp.edb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    Remarque Les emplacements de fichiers inclus dans cette sortie se trouvent également dans la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    Les entrées suivantes de cette clé contiennent les emplacements de fichiers
    • Chemin d'accès de la sauvegarde de la base de données
    • Chemin d'accès des fichiers journaux de la base de données
    • Répertoire de travail de DSA
  7. Vérifiez que les fichiers qui sont répertoriés dans le résultat de l'étape 6 sont présents. S'ils ne sont pas présents, suivez les étapes décrites dans l'article suivant de la Base de connaissances de Microsoft.
    240362
    (http://support.microsoft.com/kb/240362/ )
    Le service d'annuaire ne démarre pas si le fichier Ntds.dit est manquant
  8. Vérifiez que les dossiers de la sortie Ntdsutil disposent des autorisations correctes. Les autorisations appropriées sont spécifiées dans les tableaux suivants.

    Windows Server 2003

    Réduire ce tableauAgrandir ce tableau
    CompteAutorisationsHéritage
    Système Contrôle totalCe dossier, ces sous-dossiers et fichiers
    Administrateurs Contrôle totalCe dossier, ces sous-dossiers et fichiers
    Créateur propriétaire Contrôle totalSous-dossiers et fichiers uniquement
    Service local Création de dossiers / Ajout de donnéesCe dossier et ces sous-dossiers

    Windows 2000

    Réduire ce tableauAgrandir ce tableau
    CompteAutorisationsHéritage
    AdministrateursContrôle totalCe dossier, ces sous-dossiers et fichiers
    SystèmeContrôle totalCe dossier, ces sous-dossiers et fichiers
    Remarque Le compte Système nécessite en outre les autorisations Contrôle total sur les dossiers suivants :
    • La racine du lecteur qui contient le dossier Ntds
    • Le dossier %WINDIR%
    Dans Windows Server 2003, l'emplacement par défaut du dossier %WINDIR% est C:\WINDOWS. Dans Windows 2000, l'emplacement par défaut du dossier %WINDIR% est C:\WINNT.
  9. Vérifiez l'intégrité de la base de données Active Directory. Pour cela, tapez ntdsutil files integrity à l'invite de commandes.

    Si le contrôle d'intégrité n'indique pas d'erreur, redémarrez le contrôleur de domaine en mode normal. Si le contrôle d'intégrité ne se termine pas sans des erreurs, passez aux étapes suivantes.
  10. Effectuez une analyse de base de données sémantique. Pour cela, tapez la commande suivante à l'invite de commandes, y compris les guillemets :
    ntdsutil "sem d a" go
  11. Si l'analyse de base de données sémantique n'indique pas d'erreurs, passez aux étapes suivantes. Si l'analyse signale des erreurs, tapez la commande suivante à l'invite de commandes, y compris les guillemets :
    ntdsutil "sem d a" "go f"
  12. Appliquez les étapes décrites dans l'article ci-dessous de la Base de connaissances Microsoft pour exécuter une défragmentation hors ligne de la base de données Active Directory.
    232122
    (http://support.microsoft.com/kb/232122/ )
    Exécution d'une défragmentation hors connexion de la base de données Active Directory
  13. Si le problème persiste après la défragmentation hors ligne et si le même domaine contient d'autres contrôleurs de domaine fonctionnels, supprimez Active Directory du serveur, puis réinstallez-le. Pour cela, suivez les étapes décrites dans la section « Contournement » de l'article suivant de la Base de connaissances Microsoft :
    332199
    (http://support.microsoft.com/kb/332199/ )
    Les contrôleurs de domaine ne rétrogradent pas harmonieusement quand vous utilisez l'Assistant Installation de Active Directory pour forcer la rétrogradation dans Windows Server 2003 et dans Windows 2000 Server
    Remarque Si vous utilisez un contrôleur de domaine Microsoft Small Business Server, vous ne pouvez pas appliquer cette étape car Small Business Server ne peut pas être ajouté à un domaine existant comme contrôleur de domaine supplémentaire (réplica). Si vous possédez une sauvegarde d'état du système qui est plus récente que la durée de vie de désactivation, restaurez la sauvegarde d'état du système au lieu de supprimer Active Directory du serveur. Par défaut, la durée de vie de la désactivation est de 60 jours.

    Pour plus d'informations sur la façon de restaurer la sauvegarde de l'état du système, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    240363
    (http://support.microsoft.com/kb/240363/ )
    Comment faire pour sauvegarder et restaurer l'état du système à l'aide du programme de sauvegarde de Windows 2000
  14. Si aucune sauvegarde d'état du système n'est disponible et si le domaine ne contient aucun autre contrôleur de domaine sain, nous vous recommandons de recréer le domaine en supprimant Active Directory, puis en le réinstallant ensuite sur le serveur, en créant ainsi un nouveau domaine. Vous pouvez réutiliser l'ancien nom du domaine ou utiliser un nouveau nom de domaine. Vous pouvez également recréer le domaine en effectuant un reformatage et en réinstallant Windows sur le serveur. Toutefois, la suppression de Active Directory est plus rapide et elle supprime efficacement la base de données Active Directory endommagée.

    Si aucune sauvegarde d'état du système n'est disponible, si le domaine ne contient pas d'autres contrôleurs de domaine sains et si le contrôleur de domaine doit fonctionner immédiatement, exécutez une réparation avec pertes à l'aide de Ntdsutil ou Esentutl.

