Błąd podczas uruchamiania kontrolera domeny opartego na systemie Windows: Nie można uruchomić usług katalogowych

  • Artykuł

W tym artykule wyjaśniono, jak odzyskać dane z uszkodzonej bazy danych usługi Active Directory lub z podobnego problemu, który uniemożliwia uruchamianie komputera w trybie normalnym.

Dotyczy: Windows Server 2003
Oryginalny numer KB: 258062

Podsumowanie

W tym artykule przedstawiono szereg kroków, które mogą pomóc w zdiagnozowaniu przyczyny błędu systemu w usługach katalogowych . Te kroki mogą obejmować:

  • Sprawdzanie, czy istnieją pliki usługi katalogowej Active Directory.
  • Sprawdzanie, czy uprawnienia systemu plików są poprawne.
  • Sprawdzanie integralności bazy danych usługi Active Directory.
  • Przeprowadzanie semantycznej analizy bazy danych.
  • Naprawianie bazy danych usługi Active Directory.
  • Usuwanie i ponowne tworzenie bazy danych usługi Active Directory.

W tym artykule opisano również, jak użyć narzędzia Ntdsutil lub Esentutl do przeprowadzenia naprawy utraty bazy danych usługi Active Directory. Ponieważ naprawa utraty usuwa dane i może wprowadzać nowe problemy, wykonaj naprawę strat tylko wtedy, gdy jest to jedyna dostępna opcja.

Symptomy

Po uruchomieniu kontrolera domeny ekran może być pusty i może zostać wyświetlony następujący komunikat o błędzie:

LSASS.EXE — błąd systemowy, inicjowanie menedżera kont zabezpieczeń nie powiodło się z powodu następującego błędu: Nie można uruchomić usług katalogowych. Stan błędu 0xc00002e1.

Kliknij przycisk OK, aby zamknąć ten system i ponownie uruchomić tryb przywracania usług katalogowych, sprawdź dziennik zdarzeń, aby uzyskać bardziej szczegółowe informacje.

Ponadto w dzienniku zdarzeń mogą pojawić się następujące komunikaty o identyfikatorze zdarzenia:

Identyfikator zdarzenia: 700
Opis: "Defragmentacja ntds (260) online rozpoczyna przekazywanie ntds bazy danych. DIT".
Identyfikator zdarzenia: 701
Opis: "Defragmentacja ntds (268) online zakończyła pełne przekazanie bazy danych "C:\WINNT\NTDS\ntds.dit".
Identyfikator zdarzenia: 101
Opis: "NTDS (260) aparat bazy danych został zatrzymany."
Identyfikator zdarzenia: 1004
Opis: "Katalog został pomyślnie zamknięty".
Identyfikator zdarzenia: 1168
Opis: "Wystąpił błąd: 1032 (fffffbf8). (identyfikator wewnętrzny 4042b). Aby uzyskać pomoc, skontaktuj się z usługami pomocy technicznej firmy Microsoft"
Identyfikator zdarzenia: 1103
Opis: "Nie można zainicjować bazy danych usług katalogowych systemu Windows i zwrócono błąd 1032. Nieodwracalny błąd, katalog nie może być kontynuowany".

Przyczyna

Ten problem występuje, ponieważ spełniony jest co najmniej jeden z następujących warunków:

  • Uprawnienia systemu plików NTFS w katalogu głównym dysku są zbyt restrykcyjne.
  • Uprawnienia systemu plików NTFS w folderze NTDS są zbyt restrykcyjne.
  • Litera dysku woluminu zawierającego bazę danych usługi Active Directory została zmieniona.
  • Baza danych usługi Active Directory (Ntds.dit) jest uszkodzona.
  • Folder NTDS jest skompresowany.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące czynności:

  1. Uruchom ponownie kontroler domeny.

  2. Gdy pojawią się informacje o systemie BIOS, naciśnij klawisz F8.

  3. Wybierz pozycję Tryb przywracania usług katalogowych, a następnie naciśnij klawisz ENTER.

  4. Zaloguj się przy użyciu hasła trybu przywracania usług katalogowych.

  5. Kliknij przycisk Start, wybierz pozycję Uruchom, wpisz cmd w polu Otwórz , a następnie kliknij przycisk OK.

  6. W wierszu polecenia wpisz informacje o plikach ntdsutil.

    Zostaną wyświetlone dane wyjściowe podobne do następujących:

