Erro ao iniciar seu controlador de domínio baseado no Windows: Os Serviços de Diretório não podem iniciar

  • Artigo

Este artigo explica como se recuperar de um banco de dados do Active Directory corrompido ou de um problema semelhante que impede que seu computador comece no modo normal.

Aplica-se a: Windows Server 2003
Número de KB original: 258062

Resumo

Este artigo leva você a uma série de etapas que podem ajudá-lo a diagnosticar a causa do erro do sistema de Serviços de Diretório . Estas etapas podem incluir:

  • Verificando se os arquivos de serviço do active directory de diretório existem.
  • Verificando se as permissões do sistema de arquivos estão corretas.
  • Verificando a integridade do banco de dados do Active Directory.
  • Executando uma análise semântica de banco de dados.
  • Reparar o banco de dados do Active Directory.
  • Removendo e recriando o banco de dados do Active Directory.

Este artigo também informa como usar o Ntdsutil ou o Esentutl para executar um reparo perdido do banco de dados do Active Directory. Como um reparo com perda exclui dados e pode introduzir novos problemas, somente realize um reparo com perda se for a única opção disponível.

Sintomas

Quando você inicia seu controlador de domínio, a tela pode ficar em branco e você pode receber a seguinte mensagem de erro:

LSASS.EXE – Falha na inicialização do gerenciador de contas de segurança por causa do seguinte erro: os Serviços de Diretório não podem ser iniciados. Erro status 0xc00002e1.

Clique em OK para desligar esse sistema e reiniciar no modo de restauração dos serviços de diretório, marcar o log de eventos para obter informações mais detalhadas.

Além disso, as seguintes mensagens de ID de evento podem aparecer no log de eventos:

ID do evento: 700
Descrição: "NTDS (260) A desfragmentação online está iniciando uma passagem no banco de dados NTDS. DIT."
ID do evento: 701
Descrição: "NTDS (268) A desfragmentação online concluiu um passe completo no banco de dados 'C:\WINNT\NTDS\ntds.dit'."
ID do evento: 101
Descrição: "NTDS (260) o mecanismo de banco de dados parou."
ID do evento: 1004
Descrição: "O diretório foi desligado com êxito."
ID do evento: 1168
Descrição: "Erro: ocorreu 1032 (fffffbf8). (ID interna 4042b). Entre em contato com os serviços de suporte ao produto da Microsoft para obter assistência."
ID do evento: 1103
Descrição: "O banco de dados de serviços de diretório windows não pôde ser inicializado e retornado erro 1032. Erro irrecuperável, o diretório não pode continuar."

Motivo

Esse problema ocorre porque uma ou mais das seguintes condições são verdadeiras:

  • As permissões do sistema de arquivos NTFS na raiz da unidade são muito restritivas.
  • As permissões do sistema de arquivos NTFS na pasta NTDS são muito restritivas.
  • A letra da unidade do volume que contém o banco de dados do Active Directory foi alterada.
  • O banco de dados do Active Directory (Ntds.dit) está corrompido.
  • A pasta NTDS é compactada.

Resolução

Para resolver este problema, execute as seguintes etapas:

  1. Reinicie o controlador de domínio.

  2. Quando as informações do BIOS forem exibidas, pressione F8.

  3. Selecione Modo de Restauração dos Serviços de Diretório e pressione ENTER.

  4. Faça logon usando a senha Modo de Restauração dos Serviços de Diretório.

  5. Clique em Iniciar, selecione Executar, digite cmd na caixa Abrir e clique em OK.

  6. No prompt de comando, digite informações de arquivos ntdsutil.

    A saída semelhante à seguinte aparece:

    Informações de unidade:

    C:\ NTFS (Unidade Fixa ) total gratuito(533,3 Mb) (4,1 Gb)

    Informações do caminho do DS:

    Banco de dados : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Dir de trabalho: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - Temp.edb total de 42,1 Mb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Observação

    Os locais do arquivo incluídos nessa saída também são encontrados na subchave do registro a seguir:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    As seguintes entradas nesta chave contêm os locais do arquivo:

    • Caminho de backup do banco de dados
    • Caminho dos arquivos do Log de Banco de Dados
    • Diretório de trabalho DSA

  7. Verifique se os arquivos listados na saída na etapa 6 existem.

  8. Verifique se as pastas na saída Ntdsutil têm as permissões corretas. As permissões corretas são especificadas nas tabelas a seguir.