    Remarque Microsoft ne prend pas en charge les contrôleurs de domaine une fois que Ntdsutil ou Esentutl a été utilisé pour récupérer l'endommagement de la base de données Active Directory. Si vous exécutez ce type de réparation, vous devez recréer le contrôleur de domaine pour Active Directory de façon à ce qu'il soit dans une configuration prise en charge. La commande de réparation dans Ntdsutil utilise l'utilitaire Esentutl pour exécuter une réparation avec pertes de la base de données. Ce type de réparation corrige l'endommagement en supprimant les données de la base de données. Ne l'utilisez qu'en dernier ressort.

    Bien que le contrôleur de domaine puisse démarrer et semble fonctionner correctement après la réparation, son état n'est pas pris en charge car les données qui sont supprimées de la base de données peuvent provoquer de nombreux problèmes qui pourront apparaître ultérieurement. Il n'existe aucun moyen de déterminer quelles données ont été supprimées lorsque la base de données a été réparée. Dès que possible après la réparation, vous devez recréer le domaine pour remettre Active Directory dans une configuration prise en charge. Si vous utilisez uniquement la défragmentation hors ligne ou les méthodes d'analyse de la base de données sémantique qui sont décrites dans cet article, vous ne devez pas recréer le contrôleur de domaine.
  15. Avant d'effectuer une réparation avec pertes, contactez les services de Support technique Microsoft pour confirmer que vous avez examiné toutes les options de récupération possibles et pour vérifier que la base de données est vraiment dans un état irrécupérable. Pour savoir comment contacter les services de Support technique de Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
    (http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms)
    Pour utiliser Ntdsutil pour récupérer la base de données Active Directory, tapez ntdsutil files repair à une invite de commandes en mode Restauration du service d'annuaire.
  16. Une fois l'opération de réparation terminée, renommez les fichiers .log dans le dossier NTDS à l'aide d'une extension différente telle que .bak et essayez de démarrer le contrôleur de domaine en mode normal.
  17. Si vous pouvez démarrer le contrôleur de domaine en mode normal après la réparation, effectuez dès que possible une migration des objets Active Directory pertinents vers une nouvelle forêt. Comme cette méthode de réparation avec pertes résout l'endommagement en supprimant les données, elle pourra provoquer des problèmes ultérieurs qui sont extrêmement difficiles à résoudre. À la première occasion après la réparation, vous devez recréer le domaine pour remettre Active Directory dans une configuration prise en charge.

    Vous pouvez effectuer une migration des utilisateurs, des ordinateurs et des groupes à l'aide de l'outil de migration Active Directory (ADMT), Ldifde ou un outil de migration autre que Microsoft. ADMT peut effectuer une migration des comptes d'utilisateur, des comptes d'ordinateur et des groupes de sécurité avec ou sans l'historique de l'identificateur de sécurité (SID). ADMT effectue également une migration des profils utilisateur. Pour utiliser ADMT dans un environnement Small Business Server, consultez le livre blanc « Migrating from Small Business Server 2000 or Windows 2000 Server » (en anglais). Pour obtenir ce livre blanc, reportez-vous au site Web de Microsoft à l'adresse suivante :
    http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx
    (http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx)
    Vous pouvez utiliser Ldifde pour exporter et importer de nombreux types d'objets à partir du domaine endommagé vers le nouveau domaine. Ces objets incluent des comptes d'utilisateur, des comptes d'ordinateur, des groupes de sécurité, des unités d'organisation, des sites, sous-réseaux et liens vers des sites Active Directory. Ldifde ne peut pas effectuer une migration de l'historique de SID. Ldifde fait partie de Windows 2000 Server et de Windows Server 2003. Pour plus d'informations sur la façon d'utiliser Ldifde, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    237677
    (http://support.microsoft.com/kb/237677/ )
    Utilisation de LDIFDE pour importer et exporter des objets d'annuaire vers Active Directory
    Vous pouvez utiliser la console de gestion des stratégies de groupe (GPMC) pour exporter le système de fichiers et la partie Active Directory de l'objet de stratégie de groupe à partir du domaine endommagé vers le nouveau domaine.

    Pour obtenir la console GPMC, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
    (http://www.microsoft.com/windowsserver2003/gpmc/default.mspx)
    Pour plus d'informations sur la façon de migrer des objets de stratégie de groupe à l'aide de la console GPMC, consultez le livre blanc « Migrate GPOs across domains with GPMC » (Migration des objets GPO entre domaines à l'aide de la console GPMC). Pour obtenir ce livre blanc, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx
    (http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx)
  18. Après la récupération, évaluez votre plan de sauvegarde actuel pour vous assurer que vous avez régulièrement planifié des sauvegardes d'état du système. Planifiez au moins chaque jour des sauvegardes d'état du système ou après chaque modification importante. Les sauvegardes d'état du système doivent contenir le niveau requis de tolérance de panne. Par exemple, ne stockez pas vos sauvegardes sur le même lecteur que l'ordinateur que vous sauvegardez. Dès que possible, utilisez plusieurs contrôleurs de domaine pour éviter toute panne à un point unique. Stockez vos sauvegardes à un emplacement hors site afin que l'incident de site (incendie, vol, inondation, vol d'ordinateur) n'affecte pas votre capacité de récupération. Les sites Web de Microsoft aux adresses suivantes peuvent vous aider à développer un plan de sauvegarde. Pour plus d'informations sur la récupération d'urgence d'Active Directory, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en
    (http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en)
Retour au début | Envoyer des commentaires

Références

Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
318116
(http://support.microsoft.com/kb/318116/ )
Problèmes avec les bases de données Jet sur les lecteurs compressés
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 258062 - Dernière mise à jour: lundi 3 décembre 2007 - Version: 12.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Small Business Server 2000 Standard Edition
Mots-clés : 
kberrmsg kbsecconfiged kbenv kbprb kbacl KB258062
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début