Ошибка при запуске контроллера домена под управлением Windows: не удается запустить службы каталогов

В этой статье объясняется, как выполнить восстановление после поврежденной базы данных Active Directory или аналогичной проблемы, которая препятствует запуску компьютера в обычном режиме.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 258062

Сводка

В этой статье приведен ряд шагов, которые могут помочь вам диагностировать причину ошибки системы запуска служб каталогов . Ниже приведены следующие действия.

• Проверка наличия файлов службы каталогов Active Directory.
• Проверка правильности разрешений файловой системы.
• Проверка целостности базы данных Active Directory.
• Выполнение семантического анализа базы данных.
• Восстановление базы данных Active Directory.
• Удаление и повторное создание базы данных Active Directory.

В этой статье также рассказывается, как использовать Ntdsutil или Esentutl для восстановления базы данных Active Directory с потерями. Так как восстановление с потерей удаляет данные и может привести к возникновению новых проблем, восстановление потерь выполняется только в том случае, если это единственный доступный вариант.

Симптомы

При запуске контроллера домена на экране может появиться следующее сообщение об ошибке:

LSASS.EXE — системная ошибка, инициализация диспетчера учетных записей безопасности завершилась сбоем из-за следующей ошибки: Не удается запустить службы каталогов. Состояние ошибки 0xc00002e1.

Нажмите кнопку ОК, чтобы завершить работу системы и перезагрузить ее в режим восстановления служб каталогов, проверка журнал событий для получения более подробных сведений.

Кроме того, в журнале событий могут отображаться следующие сообщения об идентификаторах событий:

Идентификатор события: 700
Описание: "NTDS (260) — дефрагментация в сети начинает передачу для базы данных NTDS. DIT".
Идентификатор события: 701
Описание: "Дефрагментация NTDS (268) в сети завершила полный проход для базы данных "C:\WINNT\NTDS\ntds.dit".
Идентификатор события: 101
Описание: "NTDS (260) ядро СУБД остановлено".
Идентификатор события: 1004
Описание: "Каталог успешно завершен".
Идентификатор события: 1168
Описание: "Произошла ошибка: 1032 (fffffbf8). (внутренний идентификатор 4042b). Обратитесь за помощью в службу поддержки продуктов Майкрософт.
Идентификатор события: 1103
Описание: "Не удалось инициализировать базу данных служб каталогов Windows и вернуть ошибку 1032. Неустранимая ошибка, каталог не может продолжить работу.

Причина

Эта проблема возникает из-за того, что выполняются одно или несколько из следующих условий:

• Разрешения файловой системы NTFS в корневой папке диска слишком ограничены.
• Разрешения файловой системы NTFS в папке NTDS слишком ограничены.
• Буква диска тома, содержащего базу данных Active Directory, изменилась.
• База данных Active Directory (Ntds.dit) повреждена.
• Папка NTDS сжимается.

Решение

Чтобы устранить эту неполадку, выполните следующие действия:

1. Перезапустите контроллер домена.

2. Когда появятся сведения о BIOS, нажмите клавишу F8.

3. Выберите Режим восстановления служб каталогов и нажмите клавишу ВВОД.

4. Войдите в систему с помощью пароля режима восстановления служб каталогов.

5. Нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть и нажмите кнопку ОК.

6. В командной строке введите ntdsutil files info.

   Отображаются выходные данные, аналогичные следующему:

   Сведения о диске:

   C:\ NTFS (фиксированный диск ) free(533.3 MB) total(4.1 GB)

   Сведения о пути к DS:

   База данных : C:\WINDOWS\NTDS\ntds.dit — 10,1 МБ dir резервной копии : C:\WINDOWS\NTDS\dsadata.bak Рабочий dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS — всего 42,1 Мб temp.edb — 2,1 Мб res2.log — 10,0 МБ res1.log — 10,0 Мб edb00001.log — 10,0 Мб edb.log — 10,0 Мб

   Примечание.

   Расположения файлов, включенные в эти выходные данные, также находятся в следующем подразделе реестра:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

   Следующие записи в этом разделе содержат расположения файлов:

   • Путь к резервному копированию базы данных
   • Путь к файлам журнала базы данных
   • Рабочий каталог DSA

7. Убедитесь, что файлы, перечисленные в выходных данных на шаге 6, существуют.

8. Убедитесь, что папки в выходных данных Ntdsutil имеют правильные разрешения. Правильные разрешения указаны в следующих таблицах.