    Windows Server 2003

    Conta Permissões Herança
    Sistema Controle Total Esta pasta, subpastas e arquivos
    Administradores Controle Total Esta pasta, subpastas e arquivos
    Proprietário do Criador Controle Total Somente subpastas e arquivos
    Serviço Local Criar Pastas/Anexar Dados Esta pasta e subpastas

    Windows 2000

    Conta Permissões Herança
    Administradores Controle Total Esta pasta, subpastas e arquivos
    Sistema Controle Total Esta pasta, subpastas e arquivos

    Observação

    Além disso, a conta do Sistema requer permissões de Controle Total nas seguintes pastas:

    • A raiz da unidade que contém a pasta Ntds
    • A pasta %WINDIR%

    No Windows Server 2003, o local padrão da pasta %WINDIR% é C:\WINDOWS. No Windows 2000, o local padrão da pasta %WINDIR% é C:\WINNT.

  9. Verifique a integridade do banco de dados do Active Directory. Para fazer isso, digite a integridade dos arquivos ntdsutil no prompt de comando.

    Se a integridade marcar não indicar erros, reinicie o controlador de domínio no modo normal. Se a integridade marcar não terminar sem erros, continue para as etapas a seguir.

  10. Execute uma análise semântica do banco de dados. Para fazer isso, digite o seguinte comando no prompt de comando, incluindo as aspas:

    ntdsutil "sem d a" go

  11. Se a análise semântica do banco de dados não indicar erros, continue para as etapas a seguir. Se a análise relatar erros, digite o seguinte comando no prompt de comando, incluindo as aspas:

    ntdsutil "sem d a" "go f"

  12. Siga as etapas no seguinte artigo da Base de Dados de Conhecimento da Microsoft para executar um desfragmentação offline do banco de dados do Active Directory:

    232122 Executar desfragmentação offline do banco de dados do Active Directory

  13. Se o problema ainda existir após a desfragmentação offline e houver outros controladores de domínio funcionais no mesmo domínio, remova o Active Directory do servidor e reinstale o Active Directory. Para fazer isso, siga as etapas na seção "Solução alternativa" no seguinte artigo da Base de Dados de Conhecimento da Microsoft:

    332199 controladores de domínio não demote graciosamente quando você usa o Assistente de Instalação do Active Directory para forçar o rebaixamento no Windows Server 2003 e no Windows 2000 Server

    Observação

    Se o controlador de domínio estiver executando o Microsoft Small Business Server, você não poderá executar essa etapa, pois o Small Business Server não pode ser adicionado a um domínio existente como um controlador de domínio adicional (réplica). Se você tiver um backup de estado do sistema mais recente que o tempo de vida da lápide, restaure esse backup de estado do sistema em vez de remover o Active Directory do servidor. Por padrão, o tempo de vida da lápide é de 60 dias.

  14. Se nenhum backup de estado do sistema estiver disponível e não houver outros controladores de domínio saudáveis no domínio, recomendamos que você recompile o domínio removendo o Active Directory e reinstalando o Active Directory no servidor, criando um novo domínio. Você pode usar o nome de domínio antigo novamente ou usar um novo nome de domínio. Você também pode recompilar o domínio reformatando e reinstalando o Windows no servidor. No entanto, a remoção do Active Directory é mais rápida e remove efetivamente o banco de dados corrompido do Active Directory.

    Se nenhum backup de estado do sistema estiver disponível, não haverá outros controladores de domínio saudáveis no domínio e você deverá ter o controlador de domínio funcionando imediatamente, execute um reparo com perda usando Ntdsutil ou Esentutl.

    Observação

    A Microsoft não dá suporte a controladores de domínio depois que Ntdsutil ou Esentutl é usado para se recuperar da corrupção do banco de dados do Active Directory. Se você executar esse tipo de reparo, deverá recompilar o controlador de domínio do Active Directory para estar em uma configuração com suporte. O comando de reparo no Ntdsutil usa o utilitário Esentutl para executar um reparo com perda do banco de dados. Esse tipo de reparo corrige a corrupção excluindo dados do banco de dados. Use apenas esse tipo de reparo como último recurso.

