Po spuštění řadiče domény se systémem Windows nebo SBS se zobrazí chyba, že nelze spustit adresářové služby

Souhrn

V tomto článku najdete sled kroků, které vám mohou pomoci při zjištění příčiny chyby systému „Nelze spustit adresářové služby“. Tyto kroky mohou být následující:
 • ověření existence souborů služby Active Directory,
 • ověření správnosti oprávnění systémových souborů,
 • kontrola integrity databáze služby Active Directory,
 • provedení sémantické analýzy databáze,
 • oprava databáze služby Active Directory,
 • odebrání a opětovné vytvoření databáze služby Active Directory.
Tento článek také popisuje postup použití nástrojů Ntdsutil nebo Esentutl k provedení ztrátové opravy databáze služby Active Directory. Při ztrátové opravě dojde k odstranění dat a mohou nastat nové problémy. Proto použijte ztrátovou opravu pouze v případě, že je to jediná možnost.

Příznaky

Po spuštění řadiče domény může dojít k tomu, že se zobrazí prázdná obrazovka a následující chybová zpráva:
LSASS.EXE – Systémová chyba, inicializace správce Účtů zabezpečení se nezdařila z důvodu následující chyby: Nelze spustit adresářové služby. Chybový stav 0xc00002e1.

Klepnutím na tlačítko OK vypnete systém a restartujete v režimu obnovení adresářových služeb. Podrobnější informace naleznete v protokolu událostí.
V protokolu událostí se mohou také objevit zprávy s následujícím ID události:

Příčina

Tento problém nastane, pokud platí nejméně jedna z následujících podmínek:
 • Oprávnění systému souborů NTFS pro kořenového adresáře jednotky jsou příliš omezující.
 • Oprávnění systému souborů NTFS složky NTDS jednotky jsou příliš omezující.
 • Došlo ke změně písmene jednotky svazku, který obsahuje databázi služby Active Directory.
 • Databáze služby Active Directory (Ntds.dit) je poškozená.
 • Složka NTDS je komprimovaná.

Řešení

Při řešení tohoto problému postupujte takto:
 1. Restartujte řadič domény.
 2. Po zobrazení informací systému BIOS stiskněte klávesu F8.
 3. Vyberte položku Režim obnovení adresářových služeb a stiskněte klávesu ENTER.
 4. Přihlaste se pomocí hesla režimu obnovení adresářových služeb.

  Poznámka: Pokud se nelze přihlásit, naleznete další informace v následujícím článku znalostní báze Microsoft Knowledge Base:
  249321 Po změně písmene spouštěcího oddílu není možné přihlášení k systému

 5. Klepněte na tlačítko Start a vyberte položku Spustit. Do pole Otevřít zadejte příkaz cmd a klepněte na tlačítko OK.
 6. Na příkazovém řádku zadejte příkaz ntdsutil files info.

  Objeví se podobný výstup:
  Informace o jednotce:

  C:\ NTFS (Pevná jednotka ) volných (533,3 MB) celkem (4,1 GB)

  Informace o cestě adresářové služby:

  Databáze : C:\WINDOWS\NTDS\ntds.dit - 10,1 MB Záložní adresář : C:\WINDOWS\NTDS\dsadata.bak Pracovní adresář: C:\WINDOWS\NTDS Adresář protokolu : C:\WINDOWS\NTDS - 42,1 MB celkem temp.edb - 2,1 MB res2.log - 10,0 MB res1.log - 10,0 MB edb00001.log - 10,0 MB edb.log - 10,0 MB

  Poznámka: Umístění souborů uvedená v tomto výstupu se nacházejí také v následujícím podklíči registru:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
  Umístění souborů obsahují následující položky tohoto klíče
  • Database Backup path
  • Database Log files path
  • DSA Working Directory
 7. Ověřte existenci souborů uvedených ve výstupu v kroku 6. Pokud tyto soubory neexistují, postupujte podle pokynů v následujícím článku znalostní báze Microsoft Knowledge Base:
  240362 Adresářové služby se nespustí, pokud chybí soubor Ntds.dit (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
 8. Zkontrolujte, zda mají složky uvedené ve výstupu nástroje Ntdsutil správná oprávnění. Správná oprávnění jsou uvedena v následujících tabulkách.