   Windows Server 2003

   Учетная запись	Разрешения	Наследование
   Системные	Полный доступ	Эта папка, вложенные папки и файлы
   Администраторы	Полный доступ	Эта папка, вложенные папки и файлы
   Владелец создателя	Полный доступ	Только вложенные папки и файлы
   Локальная служба	Создание папок и добавление данных	Эта папка и вложенные папки

   Windows 2000

   Учетная запись	Разрешения	Наследование
   Администраторы	Полный доступ	Эта папка, вложенные папки и файлы
   Системные	Полный доступ	Эта папка, вложенные папки и файлы

   Примечание.

   Кроме того, системной учетной записи требуются разрешения на полный доступ в следующих папках:

   • Корневой каталог диска, содержащего папку Ntds.
   • Папка %WINDIR%

   В Windows Server 2003 папка %WINDIR% по умолчанию находится в папке C:\WINDOWS. В Windows 2000 папка %WINDIR% по умолчанию находится в папке C:\WINNT.

9. Проверьте целостность базы данных Active Directory. Для этого в командной строке введите целостность файлов ntdsutil .

   Если проверка целостности не содержит ошибок, перезапустите контроллер домена в обычном режиме. Если проверка целостности не завершается без ошибок, перейдите к следующим шагам.

10. Выполните семантический анализ базы данных. Для этого введите в командной строке следующую команду, включая кавычки:

    ntdsutil "sem d a" go
    

11. Если анализ семантической базы данных не показывает ошибок, перейдите к следующим шагам. Если анализ сообщает об ошибках, введите в командной строке следующую команду, включая кавычки:

    ntdsutil "sem d a" "go f"
    

12. Выполните действия, описанные в следующей статье базы знаний Майкрософт, чтобы выполнить автономную дефрагментацию базы данных Active Directory:

    232122 выполнение автономной дефрагментации базы данных Active Directory

13. Если проблема по-прежнему существует после автономной дефрагментации и в том же домене есть другие функциональные контроллеры домена, удалите Active Directory с сервера, а затем переустановите Active Directory. Для этого выполните действия, описанные в разделе "Обходное решение" в следующей статье базы знаний Майкрософт:

    332199 контроллеры домена не понижают нормально при использовании мастера установки Active Directory для принудительного понижения уровня в Windows Server 2003 и Windows 2000 Server

    Примечание.

    Если контроллер домена работает под управлением Microsoft Small Business Server, вы не сможете выполнить этот шаг, так как Small Business Server не может быть добавлен в существующий домен в качестве дополнительного контроллера домена (реплика). Если у вас есть резервная копия состояния системы, которая является более новой, чем время существования надгробия, восстановите эту резервную копию состояния системы, а не удалите Active Directory с сервера. По умолчанию время существования надгробия составляет 60 дней.

14. Если резервное копирование состояния системы не доступно и в домене нет других работоспособных контроллеров домена, рекомендуется перестроить домен, удалив Active Directory, а затем переустановив Active Directory на сервере, создав новый домен. Вы можете снова использовать старое доменное имя или новое доменное имя. Вы также можете перестроить домен, переформатируя и переустановив Windows на сервере. Однако удаление Active Directory выполняется быстрее и эффективно удаляет поврежденную базу данных Active Directory.

    Если резервное копирование состояния системы отсутствует, в домене нет других работоспособных контроллеров домена, и необходимо немедленно выполнить восстановление потерь с помощью Ntdsutil или Esentutl.

    Примечание.

    Корпорация Майкрософт не поддерживает контроллеры домена после использования Ntdsutil или Esentutl для восстановления после повреждения базы данных Active Directory. При выполнении такого исправления необходимо перестроить контроллер домена, чтобы Active Directory был в поддерживаемой конфигурации. Команда восстановления в Ntdsutil использует служебную программу Esentutl для восстановления базы данных с потерями. Этот вид исправления устраняет повреждение путем удаления данных из базы данных. Используйте этот вид ремонта только в крайнем случае.

    Хотя контроллер домена может запускаться и работать правильно после восстановления, его состояние не поддерживается, так как данные, удаленные из базы данных, могут вызвать любое количество проблем, которые могут возникнуть позже. Определить, какие данные были удалены при восстановлении базы данных, невозможно. Как можно скорее после восстановления необходимо перестроить домен, чтобы вернуть Active Directory в поддерживаемую конфигурацию. Если вы используете только автономные методы дефрагментации или семантического анализа баз данных, которые упоминаются в этой статье, вам не придется перестраивать контроллер домена после этого.

