Появление сообщения «Невозможно запустить службы каталогов» при запуске контроллера домена под управлением Windows или SBS

Переводы статьи Переводы статьи
Код статьи: 258062 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

В статье описан ряд действий, выполнение которых может помочь выяснить причины возникновения системной ошибки «Невозможно запустить службы каталогов». Необходимо выполнить следующие действия:
  • Убедиться в существовании файлов службы каталогов Active Directory.
  • Убедиться в правильности разрешений файловой системы.
  • Проверить целостность базы данных Active Directory.
  • Выполнить семантический анализ базы данных.
  • Произвести исправление базы данных Active Directory.
  • Удалить и повторно создать базу данных Active Directory.
В данной статье также рассматривается использование программ Ntdsutil и Esentutl для исправления с потерей данных базы данных Active Directory. Поскольку такое исправление связано с удалением данных и может привести к возникновению новых проблем, прибегать к такому исправлению следует только в крайних случаях.

Проблема

При запуске контроллера домена отображается пустой экран и появляется следующее сообщение об ошибке:
LSASS.EXE – Системная ошибка, не удалось инициализировать диспетчер учетных записей безопасности из-за следующей ошибки: Невозможно запустить службы каталогов. Состояние ошибки 0xc00002e1.

Нажмите кнопку ОК для завершения работы системы и перезагрузки в режиме восстановления служб каталогов, подробные сведения содержатся в журнале событий.
Кроме того, в журнале событий могут появиться записи о следующих событиях:

Код события: 700
Описание: «NTDS (260) Начата оперативная дефрагментация базы данных NTDS.DIT».

Код события: 701
Описание: «NTDS (268) Оперативная дефрагментация базы данных 'C:\WINNT\NTDS\ntds.dit' завершена».

Код события: 101
Описание: «NTDS (260) СУБД остановлена».

Код события: 1004
Описание: «Работа службы каталогов успешно завершена».

Код события: 1168
Описание: «Произошла ошибка: 1032 (fffffbf8). (внутренний код 4042b). Обратитесь в службу поддержки продуктов Microsoft».

Код события: 1103
Описание: «Невозможно инициализировать базу данных служб каталогов Windows, возвращена ошибка 1032. Это неисправимая ошибка, служба каталогов не может продолжить работу».

Причина

Подобное поведение наблюдается в следующих случаях:
  • Разрешения файловой системы NTFS на доступ к корневому каталогу слишком ограничены.
  • Разрешения файловой системы NTFS на доступ к папке NTDS слишком ограничены.
  • Изменилось имя диска тома, содержащего базу данных Active Directory.
  • База данных Active Directory (Ntds.dit) повреждена.
  • Папка NTDS была сжата.

Решение

Для решения проблемы выполните следующие действия:
  1. Перезагрузите контроллер домена.
  2. При появлении экрана BIOS нажмите клавишу F8.
  3. Выберите Режим восстановления служб каталогов и нажмите клавишу ВВОД.
  4. Войдите в систему с помощью пароля режима восстановления служб каталогов.

    Примечание. При невозможности входа в систему см. следующую статью базы знаний Майкрософт:
    249321 Не удается войти в систему после изменения буквы диска с загрузочным разделом
  5. Выберите в меню Пуск пункт Выполнить, введите команду cmd в поле Открыть и нажмите кнопку ОК.
  6. В командной строке введите команду ntdsutil files info.

    Результат выполнения команды выглядит примерно так:
    Сведения о диске:
    
            C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)
    
    Информация о пути DS:
    
            Database: C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir    : C:\WINDOWS\NTDS - 42.1 Mb total temp.edb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    Примечание. Путь к файлам, указанный в результате выполнения команды, также можно найти в следующем подразделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    Путь к файлам содержится в следующих записях данного раздела:
    • Database Backup path
    • Database Log files path
    • DSA Working Directory
  7. Убедитесь в существовании файлов, перечисленных в результате выполнения команды в пункте 6. Если таких файлов нет, см. следующую статью базы знаний Майкрософт:
    240362 Не удается запустить службы каталогов при отсутствии файла Ntds.dit (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  8. Убедитесь, что папки, перечисленные в результате выполнения команды Ntdsutil, имеют правильные разрешения. Правильные разрешения указаны в следующих таблицах.

