Error al iniciar el controlador de dominio basado en Windows: Servicios de directorio no se pueden iniciar

En este artículo se explica cómo recuperarse de una base de datos de Active Directory dañada o de un problema similar que impide que el equipo se inicie en modo normal.

Se aplica a: Windows Server 2003
Número de KB original: 258062

Resumen

Este artículo le guía a través de una serie de pasos que pueden ayudarle a diagnosticar la causa de que Los servicios de directorio no puedan iniciar el error del sistema. Estos pasos pueden incluir:

  • Comprobar que existen los archivos de servicio de directorio de Active Directory.
  • Comprobar que los permisos del sistema de archivos son correctos.
  • Comprobación de la integridad de la base de datos de Active Directory.
  • Realizar un análisis semántico de base de datos.
  • Reparar la base de datos de Active Directory.
  • Quitar y volver a crear la base de datos de Active Directory.

En este artículo también se explica cómo usar Ntdsutil o Esentutl para realizar una reparación por pérdida de la base de datos de Active Directory. Dado que una reparación con pérdida elimina datos y puede presentar nuevos problemas, solo realice una reparación por pérdida si es la única opción disponible.

Síntomas

Al iniciar el controlador de dominio, la pantalla puede estar en blanco y puede recibir el siguiente mensaje de error:

LSASS.EXE: error del sistema, error de inicialización del administrador de cuentas de seguridad debido al siguiente error: No se puede iniciar Directory Services. Estado de error 0xc00002e1.

Haga clic en Aceptar para apagar este sistema y reiniciar en el modo de restauración de servicios de directorio, compruebe el registro de eventos para obtener información más detallada.

Además, pueden aparecer los siguientes mensajes de identificador de evento en el registro de eventos:

Identificador de evento: 700
Descripción: "NTDS (260) La desfragmentación en línea está empezando un paso en ntds de base de datos. DIT."
Identificador de evento: 701
Descripción: "NTDS (268) La desfragmentación en línea ha completado un paso completo en la base de datos "C:\WINNT\NTDS\ntds.dit".
Identificador de evento: 101
Descripción: "NTDS (260) el motor de base de datos se detuvo".
Identificador de evento: 1004
Descripción: "El directorio se cerró correctamente".
Identificador de evento: 1168
Descripción: "Error: 1032 (fffffbf8) se ha producido. (id. interno 4042b). Póngase en contacto con los servicios de soporte técnico de Microsoft para obtener ayuda."
Identificador de evento: 1103
Descripción: "No se pudo inicializar la base de datos de servicios de directorio de Windows y se devolvió el error 1032. Error irrecuperable, el directorio no puede continuar."

Causa

Este problema se produce porque se cumplen una o varias de las condiciones siguientes:

  • Los permisos del sistema de archivos NTFS en la raíz de la unidad son demasiado restrictivos.
  • Los permisos del sistema de archivos NTFS en la carpeta NTDS son demasiado restrictivos.
  • La letra de unidad del volumen que contiene la base de datos de Active Directory ha cambiado.
  • La base de datos de Active Directory (Ntds.dit) está dañada.
  • La carpeta NTDS está comprimida.

Solución

Para resolver este problema, siga estos pasos:

  1. Reinicie el controlador de dominio.

  2. Cuando aparezca la información del BIOS, presione F8.

  3. Seleccione Modo de restauración de servicios de directorio y presione ENTRAR.

  4. Inicie sesión con la contraseña del modo de restauración de Servicios de directorio.

  5. Haga clic en Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  6. En el símbolo del sistema, escriba ntdsutil files info.

    Aparece una salida similar a la siguiente:

    Información de unidad:

    C:\ NTFS (unidad fija ) free(533.3 Mb) total(4.1 Gb)

    Información de ruta de acceso de DS:

    Base de datos : C:\WINDOWS\NTDS\ntds.dit - 10,1 Mb Dir de copia de seguridad : C:\WINDOWS\NTDS\dsadata.bak directorio de trabajo: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - Temp.edb total de 42,1 Mb: 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Nota:

    Las ubicaciones de archivo que se incluyen en esta salida también se encuentran en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Las siguientes entradas de esta clave contienen las ubicaciones de archivo:

    • Ruta de acceso de copia de seguridad de base de datos
    • Ruta de acceso de los archivos de registro de base de datos
    • Directorio de trabajo de DSA
  7. Compruebe que existen los archivos que aparecen en la salida del paso 6.

  8. Compruebe que las carpetas de la salida ntdsutil tienen los permisos correctos. Los permisos correctos se especifican en las tablas siguientes.