    Informacje o dysku:

    C:\ NTFS (dysk stały ) free(533.3 Mb) total(4.1 Gb)

    Informacje o ścieżce usługi DS:

    Baza danych: C:\WINDOWS\NTDS\ntds.dit — 10,1 Mb kopii zapasowej dir: C:\WINDOWS\NTDS\dsadata.bak dir pracy: C:\WINDOWS\NTDS Log dir: C:\WINDOWS\NTDS - 42,1 Mb całkowitego temp.edb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Uwaga

    Lokalizacje plików uwzględnione w tych danych wyjściowych znajdują się również w następującym podkluczu rejestru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Następujące wpisy w tym kluczu zawierają lokalizacje plików:

    • Ścieżka kopii zapasowej bazy danych
    • Ścieżka plików dziennika bazy danych
    • Katalog roboczy DSA

  7. Sprawdź, czy pliki wymienione w danych wyjściowych w kroku 6 istnieją.

  8. Sprawdź, czy foldery w danych wyjściowych Ntdsutil mają odpowiednie uprawnienia. Prawidłowe uprawnienia są określone w poniższych tabelach.

    Windows Server 2003

    Konta Uprawnienia Dziedziczenia
    System Pełna kontrola Ten folder, podfoldery i pliki
    Administratorzy Pełna kontrola Ten folder, podfoldery i pliki
    Właściciel twórcy Pełna kontrola Tylko podfoldery i pliki
    Usługa lokalna Tworzenie folderów /dołączanie danych Ten folder i podfoldery

    Windows 2000

    Konta Uprawnienia Dziedziczenia
    Administratorzy Pełna kontrola Ten folder, podfoldery i pliki
    System Pełna kontrola Ten folder, podfoldery i pliki

    Uwaga

    Ponadto konto systemowe wymaga uprawnień pełnej kontroli w następujących folderach:

    • Katalog główny dysku zawierającego folder Ntds
    • Folder %WINDIR%

    W systemie Windows Server 2003 domyślną lokalizacją folderu %WINDIR% jest C:\WINDOWS. W systemie Windows 2000 domyślną lokalizacją folderu %WINDIR% jest C:\WINNT.

  9. Sprawdź integralność bazy danych usługi Active Directory. W tym celu wpisz integralność plików ntdsutil w wierszu polecenia.

    Jeśli sprawdzanie integralności nie wskazuje żadnych błędów, uruchom ponownie kontroler domeny w trybie normalnym. Jeśli sprawdzanie integralności nie zakończy się bez błędów, przejdź do poniższych kroków.

  10. Wykonaj semantyczną analizę bazy danych. W tym celu wpisz następujące polecenie w wierszu polecenia, w tym cudzysłów:

    ntdsutil "sem d a" go

  11. Jeśli analiza semantycznej bazy danych nie wskazuje na błędy, przejdź do poniższych kroków. Jeśli analiza zgłasza błędy, wpisz następujące polecenie w wierszu polecenia, w tym znaki cudzysłowu:

    ntdsutil "sem d a" "go f"

  12. Wykonaj kroki opisane w następującym artykule bazy wiedzy Microsoft Knowledge Base, aby wykonać defragmentację bazy danych usługi Active Directory w trybie offline:

    232122 wykonywania defragmentacji bazy danych usługi Active Directory w trybie offline

  13. Jeśli problem nadal występuje po defragmentacji w trybie offline i istnieją inne funkcjonalne kontrolery domeny w tej samej domenie, usuń usługę Active Directory z serwera, a następnie ponownie zainstaluj usługę Active Directory. W tym celu wykonaj kroki opisane w sekcji "Obejście" w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

    332199 kontrolery domeny nie obniżają poziomu w przypadku korzystania z Kreatora instalacji usługi Active Directory w celu wymuszenia degradacji w systemie Windows Server 2003 i w systemie Windows 2000 Server

    Uwaga

    Jeśli na kontrolerze domeny działa program Microsoft Small Business Server, nie można wykonać tego kroku, ponieważ nie można dodać serwera small business do istniejącej domeny jako dodatkowego kontrolera domeny (repliki). Jeśli masz kopię zapasową stanu systemu, która jest nowsza niż okres istnienia reliktu, przywróć tę kopię zapasową stanu systemu zamiast usuwać usługę Active Directory z serwera. Domyślnie okres istnienia nagrobka wynosi 60 dni.

