Windows または SBS ベースのドメイン コントローラの起動時に "ディレクトリ サービスを開始できません" というエラー メッセージが表示される

文書番号: 258062 - 対象製品
すべて展開する | すべて折りたたむ

概要

この資料では、"ディレクトリ サービスを開始できません" というシステム エラーの原因の診断に役立つ一連の手順について説明します。次のような手順があります。
  • Active Directory ディレクトリ サービスのファイルが存在することの確認
  • ファイル システムのアクセス許可が適切であることの確認
  • Active Directory データベースの整合性のチェック
  • semantic データベース分析の実行
  • Active Directory データベースの修復
  • Active Directory データベースの削除および再作成
この資料では、Ntdsutil または Esentutl を使用して、Active Directory データベースの損失修復を実行する方法について説明します。損失修復ではデータが削除されるため、これに伴って新しい問題が発生する場合があります。このため、使用できる方法が他にない場合にのみ、損失修復を実行してください。
先頭へ戻る | フィードバック

現象

ドメイン コントローラを起動したとき、画面に何も表示されなくなり、次のエラー メッセージが表示される場合があります。
LSASS.EXE - システム エラー

次のエラーのため、セキュリティ アカウント マネージャの初期化に失敗しました: ディレクトリ サービスを開始できません。
エラー状態: 0xc00002e1


[OK] をクリックしてシステムをシャットダウンし、再起動するときにディレクトリ サービスの復元モードを選択してください。詳細な情報についてはイベント ログを参照してください。
また、次のイベント ID のメッセージがイベント ログに記録されることがあります。

イベント ID : 700
説明 : NTDS (260) オンラインでのディスクの最適化により、データベース 'C:\WINNT\NTDS\ntds.dit' のフル パスを開始しています。

イベント ID : 701
説明 : NTDS (268) オンラインでのディスクの最適化により、データベース 'C:\WINNT\NTDS\ntds.dit' にフル パスが作成されました。

イベント ID : 101
説明 : NTDS (260) データベース エンジンが停止しました。

イベント ID : 1004
説明 : ディレクトリを正常にシャットダウンしました。

イベント ID : 1168
説明 : エラー 1032(fffffbf8) が発生しました (内部 ID 4042b)。Microsoft 製品サポート サービスに問い合わせてください。

イベント ID : 1103
説明 : Windows ディレクトリ サービス データベースを初期化できませんでした。エラー 1032 が返されました。復旧できないエラーです。ディレクトリを続行できません。

先頭へ戻る | フィードバック

原因

この問題は、次の 1 つ以上の条件に該当する場合に発生します。
  • ドライブのルートに設定されている NTFS ファイル システムのアクセス許可の制限が厳しすぎます。
  • NTDS フォルダに設定されている NTFS ファイル システムのアクセス許可の制限が厳しすぎます。
  • Active Directory データベースが保存されているボリュームのドライブ文字が変わりました。
  • Active Directory データベース (Ntds.dit) が破損しています。
  • NTDS フォルダが圧縮されています。
先頭へ戻る | フィードバック

解決方法

この問題を解決するには、次の手順を実行します。
  1. ドメイン コントローラを再起動します。
  2. BIOS の情報が表示されたら、F8 キーを押します。
  3. 拡張オプション メニューで "ディレクトリ サービス復元モード" を選択し、Enter キーを押します。
  4. ディレクトリ サービス復元モードのパスワードを使用してログオンします。

    : ログオンできない場合は、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料を参照してください。
    249321
    (http://support.microsoft.com/kb/249321/ )
    ブート パーティションのドライブ文字が変更されているとログオンできない
  5. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、cmd と入力し、[OK] をクリックします。
  6. コマンド プロンプトで ntdsutil files info と入力します。

    次のような出力が表示されます。 
    ドライブの情報:

        C:\ NTFS (固定ドライブ) 空き(533.3 Mb) 合計(4.1 Gb)

DS パスの情報:

        データベース             : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb
        バックアップ ディレクトリ : C:\WINDOWS\NTDS\dsadata.bak
        作業ディレクトリ         : C:\WINDOWS\NTDS
        Log dir              : C:\WINDOWS\NTDS -  42.1 Mb total
                        temp.edb - 2.1 Mb
                        res2.log - 10.0 Mb
                        res1.log - 10.0 Mb
                        edb00001.log - 10.0 Mb
                        edb.log - 10.0 Mb

    : この出力に含まれるファイルの場所は、次のレジストリ キーでも確認できます。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    ファイルの場所は、このキーの以下のエントリに含まれています。
    • Database backup path
    • Database log files path
    • DSA Working Directory
  7. 手順 6. の出力に表示されたファイルが存在することを確認します。ファイルが存在しない場合、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順を実行します。
    240362
    (http://support.microsoft.com/kb/240362/ )
    Ntds.dit ファイルが存在しない場合、ディレクトリ サービスが開始しない
  8. Ntdsutil の出力に含まれるフォルダに適切なアクセス許可が設定されていることを確認します。次の表に、正しいアクセス許可を示します。

