Windows 기반 도메인 컨트롤러를 시작할 때 오류 발생: 디렉터리 서비스를 시작할 수 없음

이 문서에서는 손상된 Active Directory 데이터베이스 또는 컴퓨터가 정상 모드에서 시작되지 않도록 하는 유사한 문제에서 복구하는 방법을 설명합니다.

적용 대상: Windows Server 2003
원본 KB 번호: 258062

요약

이 문서에서는 디렉터리 서비스가 시스템 오류를 시작할 수 없는 원인을 진단하는 데 도움이 될 수 있는 일련의 단계를 안내합니다. 이러한 단계에는 다음이 포함될 수 있습니다.

• Active Directory 디렉터리 서비스 파일이 있는지 확인합니다.
• 파일 시스템 권한이 올바른지 확인합니다.
• Active Directory 데이터베이스의 무결성을 확인합니다.
• 의미 체계 데이터베이스 분석 수행
• Active Directory 데이터베이스 복구.
• Active Directory 데이터베이스 제거 및 다시 만들기

이 문서에서는 Ntdsutil 또는 Esentutl을 사용하여 Active Directory 데이터베이스의 손실 복구를 수행하는 방법도 설명합니다. 손실 복구는 데이터를 삭제하고 새로운 문제가 발생할 수 있으므로 사용 가능한 유일한 옵션인 경우에만 손실 복구를 수행합니다.

증상

도메인 컨트롤러를 시작하면 화면이 비어 있을 수 있으며 다음과 같은 오류 메시지가 표시될 수 있습니다.

LSASS.EXE - 시스템 오류로 인해 보안 계정 관리자 초기화에 실패했습니다. 디렉터리 서비스를 시작할 수 없습니다. 오류 상태 0xc00002e1.

확인을 클릭하여 이 시스템을 종료하고 디렉터리 서비스 복원 모드로 다시 부팅하고, 자세한 내용은 이벤트 로그를 검사.

또한 다음 이벤트 ID 메시지가 이벤트 로그에 나타날 수 있습니다.

이벤트 ID: 700
설명: "NTDS(260) 온라인 조각 모음이 데이터베이스 NTDS에 대한 통과를 시작하고 있습니다. DIT."
이벤트 ID: 701
설명: "NTDS(268) 온라인 조각 모음이 'C:\WINNT\NTDS\ntds.dit' 데이터베이스에 대한 전체 전달을 완료했습니다."
이벤트 ID: 101
설명: "NTDS(260) 데이터베이스 엔진이 중지되었습니다."
이벤트 ID: 1004
설명: "디렉터리가 성공적으로 종료되었습니다."
이벤트 ID: 1168
설명: "오류: 1032(fffffbf8)가 발생했습니다. (내부 ID 4042b). 지원을 받으려면 Microsoft 제품 지원 서비스에 문의하세요."
이벤트 ID: 1103
설명: "Windows 디렉터리 서비스 데이터베이스를 초기화하고 오류 1032를 반환할 수 없습니다. 복구할 수 없는 오류로 디렉터리를 계속할 수 없습니다."

원인

이 문제는 다음 조건 중 하나 이상이 true이기 때문에 발생합니다.

• 드라이브의 루트에 대한 NTFS 파일 시스템 권한이 너무 제한적입니다.
• NTDS 폴더에 대한 NTFS 파일 시스템 권한은 너무 제한적입니다.
• Active Directory 데이터베이스를 포함하는 볼륨의 드라이브 문자가 변경되었습니다.
• Active Directory 데이터베이스(Ntds.dit)가 손상되었습니다.
• NTDS 폴더가 압축됩니다.

해결 방법

이 문제를 해결하려면 다음과 같이 하십시오.

1. 도메인 컨트롤러를 다시 시작합니다.

2. BIOS 정보가 나타나면 F8 키를 누릅니다.

3. 디렉터리 서비스 복원 모드를 선택한 다음 Enter 키를 누릅니다.