    Windows Server 2003

    Cuenta Permissions Herencia
    Sistema Control completo Esta carpeta, subcarpetas y archivos
    Administradores Control completo Esta carpeta, subcarpetas y archivos
    Propietario del creador Control completo Solo subcarpetas y archivos
    Servicio local Crear carpetas o anexar datos Esta carpeta y subcarpetas

    Windows 2000

    Cuenta Permissions Herencia
    Administradores Control completo Esta carpeta, subcarpetas y archivos
    Sistema Control completo Esta carpeta, subcarpetas y archivos

    Nota:

    Además, la cuenta del sistema requiere permisos de control total en las carpetas siguientes:

    • Raíz de la unidad que contiene la carpeta Ntds
    • La carpeta %WINDIR%

    En Windows Server 2003, la ubicación predeterminada de la carpeta %WINDIR% es C:\WINDOWS. En Windows 2000, la ubicación predeterminada de la carpeta %WINDIR% es C:\WINNT.

  9. Compruebe la integridad de la base de datos de Active Directory. Para ello, escriba ntdsutil files integrity (Integridad de archivos ntdsutil ) en el símbolo del sistema.

    Si la comprobación de integridad indica que no hay errores, reinicie el controlador de dominio en modo normal. Si la comprobación de integridad no finaliza sin errores, continúe con los pasos siguientes.

  10. Realice un análisis semántico de la base de datos. Para ello, escriba el siguiente comando en el símbolo del sistema, incluidas las comillas:

    ntdsutil "sem d a" go
    
  11. Si el análisis semántico de la base de datos indica que no hay errores, continúe con los pasos siguientes. Si el análisis notifica errores, escriba el siguiente comando en el símbolo del sistema, incluidas las comillas:

    ntdsutil "sem d a" "go f"
    
  12. Siga los pasos del siguiente artículo de Microsoft Knowledge Base para realizar una desfragmentación sin conexión de la base de datos de Active Directory:

    232122 Realizar la desfragmentación sin conexión de la base de datos de Active Directory

  13. Si el problema sigue existiendo después de la desfragmentación sin conexión y hay otros controladores de dominio funcionales en el mismo dominio, quite Active Directory del servidor y vuelva a instalar Active Directory. Para ello, siga los pasos de la sección "Solución alternativa" del siguiente artículo de Microsoft Knowledge Base:

    332199 controladores de dominio no se degradan correctamente cuando se usa el Asistente para instalación de Active Directory para forzar la degradación en Windows Server 2003 y En Windows 2000 Server

    Nota:

    Si el controlador de dominio ejecuta Microsoft Small Business Server, no puede realizar este paso, ya que Small Business Server no se puede agregar a un dominio existente como controlador de dominio adicional (réplica). Si tiene una copia de seguridad de estado del sistema que es más reciente que la duración del lápiz, restaure esa copia de seguridad del estado del sistema en lugar de quitar Active Directory del servidor. De forma predeterminada, la duración del lápiz es de 60 días.

  14. Si no hay ninguna copia de seguridad de estado del sistema disponible y no hay ningún otro controlador de dominio en buen estado en el dominio, se recomienda volver a generar el dominio quitando Active Directory y reinstalando Active Directory en el servidor, creando un nuevo dominio. Puede volver a usar el nombre de dominio antiguo o usar un nuevo nombre de dominio. También puede volver a generar el dominio reformateando y reinstalando Windows en el servidor. Sin embargo, la eliminación de Active Directory es más rápida y elimina eficazmente la base de datos de Active Directory dañada.

    Si no hay ninguna copia de seguridad de estado del sistema disponible, no hay ningún otro controlador de dominio en buen estado en el dominio y debe hacer que el controlador de dominio funcione inmediatamente y realice una reparación por pérdida mediante Ntdsutil o Esentutl.

    Nota:

    Microsoft no admite controladores de dominio después de usar Ntdsutil o Esentutl para recuperarse de daños en la base de datos de Active Directory. Si realiza este tipo de reparación, debe volver a generar el controlador de dominio para que Active Directory esté en una configuración compatible. El comando repair de Ntdsutil usa la utilidad Esentutl para realizar una reparación por pérdida de la base de datos. Este tipo de reparación corrige los daños mediante la eliminación de datos de la base de datos. Use solo este tipo de reparación como último recurso.

    Aunque el controlador de dominio puede iniciarse y puede parecer que funciona correctamente después de la reparación, su estado no se admite porque los datos que se eliminan de la base de datos pueden causar cualquier número de problemas que no puedan aparecer hasta más adelante. No hay ninguna manera de determinar qué datos se eliminaron cuando se reparó la base de datos. Tan pronto como sea posible después de la reparación, debe volver a generar el dominio para devolver Active Directory a una configuración admitida. Si solo usa los métodos de análisis de base de datos semántico o de desfragmentación sin conexión a los que se hace referencia en este artículo, no es necesario volver a generar el controlador de dominio después.