    Windows Server 2003

    元に戻す全体を表示する
    アカウントアクセス許可継承
    System フル コントロール このフォルダ、サブフォルダおよびファイル
    Administrators フル コントロール このフォルダ、サブフォルダおよびファイル
    CREATOR OWNER フル コントロール サブフォルダとファイルのみ
    LOCAL SERVICE フォルダの作成/データの追加 このフォルダとサブフォルダ

    Windows 2000

    元に戻す全体を表示する
    アカウントアクセス許可継承
    Administrators フル コントロール このフォルダ、サブフォルダおよびファイル
    System フル コントロール このフォルダ、サブフォルダおよびファイル

    : また、SYSTEM アカウントには、以下のフォルダに対してもフル コントロールのアクセス許可が付与されている必要があります。
    • Ntds フォルダが含まれるドライブのルート
    • %WINDIR% フォルダ
    %WINDIR% フォルダのデフォルトの場所は、Windows Server 2003 では C:\WINDOWS、Windows 2000 では C:\WINNT です。
  9. Active Directory データベースの整合性をチェックします。これを行うには、コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    ntdsutil files integrity


    整合性チェックでエラーが検出されなかった場合、ドメイン コントローラを通常モードで再起動します。整合性チェックでエラーが検出された場合は、以下の手順に進みます。
  10. semantic データベース分析を実行します。これを行うには、コマンド プロンプトで、引用符も含めて次のコマンドを入力し、Enter キーを押します。
    ntdsutil "sem d a" go
  11. semantic データベース分析でエラーが検出されなかった場合は、次の手順に進みます。分析で何らかのエラーが検出された場合は、コマンド プロンプトで、引用符も含めて次のコマンドを入力し、Enter キーを押します。
    ntdsutil "sem d a" "go f"
  12. 次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順に従って、Active Directory データベースに対するオフラインでのディスクの最適化を実行します。
    232122
    (http://support.microsoft.com/kb/232122/ )
    Active Directory データベースのオフライン デフラグの実行
  13. オフラインでのディスクの最適化後も引き続き問題が発生する場合、同じドメイン内に他にも動作中のドメイン コントローラがあれば、問題のサーバーから Active Directory を削除し、再インストールします。これを行うには、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料の「回避策」に記載されている手順を実行します。
    332199
    (http://support.microsoft.com/kb/332199/ )
    Windows Server 2003 と Windows 2000 Server で、Active Directory のインストール ウィザードを使用して強制的に降格を実行しても、ドメイン コントローラが正常に降格されない
    : ドメイン コントローラで Microsoft Small Business Server が実行されている場合は、この手順を実行できません。これは、Small Business Server を追加のドメイン コントローラ (レプリカ) として既存のドメインに追加することができないためです。廃棄 (Tombstone) の有効期間よりも新しいシステム状態のバックアップがある場合、サーバーから Active Directory を削除せずに、そのシステム状態のバックアップを復元します。デフォルトの廃棄の有効期間は 60 日です。

    システム状態のバックアップを復元する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    240363
    (http://support.microsoft.com/kb/240363/ )
    システム状態のバックアップと復元の方法
  14. システム状態のバックアップがなく、ドメイン内に他の正常なドメイン コントローラがない場合、ドメインを再構築することを推奨します。ドメインを再構築するには、サーバーの Active Directory の削除と再インストールを行って、新しいドメインを作成します。以前のドメイン名を再度使用することも、新しいドメイン名を使用することもできます。また、サーバーのディスクをフォーマットし直し、Windows を再インストールした後、ドメインを再構築する方法もあります。ただし、Active Directory を削除する方が短い時間で作業を完了でき、破損した Active Directory データベースを効率よく削除できます。

    システム状態のバックアップがなく、ドメイン内に他の正常なドメイン コントローラがない状況で、ドメイン コントローラをすぐに機能させる必要がある場合には、Ntdsutil または Esentutl を使用して損失修復を実行します。

    : Active Directory データベースの破損から回復するために Ntdsutil または Esentutl を使用した場合、マイクロソフトはそのドメイン コントローラをサポートしません。この種類の修復を実行した場合、Active Directory をサポート対象となるように構成するには、ドメイン コントローラを再構築する必要があります。Ntdsutil の repair コマンドでは、データベースの損失修復の実行に Esentutl ユーティリティが使用されます。この種類の修復では、データベースからデータを削除することによって破損を修復します。この種類の修復は、他に方法がない場合に限って使用してください。