4. Directory Services 복원 모드 암호를 사용하여 로그온합니다.

5. 시작을 클릭하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 클릭합니다.

6. 명령 프롬프트에서 ntdsutil 파일 정보를 입력합니다.

   다음과 유사한 출력이 나타납니다.

   드라이브 정보:

   C:\ NTFS(고정 드라이브) free(533.3Mb) total(4.1Gb)

   DS 경로 정보:

   데이터베이스: C:\WINDOWS\NTDS\ntds.dit - 10.1Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 42.1Mb 총 temp.edb - 2.1Mb res2.log - 10.0Mb res1.log - 10.0Mb edb00001.log - 10.0Mb edb.log - 10.0Mb

   참고

   이 출력에 포함된 파일 위치는 다음 레지스트리 하위 키에도 있습니다.
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

   이 키의 다음 항목에는 파일 위치가 포함됩니다.

   • 데이터베이스 백업 경로
   • 데이터베이스 로그 파일 경로
   • DSA 작업 디렉터리

7. 6단계의 출력에 나열된 파일이 있는지 확인합니다.

8. Ntdsutil 출력의 폴더에 올바른 권한이 있는지 확인합니다. 올바른 사용 권한은 다음 표에 지정됩니다.

   Windows Server 2003

   Account	권한	상속
   시스템	모든 권한	이 폴더, 하위 폴더 및 파일
   관리자	모든 권한	이 폴더, 하위 폴더 및 파일
   작성자 소유자	모든 권한	하위 폴더 및 파일만
   로컬 서비스	폴더 만들기/데이터 추가	이 폴더 및 하위 폴더

   Windows 2000

   Account	권한	상속
   관리자	모든 권한	이 폴더, 하위 폴더 및 파일
   시스템	모든 권한	이 폴더, 하위 폴더 및 파일

   참고

   또한 시스템 계정에는 다음 폴더에 대한 모든 권한이 필요합니다.

   • Ntds 폴더가 포함된 드라이브의 루트
   • %WINDIR% 폴더

   Windows Server 2003에서 %WINDIR% 폴더의 기본 위치는 C:\WINDOWS입니다. Windows 2000에서 %WINDIR% 폴더의 기본 위치는 C:\WINNT입니다.

9. Active Directory 데이터베이스의 무결성을 확인합니다. 이렇게 하려면 명령 프롬프트에 ntdsutil 파일 무결성 을 입력합니다.

   무결성 검사 오류가 없는 경우 표준 모드에서 도메인 컨트롤러를 다시 시작합니다. 오류 없이 무결성 검사 완료되지 않는 경우 다음 단계를 계속 진행합니다.

10. 의미 체계 데이터베이스 분석을 수행합니다. 이렇게 하려면 명령 프롬프트에 따옴표를 포함하여 다음 명령을 입력합니다.

    ntdsutil "sem d a" go
    

11. 의미 체계 데이터베이스 분석에서 오류가 없음을 나타내는 경우 다음 단계를 계속 진행합니다. 분석에서 오류를 보고하는 경우 명령 프롬프트에 따옴표를 포함하여 다음 명령을 입력합니다.

    ntdsutil "sem d a" "go f"
    

12. 다음 Microsoft 기술 자료 문서의 단계에 따라 Active Directory 데이터베이스의 오프라인 조각 모음을 수행합니다.

    232122 Active Directory 데이터베이스의 오프라인 조각 모음 수행

13. 오프라인 조각 모음 후에도 문제가 계속 존재하고 동일한 도메인에 다른 기능 도메인 컨트롤러가 있는 경우 서버에서 Active Directory를 제거한 다음 Active Directory를 다시 설치합니다. 이렇게 하려면 다음 Microsoft 기술 자료 문서의 "해결 방법" 섹션의 단계를 수행합니다.

    332199 도메인 컨트롤러는 Active Directory 설치 마법사를 사용하여 Windows Server 2003 및 Windows 2000 Server에서 강제로 강등되는 경우 정상적으로 강등되지 않습니다.