  14. Jeśli nie jest dostępna żadna kopia zapasowa stanu systemu i w domenie nie ma innych kontrolerów domeny w dobrej kondycji, zalecamy ponowne skompilowanie domeny przez usunięcie usługi Active Directory, a następnie ponowne zainstalowanie usługi Active Directory na serwerze, tworząc nową domenę. Możesz ponownie użyć starej nazwy domeny lub użyć nowej nazwy domeny. Można również ponownie skompilować domenę przez ponowne sformatowanie i ponowne zainstalowanie systemu Windows na serwerze. Jednak usunięcie usługi Active Directory jest szybsze i skutecznie usuwa uszkodzoną bazę danych usługi Active Directory.

    Jeśli nie jest dostępna żadna kopia zapasowa stanu systemu, w domenie nie ma innych kontrolerów domeny w dobrej kondycji, a kontroler domeny musi działać natychmiast, wykonaj naprawę utraty przy użyciu narzędzia Ntdsutil lub Esentutl.

    Uwaga

    Firma Microsoft nie obsługuje kontrolerów domeny po użyciu narzędzia Ntdsutil lub Esentutl do odzyskiwania po uszkodzeniu bazy danych usługi Active Directory. Jeśli wykonasz tego rodzaju naprawę, musisz ponownie skompilować kontroler domeny, aby usługa Active Directory była w obsługiwanej konfiguracji. Polecenie naprawy w systemie Ntdsutil używa narzędzia Esentutl do przeprowadzenia naprawy bazy danych. Ten rodzaj naprawy naprawia uszkodzenie przez usunięcie danych z bazy danych. Tego rodzaju naprawy należy używać tylko w ostateczności.

    Mimo że kontroler domeny może działać poprawnie po naprawie, jego stan jest nieobsługiwany, ponieważ dane usunięte z bazy danych mogą powodować dowolną liczbę problemów, które mogą pojawić się dopiero później. Nie można określić, jakie dane zostały usunięte podczas naprawy bazy danych. Jak najszybciej po naprawie należy ponownie skompilować domenę, aby przywrócić usługę Active Directory do obsługiwanej konfiguracji. Jeśli używasz tylko metod defragmentacji offline lub semantycznej analizy bazy danych, do których odwołuje się ten artykuł, nie musisz ponownie kompilować kontrolera domeny później.

  15. Przed wykonaniem naprawy awaryjnej skontaktuj się z usługami pomocy technicznej firmy Microsoft, aby potwierdzić, że zostały przejrzane wszystkie możliwe opcje odzyskiwania i sprawdzić, czy baza danych naprawdę jest w stanie nieodwracalnym. Aby uzyskać pełną listę numerów telefonów usług pomocy technicznej firmy Microsoft i informacje o kosztach pomocy technicznej, odwiedź następującą witrynę internetową firmy Microsoft:

    Skontaktuj się z pomoc techniczna firmy Microsoft

    Na kontrolerze domeny opartym na systemie Windows 2000 Server użyj narzędzia Ntdsutil, aby odzyskać bazę danych usługi Active Directory. W tym celu wpisz ntdsutil files repair w wierszu polecenia w trybie przywracania usługi katalogowej.

    Aby przeprowadzić nieodwracalną naprawę kontrolera domeny opartego na systemie Windows Server 2003, użyj narzędzia Esentutl.exe, aby odzyskać bazę danych usługi Active Directory. W tym celu wpisz esentutl /p w wierszu polecenia na kontrolerze domeny opartym na systemie Windows Server 2003.