  15. Antes de realizar una reparación por pérdida, póngase en contacto con los Servicios de soporte técnico de Microsoft para confirmar que ha revisado todas las opciones de recuperación posibles y para comprobar que la base de datos se encuentra realmente en un estado irrecuperable. Para obtener una lista completa de los números de teléfono de servicios de soporte técnico de Microsoft e información sobre los costos de soporte técnico, visite el siguiente sitio web de Microsoft:

    Póngase en contacto con Soporte técnico de Microsoft

    En un controlador de dominio basado en Windows 2000 Server, use Ntdsutil para recuperar la base de datos de Active Directory. Para ello, escriba ntdsutil files repair at a command prompt in Directory Service Restore Mode (Reparación de archivos ntdsutil en un símbolo del sistema en modo de restauración del servicio de directorio).

    Para realizar una reparación por pérdida de un controlador de dominio basado en Windows Server 2003, use la herramienta Esentutl.exe para recuperar la base de datos de Active Directory. Para ello, escriba esentutl /p en un símbolo del sistema en el controlador de dominio basado en Windows Server 2003.

  16. Una vez completada la operación de reparación, cambie el nombre de los archivos .log en la carpeta NTDS mediante una extensión diferente, como .bak, e intente iniciar el controlador de dominio en modo normal.

  17. Si puede iniciar el controlador de dominio en modo normal después de la reparación, migre los objetos de Active Directory pertinentes a un nuevo bosque lo antes posible. Dado que este método de reparación con pérdida corrige los daños mediante la eliminación de datos, puede causar problemas posteriores que son extremadamente difíciles de solucionar. En la primera oportunidad después de la reparación, debe volver a generar el dominio para devolver Active Directory a una configuración admitida.

    Puede migrar usuarios, equipos y grupos mediante la Herramienta de migración de Active Directory (ADMT), Ldifde o una herramienta de migración que no sea de Microsoft. ADMT puede migrar cuentas de usuario, cuentas de equipo y grupos de seguridad con o sin el historial de identificadores de seguridad (SID). ADMT también migra los perfiles de usuario. Para usar ADMT en un entorno de Small Business Server, revise el artículo "Migración desde Small Business Server 2000 o Windows 2000 Server". Para obtener este documento técnico, visite el siguiente sitio web de Microsoft:

    Migración de Small Business Server 2000 o Windows 2000 Server a Windows Small Business Server 2003

    Puede usar Ldifde para exportar e importar muchos tipos de objetos del dominio dañado al nuevo dominio. Estos objetos incluyen cuentas de usuario, cuentas de equipo, grupos de seguridad, unidades de organización, sitios de Active Directory, subredes y vínculos de sitio. Ldifde no puede migrar el historial de SID. Ldifde forma parte de Windows 2000 Server y Windows Server 2003.

    Para obtener más información sobre cómo usar Ldifde, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    237677 Usar Ldifde para importar y exportar objetos de directorio a Active Directory

    Puede usar la consola de administración de directiva de grupo (GPMC) para exportar el sistema de archivos y la parte de Active Directory del objeto de directiva de grupo del dominio dañado al nuevo dominio.

    Para obtener el GPMC, visite el siguiente sitio web de Microsoft:

    Cloud Computing Services

    Para obtener información sobre cómo migrar objetos de directiva de grupo mediante GPMC, consulte el documento técnico "Migración de GPO entre dominios con GPMC". Para obtener este documento técnico, visite el siguiente sitio web de Microsoft:

    Migración de GPO entre dominios

  18. Después de la recuperación, evalúe el plan de copia de seguridad actual para asegurarse de que ha programado copias de seguridad del estado del sistema con la frecuencia suficiente. Programe copias de seguridad de estado del sistema al menos todos los días o después de cada cambio significativo. Las copias de seguridad de estado del sistema deben contener el nivel necesario de tolerancia a errores. Por ejemplo, no almacene copias de seguridad en la misma unidad que el equipo del que realiza la copia de seguridad. Siempre que sea posible, use más de un controlador de dominio para evitar un único punto de error. Almacene las copias de seguridad en una ubicación fuera del sitio para que el desastre del sitio (incendio, robo, inundación, robo de equipos) no afecte a su capacidad de recuperación. Los siguientes sitios web de Microsoft pueden ayudarle a desarrollar un plan de copia de seguridad.