    참고

    도메인 컨트롤러가 Microsoft Small Business Server를 실행하는 경우 Small Business Server를 기존 도메인에 추가 도메인 컨트롤러(복제본(replica))로 추가할 수 없으므로 이 단계를 수행할 수 없습니다. 삭제 표시 수명보다 최신 시스템 상태 백업이 있는 경우 서버에서 Active Directory를 제거하는 대신 해당 시스템 상태 백업을 복원합니다. 기본적으로 삭제 표시 수명은 60일입니다.

14. 사용할 수 있는 시스템 상태 백업이 없고 도메인에 다른 정상 도메인 컨트롤러가 없는 경우 Active Directory를 제거한 다음 서버에 Active Directory를 다시 설치하여 새 도메인을 만들어 도메인을 다시 빌드하는 것이 좋습니다. 이전 도메인 이름을 다시 사용하거나 새 도메인 이름을 사용할 수 있습니다. 서버에서 Windows를 다시 포맷하고 다시 설치하여 도메인을 다시 빌드할 수도 있습니다. 그러나 Active Directory를 제거하는 것이 더 빨라지고 손상된 Active Directory 데이터베이스가 효과적으로 제거됩니다.

    시스템 상태 백업을 사용할 수 없는 경우 도메인에 다른 정상 도메인 컨트롤러가 없으며 도메인 컨트롤러가 즉시 작동해야 하며 Ntdsutil 또는 Esentutl을 사용하여 손실 복구를 수행합니다.

    참고

    Ntdsutil 또는 Esentutl을 사용하여 Active Directory 데이터베이스 손상에서 복구한 후에는 Microsoft에서 도메인 컨트롤러를 지원하지 않습니다. 이러한 종류의 복구를 수행하는 경우 Active Directory가 지원되는 구성에 있도록 도메인 컨트롤러를 다시 빌드해야 합니다. Ntdsutil의 복구 명령은 Esentutl 유틸리티를 사용하여 데이터베이스의 손실 복구를 수행합니다. 이러한 종류의 복구는 데이터베이스에서 데이터를 삭제하여 손상을 수정합니다. 이러한 종류의 수리만 최후의 수단으로 사용합니다.

    도메인 컨트롤러가 시작될 수 있고 복구 후에 올바르게 작동하는 것처럼 보일 수 있지만 데이터베이스에서 삭제된 데이터가 나중에 나타날 수 있는 문제가 발생할 수 있으므로 해당 상태는 지원되지 않습니다. 데이터베이스를 복구할 때 삭제된 데이터를 확인할 수 있는 방법은 없습니다. 복구 후 가능한 한 빨리 Active Directory를 지원되는 구성으로 반환하려면 도메인을 다시 빌드해야 합니다. 이 문서에서 참조하는 오프라인 조각 모음 또는 의미 체계 데이터베이스 분석 메서드만 사용하는 경우 나중에 도메인 컨트롤러를 다시 빌드할 필요가 없습니다.

15. 손실 복구를 수행하기 전에 Microsoft 제품 지원 서비스에 문의하여 가능한 모든 복구 옵션을 검토했는지 확인하고 데이터베이스가 실제로 복구할 수 없는 상태인지 확인합니다. Microsoft 제품 지원 서비스 전화 번호 및 지원 비용에 대한 전체 목록은 다음 Microsoft 웹 사이트를 방문하세요.

    Microsoft 지원 문의

    Windows 2000 서버 기반 도메인 컨트롤러에서 Ntdsutil을 사용하여 Active Directory 데이터베이스를 복구합니다. 이렇게 하려면 디렉터리 서비스 복원 모드의 명령 프롬프트에서 ntdsutil 파일 복구 를 입력합니다.

    Windows Server 2003 기반 도메인 컨트롤러의 손실 복구를 수행하려면 Esentutl.exe 도구를 사용하여 Active Directory 데이터베이스를 복구합니다. 이렇게 하려면 Windows Server 2003 기반 도메인 컨트롤러의 명령 프롬프트에 esentutl /p 를 입력합니다.