  16. Po zakończeniu operacji naprawy zmień nazwę plików .log w folderze NTDS przy użyciu innego rozszerzenia, takiego jak .bak, i spróbuj uruchomić kontroler domeny w trybie normalnym.

  17. Jeśli po naprawie można uruchomić kontroler domeny w trybie normalnym, należy jak najszybciej przeprowadzić migrację odpowiednich obiektów usługi Active Directory do nowego lasu. Ponieważ ta metoda naprawy utraty naprawia uszkodzenie przez usunięcie danych, może powodować późniejsze problemy, które są niezwykle trudne do rozwiązania. Przy pierwszej okazji po naprawie należy ponownie skompilować domenę, aby przywrócić usługę Active Directory do obsługiwanej konfiguracji.

    Użytkownicy, komputery i grupy można migrować przy użyciu narzędzia do migracji usługi Active Directory (ADMT), narzędzia Ldifde lub narzędzia do migracji spoza firmy Microsoft. Usługa ADMT może migrować konta użytkowników, konta komputerów i grupy zabezpieczeń z historią identyfikatora zabezpieczeń (SID) lub bez jej użycia. Usługa ADMT migruje również profile użytkowników. Aby użyć narzędzia ADMT w środowisku programu Small Business Server, zapoznaj się z oficjalnym dokumentem "Migrating from Small Business Server 2000 or Windows 2000 Server" (Migrowanie z programu Small Business Server 2000 lub Windows 2000 Server). Aby uzyskać ten oficjalny dokument, odwiedź następującą witrynę sieci Web firmy Microsoft:

    Migrowanie z programu Small Business Server 2000 lub Windows 2000 Server do systemu Windows Small Business Server 2003

    Za pomocą narzędzia Ldifde można eksportować i importować wiele typów obiektów z uszkodzonej domeny do nowej domeny. Obiekty te obejmują konta użytkowników, konta komputerów, grupy zabezpieczeń, jednostki organizacji, lokacje usługi Active Directory, podsieci i linki lokacji. Program Ldifde nie może migrować historii identyfikatorów SID. Narzędzie Ldifde jest częścią systemów Windows 2000 Server i Windows Server 2003.

    Aby uzyskać więcej informacji na temat korzystania z narzędzia Ldifde, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

    237677 za pomocą narzędzia Ldifde do importowania i eksportowania obiektów katalogów do usługi Active Directory

    Za pomocą konsoli zarządzania zasady grupy (GPMC) można wyeksportować system plików i część usługi Active Directory obiektu zasad grupy z uszkodzonej domeny do nowej domeny.

    Aby uzyskać kontroler GPMC, odwiedź następującą witrynę sieci Web firmy Microsoft:

    Usługi przetwarzania w chmurze

    Aby uzyskać informacje o sposobie migrowania obiektów zasad grupy przy użyciu kontrolera zasad grupy, zapoznaj się z oficjalnym dokumentem "Migrowanie obiektów zasad grupy między domenami za pomocą kontrolera zasad grupy". Aby uzyskać ten oficjalny dokument, odwiedź następującą witrynę sieci Web firmy Microsoft:

    Migrowanie obiektów zasad grupy między domenami

  18. Po zakończeniu odzyskiwania oceń bieżący plan tworzenia kopii zapasowych, aby upewnić się, że kopie zapasowe stanu systemu są zaplanowane wystarczająco często. Planowanie kopii zapasowych stanu systemu co najmniej codziennie lub po każdej znaczącej zmianie. Kopie zapasowe stanu systemu muszą zawierać wymagany poziom odporności na uszkodzenia. Na przykład nie przechowuj kopii zapasowych na tym samym dysku co komputer, na którym tworzysz kopię zapasową. Jeśli to możliwe, użyj więcej niż jednego kontrolera domeny, aby uniknąć pojedynczego punktu awarii. Przechowywanie kopii zapasowych w lokalizacji poza lokacją, tak aby awaria lokacji (pożar, kradzież, powódź, kradzież komputera) nie wpływała na zdolność do odzyskiwania. Poniższe witryny sieci Web firmy Microsoft mogą pomóc w opracowaniu planu tworzenia kopii zapasowych.