    Embora o controlador de domínio possa começar e possa parecer funcionar corretamente após o reparo, seu estado não tem suporte porque os dados excluídos do banco de dados podem causar vários problemas que podem não aparecer até mais tarde. Não há como determinar quais dados foram excluídos quando o banco de dados foi reparado. O mais rápido possível após o reparo, você deve recompilar o domínio para retornar o Active Directory a uma configuração com suporte. Se você usar apenas os métodos de desfragmentação offline ou análise semântica de banco de dados referenciados neste artigo, não precisará recompilar o controlador de domínio posteriormente.

  15. Antes de realizar um reparo com perda, entre em contato com os Serviços de Suporte ao Produto da Microsoft para confirmar se você revisou todas as opções de recuperação possíveis e verificar se o banco de dados realmente está em um estado irrecuperável. Para obter uma lista completa de números de telefone dos Serviços de Suporte ao Produto da Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft:

    Contate Suporte da Microsoft

    Em um controlador de domínio baseado em servidor do Windows 2000, use o Ntdsutil para recuperar o banco de dados do Active Directory. Para fazer isso, digite o reparo de arquivos ntdsutil em um prompt de comando no Modo de Restauração do Serviço de Diretório.

    Para executar um reparo com perda de um controlador de domínio baseado no Windows Server 2003, use a ferramenta Esentutl.exe para recuperar o banco de dados do Active Directory. Para fazer isso, digite esentutl /p em um prompt de comando no controlador de domínio baseado no Windows Server 2003.

  16. Depois que a operação de reparo for concluída, renomeie os arquivos .log na pasta NTDS usando uma extensão diferente, como .bak, e tente iniciar o controlador de domínio no modo normal.

  17. Se você puder iniciar o controlador de domínio no modo normal após o reparo, migre objetos relevantes do Active Directory para uma nova floresta o mais rápido possível. Como esse método de reparação com perda corrige a corrupção excluindo dados, ele pode causar problemas posteriores extremamente difíceis de solucionar. Na primeira oportunidade após o reparo, você deve recompilar o domínio para trazer o Active Directory de volta a uma configuração com suporte.

    Você pode migrar usuários, computadores e grupos usando a Ferramenta de Migração do Active Directory (ADMT), o Ldifde ou uma ferramenta de migração que não seja da Microsoft. O ADMT pode migrar contas de usuário, contas de computador e grupos de segurança com ou sem o histórico de SID (identificador de segurança). O ADMT também migra perfis de usuário. Para usar o ADMT em um ambiente do Small Business Server, examine o white paper "Migrando do Small Business Server 2000 ou Windows 2000 Server". Para obter este white paper, visite o seguinte site da Microsoft:

    Migrando do Small Business Server 2000 ou do Windows 2000 Server para o Windows Small Business Server 2003

    Você pode usar o Ldifde para exportar e importar muitos tipos de objetos do domínio danificado para o novo domínio. Esses objetos incluem contas de usuário, contas de computador, grupos de segurança, unidades de organização, sites do Active Directory, sub-redes e links de site. O Ldifde não pode migrar o histórico do SID. O Ldifde faz parte do Windows 2000 Server e do Windows Server 2003.

    Para obter mais informações sobre como usar o Ldifde, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:

    237677 Usar o Ldifde para importar e exportar objetos de diretório para o Active Directory

    Você pode usar o GPMC (console de gerenciamento de Política de Grupo) para exportar o sistema de arquivos e a parte do Active Directory do objeto de política de grupo do domínio danificado para o novo domínio.

    Para obter o GPMC, visite o seguinte site da Microsoft:

    Serviços de Computação em Nuvem

    Para obter informações sobre como migrar objetos de política de grupo usando o GPMC, examine o white paper "Migrar GPOs entre domínios com GPMC". Para obter este white paper, visite o seguinte site da Microsoft:

    Migrando GPOs entre domínios

  18. Após a recuperação, avalie seu plano de backup atual para garantir que você tenha agendado backups de estado do sistema com frequência suficiente. Agende backups de estado do sistema pelo menos todos os dias ou após cada alteração significativa. Os backups de estado do sistema devem conter o nível necessário de tolerância a falhas. Por exemplo, não armazene backups na mesma unidade que o computador que você está fazendo backup. Sempre que possível, use mais de um controlador de domínio para evitar um único ponto de falha. Armazenar backups em um local fora do local para que o desastre do local (incêndio, roubo, inundação, roubo de computador) não afete sua capacidade de recuperação. Os sites da Microsoft a seguir podem ajudá-lo a desenvolver um plano de backup.