In dit artikel wordt een reeks stappen beschreven waarmee u de oorzaak kunt achterhalen van de systeemfout 'Kan de directoryservice niet starten'. Tot deze stappen behoren:
- Controleren of de bestanden van de Active Directory-service bestaan
- Controleren of de machtigingen voor het bestandssysteem correct zijn
- De integriteit van de Active Directory-database controleren
- Een semantische database-analyse uitvoeren
- De Active Directory-database herstellen
- De Active Directory-database verwijderen en opnieuw maken
In dit artikel wordt tevens beschreven hoe u Ntdsutil of Esentutl gebruikt om de Active Directory-database te herstellen met gegevensverlies. Omdat bij een herstelbewerking met gegevensverlies gegevens worden verwijderd en nieuwe problemen kunnen ontstaan, dient u deze herstelbewerking alleen uit te voeren als u geen andere keuze meer hebt.
Wanneer u de domeincontroller start, kan het scherm zwart worden en het volgende foutbericht worden weergegeven:
LSASS.EXE ? Systeemfout - Het initialiseren van de SAM (Security Accounts Manager) is mislukt vanwege de volgende fout: Kan de directoryservice niet starten. Foutstatus 0xc00002e1.
Klik op OK om dit systeem af te sluiten en start het systeem opnieuw op in de modus Active Directory terugzetten. Raadpleeg het gebeurtenislogboek voor meer gegevens.
Verder kunnen de volgende berichten met gebeurtenis-id's worden opgeslagen in het gebeurtenislogboek:
Gebeurtenis-id: 700
Beschrijving: "NTDS (260) De on line defragmentatie start een volledige controle van databaseNTDS.DIT."
Gebeurtenis-id: 701
Beschrijving: "NTDS (268) De on line defragmentatie heeft de controle van database 'C:\WINNT\NTDS\ntds.dit' voltooid."
Gebeurtenis-id: 101
Beschrijving: "NTDS (260) De database-engine is gestopt."
Gebeurtenis-id: 1004
Beschrijving: "De directory is afgesloten."
Gebeurtenis-id: 1168
Beschrijving: "Fout: 1032 (fffffbf8) is opgetreden. (intern ID 4042b). Neem contact op met Microsoft Productondersteuning voor assistentie."
Gebeurtenis-id: 1103
Beschrijving: "The windows directory services database could not be initialized and returned error 1032. Unrecoverable error, the directory can't continue."
Dit probleem doet zich voor in de volgende gevallen:
- De machtigingen voor het NTFS-bestandssysteem voor de hoofdmap van het station zijn te beperkend.
- De machtigingen voor het NTFS-bestandssysteem voor de map NTDS zijn te beperkend.
- De stationsaanduiding van het volume waarop de Active Directory-database is opgeslagen, is gewijzigd.
- De Active Directory-database (Ntds.dit) is beschadigd.
- De map NTDS is gecomprimeerd.
Ga als volgt te werk om dit probleem op te lossen:
- Start de domeincontroller opnieuw.
- Druk op F8 wanneer de BIOS-gegevens worden weergegeven.
- Selecteer Modus Active Directory terugzetten en druk op Enter.
- Meld u aan met het wachtwoord voor de modus Active Directory terugzetten.
Opmerking Als u zich niet kunt aanmelden, raadpleegt u het volgende artikel in de Microsoft Knowledge Base-database:249321
(http://support.microsoft.com/kb/249321/
)
Aanmelden is niet mogelijk wanneer de stationsaanduiding van de opstartpartitie is gewijzigd
- Klik op Start, selecteer Uitvoeren, typ cmd in het vak Openen en klik op OK.
- Typ ntdsutil files info bij de opdrachtprompt.
De uitvoer ziet er ongeveer als volgt uit:
Drive Information:
C:\ NTFS (Fixed Drive ) free(533.3 Mb) total(4.1 Gb)
DS Path Information:
Database : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb
Backup dir : C:\WINDOWS\NTDS\dsadata.bak
Working dir: C:\WINDOWS\NTDS
Log dir : C:\WINDOWS\NTDS - 42.1 Mb total
temp.edb - 2.1 Mb
res2.log - 10.0 Mb
res1.log - 10.0 Mb
edb00001.log - 10.0 Mb
edb.log - 10.0 Mb
Opmerking De bestandslocaties in deze uitvoer worden ook vermeld in de volgende registersubsleutel:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
- Database Backup path
- Database Log files path
- DSA Working Directory
- Controleer of de bestanden bestaan die in de uitvoer in stap 6 worden vermeld. Als de bestanden niet bestaan, voert u de stappen in het volgende Microsoft Knowledge Base-artikel uit:
240362
(http://support.microsoft.com/kb/240362/
)
Directory Services kan niet worden gestart als het bestand Ntds.dit ontbreekt
- Controleer of voor de mappen in de uitvoer van Ntdsutil de juiste machtigingen zijn ingesteld. De juiste machtigingen ziet u in de volgende tabellen.
