Errore durante l'avvio del controller di dominio basato su Windows: Impossibile avviare Servizi directory

Articolo
02/21/2024

Questo articolo illustra come eseguire il ripristino da un database di Active Directory danneggiato o da un problema simile che impedisce l'avvio del computer in modalità normale.

Si applica a: Windows Server 2003
Numero KB originale: 258062

Riepilogo

Questo articolo illustra una serie di passaggi che possono aiutare a diagnosticare la causa dell'errore di sistema di Non è possibile avviare Servizi directory . Questi passaggi possono includere:

Verifica dell'esistenza dei file del servizio directory Active Directory.
Verifica della correttezza delle autorizzazioni del file system.
Controllo dell'integrità del database di Active Directory.
Esecuzione di un'analisi semantica del database.
Ripristino del database di Active Directory.
Rimozione e ricreazione del database di Active Directory.

Questo articolo illustra anche come usare Ntdsutil o Esentutl per eseguire un ripristino in perdita del database di Active Directory. Poiché una riparazione con perdita di dati elimina i dati e può introdurre nuovi problemi, eseguire una riparazione in perdita solo se è l'unica opzione disponibile.

Sintomi

Quando si avvia il controller di dominio, la schermata potrebbe essere vuota e potrebbe essere visualizzato il messaggio di errore seguente:

LSASS.EXE - Errore di sistema, inizializzazione del gestore degli account di sicurezza non riuscita a causa dell'errore seguente: Impossibile avviare Servizi directory. Stato errore 0xc00002e1.

Fare clic su OK per arrestare il sistema e riavviare la modalità di ripristino dei servizi directory, controllare il registro eventi per informazioni più dettagliate.

Inoltre, nel registro eventi possono essere visualizzati i seguenti messaggi id evento:

ID evento: 700
Descrizione: "NTDS (260) La deframmentazione online sta iniziando un passaggio sul database NTDS. DIT."
ID evento: 701
Descrizione: "NTDS (268) La deframmentazione online ha completato un passaggio completo sul database 'C:\WINNT\NTDS\ntds.dit'.
ID evento: 101
Descrizione: "NTDS (260) il motore di database è stato arrestato."
ID evento: 1004
Descrizione: "La directory è stata arrestata correttamente".
ID evento: 1168
Descrizione: "Errore: 1032 (fffffbf8) si è verificato. (ID interno 4042b). Per assistenza, contattare i servizi di supporto tecnico Microsoft."
ID evento: 1103
Descrizione: "Impossibile inizializzare il database dei servizi directory Windows e restituire l'errore 1032. Errore irreversibile, la directory non può continuare."

Causa

Questo problema si verifica perché si verificano una o più delle condizioni seguenti:

Le autorizzazioni del file system NTFS nella radice dell'unità sono troppo restrittive.
Le autorizzazioni del file system NTFS per la cartella NTDS sono troppo restrittive.
La lettera di unità del volume che contiene il database di Active Directory è stata modificata.
Il database di Active Directory (Ntds.dit) è danneggiato.
La cartella NTDS è compressa.

Risoluzione

Per risolvere il problema, attenersi alla procedura seguente:

Riavviare il controller di dominio.
Quando vengono visualizzate le informazioni del BIOS, premere F8.
Selezionare Modalità di ripristino di Servizi directory e quindi premere INVIO.
Accedere usando la password della modalità di ripristino di Servizi directory.
Fare clic su Start, selezionare Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.
Al prompt dei comandi digitare informazioni sui file ntdsutil.

Viene visualizzato un output simile al seguente:

Informazioni sull'unità:

C:\ NTFS (Fixed Drive) free(533,3 Mb) total(4,1 Gb)

Informazioni sul percorso DS:

Database : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 42,1 Mb totale temp.edb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

Nota

I percorsi dei file inclusi in questo output si trovano anche nella sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Le voci seguenti in questa chiave contengono i percorsi dei file:
- Percorso di backup del database
- Percorso dei file di log del database
- Directory di lavoro DSA
Verificare che i file elencati nell'output nel passaggio 6 esistano.

Verificare che le cartelle nell'output ntdsutil dispongano delle autorizzazioni corrette. Le autorizzazioni corrette vengono specificate nelle tabelle seguenti.

