Windows ベースのドメイン コントローラーを起動するときにエラーが発生する: Directory Services を起動できません

この記事では、破損した Active Directory データベースから、またはコンピューターが通常モードで起動しない同様の問題から回復する方法について説明します。

適用対象: Windows Server 2003
元の KB 番号: 258062

概要

この記事では、Directory Services がシステム エラーを 開始できない 原因を診断するのに役立つ一連の手順について説明します。 これらの手順には、次のものが含まれます。

  • Active Directory ディレクトリ サービス ファイルが存在することを確認します。
  • ファイル システムのアクセス許可が正しいことを確認します。
  • Active Directory データベースの整合性の確認。
  • セマンティック データベース分析の実行。
  • Active Directory データベースの修復。
  • Active Directory データベースの削除と再作成。

この記事では、Ntdsutil または Esentutl を使用して Active Directory データベースの損失の修復を実行する方法についても説明します。 損失修復はデータを削除し、新しい問題が発生する可能性があるため、使用できる唯一のオプションである場合にのみ損失修復を実行します。

現象

ドメイン コントローラーを起動すると、画面が空白になり、次のエラー メッセージが表示される場合があります。

LSASS.EXE - システム エラー、セキュリティ アカウント マネージャーの初期化が失敗しました。ディレクトリ サービスを開始できません。 エラー状態0xc00002e1。

[OK] をクリックしてこのシステムをシャットダウンし、ディレクトリ サービスの復元モードで再起動し、イベント ログをチェックして詳細を確認してください。

さらに、次のイベント ID メッセージがイベント ログに表示される場合があります。

イベント ID: 700
説明: "NTDS (260) オンライン最適化は、データベース NTDS のパスを開始しています。DIT"
イベント ID: 701
説明: "NTDS (268) オンライン最適化は、データベース 'C:\WINNT\NTDS\ntds.dit' の完全なパスを完了しました。
イベント ID: 101
説明: "NTDS (260) データベース エンジンが停止しました。
イベント ID: 1004
説明: "ディレクトリが正常にシャットダウンされました。
イベント ID: 1168
説明: "エラー: 1032 (fffffbf8) が発生しました。 (内部 ID 4042b)。 サポートについては、Microsoft 製品サポート サービスにお問い合わせください。
イベント ID: 1103
説明: "Windows ディレクトリ サービス データベースを初期化できず、エラー 1032 が返されました。 回復不可能なエラーが発生すると、ディレクトリを続行できません。

原因

この問題は、次の条件の 1 つ以上が当てはまるために発生します。

  • ドライブのルートに対する NTFS ファイル システムのアクセス許可の制限が厳しすぎます。
  • NTDS フォルダーに対する NTFS ファイル システムのアクセス許可の制限が厳しすぎます。
  • Active Directory データベースを含むボリュームのドライブ文字が変更されました。
  • Active Directory データベース (Ntds.dit) が破損しています。
  • NTDS フォルダーが圧縮されています。

解決方法

この問題を解決するには、次の手順を実行します。

  1. ドメイン コントローラーを再起動します。

  2. BIOS 情報が表示されたら、F8 キーを押します。

  3. [ Directory Services 復元モード] を選択し、Enter キーを押します。

  4. Directory Services 復元モードのパスワードを使用してログオンします。

  5. [スタート] をクリックし、[実行] を選択し、[開く] ボックスに「cmd」と入力し、[OK] をクリックします

  6. コマンド プロンプトで、「 ntdsutil files info」と入力します。

    次のような出力が表示されます。

    ドライブ情報:

    C:\ NTFS (固定ドライブ) free(533.3 Mb) total(4.1 Gb)

    DS パス情報:

    データベース: C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak 作業ディレクトリ: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 4 temp.edb の合計 2.1 Mb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    注:

    この出力に含まれるファイルの場所は、次のレジストリ サブキーにも含まれています。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    このキーの次のエントリには、ファイルの場所が含まれています。

    • データベース バックアップ パス
    • データベース ログ ファイルのパス
    • DSA 作業ディレクトリ
  7. 手順 6 の出力に一覧表示されているファイルが存在することを確認します。

  8. Ntdsutil 出力のフォルダーに正しいアクセス許可があることを確認します。 次の表に、適切なアクセス許可を指定します。

    Windows Server 2003

    アカウント アクセス許可 継承
    System フル コントロール このフォルダー、サブフォルダー、およびファイル
    管理者 フル コントロール このフォルダー、サブフォルダー、およびファイル
    作成者の所有者 フル コントロール サブフォルダーとファイルのみ
    ローカル サービス フォルダーの作成/データの追加 このフォルダーとサブフォルダー