Windows Server 2003
Deze tabel samenvouwenDeze tabel uitklappen
| Account | Machtigingen | Overname |
| Systeem | Volledig beheer | Deze map, submappen en bestanden |
| Administrators | Volledig beheer | Deze map, submappen en bestanden |
| Maker Eigenaar | Volledig beheer | Alleen submappen en bestanden |
| Lokale service | Mappen maken / Gegevens toevoegen | Deze map en submappen |
Windows 2000
Deze tabel samenvouwenDeze tabel uitklappen
| Account | Machtigingen | Overname |
| Administrators | Volledig beheer | Deze map, submappen en bestanden |
| Systeem | Volledig beheer | Deze map, submappen en bestanden |
- De hoofdmap van het station met de map Ntds.
- De map %WINDIR%
In Windows Server 2003 is C:\WINDOWS de standaardlocatie van de map %WINDIR%. In Windows 2000 is C:\WINNT de standaardlocatie van de map %WINDIR%. - Controleer de integriteit van de Active Directory-database. Daartoe typt u ntdsutil files integrity bij de opdrachtprompt.
Als de integriteitscontrole geen fouten geeft, start u de domeincontroller opnieuw in de normale modus. Als de integriteitscontrole niet zonder fouten wordt voltooid, gaat u verder met de volgende stappen. - Voer een semantische database-analyse uit. Hiertoe typt u de volgende opdracht bij de opdrachtprompt, inclusief de aanhalingstekens:
ntdsutil "sem d a" go
- Als de semantische database-analyse geen fouten aangeeft, gaat u verder met de volgende stappen. Als de analyse fouten oplevert, typt u de volgende opdracht bij de opdrachtprompt, inclusief de aanhalingstekens:
ntdsutil "sem d a" "go f"
- Volg de stappen in het volgende Microsoft Knowledge Base-artikel om een offline defragmentatie van de Active Directory-database uit te voeren:
232122
(http://support.microsoft.com/kb/232122/
)
Offlinedefragmentatie van de Active Directory-database uitvoeren
- Als het probleem na de offline defragmentatie nog niet is opgelost en er andere functionele domeincontrollers in hetzelfde domein voorkomen, verwijdert u Active Directory van de server en installeert u Active Directory opnieuw. Daartoe volgt u de stappen in de sectie 'Tijdelijke oplossing' van het volgende artikel in de Microsoft Knowledge Base:
332199
(http://support.microsoft.com/kb/332199/
)
Domeincontrollers worden niet elegant gedegradeerd wanneer u de wizard Active Directory installeren gebruikt om degradatie in Windows Server 2003 en Windows 2000 Server te forceren
Opmerking Als Microsoft Small Business Server op de domeincontroller wordt uitgevoerd, kunt u deze stap niet uitvoeren. Small Business Server kan immers niet als een aanvullende domeincontroller (replica) aan een bestaand domein worden toegevoegd. Als u een back-up van de systeemstatus hebt die nieuwer is dan de Tombstone-levensduur, herstelt u de back-up van de systeemstatus in plaats van Active Directory van de server te verwijderen. De Tombstone-levensduur is standaard 60 dagen.
Voor meer informatie over het terugzetten van de systeemstatus met behulp van een back-up klikt u op het volgende artikelnummer in de Microsoft Knowledge Base: 240363
(http://support.microsoft.com/kb/240363/
)
Het programma Back-up gebruiken om een back-up te maken van de systeemstatus en deze te herstellen
- Als u geen back-up van de systeemstatus hebt en er geen andere goed functionerende domeincontrollers in het domein zijn, adviseren we u het domein opnieuw te maken door Active Directory van de server te verwijderen en opnieuw op de server te installeren, waardoor een nieuw domein wordt gemaakt. U kunt de oude domeinnaam weer gebruiken of een nieuwe domeinnaam opgeven. U kunt het domein ook opnieuw maken door de server opnieuw te formatteren en Windows opnieuw te installeren. Het is echter sneller om Active Directory te verwijderen. Hiermee verwijdert u op doeltreffende wijze de Active Directory-database.
Als u geen back-up van de systeemstatus hebt, er geen andere goed functionerende domeincontrollers in het domein zijn en u de domeincontroller onmiddellijk moet kunnen gebruiken, voert u met Ntdsutil of Esentutl een herstelbewerking met gegevensverlies uit.
Opmerking Microsoft biedt geen ondersteuning voor domeincontrollers nadat Ntdsutil of Esentutl is gebruikt om te herstellen na een beschadigde Active Directory-database. Na deze herstelbewerking moet u de domeincontroller opnieuw maken om Active Directory weer in een ondersteunde configuratie te plaatsen. De opdracht repair van Ntdsutil gebruikt het hulpprogramma Esentutl om een herstelbewerking met gegevensverlies van de database uit te voeren. Een dergelijke herstelbewerking herstelt een beschadiging door gegevens uit de database te verwijderen. Deze manier van herstellen dient uitsluitend als laatste redmiddel te worden gebruikt.
