Fout bij het starten van uw Windows-domeincontroller: Directory Services kan niet worden gestart

  • Artikel

In dit artikel wordt uitgelegd hoe u herstelt van een beschadigde Active Directory-database of van een soortgelijk probleem dat verhindert dat uw computer in de normale modus wordt gestart.

Van toepassing op: Windows Server 2003
Origineel KB-nummer: 258062

Samenvatting

Dit artikel leidt u door een reeks stappen die u kunnen helpen bij het vaststellen van de oorzaak van de systeemfout Directory Services kan niet worden gestart . Deze stappen kunnen het volgende omvatten:

  • Controleren of de active directoryservicebestanden bestaan.
  • Controleren of de machtigingen van het bestandssysteem juist zijn.
  • De integriteit van de Active Directory-database controleren.
  • Een semantische databaseanalyse uitvoeren.
  • De Active Directory-database herstellen.
  • De Active Directory-database verwijderen en opnieuw maken.

In dit artikel wordt ook uitgelegd hoe u Ntdsutil of Esentutl gebruikt om een herstelbewerking van de Active Directory-database uit te voeren. Omdat een herstel met verlies gegevens verwijdert en nieuwe problemen kan veroorzaken, voert u alleen een herstel met verlies uit als dit de enige beschikbare optie is.

Symptomen

Wanneer u de domeincontroller start, wordt het scherm mogelijk leeg en wordt het volgende foutbericht weergegeven:

LSASS.EXE- Systeemfout is de initialisatie van beveiligingsaccountbeheer mislukt vanwege de volgende fout: Directory Services kan niet worden gestart. Foutstatus 0xc00002e1.

Klik op OK om dit systeem af te sluiten en opnieuw op te starten in de herstelmodus van directoryservices. Controleer het gebeurtenislogboek voor meer gedetailleerde informatie.

Daarnaast kunnen de volgende gebeurtenis-id-berichten worden weergegeven in het gebeurtenislogboek:

Gebeurtenis-id: 700
Beschrijving: 'NTDS (260) Online-defragmentatie begint met een doorgeven van database-NTDS. DIT."
Gebeurtenis-id: 701
Beschrijving: "NTDS (268) Online defragmentatie heeft een volledige pass-on-database 'C:\WINNT\NTDS\ntds.dit' voltooid."
Gebeurtenis-id: 101
Beschrijving: 'NTDS (260) de database-engine is gestopt.'
Gebeurtenis-id: 1004
Beschrijving: 'De map is afgesloten.'
Gebeurtenis-id: 1168
Beschrijving: 'Fout: 1032 (fffffbf8) is opgetreden. (interne id 4042b). Neem contact op met de productondersteuningsservices van Microsoft voor hulp.
Gebeurtenis-id: 1103
Beschrijving: 'De windows Directory Services-database kan niet worden geïnitialiseerd en fout 1032 geretourneerd. Onherstelbare fout: de map kan niet worden voortgezet.'

Oorzaak

Dit probleem treedt op omdat aan een of meer van de volgende voorwaarden wordt voldaan:

  • De NTFS-bestandssysteemmachtigingen voor de hoofdmap van het station zijn te beperkend.
  • De ntfs-bestandssysteemmachtigingen voor de NTDS-map zijn te beperkend.
  • De stationsletter van het volume dat de Active Directory-database bevat, is gewijzigd.
  • De Active Directory-database (Ntds.dit) is beschadigd.
  • De map NTDS is gecomprimeerd.

Oplossing

Ga als volgt te werk om dit probleem op te lossen:

  1. Start de domeincontroller opnieuw.

  2. Wanneer de BIOS-informatie wordt weergegeven, drukt u op F8.

  3. Selecteer Directory Services Restore Mode en druk op Enter.

  4. Meld u aan met het wachtwoord voor de herstelmodus van Directory Services.

  5. Klik op Start, selecteer Uitvoeren, typ cmd in het vak Openen en klik vervolgens op OK.

  6. Typ ntdsutil files info bij de opdrachtprompt.

    Uitvoer die lijkt op het volgende wordt weergegeven:

    Stationsinformatie:

    C:\ NTFS (vaste schijf) gratis(533,3 Mb) totaal (4,1 Gb)

    DS-padinformatie:

    Database : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 42,1 Mb totaal temp.edb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Opmerking

    De bestandslocaties die in deze uitvoer zijn opgenomen, zijn ook te vinden in de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    De volgende vermeldingen in deze sleutel bevatten de bestandslocaties:

    • Pad voor databaseback-up
    • Pad naar databaselogboekbestanden
    • DSA-werkmap

  7. Controleer of de bestanden die worden vermeld in de uitvoer in stap 6 bestaan.

  8. Controleer of de mappen in de Ntdsutil-uitvoer de juiste machtigingen hebben. De juiste machtigingen worden opgegeven in de volgende tabellen.