    Windows 2000

    アカウント アクセス許可 継承
    管理者 フル コントロール このフォルダー、サブフォルダー、およびファイル
    System フル コントロール このフォルダー、サブフォルダー、およびファイル

    注:

    さらに、システム アカウントには、次のフォルダーに対するフル コントロールアクセス許可が必要です。

    • Ntds フォルダーを含むドライブのルート
    • %WINDIR% フォルダー

    Windows Server 2003 では、%WINDIR% フォルダーの既定の場所は C:\WINDOWS です。 Windows 2000 では、%WINDIR% フォルダーの既定の場所は C:\WINNT です。

  9. Active Directory データベースの整合性を確認します。 これを行うには、コマンド プロンプトで 「ntdsutil files integrity 」と入力します。

    整合性チェックにエラーがないことを示す場合は、通常モードでドメイン コントローラーを再起動します。 整合性チェックがエラーなしで終了しない場合は、次の手順に進みます。

  10. セマンティック データベース分析を実行します。 これを行うには、コマンド プロンプトで引用符を含む次のコマンドを入力します。

    ntdsutil "sem d a" go
    
  11. セマンティック データベース分析でエラーが示されない場合は、次の手順に進みます。 分析でエラーが報告された場合は、コマンド プロンプトで引用符を含む次のコマンドを入力します。

    ntdsutil "sem d a" "go f"
    
  12. 次の Microsoft サポート技術情報の記事の手順に従って、Active Directory データベースのオフライン最適化を実行します。

    232122 Active Directory データベースのオフライン最適化の実行

  13. オフラインの最適化後も問題が発生し、同じドメインに他の機能ドメイン コントローラーがある場合は、サーバーから Active Directory を削除してから、Active Directory を再インストールします。 これを行うには、次の Microsoft サポート技術情報の「回避策」セクションの手順に従います。

    332199 ドメイン コントローラーは、Active Directory インストール ウィザードを使用して Windows Server 2003 と Windows 2000 Server で降格を強制する場合に正常に降格されません

    注:

    ドメイン コントローラーが Microsoft Small Business Server を実行している場合、Small Business Server を追加のドメイン コントローラー (レプリカ) として既存のドメインに追加できないため、この手順を実行できません。 廃棄ストーンの有効期間より新しいシステム状態バックアップがある場合は、サーバーから Active Directory を削除する代わりに、そのシステム状態バックアップを復元します。 既定では、廃棄石の有効期間は 60 日です。

  14. 使用可能なシステム状態のバックアップがなく、ドメインに他の正常なドメイン コントローラーがない場合は、Active Directory を削除してから、サーバーに Active Directory を再インストールして新しいドメインを作成して、ドメインを再構築することをお勧めします。 古いドメイン名を再度使用することも、新しいドメイン名を使用することもできます。 また、サーバーに Windows を再フォーマットして再インストールすることで、ドメインを再構築することもできます。 ただし、Active Directory の削除は高速で、破損した Active Directory データベースを効果的に削除します。

    使用可能なシステム状態のバックアップがない場合は、ドメインに他の正常なドメイン コントローラーはなく、ドメイン コントローラーをすぐに動作させ、Ntdsutil または Esentutl を使用して損失の修復を実行する必要があります。

    注:

    Ntdsutil または Esentutl を使用して Active Directory データベースの破損から回復した後、Microsoft はドメイン コントローラーをサポートしていません。 この種の修復を実行する場合は、Active Directory がサポートされている構成に含まれるドメイン コントローラーを再構築する必要があります。 Ntdsutil の修復コマンドは、Esentutl ユーティリティを使用してデータベースの損失の修復を実行します。 この種の修復では、データベースからデータを削除することで破損が修正されます。 この種の修理は最後の手段としてのみ使用してください。

    ドメイン コントローラーが起動し、修復後に正しく機能するように見える場合がありますが、データベースから削除されたデータによって、後で表示されない問題が発生する可能性があるため、状態はサポートされていません。 データベースが修復されたときに削除されたデータを特定する方法はありません。 修復後できるだけ早く、サポートされている構成に Active Directory を返すには、ドメインを再構築する必要があります。 この記事で参照されているオフライン最適化またはセマンティック データベース分析メソッドのみを使用する場合は、後でドメイン コントローラーを再構築する必要はありません。