    Windows Server 2003

    Свернуть эту таблицуРазвернуть эту таблицу
    Учетная записьРазрешенияНаследование
    Система Полный доступДанная папка, вложенные папки и файлы
    Администраторы Полный доступДанная папка, вложенные папки и файлы
    Создатель-владелец Полный доступТолько вложенные папки и файлы
    Локальная служба Создание папок / дозапись данныхДанная папка и вложенные папки

    Windows 2000

    Свернуть эту таблицуРазвернуть эту таблицу
    Учетная записьРазрешенияНаследование
    АдминистраторыПолный доступДанная папка, вложенные папки и файлы
    СистемаПолный доступДанная папка, вложенные папки и файлы
    Примечание. Кроме того, для системной учетной записи требуется разрешение «Полный доступ» к следующим папкам:
    • Корневой каталог диска, содержащего папку Ntds
    • Папка %WINDIR%
    В Windows Server 2003 путь к папке %WINDIR% по умолчанию – C:\WINDOWS. В Windows 2000 путь к папке %WINDIR% по умолчанию – C:\WINNT.
  9. Проверьте целостность базы данных Active Directory. Для этого введите в командной строке следующую команду: ntdsutil files integrity.

    Если проверка целостности не выявит ошибок, перезапустите контроллер домена в нормальном режиме. Если проверка целостности завершается с ошибками, переходите к следующим действиям.
  10. Выполните семантический анализ базы данных. Для этого в командной строке введите следующую команду, включая кавычки:
    ntdsutil "sem d a" go
  11. Если семантический анализ базы данных завершается без ошибок, переходите к следующим действиям. Если семантический анализ базы данных выявит какие-либо ошибки, введите в командной строке следующую команду, включая кавычки:
    ntdsutil "sem d a" "go f"
  12. Произведите автономную дефрагментацию базы данных Active Directory, следуя указаниям следующей статьи базы знаний Майкрософт:
    232122 Автономная дефрагментация базы данных Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
  13. Если после завершения автономной дефрагментации проблема не устранена, а в том же домене существуют другие работоспособные контроллеры доменов, удалите с сервера и заново установите Active Directory в соответствии с инструкциями, изложенными в разделе «Временное решение» следующей статьи базы знаний Майкрософт:
    332199 Принудительное понижение роли контроллеров домена с помощью мастера установки Active Directory в Windows Server 2003 или Windows 2000 Server выполняется неправильно
    Примечание. Если контроллер домена находится под управлением Microsoft Small Business Server, выполнение этого шага невозможно, поскольку Small Business Server нельзя добавить к существующему домену в качестве дополнительного контроллера домена (реплики). Если копия состояния системы создана в пределах времени жизни захоронения, восстановите копию состояния системы вместо того, чтобы удалять Active Directory с сервера. По умолчанию время жизни захоронения составляет 60 дней.

    Дополнительные сведения о восстановлении копии состояния системы см. в следующей статье базы знаний Майкрософт:
    240363 Использование программы архивации для резервного копирования и восстановления состояния системы в Windows 2000
  14. Если копия состояния системы не существует и в домене нет других работоспособных контроллеров доменов, рекомендуется удалить и заново установить Active Directory на сервере, таким образом создав новый домен. При этом можно использовать имя старого домена либо ввести другое имя. Заново создать домен можно также с помощью переформатирования и переустановки Windows на сервере. Однако способ с удалением Active Directory занимает меньше времени и эффективно удаляет поврежденную базу данных Active Directory.

    Если копия состояния системы не существует, в домене нет других работоспособных контроллеров доменов, а контроллер домена необходимо запустить немедленно, выполните исправление с потерей данных с помощью программы Ntdsutil или Esentutl.

    Примечание. Корпорация Майкрософт не осуществляет поддержку контроллеров доменов после использования программы Ntdsutil или Esentutl для восстановления поврежденной базы данных Active Directory. При выполнении такого исправления необходимо вернуть контроллер домена для Active Directory к поддерживаемой конфигурации. Команда исправления в Ntdsutil использует программу Esentutl для выполнения исправления с потерей данных. Такой тип исправления устраняет повреждения посредством удаления данных из базы. Прибегать к этому типу исправления следует только в крайнем случае.