    Windows Server 2003

    Account Machtigingen Overname
    Systeem Volledig beheer Deze map, submappen en bestanden
    Beheerders Volledig beheer Deze map, submappen en bestanden
    Eigenaar van maker Volledig beheer Alleen submappen en bestanden
    Lokale service Mappen maken/gegevens toevoegen Deze map en submappen

    Windows 2000

    Account Machtigingen Overname
    Beheerders Volledig beheer Deze map, submappen en bestanden
    Systeem Volledig beheer Deze map, submappen en bestanden

    Opmerking

    Daarnaast zijn voor het systeemaccount machtigingen voor volledig beheer vereist voor de volgende mappen:

    • De hoofdmap van het station met de map Ntds
    • De map %WINDIR%

    In Windows Server 2003 is de standaardlocatie van de map %WINDIR% C:\WINDOWS. In Windows 2000 is de standaardlocatie van de map %WINDIR% C:\WINNT.

  9. Controleer de integriteit van de Active Directory-database. Typ hiervoor ntdsutil files integrity bij de opdrachtprompt.

    Als de integriteitscontrole geen fouten aangeeft, start u de domeincontroller opnieuw op in de normale modus. Als de integriteitscontrole niet zonder fouten wordt voltooid, gaat u verder met de volgende stappen.

  10. Voer een semantische databaseanalyse uit. Typ hiervoor de volgende opdracht bij de opdrachtprompt, inclusief de aanhalingstekens:

    ntdsutil "sem d a" go

  11. Als de semantische databaseanalyse geen fouten aangeeft, gaat u verder met de volgende stappen. Als de analyse fouten rapporteert, typt u de volgende opdracht bij de opdrachtprompt, inclusief de aanhalingstekens:

    ntdsutil "sem d a" "go f"

  12. Volg de stappen in het volgende Microsoft Knowledge Base-artikel om een offlinedefragmentatie van de Active Directory-database uit te voeren:

    232122 Offline defragmentatie van de Active Directory-database uitvoeren

  13. Als het probleem nog steeds bestaat na de offlinedefragmentatie en er andere functionele domeincontrollers in hetzelfde domein zijn, verwijdert u Active Directory van de server en installeert u Active Directory opnieuw. Volg hiervoor de stappen in de sectie Tijdelijke oplossing in het volgende Microsoft Knowledge Base-artikel:

    332199 domeincontrollers worden niet correct gedegraded wanneer u de wizard Active Directory installeren gebruikt om degradatie af te dwingen in Windows Server 2003 en in Windows 2000 Server

    Opmerking

    Als op uw domeincontroller Microsoft Small Business Server wordt uitgevoerd, kunt u deze stap niet uitvoeren, omdat Small Business Server niet kan worden toegevoegd aan een bestaand domein als een extra domeincontroller (replica). Als u een back-up van de systeemstatus hebt die nieuwer is dan de tombstone-levensduur, herstelt u die systeemstatusback-up in plaats van Active Directory van de server te verwijderen. De tombstone-levensduur is standaard 60 dagen.

  14. Als er geen back-up van de systeemstatus beschikbaar is en er geen andere gezonde domeincontrollers in het domein zijn, raden we u aan het domein opnieuw op te bouwen door Active Directory te verwijderen en vervolgens Active Directory opnieuw te installeren op de server, waardoor een nieuw domein wordt gemaakt. U kunt de oude domeinnaam opnieuw gebruiken of een nieuwe domeinnaam gebruiken. U kunt het domein ook opnieuw opbouwen door Windows opnieuw te formatteren en opnieuw te installeren op de server. Het verwijderen van Active Directory gaat echter sneller en verwijdert effectief de beschadigde Active Directory-database.

    Als er geen back-up van de systeemstatus beschikbaar is, er geen andere gezonde domeincontrollers in het domein zijn en u moet de domeincontroller onmiddellijk laten werken. Voer een herstel met verlies uit met behulp van Ntdsutil of Esentutl.

    Opmerking

    Microsoft biedt geen ondersteuning voor domeincontrollers nadat Ntdsutil of Esentutl is gebruikt om te herstellen van beschadigde Active Directory-databases. Als u dit soort reparaties uitvoert, moet u de domeincontroller opnieuw opbouwen zodat Active Directory zich in een ondersteunde configuratie bevindt. De herstelopdracht in Ntdsutil gebruikt het hulpprogramma Esentutl om een herstelbewerking van de database uit te voeren. Dit soort herstel corrigeert beschadiging door gegevens uit de database te verwijderen. Gebruik dit soort reparatie alleen als laatste redmiddel.