16. 복구 작업이 완료되면 .bak 같은 다른 확장을 사용하여 NTDS 폴더의 .log 파일 이름을 바꾸고 표준 모드에서 도메인 컨트롤러를 시작합니다.

17. 복구 후 표준 모드로 도메인 컨트롤러를 시작할 수 있는 경우 가능한 한 빨리 관련 Active Directory 개체를 새 포리스트로 마이그레이션합니다. 이 손실 복구 방법은 데이터를 삭제하여 손상을 수정하므로 나중에 문제를 해결하기가 매우 어려운 문제가 발생할 수 있습니다. 복구 후 첫 번째 기회에서 Active Directory를 지원되는 구성으로 되돌리려면 도메인을 다시 빌드해야 합니다.

    ADMT(Active Directory 마이그레이션 도구), Ldifde 또는 비 Microsoft 마이그레이션 도구를 사용하여 사용자, 컴퓨터 및 그룹을 마이그레이션할 수 있습니다. ADMT는 SID(보안 식별자) 기록을 사용하거나 사용하지 않고 사용자 계정, 컴퓨터 계정 및 보안 그룹을 마이그레이션할 수 있습니다. 또한 ADMT는 사용자 프로필을 마이그레이션합니다. Small Business Server 환경에서 ADMT를 사용하려면 "Small Business Server 2000 또는 Windows 2000 Server에서 마이그레이션" 백서를 검토합니다. 이 백서를 가져오려면 다음 Microsoft 웹 사이트를 방문하세요.

    Small Business Server 2000 또는 Windows 2000 Server에서 Windows Small Business Server 2003으로 마이그레이션

    Ldifde를 사용하여 손상된 도메인에서 새 도메인으로 많은 유형의 개체를 내보내고 가져올 수 있습니다. 이러한 개체에는 사용자 계정, 컴퓨터 계정, 보안 그룹, organization 단위, Active Directory 사이트, 서브넷 및 사이트 링크가 포함됩니다. Ldifde는 SID 기록을 마이그레이션할 수 없습니다. Ldifde는 Windows 2000 Server 및 Windows Server 2003의 일부입니다.

    Ldifde를 사용하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

    237677 Ldifde를 사용하여 디렉터리 개체를 Active Directory로 가져오고 내보내기

    그룹 정책 관리 콘솔(GPMC)을 사용하여 손상된 도메인에서 새 도메인으로 파일 시스템 및 그룹 정책 개체의 Active Directory 부분을 내보낼 수 있습니다.

    GPMC를 가져오려면 다음 Microsoft 웹 사이트를 방문하세요.

    Cloud Computing Services

    GPMC를 사용하여 그룹 정책 개체를 마이그레이션하는 방법에 대한 자세한 내용은 "GPMC를 사용하여 도메인 간에 GPO 마이그레이션" 백서를 검토하세요. 이 백서를 가져오려면 다음 Microsoft 웹 사이트를 방문하세요.

    도메인 간 GPO 마이그레이션

18. 복구 후 현재 백업 계획을 평가하여 시스템 상태 백업을 충분히 자주 예약했는지 확인합니다. 적어도 매일 또는 중요한 변경 후 시스템 상태 백업을 예약합니다. 시스템 상태 백업에는 필요한 내결함성 수준이 포함되어야 합니다. 예를 들어 백업하는 컴퓨터와 동일한 드라이브에 백업을 저장하지 마세요. 가능하면 둘 이상의 도메인 컨트롤러를 사용하여 단일 실패 지점을 방지합니다. 사이트 재해(화재, 도난, 홍수, 컴퓨터 도난)가 복구 기능에 영향을 주지 않도록 백업을 오프사이트 위치에 저장합니다. 다음 Microsoft 웹 사이트는 백업 계획을 개발하는 데 도움이 될 수 있습니다.

    • Windows Server 2003: 백업 및 복구 계획 만들기
    • Windows 2000: 14장 - 데이터 백업 및 복구
    • Windows Small Business Server: Windows Server Essentials(Small Business Server)