    修復後、ドメイン コントローラが起動し、正常に機能しているように見えることがありますが、この状態はサポートされていません。これは、データベースからデータが削除されたことにより、すぐには表面化しない問題が多数発生する可能性があるためです。データベースの修復時に、どのデータが削除されたのかを確認する手段はありません。修復後は、できる限り早くドメインを再構築して、サポートされている構成に Active Directory を戻してください。この資料に記載されている、オフラインでのディスクの最適化または semantic データベース分析のみを使用する場合は、処理の実行後にドメイン コントローラを再構築する必要はありません。
  15. 損失修復を実行する前に、Microsoft Product Support Services に問い合わせて、可能な修復方法をすべて実行したことと、データベースが本当に回復不可能な状態にあることを確認してください。Microsoft Product Support Services への問い合わせ方法については、次のマイクロソフト Web サイトを参照してください。
    (http://support.microsoft.com/contactus/?ws=support)
    Windows 2000 で Ntdsutil を使用して Active Directory データベースを回復するには、ディレクトリ サービス復元モードでシステムを起動し、コマンド プロンプトで ntdsutil files repair と入力し、Enter キーを押します。
  16. 修復処理が完了した後、.bak などの別の拡張子を使用して、NTDS フォルダの .log ファイルの名前を変更し、通常モードでドメイン コントローラを起動してみます。
  17. 修復後、通常モードでドメイン コントローラを起動できた場合、できる限り早く、関連する Active Directory オブジェクトを新しいフォレストに移行します。この損失修復の方法では、データを削除することによって破損を修復するため、トラブルシューティングが非常に困難な問題が後になって発生する可能性があります。修復後は可能な限り早くドメインを再構築して、サポートされている構成に Active Directory を戻す必要があります。

    ユーザー、コンピュータ、グループの移行は、Active Directory 移行ツール (ADMT)、Ldifde、またはマイクロソフト以外から提供されている移行ツールで行うことができます。ADMT では、ユーザー アカウント、コンピュータ アカウントおよびセキュリティ グループを移行できます。このとき、セキュリティ識別子 (SID) の履歴を含めることも含めないこともできます。ADMT ではユーザー プロファイルも移行されます。Small Business Server 環境で ADMT を使用するには、ホワイト ペーパー『Migrating from Small Business Server 2000 or Windows 2000 Server』 (英語) を参照してください。このホワイト ペーパーを入手するには、次のマイクロソフト Web サイトにアクセスしてください。
    http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx
    (http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx)
    Ldifde を使用すると、破損したドメインから新しいドメインに、さまざまな種類のオブジェクトをエクスポートおよびインポートすることができます。操作できるオブジェクトには、ユーザー アカウント、コンピュータ アカウント、セキュリティ グループ、組織単位、Active Directory サイト、サブネット、サイト リンクがあります。Ldifde では、SID の履歴は移行できません。Ldifde は Windows 2000 Server および Windows Server 2003 に含まれています。 Ldifde の使用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    237677
    (http://support.microsoft.com/kb/237677/ )
    LDIFDEを使用したディレクトリ オブジェクトのADへのインポート/エクスポート
    グループ ポリシー管理コンソール (GPMC) を使用すると、破損したドメインから新しいドメインに、グループ ポリシー オブジェクトの Active Directory 部分およびファイル システムをエクスポートできます。

    GPMC を入手するには、次のマイクロソフト Web サイトにアクセスしてください。
    http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx
    (http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx)
    GPMC を使用してグループ ポリシー オブジェクトを移行する方法の詳細については、ホワイト ペーパー『GPMC を使ったドメイン間での GPO の移行』を参照してください。このホワイト ペーパーを入手するには、次のマイクロソフト Web サイトにアクセスしてください。
    http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx
    (http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx)
  18. 修復後、現在のバックアップ計画を評価して、スケジュールされているシステム状態のバックアップの頻度が十分かどうかを確認します。システム状態のバックアップは、少なくとも毎日実行するか、大幅な変更を行うたびに実行するようにスケジュールします。システム状態のバックアップには、必要なレベルのフォールト トレランスを持たせる必要があります。たとえば、バックアップ対象のコンピュータと同じドライブにバックアップを保存しないようにします。エラーの単一ポイント化を避けるため、できる限り複数のドメイン コントローラを使用するようにします。また、サイトでの災害 (火災、盗難、洪水、コンピュータの盗難) によって回復不可能な状態に陥らないように、サイトとは別の場所にバックアップを保存するようにします。バックアップ計画の作成には、次のマイクロソフト Web サイトが参考になります。 Active Directory の障害回復の詳細については、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en
    (http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en)
先頭へ戻る | フィードバック

関連情報

関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
318116
(http://support.microsoft.com/kb/318116/ )
Jet データベースを圧縮ドライブに配置することにより発生する問題
先頭へ戻る | フィードバック

プロパティ

文書番号: 258062 - 最終更新日: 2007年12月3日 - リビジョン: 12.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Small Business Server 2000 Standard Edition
キーワード:?
kberrmsg kbsecconfiged kbenv kbprb kbacl KB258062
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"
先頭へ戻る | フィードバック

フィードバック

 
先頭へ戻る先頭へ戻る