15. Перед устранением потерь обратитесь в службу поддержки майкрософт, чтобы убедиться, что вы изучили все возможные варианты восстановления и убедитесь, что база данных действительно находится в неустранимом состоянии. Полный список номеров телефонов служб поддержки продуктов Майкрософт и сведения о расходах на поддержку см. на следующем веб-сайте Майкрософт:

    Контактные служба поддержки Майкрософт

    На контроллере домена под управлением Windows 2000 Server используйте Ntdsutil для восстановления базы данных Active Directory. Для этого введите ntdsutil files repair в командной строке в режиме восстановления службы каталогов.

    Чтобы выполнить восстановление с потерями контроллера домена под управлением Windows Server 2003, используйте средство Esentutl.exe для восстановления базы данных Active Directory. Для этого введите esentutl /p в командной строке на контроллере домена под управлением Windows Server 2003.

16. После завершения операции восстановления переименуйте файлы .log в папке NTDS с помощью другого расширения, например .bak, и попробуйте запустить контроллер домена в обычном режиме.

17. Если после восстановления контроллер домена можно запустить в обычном режиме, как можно скорее перенесите соответствующие объекты Active Directory в новый лес. Так как этот метод восстановления с потерями устраняет повреждение путем удаления данных, он может вызвать более поздние проблемы, которые очень трудно устранить. При первой возможности после восстановления необходимо перестроить домен, чтобы вернуть Active Directory к поддерживаемой конфигурации.

    Вы можете перенести пользователей, компьютеры и группы с помощью средства миграции Active Directory (ADMT), Ldifde или средства миграции сторонних компаний. ADMT может переносить учетные записи пользователей, учетные записи компьютеров и группы безопасности с журналом идентификатора безопасности (SID) или без нее. ADMT также переносит профили пользователей. Чтобы использовать ADMT в среде Small Business Server, ознакомьтесь с технической документацией "Миграция с Small Business Server 2000 или Windows 2000 Server". Чтобы получить этот технический документ, посетите следующий веб-сайт Майкрософт:

    Переход с Small Business Server 2000 или Windows 2000 Server на Windows Small Business Server 2003

    Вы можете использовать Ldifde для экспорта и импорта многих типов объектов из поврежденного домена в новый домен. К этим объектам относятся учетные записи пользователей, учетные записи компьютеров, группы безопасности, подразделения организации, сайты Active Directory, подсети и ссылки на сайты. Ldifde не может перенести журнал идентификаторов безопасности. Ldifde входит в состав Windows 2000 Server и Windows Server 2003.

    Чтобы получить дополнительные сведения об использовании Ldifde, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

    237677 использование Ldifde для импорта и экспорта объектов каталогов в Active Directory

    Вы можете использовать консоль управления групповая политика (GPMC) для экспорта файловой системы и части объекта групповой политики Active Directory из поврежденного домена в новый домен.

    Чтобы получить GPMC, посетите следующий веб-сайт Майкрософт:

    Службы облачных вычислений

    Сведения о переносе объектов групповой политики с помощью GPMC см. в техническом документе "Перенос объектов групповой политики между доменами с помощью GPMC". Чтобы получить этот технический документ, посетите следующий веб-сайт Майкрософт:

    Перенос объектов групповой политики между доменами

18. После восстановления оцените текущий план резервного копирования, чтобы убедиться, что у вас есть запланированные резервные копии состояния системы достаточно часто. Планирование резервного копирования состояния системы по крайней мере каждый день или после каждого значительного изменения. Резервные копии состояния системы должны содержать требуемый уровень отказоустойчивости. Например, не храните резервные копии на том же диске, что и компьютер, на который выполняется резервное копирование. По возможности используйте несколько контроллеров домена, чтобы избежать одной точки сбоя. Храните резервные копии в удаленном расположении, чтобы авария с сайтом (пожар, кража, наводнение, кража компьютера) не влияла на вашу способность к восстановлению. Следующие веб-сайты Майкрософт помогут вам разработать план резервного копирования.

    • Windows Server 2003: создание плана резервного копирования и восстановления
    • Windows 2000: Глава 14. Резервное копирование и восстановление данных
    • Windows Small Business Server: Windows Server Essentials (Small Business Server)