Hoewel de domeincontroller na de herstelbewerking opstart en normaal lijkt te functioneren, wordt de toestand ervan niet ondersteund omdat de verwijdering van gegevens uit de database een aantal problemen tot gevolg kan hebben die zich mogelijk pas later manifesteren. Het is vooralsnog niet mogelijk om na te gaan welke gegevens tijdens de herstelbewerking uit de database zijn verwijderd. Na deze herstelbewerking moet u de domeincontroller zo snel mogelijk opnieuw maken om Active Directory weer in een ondersteunde configuratie te plaatsen. Als u alleen de methode met de offline defragmentatie of de semantische database-analyse gebruikt die in dit artikel zijn beschreven, hoeft u de domeincontroller niet opnieuw te maken. - Voordat u een herstelbewerking met gegevensverlies uitvoert, neemt u contact op met Microsoft Product Support Services om na te gaan of u alle mogelijke herstelopties hebt geprobeerd en om er zeker van te zijn dat de database werkelijk onherstelbaar is. Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:Als u Ntdsutil wilt gebruiken om de Active Directory-database te herstellen, typt u ntdsutil files repair bij de opdrachtprompt in de modus Active Directory terugzetten.
- Nadat de herstelbewerking is voltooid, wijzigt u de naam van de LOG-bestanden in de map NTDS door een andere extensie te gebruiken, bijvoorbeeld .BAK. Probeer vervolgens de domeincontroller in de normale modus te starten.
- Als u de domeincontroller na de herstelbewerking in de normale modus kunt starten, migreert u de relevante Active Directory-objecten zo snel mogelijk naar een nieuwe forest. Omdat deze herstelmethode met gegevensverlies een beschadigde database herstelt door gegevens te verwijderen, kunnen later problemen optreden die uitermate moeilijk op te lossen zijn. Na deze herstelbewerking moet u de domeincontroller zo snel mogelijk opnieuw maken om Active Directory weer in een ondersteunde configuratie te plaatsen.
U kunt gebruikers, computers en groepen migreren met Active Directory Migration tool (ADMT), Ldifde of een migratieprogramma van derden. Met ADMT kunt u gebruikersaccounts, computeraccounts en beveiligingsgroepen met of zonder SID-geschiedenis (security identifier) migreren. Met ADMT kunt u ook gebruikersprofielen migreren. Als u ADMT in een Small Business Server-omgeving wilt gebruiken, raadpleegt u het technisch rapport 'Migrating from Small Business Server 2000 or Windows 2000 Server'. U kunt dit rapport downloaden van de volgende Microsoft-website:Met Ldifde kunt u vele typen objecten exporteren en importeren van het beschadigde naar het nieuwe domein. Het betreft onder meer gebruikersaccounts, computeraccounts, beveiligingsgroepen, organisatie-eenheden, Active Directory-sites, subnetten en koppelingen naar sites. Met Ldifde kunt u de SID-geschiedenis niet migreren. Ldifde is een onderdeel van Windows 2000 Server en Windows Server 2003.
Klik voor meer informatie over het gebruik van Ldifde op het volgende artikelnummer in de Microsoft Knowledge Base: 237677
(http://support.microsoft.com/kb/237677/
)
Ldifde gebruiken voor het importeren en exporteren van Active Directory-objecten naar Active Directory
Met de GPMC (Group Policy Management Console) kunt u het bestandssysteem en het Active Directory-deel van het groepsbeleidobject van het beschadigde domein naar het nieuwe domein exporteren.
Op de volgende Microsoft-website kunt u GPMC downloaden:Voor meer informatie over het migreren van groepsbeleidobjecten met de GPMC, raadpleegt u het technisch rapport 'Migrate GPOs across domains with GPMC'. U kunt dit rapport downloaden van de volgende Microsoft-website: - Na de herstelbewerking controleert u uw huidige back-upschema om na te gaan of de frequentie voor het maken van back-ups van de systeemstatus groot genoeg is. Maak minstens elke dag een back-up van de systeemstatus, of na elke grote wijziging. Back-ups van de systeemstatus moeten het vereiste fouttolerantieniveau hebben. Sla back-ups bijvoorbeeld niet op hetzelfde station op als de computer waarvan u een back-up maakt. Gebruik zo mogelijk meer dan één domeincontroller om de foutgevoeligheid niet tot één punt te beperken. Sla back-ups op een geografisch andere locatie op zodat rampen op de oorspronkelijke locatie (brand, diefstal, overstroming, computerdiefstal) niet tot gevolg hebben dat u niet meer kunt herstellen. Op de volgende Microsoft-websites vindt u hulp bij het opstellen van een back-upschema.
Voor meer informatie over noodherstel van Active Directory kunt u de volgende Microsoft-website bezoeken:
Klik voor meer informatie op het volgende artikelnummer in de Microsoft Knowledge Base:
318116
(http://support.microsoft.com/kb/318116/
)
Problemen met Jet-databases op gecomprimeerde stations
Artikel ID: 258062 - Laatste beoordeling: vrijdag 22 februari 2008 - Wijziging: 12.5
De informatie in dit artikel is van toepassing op:
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows Small Business Server 2003 Standard Edition
- Microsoft Windows Small Business Server 2003 Premium Edition
- Microsoft Windows® 2000 Server
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
- Microsoft Small Business Server 2000 Standard Edition
| kberrmsg kbsecconfiged kbenv kbprb kbacl KB258062 |
Naar boven
