Windows Server: reparación de la base de datos de Active Directory después de un error de la controladora de dominio

En este artículo, se aborda la reparación de Active Directory en los sistemas operativos Windows Server.

Problema:

Luego del inicio, una controladora de dominio (DC) de Active Directory de Windows Server 2003 muestra un mensaje antes del mensaje de inicio de sesión, similar a este:

Application popup: lsass.exe - System Error: La inicialización de Security Accounts Manager falló debido al siguiente error: Directory Service cannot start. Error; Estado: 0xc00002e1. Haga clic en Aceptar para apagar este sistema y reiniciarlo en el modo de restauración de servicio de directorio. Revise el registro de eventos para obtener más información.

La base de datos de Active Directory (AD) está dañada, el servidor no puede autenticar los miembros del dominio de AD y no se iniciará en el modo normal.

 

Solución:

Ante la ausencia de un respaldo reciente del estado de los sistemas, es posible utilizar los siguientes pasos como un intento para recuperar AD.

1. Reinicie DC en el modo de restauración de servicios de directorio (DSRM).

    a. En el inicio del servidor, presione F8 después de que se completen las inicializaciones del BIOS del sistema y del servicio de hardware (p. ej., PERC, iDRAC). 

    b. En el menú de arranque, seleccione “Directory Services Restore Mode” y presione Intro.


2. En el botón de Inicio de Windows, seleccione Ejecutar y escriba ‘cmd’ para abrir el símbolo del sistema.

    Escriba “ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o” y presione Intro para realizar la comprobación de integridad inicial.



    En los casos de inconsistencias de la base de datos, se mostrará un mensaje de error, p. ej., “results CORRUPTED, -1206”.

3. A continuación, escriba ‘NTDSUTIL’ y presione Intro.  Esto inicia el conjunto de herramientas de NTDS.

    A. En el símbolo del sistema, escriba “Files” y presione Intro para acceder a la utilidad de administración de archivos de NTDS

    b. Para el mantenimiento de archivos: en el símbolo del sistema, escriba “info” y presione Intro para mostrar las ubicaciones de todos los archivos relacionados con la base de datos de AD.



4. En el mantenimiento del archivo: en el aviso, escriba ‘Recuperar’ y presione Intro.  Esto iniciará una recuperación ‘ligera’ de la base de datos de AD.

    Escriba “quit” en cada mensaje hasta volver al aviso de comando (C:\<path>).

5. En el símbolo del sistema, escriba “ESENTUTL /ml c:\windows\ntds\edb” para verificar los archivos de registro de la base de datos de AD.



    Si este paso falla, ejecute los siguientes comandos y presione Intro después de cada uno:

    a.  “DEL *.log”

    b.  “DEL *.chk”

    y continúe con el paso 6.

6. En el símbolo del sistema, escriba “ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o” y presione Intro para realizar una recuperación “intensa”
    de la base de datos de AD.

7. En el símbolo del sistema, escriba “ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o” y presione Intro para garantizar la coherencia de la base de datos.



8. Vuelva al aviso NTDSUTIL (consulte el Paso 3) y escriba ‘sem dat ana’ (versión truncada de ‘Análisis de base de datos semánticos’) y presione Intro.
    Desde el verificador semántico: en el aviso, escriba ‘ir’ y presione Intro.



    Si se detecta un problema, escriba “go fix” y presione Intro.

9. Reinicie el servidor en modo normal cuando finalice todos los pasos.

 

Información adicional:

http://support.microsoft.com/kb/258062