Fehler beim Starten des Windows-basierten Domänencontrollers: Verzeichnisdienste können nicht gestartet werden

  • Artikel

In diesem Artikel wird erläutert, wie Sie eine Wiederherstellung aus einer beschädigten Active Directory-Datenbank oder nach einem ähnlichen Problem durchführen, das verhindert, dass Ihr Computer im normalen Modus gestartet wird.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 258062

Zusammenfassung

Dieser Artikel führt Sie durch eine Reihe von Schritten, die Ihnen helfen können, die Ursache des Systemfehlers "Verzeichnisdienste kann nicht gestartet werden" zu diagnostizieren. Diese Schritte können Folgendes umfassen:

  • Überprüfen, ob die Active Directory-Verzeichnisdienstdateien vorhanden sind.
  • Überprüfen, ob die Dateisystemberechtigungen korrekt sind.
  • Überprüfen der Integrität der Active Directory-Datenbank.
  • Durchführen einer semantischen Datenbankanalyse.
  • Reparieren der Active Directory-Datenbank.
  • Entfernen und Erneutes Erstellen der Active Directory-Datenbank.

In diesem Artikel erfahren Sie auch, wie Sie ntdsutil oder Esentutl verwenden, um eine verlustbehaftete Reparatur der Active Directory-Datenbank durchzuführen. Da eine verlustbehaftete Reparatur Daten löscht und neue Probleme verursachen kann, führen Sie eine verlustbehaftete Reparatur nur durch, wenn dies die einzige verfügbare Option ist.

Symptome

Wenn Sie Den Domänencontroller starten, bleibt der Bildschirm möglicherweise leer, und Sie erhalten möglicherweise die folgende Fehlermeldung:

LSASS.EXE: Systemfehler: Fehler bei der Initialisierung des Sicherheitskonten-Managers aufgrund des folgenden Fehlers: Verzeichnisdienste können nicht gestartet werden. Fehler status 0xc00002e1.

Klicken Sie auf OK, um dieses System herunterzufahren und im Wiederherstellungsmodus für Verzeichnisdienste neu zu starten. Überprüfen Sie das Ereignisprotokoll, um ausführlichere Informationen zu finden.

Darüber hinaus können die folgenden Ereignis-ID-Meldungen im Ereignisprotokoll angezeigt werden:

Ereignis-ID: 700
Beschreibung: "NTDS (260) Die Online-Defragmentierung beginnt einen Pass für Datenbank-NTDS. DIT."
Ereignis-ID: 701
Beschreibung: "Die NTDS (268) Online-Defragmentierung hat einen vollständigen Pass für die Datenbank 'C:\WINNT\NTDS\ntds.dit' abgeschlossen."
Ereignis-ID: 101
Beschreibung: "NTDS (260) die Datenbank-Engine beendet."
Ereignis-ID: 1004
Beschreibung: "Das Verzeichnis wurde erfolgreich heruntergefahren."
Ereignis-ID: 1168
Beschreibung: "Fehler: 1032 (fffffbf8) ist aufgetreten. (interne ID 4042b). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten."
Ereignis-ID: 1103
Beschreibung: "Die Windows-Verzeichnisdienste-Datenbank konnte nicht initialisiert werden und der Fehler 1032 wurde zurückgegeben. Nicht behebbarer Fehler: Das Verzeichnis kann nicht fortgesetzt werden."

Ursache

Dieses Problem tritt auf, weil mindestens eine der folgenden Bedingungen zutrifft:

  • Die NTFS-Dateisystemberechtigungen für den Stamm des Laufwerks sind zu restriktiv.
  • Die NTFS-Dateisystemberechtigungen für den NTDS-Ordner sind zu restriktiv.
  • Der Laufwerkbuchstabe des Volumes, das die Active Directory-Datenbank enthält, wurde geändert.
  • Die Active Directory-Datenbank (Ntds.dit) ist beschädigt.
  • Der NTDS-Ordner ist komprimiert.