  Windows Server 2003

  ÚčetOprávněníDědičnost
  System Úplné řízeníTato složka, podsložky a soubory
  Administrators Úplné řízeníTato složka, podsložky a soubory
  Creator Owner Úplné řízeníPouze podsložky a soubory
  Local Service Vytvářet složky / Připojovat dataTato složka a podsložky

  Windows 2000

  ÚčetOprávněníDědičnost
  AdministratorsÚplné řízeníTato složka, podsložky a soubory
  SystemÚplné řízeníTato složka, podsložky a soubory
  Poznámka: Účet System vyžaduje dále oprávnění Úplné řízení pro následující složky:
  • kořenová složka jednotky obsahující složku Ntds,
  • složka %WINDIR%.
  V systému Windows Server 2003 je výchozím umístěním složky %WINDIR% složka C:\WINDOWS. V systému Windows 2000 je výchozím umístěním složky %WINDIR% složka C:\WINNT.
 9. Zkontrolujte integritu databáze služby Active Directory. Provedete to tak, že na příkazovém řádku zadáte příkaz ntdsutil files integrity.

  Pokud při kontrole integrity nejsou zjištěny žádné chyby, restartujte řadič domény v normálním režimu. Pokud není kontrola integrity dokončena bez chyb, pokračujte následujícími kroky.
 10. Proveďte sémantickou analýzu databáze. Provedete to tak, že na příkazovém řádku zadáte následující příkaz (včetně uvozovek):
  ntdsutil "sem d a" go
 11. Pokud nejsou při sémantické analýze databáze zjištěny chyby, pokračujte následujícími kroky. Ohlásí-li analýza chyby, zadejte na příkazovém řádku následující příkaz (včetně uvozovek):
  ntdsutil "sem d a" "go f"
 12. Postupem popsaným v následujícím článku znalostní báze Microsoft Knowledge Base proveďte offline defragmentaci databáze služby Active Directory:
  232122 Provedení offline defragmentace databáze Active Directory (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
 13. Pokud problém přetrvává i po offline defragmentaci a pokud jsou ve stejné doméně jiné funkční řadiče domény, odeberte ze serveru službu Active Directory a znovu ji nainstalujte. Uvedený krok provedete pomocí postupu v části Jak potíže obejít v následujícím článku znalostní báze Microsoft Knowledge Base:
  332199 Úroveň řadičů domény není snížena při vynuceném snížení úrovně řadičů domény pomocí Průvodce instalací služby Active Directory v systému Windows Server 2003 a Windows 2000 Server

  Poznámka: Pokud řadič domény používá Microsoft Small Business Server, nelze tento krok provést, protože Small Business Server nelze přidat do existující domény jako další řadič domény (repliku). Máte-li zálohu stavu systému, která je novější než je doba označení objektu jako neplatného, proveďte obnovení této zálohy namísto odebrání služby Active Directory ze serveru. Ve výchozím nastavení je doba označení objektu jako neplatného nastavena na hodnotu 60 dní.

  Další informace o způsobu obnovení zálohy stavu systému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  240363 Použití nástroje Zálohování k vytvoření zálohy a obnovení stavu systému Windows 2000

 14. Není-li k dispozici žádná záloha stavu systému a nejsou-li v doméně žádné jiné funkční řadiče domény, doporučujeme znovu vytvořit doménu tak, že odeberete službu Active Directory a poté ji na server znovu nainstalujete. Tím vytvoříte novou doménu. Můžete použít starý název domény nebo nový. Doménu můžete znovu vytvořit také zformátováním serveru a opětovnou instalací systému Windows. Odebrání služby Active Directory je nicméně rychlejší a efektivně odebere poškozenou databázi služby Active Directory.

  Pokud není k dispozici žádná záloha stavu systému, v doméně nejsou žádné jiné funkční řadiče domény a je nutné okamžitě řadič domény zprovoznit, proveďte ztrátovou opravu pomocí nástroje Ntdsutil nebo Esentutl.

  Poznámka: Společnost Microsoft nepodporuje řadiče domény po obnovení poškozené databáze služby Active Directory pomocí nástroje Ntdsutil nebo Esentutl. Provedete-li tuto opravu, je nutné znovu vytvořit řadič domény, aby byla obnovena podporovaná konfigurace služby Active Directory. Příkaz pro opravu v nástroji Ntdsutil používá nástroj Esentutl k provedení ztrátové opravy databáze. Oprava poškození je v tomto případě provedena odstraněním dat z databáze. Tento druh opravy používejte pouze jako poslední možnost.