    Hoewel de domeincontroller mogelijk wordt gestart en na de reparatie correct lijkt te werken, wordt de status ervan niet ondersteund omdat de gegevens die uit de database worden verwijderd, een aantal problemen kunnen veroorzaken die zich later mogelijk pas voordoen. Er is geen manier om te bepalen welke gegevens zijn verwijderd toen de database werd hersteld. Zo snel mogelijk na de reparatie moet u het domein opnieuw opbouwen om Active Directory te herstellen naar een ondersteunde configuratie. Als u alleen de offlinedefragmentatie- of semantische databaseanalysemethoden gebruikt waarnaar in dit artikel wordt verwezen, hoeft u de domeincontroller daarna niet opnieuw te bouwen.

  15. Voordat u een herstelbewerking uitvoert, neemt u contact op met microsoft productondersteuning om te bevestigen dat u alle mogelijke herstelopties hebt gecontroleerd en om te controleren of de database daadwerkelijk niet kan worden hersteld. Ga naar de volgende Microsoft-website voor een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over ondersteuningskosten:

    Contact Microsoft Ondersteuning

    Op een domeincontroller met Windows 2000 Server gebruikt u Ntdsutil om de Active Directory-database te herstellen. Hiervoor typt u ntdsutil-bestanden herstellen bij een opdrachtprompt in de modus Herstel van directoryservice.

    Als u een herstel met verlies van een Windows Server 2003-domeincontroller wilt uitvoeren, gebruikt u het hulpprogramma Esentutl.exe om de Active Directory-database te herstellen. Hiervoor typt u esentutl /p bij een opdrachtprompt op de Windows Server 2003-domeincontroller.

  16. Nadat de herstelbewerking is voltooid, wijzigt u de naam van de .log bestanden in de map NTDS met behulp van een andere extensie, zoals .bak, en probeert u de domeincontroller in de normale modus te starten.

  17. Als u de domeincontroller na de reparatie in de normale modus kunt starten, migreert u relevante Active Directory-objecten zo snel mogelijk naar een nieuw forest. Omdat deze herstelmethode met verlies beschadigingen oplost door gegevens te verwijderen, kan dit later problemen veroorzaken die uiterst moeilijk op te lossen zijn. Bij de eerste gelegenheid na de reparatie moet u het domein opnieuw opbouwen om Active Directory terug te brengen naar een ondersteunde configuratie.

    U kunt gebruikers, computers en groepen migreren met behulp van het Active Directory Migration Tool (ADMT), Ldifde of een niet-Microsoft-migratieprogramma. ADMT kan gebruikersaccounts, computeraccounts en beveiligingsgroepen migreren met of zonder de geschiedenis van de beveiligings-id (SID). ADMT migreert ook gebruikersprofielen. Als u ADMT wilt gebruiken in een Small Business Server-omgeving, raadpleegt u het whitepaper 'Migreren van Small Business Server 2000 of Windows 2000 Server'. Ga naar de volgende Microsoft-website om deze whitepaper te verkrijgen:

    Migreren van Small Business Server 2000 of Windows 2000 Server naar Windows Small Business Server 2003

    U kunt Ldifde gebruiken om veel typen objecten van het beschadigde domein naar het nieuwe domein te exporteren en te importeren. Deze objecten omvatten gebruikersaccounts, computeraccounts, beveiligingsgroepen, organisatie-eenheden, Active Directory-sites, subnetten en sitekoppelingen. Ldifde kan de SID-geschiedenis niet migreren. Ldifde maakt deel uit van Windows 2000 Server en Windows Server 2003.

    Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over het gebruik van Ldifde:

    237677 Ldifde gebruiken om mapobjecten te importeren en te exporteren naar Active Directory

    U kunt de groepsbeleid Management Console (GPMC) gebruiken om het bestandssysteem en het Active Directory-gedeelte van het groepsbeleidsobject te exporteren van het beschadigde domein naar het nieuwe domein.

    Ga naar de volgende Microsoft-website om de GPMC te verkrijgen:

    Cloud Computing Services

    Raadpleeg de whitepaper 'GPO's migreren tussen domeinen met GPMC' voor informatie over het migreren van groepsbeleidsobjecten met behulp van de groepsbeleidsgroep. Ga naar de volgende Microsoft-website om deze whitepaper te verkrijgen:

    GPO's migreren tussen domeinen

  18. Na het herstel evalueert u uw huidige back-upplan om ervoor te zorgen dat u regelmatig genoeg geplande systeemstatusback-ups hebt. Plan ten minste elke dag of na elke belangrijke wijziging back-ups van systeemstatussen. Back-ups van systeemstatus moeten het vereiste niveau van fouttolerantie bevatten. Sla bijvoorbeeld geen back-ups op hetzelfde station op als de computer waarop u een back-up maakt. Gebruik waar mogelijk meer dan één domeincontroller om een single point of failure te voorkomen. Sla back-ups op een locatie buiten de site op, zodat een site-noodgeval (brand, diefstal, overstroming, computerdiefstal) geen invloed heeft op uw vermogen om te herstellen. De volgende Microsoft-websites kunnen u helpen bij het ontwikkelen van een back-upplan.