Lösung

Gehen Sie wie folgt vor, um das Problem zu beheben:

  1. Starten Sie den Domänencontroller neu.

  2. Wenn die BIOS-Informationen angezeigt werden, drücken Sie F8.

  3. Wählen Sie Verzeichnisdienste-Wiederherstellungsmodus aus, und drücken Sie dann die EINGABETASTE.

  4. Melden Sie sich mit dem Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus an.

  5. Klicken Sie auf Start, wählen Sie Ausführen aus, geben Sie cmd in das Feld Öffnen ein, und klicken Sie dann auf OK.

  6. Geben Sie an der Eingabeaufforderung ntdsutil files info ein.

    Es wird eine Ausgabe angezeigt, die der folgenden ähnelt:

    Laufwerksinformationen:

    C:\ NTFS (Festplattenlaufwerk ) free (533,3 Mb) gesamt(4,1 Gb)

    DS-Pfadinformationen:

    Datenbank: C:\WINDOWS\NTDS\ntds.dit - 10,1 MB Sicherungsverzeichnis : C:\WINDOWS\NTDS\dsadata.bak Arbeitsverzeichnis: C:\WINDOWS\NTDS Protokollverzeichnis : C:\WINDOWS\NTDS - 42.1 1 MB gesamt temp.edb - 2,1 MB res2.log - 10,0 MB res1.log - 10,0 MB edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Hinweis

    Die Dateispeicherorte, die in dieser Ausgabe enthalten sind, befinden sich auch im folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Die folgenden Einträge in diesem Schlüssel enthalten die Dateispeicherorte:

    • Datenbanksicherungspfad
    • Pfad der Datenbankprotokolldateien
    • DSA-Arbeitsverzeichnis

  7. Vergewissern Sie sich, dass die In der Ausgabe in Schritt 6 aufgeführten Dateien vorhanden sind.

  8. Vergewissern Sie sich, dass die Ordner in der Ntdsutil-Ausgabe über die richtigen Berechtigungen verfügen. Die richtigen Berechtigungen werden in den folgenden Tabellen angegeben.

    Windows Server 2003

    Konto Berechtigungen Vererbung
    System Vollzugriff Dieser Ordner, Unterordner und Dateien
    Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
    Erstellerbesitzer Vollzugriff Nur Unterordner und Dateien
    Lokaler Dienst Erstellen von Ordnern/Anfügen von Daten Dieser Ordner und Unterordner

    Windows 2000

    Konto Berechtigungen Vererbung
    Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
    System Vollzugriff Dieser Ordner, Unterordner und Dateien

    Hinweis

    Darüber hinaus erfordert das Systemkonto Vollzugriffsberechtigungen für die folgenden Ordner:

    • Der Stamm des Laufwerks, das den Ntds-Ordner enthält
    • Der Ordner %WINDIR%

    In Windows Server 2003 ist der Standardspeicherort des Ordners %WINDIR% C:\WINDOWS. In Windows 2000 ist der Standardspeicherort des Ordners %WINDIR% C:\WINNT.

  9. Überprüfen Sie die Integrität der Active Directory-Datenbank. Geben Sie dazu ntdsutil files integrity an der Eingabeaufforderung ein.

    Wenn die Integritätsprüfung keine Fehler anzeigt, starten Sie den Domänencontroller im normalen Modus neu. Wenn die Integritätsprüfung nicht ohne Fehler abgeschlossen wird, fahren Sie mit den folgenden Schritten fort.

  10. Führen Sie eine semantische Datenbankanalyse durch. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein, einschließlich der Anführungszeichen:

    ntdsutil "sem d a" go

  11. Wenn die semantische Datenbankanalyse keine Fehler anzeigt, fahren Sie mit den folgenden Schritten fort. Wenn die Analyse Fehler meldet, geben Sie den folgenden Befehl an der Eingabeaufforderung ein, einschließlich der Anführungszeichen:

    ntdsutil "sem d a" "go f"

  12. Führen Sie die Schritte im folgenden Microsoft Knowledge Base-Artikel aus, um eine Offlinedefragmentierung der Active Directory-Datenbank durchzuführen:

    232122 Ausführen der Offlinedefragmentierung der Active Directory-Datenbank

  13. Wenn das Problem nach der Offline-Defragmentierung weiterhin besteht und andere funktionale Domänencontroller in derselben Domäne vorhanden sind, entfernen Sie Active Directory vom Server, und installieren Sie Dann Active Directory neu. Führen Sie dazu die Schritte im Abschnitt "Problemumgehung" im folgenden Microsoft Knowledge Base-Artikel aus:

    332199 Domänencontroller werden nicht ordnungsgemäß herabstufen, wenn Sie den Active Directory-Installations-Assistenten verwenden, um eine Herabstufung in Windows Server 2003 und Windows 2000 Server zu erzwingen

    Hinweis

    Wenn auf Ihrem Domänencontroller Microsoft Small Business Server ausgeführt wird, können Sie diesen Schritt nicht ausführen, da Small Business Server einer vorhandenen Domäne nicht als zusätzlicher Domänencontroller (Replikat) hinzugefügt werden kann. Wenn Sie über eine Systemstatussicherung verfügen, die neuer ist als die Tombstone-Lebensdauer, stellen Sie diese Systemstatussicherung wieder her, anstatt Active Directory vom Server zu entfernen. Standardmäßig beträgt die Tombstone-Lebensdauer 60 Tage.

  14. Wenn keine Sicherung des Systemstatus verfügbar ist und keine anderen fehlerfreien Domänencontroller in der Domäne vorhanden sind, empfiehlt es sich, die Domäne neu zu erstellen, indem Sie Active Directory entfernen und dann Active Directory auf dem Server neu installieren und eine neue Domäne erstellen. Sie können den alten Domänennamen erneut oder einen neuen Domänennamen verwenden. Sie können die Domäne auch neu erstellen, indem Sie Windows auf dem Server neu formatieren und neu installieren. Das Entfernen von Active Directory ist jedoch schneller und entfernt effektiv die beschädigte Active Directory-Datenbank.

    Wenn keine Sicherung des Systemzustands verfügbar ist, gibt es keine anderen fehlerfreien Domänencontroller in der Domäne, und Der Domänencontroller muss sofort funktionieren. Führen Sie eine verlustbehaftete Reparatur entweder mit Ntdsutil oder Esentutl durch.

    Hinweis

    Microsoft unterstützt keine Domänencontroller, nachdem Ntdsutil oder Esentutl zur Wiederherstellung nach beschädigungen Active Directory-Datenbanken verwendet wurde. Wenn Sie diese Art von Reparatur durchführen, müssen Sie den Domänencontroller neu erstellen, damit Active Directory in einer unterstützten Konfiguration enthalten ist. Der Reparaturbefehl in Ntdsutil verwendet das Hilfsprogramm Esentutl, um eine verlustbehaftete Reparatur der Datenbank durchzuführen. Diese Art von Reparatur behebt Beschädigungen, indem Daten aus der Datenbank gelöscht werden. Verwenden Sie diese Art von Reparatur nur als letzten Ausweg.

    Obwohl der Domänencontroller gestartet werden kann und nach der Reparatur möglicherweise ordnungsgemäß funktioniert, wird sein Zustand nicht unterstützt, da die aus der Datenbank gelöschten Daten eine beliebige Anzahl von Problemen verursachen können, die möglicherweise erst später auftreten. Es gibt keine Möglichkeit zu bestimmen, welche Daten beim Reparieren der Datenbank gelöscht wurden. So bald wie möglich nach der Reparatur müssen Sie die Domäne neu erstellen, um Active Directory auf eine unterstützte Konfiguration zurückzugeben. Wenn Sie nur die Offlinedefragmentierung oder semantische Datenbankanalysemethoden verwenden, auf die in diesem Artikel verwiesen wird, müssen Sie den Domänencontroller anschließend nicht neu erstellen.

  15. Bevor Sie eine verlustbehaftete Reparatur durchführen, wenden Sie sich an den Microsoft-Produktsupport, um zu bestätigen, dass Sie alle möglichen Wiederherstellungsoptionen überprüft haben, und um zu überprüfen, ob sich die Datenbank tatsächlich in einem nicht wiederherstellbaren Zustand befindet. Eine vollständige Liste der Telefonnummern von Microsoft Product Support Services und Informationen zu Den Supportkosten finden Sie auf der folgenden Microsoft-Website:

    Kontakt Microsoft-Support

    Verwenden Sie auf einem Windows 2000 Server-basierten Domänencontroller Ntdsutil, um die Active Directory-Datenbank wiederherzustellen. Geben Sie dazu ntdsutil files repair an einer Eingabeaufforderung im Verzeichnisdienstwiederherstellungsmodus ein.