    Несмотря на то, что после такого исправления контроллер домена может запуститься и корректно работать, его состояние является неподдерживаемым, поскольку удаление данных из базы может впоследствии привести к возникновению ряда других проблем. Определить, какие данные были удалены во время исправления базы данных, невозможно. После исправления необходимо при первой же возможности выполнить переустановку домена, чтобы вернуть поддерживаемую конфигурацию Active Directory. Если используются только методы автономной дефрагментации или семантического анализа базы данных, описанные в начале статьи, в последующей переустановке контроллера домена нет необходимости.
  15. Перед выполнением исправления с потерей данных свяжитесь со службой технической поддержки Майкрософт, чтобы убедиться, что база данных действительно находится в невосстанавливаемом состоянии и другого способа ее исправления нет. Сведения о том, как связаться со службой поддержки продуктов Майкрософт, см. на следующем веб-узле Майкрософт:
    http://support.microsoft.com/default.aspx?scid=fh;RU;CNTACTMS
    Чтобы использовать программу Ntdsutil для восстановления базы данных Active Directory, введите ntdsutil files repair в командной строке режима восстановления службы каталогов.
  16. После завершения операции переименуйте файлы LOG в папке NTDS с помощью другого расширения, например BAK, и попытайтесь запустить контроллер домена в нормальном режиме.
  17. Если после завершения исправления контроллер домена запускается в нормальном режиме, необходимо как можно скорее произвести миграцию соответствующих объектов Active Directory в новый лес. В связи с тем, что метод исправления с потерей данных устраняет повреждения, удаляя данные, его использование может привести к возникновению трудно решаемых проблем. После исправления необходимо при первой же возможности выполнить переустановку домена, чтобы вернуть поддерживаемую конфигурацию Active Directory.

    Миграцию пользователей, компьютеров и групп можно производить с помощью средств Active Directory Migration Tool (ADMT), Ldifde или средств миграции сторонних производителей. С помощью средства ADMT можно производить миграцию учетных записей пользователей, учетных записей компьютеров и групп безопасности с использованием или без использования истории кодов безопасности (SID), а также профилей пользователей. Для использования ADMT в среде Small Business Server ознакомьтесь с информационным документом «Переход с Small Business Server 2000 или Windows 2000 Server». Этот документ можно получить на следующем веб-узле корпорации Майкрософт:
    http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx
    Для экспорта или импорта многих типов объектов из поврежденного домена в новый домен можно использовать Ldifde. К таким объектам относятся учетные записи пользователей, учетные записи компьютеров, группы безопасности, подразделения, сайты Active Directory, подсети и связи сайтов. Средство Ldifde не может использоваться для миграции истории SID. Средство Ldifde входит в состав Windows 2000 Server и Windows Server 2003. Дополнительные сведения об использовании служебной программы Ldifde см. в следующей статье базы знаний Майкрософт:
    237677 Использование средства Ldifde для импорта и экспорта объектов каталогов в Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
    Для экспорта файловой системы и части объекта групповой политики, которая относится к Active Directory, из поврежденного домена в новый домен можно использовать консоль управления групповыми политиками (GPMC).

    Загрузить GPMC можно на следующем веб-узле Майкрософт:
    http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
    Дополнительные сведения о миграции объектов групповой политики с помощью GPMC содержатся в документе «Migrate GPOs across domains with GPMC». Этот документ см. на веб-узле Майкрософт по следующему адресу:
    http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx
  18. После восстановления проанализируйте используемую стратегию архивации базы данных и убедитесь, что создание копии состояния системы происходит достаточно часто. Копия состояния системы должна создаваться как минимум ежедневно либо после каждого существенного изменения. Для копий состояния системы необходимо обеспечить должный уровень отказоустойчивости. Например, не следует сохранять резервные копии на одном диске с системой, для которой она создается. Для повышения надежности следует по возможности использовать более одного контроллера домена. Рекомендуется хранить резервные копии в отдельном защищенном месте, чтобы в случае серьезной аварии (пожара, затопления) или кражи оборудования сохранить возможность восстановления системы. Сведения о разработке стратегии архивации см. на следующих веб-узлах Майкрософт.Дополнительные сведения об аварийном восстановлении Active Directory см. на веб-узле Майкрософт по следующему адресу:
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en

Ссылки

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
318116 Проблемы с базами данных Jet на сжатых дисках (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 258062 - Последний отзыв: 3 декабря 2007 г. - Revision: 12.2
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Small Business Server 2000 Standard Edition
Ключевые слова: 
kberrmsg kbsecconfiged kbenv kbprb kbacl KB258062

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com