  15. 損失の修復を実行する前に、Microsoft 製品サポート サービスに問い合わせて、考えられるすべての回復オプションを確認し、データベースが本当に回復不可能な状態になっていることを確認してください。 Microsoft 製品サポート サービスの電話番号とサポート コストに関する情報の完全な一覧については、次の Microsoft Web サイトを参照してください。

    Microsoft サポートにお問い合わせください

    Windows 2000 サーバー ベースのドメイン コントローラーで、Ntdsutil を使用して Active Directory データベースを復旧します。 これを行うには、ディレクトリ サービス復元モードのコマンド プロンプトで 「ntdsutil files repair 」と入力します。

    Windows Server 2003 ベースのドメイン コントローラーの損失の修復を実行するには、Esentutl.exe ツールを使用して Active Directory データベースを復旧します。 これを行うには、Windows Server 2003 ベースのドメイン コントローラーのコマンド プロンプトで「 esentutl /p」と 入力します。

  16. 修復操作が完了したら、.bakなどの別の拡張機能を使用して NTDS フォルダー内の.log ファイルの名前を変更し、通常モードでドメイン コントローラーを起動してみてください。

  17. 修復後にドメイン コントローラーを通常モードで起動できる場合は、できるだけ早く関連する Active Directory オブジェクトを新しいフォレストに移行します。 この損失修復方法は、データを削除することによって破損を修正するため、トラブルシューティングが非常に困難な後の問題を引き起こす可能性があります。 修復後の最初の機会に、サポートされている構成に Active Directory を戻すためにドメインを再構築する必要があります。

    Active Directory 移行ツール (ADMT)、Ldifde、または Microsoft 以外の移行ツールを使用して、ユーザー、コンピューター、およびグループを移行できます。 ADMT は、セキュリティ識別子 (SID) 履歴の有無にかかわらず、ユーザー アカウント、コンピューター アカウント、およびセキュリティ グループを移行できます。 ADMT では、ユーザー プロファイルも移行されます。 小規模ビジネス サーバー環境で ADMT を使用するには、「Small Business Server 2000 または Windows 2000 Server からの移行」ホワイト ペーパーを参照してください。 このホワイト ペーパーを入手するには、次の Microsoft Web サイトを参照してください。

    Small Business Server 2000 または Windows 2000 Server から Windows Small Business Server 2003 への移行

    Ldifde を使用して、破損したドメインから新しいドメインにさまざまな種類のオブジェクトをエクスポートおよびインポートできます。 これらのオブジェクトには、ユーザー アカウント、コンピューター アカウント、セキュリティ グループ、organization ユニット、Active Directory サイト、サブネット、およびサイト リンクが含まれます。 Ldifde は SID 履歴を移行できません。 Ldifde は、Windows 2000 Server と Windows Server 2003 の一部です。

    Ldifde の使用方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示してください。

    237677 Ldifde を使用した Active Directory へのディレクトリ オブジェクトのインポートとエクスポート

    グループ ポリシー管理コンソール (GPMC) を使用して、破損したドメインから新しいドメインにファイル システムとグループ ポリシー オブジェクトの Active Directory 部分をエクスポートできます。

    GPMC を取得するには、次の Microsoft Web サイトにアクセスします。

    Cloud Computing Services

    GPMC を使用してグループ ポリシー オブジェクトを移行する方法については、「GPMC を使用してドメイン間で GPO を移行する」ホワイト ペーパーを参照してください。 このホワイト ペーパーを入手するには、次の Microsoft Web サイトを参照してください。

    ドメイン間での GPO の移行

  18. 復旧後、現在のバックアップ 計画を評価して、システム状態のバックアップが十分に頻繁にスケジュールされていることを確認します。 少なくとも毎日、または重大な変更が行されるたびに、システム状態のバックアップをスケジュールします。 システム状態バックアップには、必要なレベルのフォールト トレランスが含まれている必要があります。 たとえば、バックアップをバックアップするコンピューターと同じドライブに保存しないでください。 可能な限り、複数のドメイン コントローラーを使用して、単一障害点を回避します。 サイトの障害 (火災、盗難、洪水、コンピューターの盗難) が回復能力に影響を与えないように、サイト外の場所にバックアップを保存します。 次の Microsoft Web サイトは、バックアップ 計画の作成に役立ちます。