    Um eine verlustbehaftete Reparatur eines Windows Server 2003-basierten Domänencontrollers durchzuführen, verwenden Sie das tool Esentutl.exe, um die Active Directory-Datenbank wiederherzustellen. Geben Sie dazu auf dem Windows Server 2003-basierten Domänencontroller an einer Eingabeaufforderung esentutl /p ein.

  16. Benennen Sie nach Abschluss des Reparaturvorgangs die .log Dateien im Ordner NTDS um, indem Sie eine andere Erweiterung wie .bak verwenden, und versuchen Sie, den Domänencontroller im normalen Modus zu starten.

  17. Wenn Sie den Domänencontroller nach der Reparatur im normalen Modus starten können, migrieren Sie relevante Active Directory-Objekte so bald wie möglich in eine neue Gesamtstruktur. Da diese verlustbehaftete Reparaturmethode Beschädigungen durch Löschen von Daten behebt, kann dies zu späteren Problemen führen, die äußerst schwierig zu beheben sind. Bei der ersten Gelegenheit nach der Reparatur müssen Sie die Domäne neu erstellen, um Active Directory wieder auf eine unterstützte Konfiguration zu bringen.

    Sie können Benutzer, Computer und Gruppen mithilfe des Active Directory-Migrationstools (ADMT), Ldifde oder eines Nicht-Microsoft-Migrationstools migrieren. ADMT kann Benutzerkonten, Computerkonten und Sicherheitsgruppen mit oder ohne den Verlauf der Sicherheits-ID (SID) migrieren. ADMT migriert auch Benutzerprofile. Informationen zur Verwendung von ADMT in einer Small Business Server-Umgebung finden Sie im Whitepaper "Migrieren von Small Business Server 2000 oder Windows 2000 Server". Dieses Whitepaper finden Sie auf der folgenden Microsoft-Website:

    Migrieren von Small Business Server 2000 oder Windows 2000 Server zu Windows Small Business Server 2003

    Sie können Ldifde verwenden, um viele Arten von Objekten aus der beschädigten Domäne in die neue Domäne zu exportieren und zu importieren. Zu diesen Objekten gehören Benutzerkonten, Computerkonten, Sicherheitsgruppen, organization Einheiten, Active Directory-Standorte, Subnetze und Standortlinks. Ldifde kann den SID-Verlauf nicht migrieren. Ldifde ist Teil von Windows 2000 Server und Windows Server 2003.

    Weitere Informationen zur Verwendung von Ldifde finden Sie im folgenden Artikel der Microsoft Knowledge Base:

    237677 Verwenden von Ldifde zum Importieren und Exportieren von Verzeichnisobjekten in Active Directory

    Sie können die Gruppenrichtlinie Management Console (GPMC) verwenden, um das Dateisystem und den Active Directory-Teil des Gruppenrichtlinienobjekts aus der beschädigten Domäne in die neue Domäne zu exportieren.

    Besuchen Sie die folgende Microsoft-Website, um die GPMC zu erhalten:

    Cloud Computing Services

    Informationen zum Migrieren von Gruppenrichtlinienobjekten mithilfe der Gruppenrichtlinien-Verwaltungskonsole finden Sie im Whitepaper "Migrieren von Gruppenrichtlinienobjekten über Domänen hinweg mit GPMC". Dieses Whitepaper finden Sie auf der folgenden Microsoft-Website:

    Domänenübergreifendes Migrieren von Gruppenrichtlinienobjekten

  18. Bewerten Sie nach der Wiederherstellung Ihren aktuellen Sicherungsplan, um sicherzustellen, dass Sie häufig genug über geplante Systemstatussicherungen verfügen. Planen Sie Systemstatussicherungen mindestens täglich oder nach jeder wichtigen Änderung. Systemstatussicherungen müssen die erforderliche Fehlertoleranzstufe enthalten. Speichern Sie Sicherungen beispielsweise nicht auf demselben Laufwerk wie der Computer, den Sie sichern. Verwenden Sie nach Möglichkeit mehrere Domänencontroller, um einen Single Point of Failure zu vermeiden. Speichern Sie Sicherungen an einem standortunabhängigen Standort, sodass sich eine Standortkatastrophe (Feuer, Diebstahl, Überflutung, Computerdiebstahl) nicht auf Ihre Wiederherstellungsfähigkeit auswirkt. Die folgenden Microsoft-Websites können Sie bei der Entwicklung eines Sicherungsplans unterstützen.