Windows Server 2003

Account	Autorizzazioni	Ereditarietà
Sistema	Controllo completo	Questa cartella, sottocartelle e file
Amministratori	Controllo completo	Questa cartella, sottocartelle e file
Creator Owner	Controllo completo	Solo sottocartelle e file
Servizio locale	Creare cartelle/accodare dati	Questa cartella e le sottocartelle

Windows 2000

Account	Autorizzazioni	Ereditarietà
Amministratori	Controllo completo	Questa cartella, sottocartelle e file
Sistema	Controllo completo	Questa cartella, sottocartelle e file

Nota

Inoltre, l'account di sistema richiede autorizzazioni di controllo completo per le cartelle seguenti:

Radice dell'unità che contiene la cartella Ntds
Cartella %WINDIR%

In Windows Server 2003 il percorso predefinito della cartella %WINDIR% è C:\WINDOWS. In Windows 2000 il percorso predefinito della cartella %WINDIR% è C:\WINNT.

Controllare l'integrità del database di Active Directory. A tale scopo, digitare ntdsutil files integrity al prompt dei comandi.

Se il controllo di integrità non indica errori, riavviare il controller di dominio in modalità normale. Se il controllo di integrità non viene completato senza errori, seguire questa procedura.
Eseguire un'analisi semantica del database. A tale scopo, digitare il comando seguente al prompt dei comandi, incluse le virgolette:
```
ntdsutil "sem d a" go
```
Se l'analisi semantica del database non indica errori, seguire questa procedura. Se l'analisi segnala errori, digitare il comando seguente al prompt dei comandi, incluse le virgolette:
```
ntdsutil "sem d a" "go f"
```
Seguire la procedura descritta nell'articolo della Microsoft Knowledge Base seguente per eseguire una deframmentazione offline del database di Active Directory:

232122 Esecuzione della deframmentazione offline del database di Active Directory
Se il problema persiste dopo la deframmentazione offline e sono presenti altri controller di dominio funzionali nello stesso dominio, rimuovere Active Directory dal server e quindi reinstallare Active Directory. A tale scopo, seguire la procedura descritta nella sezione "Soluzione alternativa" dell'articolo della Microsoft Knowledge Base seguente:

332199 i controller di dominio non abbassano di livello quando si usa l'Installazione guidata Active Directory per forzare l'abbassamento di livello in Windows Server 2003 e in Windows 2000 Server

Nota

Se il controller di dominio esegue Microsoft Small Business Server, non è possibile eseguire questo passaggio, perché Small Business Server non può essere aggiunto a un dominio esistente come controller di dominio aggiuntivo (replica). Se si dispone di un backup dello stato del sistema più recente della durata della rimozione definitiva, ripristinare il backup dello stato del sistema anziché rimuovere Active Directory dal server. Per impostazione predefinita, la durata della rimozione definitiva è di 60 giorni.
Se non è disponibile alcun backup dello stato del sistema e non sono presenti altri controller di dominio integri nel dominio, è consigliabile ricompilare il dominio rimuovendo Active Directory e quindi reinstallando Active Directory nel server, creando un nuovo dominio. È possibile usare di nuovo il nome di dominio precedente o un nuovo nome di dominio. È anche possibile ricompilare il dominio riformattando e reinstallando Windows nel server. Tuttavia, la rimozione di Active Directory è più rapida e rimuove in modo efficace il database di Active Directory danneggiato.

Se non è disponibile alcun backup dello stato del sistema, non sono presenti altri controller di dominio integri nel dominio ed è necessario che il controller di dominio funzioni immediatamente, eseguire un ripristino in perdita usando Ntdsutil o Esentutl.

Nota

Microsoft non supporta i controller di dominio dopo l'uso di Ntdsutil o Esentutl per il ripristino dal danneggiamento del database di Active Directory. Se si esegue questo tipo di ripristino, è necessario ricompilare il controller di dominio affinché Active Directory sia in una configurazione supportata. Il comando repair in Ntdsutil usa l'utilità Esentutl per eseguire un ripristino in perdita del database. Questo tipo di correzione corregge il danneggiamento eliminando i dati dal database. Utilizzare solo questo tipo di riparazione come ultima risorsa.

Anche se il controller di dominio può essere avviato e potrebbe funzionare correttamente dopo il ripristino, lo stato non è supportato perché i dati eliminati dal database possono causare un numero qualsiasi di problemi che potrebbero non verificarsi fino a un secondo momento. Non è possibile determinare quali dati sono stati eliminati quando il database è stato ripristinato. Non appena possibile dopo il ripristino, è necessario ricompilare il dominio per restituire Active Directory a una configurazione supportata. Se si usano solo i metodi di deframmentazione offline o di analisi semantica del database a cui si fa riferimento in questo articolo, non è necessario ricompilare il controller di dominio in un secondo momento.
Prima di eseguire un ripristino in perdita, contattare il Servizio Supporto Tecnico Clienti Microsoft per verificare di aver esaminato tutte le opzioni di ripristino possibili e per verificare che il database si trova effettivamente in uno stato irreversibile. Per un elenco completo dei numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi di supporto, visitare il seguente sito Web Microsoft:

Contattare supporto tecnico Microsoft

In un controller di dominio basato su Windows 2000 Server usare Ntdsutil per ripristinare il database di Active Directory. A tale scopo, digitare ntdsutil files repair al prompt dei comandi in modalità di ripristino del servizio directory.