  Ačkoli se může řadič domény po opravě spustit a zdánlivě fungovat správně, jeho stav je nepodporovaný, protože data odstraněná z databáze mohou způsobit četné problémy, které se nemusí hned projevit. Neexistuje způsob, kterým by bylo možné zjistit, jaká data byla při opravě databáze odstraněna. Co nejdříve po opravě je nutné znovu vytvořit doménu, aby bylo možné vrátit službu Active Directory do podporované konfigurace. Použijete-li pouze metody offline defragmentace nebo sémantické analýzy databáze zmíněné v tomto článku, není nutné následně znovu vytvářet řadič domény.
 15. Před provedením ztrátové opravy se obraťte na služby technické podpory společnosti Microsoft a ověřte, zda jste prošli všechny možné způsoby obnovení a zda je databáze skutečně v neobnovitelném stavu. Úplný seznam telefonních čísel podpory společnosti Microsoft a informace o cenách této podpory naleznete na následujícím webu společnosti Microsoft:Na řadiči domény se systémem Windows 2000 Server obnovte databázi služby Active Directory pomocí nástroje Ntdsutil. To provedete zadáním příkazu ntdsutil files repair na příkazovém řádku v režimu obnovení adresářové služby.

  Chcete-li provést ztrátovou opravu na řadiči domény se systémem Windows Server 2003, obnovte databázi služby Active Directory pomocí nástroje Esentutl.exe. To provedete zadáním příkazu esentutl /p na příkazovém řádku na řadiči domény se systémem Windows Server 2003.
 16. Po dokončení opravy přejmenujte soubory LOG ve složce NTDS s použitím jiné přípony, například BAK, a pokuste se spustit řadič domény v normálním režimu.
 17. Pokud lze po opravě řadič domény spustit v normálním režimu, proveďte co nejdříve migraci relevantních objektů služby Active Directory do nové doménové struktury. Metoda ztrátové opravy provádí opravu poškození odstraněním dat, proto může způsobit pozdější velmi obtížně řešitelné problémy. Při první příležitosti po opravě je nutné znovu vytvořit doménu, aby bylo možné vrátit službu Active Directory do podporované konfigurace.

  Můžete provést migraci uživatelů, počítačů a skupin pomocí nástroje ADMT (Active Directory Migration Tool), Lfdifde nebo nástroje pro migraci od jiného výrobce (ne od společnost Microsoft). Pomocí nástroje ADMT lze provést migraci účtů uživatelů, účtů počítačů a skupin zabezpečení s nebo bez historie identifikátorů zabezpečení SID. Nástroj ADMT také provádí migraci uživatelských profilů. Chcete-li použít nástroj ADMT v prostředí serveru Small Business Server projděte si informace v dokumentu White Paper „Migrating from Small Business Server 2000 or Windows 2000 Server“. Tento dokument získáte na následujícím webu společnosti Microsoft:Pomocí nástroje Ldifde můžete exportovat a importovat mnoho typů objektů z poškozené domény do nové. Mezi tyto objekty patří uživatelské účty, účty počítačů, skupiny zabezpečení, organizační jednotky, lokality služby Active Directory, podsítě a propojení lokalit. Pomocí nástroje Ldifde nelze provést migraci historie identifikátorů SID. Nástroj Ldifde je součástí systémů Windows 2000 Server a Windows Server 2003.
  Další informace o použití nástroje Ldifde naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
  237677 Import a export objektů adresáře do adresáře služby Active Directory pomocí nástroje LDIFDE
  Pomocí konzoly pro správu zásad skupiny (GPMC) lze exportovat systém souborů a část objektu zásad skupiny náležející službě Active Directory z poškozené domény do nové.

  Konzolu GPMC získáte na následujícím webu společnosti Microsoft:Informace o postupu migrace objektů zásad skupiny pomocí konzoly GPMC naleznete v dokumentu White Paper „Migrate GPOs across domains with GPMC“. Tento dokument White Paper získáte na následujícím webu společnosti Microsoft:
 18. Po obnovení proveďte vyhodnocení aktuálního plánu zálohování, abyste se ujistili, že je naplánováno dostatečně časté zálohování stavu systému. Naplánujte zálohování stavu systému alespoň jedenkrát denně nebo po každé výrazné změně. Zálohy stavu systému se musí vyznačovat požadovanou úrovní odolnosti proti chybám. Je například nevhodné ukládat zálohy na jednotku v počítači, který zálohujete. Kdykoliv je to možné, používejte více než jeden řadič domény, aby jedno selhání nevyřadilo doménu úplně. Zálohy skladujte v jiném umístění, aby nehoda na pracovišti (požár, krádež, potopa, krádež počítače) neovlivnila schopnost obnovit systém. Následující weby společnosti Microsoft vám mohou pomoci sestavit plán zálohování.
  Další informace o obnovení služby Active Directory v případě nehody naleznete na následujícím webu společnosti Microsoft:

Odkazy

Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
318116 Problémy s databázemi Jet na komprimovaných jednotkách (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Vlastnosti

ID článku: 258062 - Poslední kontrola: 14. 4. 2008 - Revize: 1

Váš názor