Per eseguire un ripristino in perdita di un controller di dominio basato su Windows Server 2003, usare lo strumento Esentutl.exe per ripristinare il database di Active Directory. A tale scopo, digitare esentutl /p al prompt dei comandi nel controller di dominio basato su Windows Server 2003.
Al termine dell'operazione di ripristino, rinominare i file .log nella cartella NTDS usando un'estensione diversa, ad esempio .bak, e provare ad avviare il controller di dominio in modalità normale.
Se è possibile avviare il controller di dominio in modalità normale dopo il ripristino, eseguire la migrazione degli oggetti di Active Directory pertinenti in una nuova foresta il prima possibile. Poiché questo metodo di riparazione con perdita di dati corregge il danneggiamento eliminando i dati, può causare problemi successivi estremamente difficili da risolvere. Alla prima opportunità dopo il ripristino, è necessario ricompilare il dominio per riportare Active Directory in una configurazione supportata.

È possibile eseguire la migrazione di utenti, computer e gruppi usando Active Directory Migration Tool (ADMT), Ldifde o uno strumento di migrazione non Microsoft. ADMT può eseguire la migrazione di account utente, account computer e gruppi di sicurezza con o senza la cronologia dell'identificatore di sicurezza (SID). ADMT esegue anche la migrazione dei profili utente. Per usare ADMT in un ambiente Small Business Server, vedere il white paper "Migrazione da Small Business Server 2000 o Windows 2000 Server". Per ottenere questo white paper, visitare il seguente sito Web Microsoft:

Migrazione da Small Business Server 2000 o Windows 2000 Server a Windows Small Business Server 2003

È possibile usare Ldifde per esportare e importare molti tipi di oggetti dal dominio danneggiato al nuovo dominio. Questi oggetti includono account utente, account computer, gruppi di sicurezza, unità organizzative, siti di Active Directory, subnet e collegamenti al sito. Ldifde non può eseguire la migrazione della cronologia SID. Ldifde fa parte di Windows 2000 Server e Windows Server 2003.

Per altre informazioni su come usare Ldifde, fare clic sul numero dell'articolo della Microsoft Knowledge Base seguente:

237677 Uso di Ldifde per importare ed esportare oggetti directory in Active Directory

È possibile utilizzare Criteri di gruppo Management Console (GPMC) per esportare il file system e la parte active directory dell'oggetto Criteri di gruppo dal dominio danneggiato al nuovo dominio.

Per ottenere la console Gestione Criteri di gruppo, visitare il seguente sito Web Microsoft:

Servizi di cloud computing

Per informazioni su come eseguire la migrazione di oggetti Criteri di gruppo tramite la console Gestione Criteri di gruppo, vedere il white paper "Eseguire la migrazione di oggetti Criteri di gruppo tra domini con Console Gestione Criteri di gruppo". Per ottenere questo white paper, visitare il seguente sito Web Microsoft:

Migrazione di oggetti Criteri di gruppo tra domini
Dopo il ripristino, valutare il piano di backup corrente per assicurarsi di disporre di backup pianificati dello stato del sistema con una frequenza sufficiente. Pianificare i backup dello stato del sistema almeno ogni giorno o dopo ogni modifica significativa. I backup dello stato del sistema devono contenere il livello di tolleranza di errore richiesto. Ad esempio, non archiviare i backup nella stessa unità del computer di cui si sta eseguendo il backup. Quando possibile, usare più di un controller di dominio per evitare un singolo punto di errore. Archiviare i backup in una posizione fuori sede in modo che l'emergenza del sito (incendio, furto, alluvione, furto di computer) non influisca sulla capacità di ripristino. I seguenti siti Web Microsoft consentono di sviluppare un piano di backup.
- Windows Server 2003: creazione di un piano di backup e ripristino
- Windows 2000: Capitolo 14 - Backup e ripristino dei dati
- Windows Small Business Server: Windows Server Essentials (Small Business Server)