Windows Server: Kontroler domeny usługi Active Directory uruchamia się, aby zatrzymać kod 0xC00002CB

Kontrolery domeny w lesie nie uruchamiają się w trybie normalnym, ale uruchamiają się pomyślnie w trybie przywracania usług katalogowych (DSRM). Próba uruchomienia kontrolera domeny w trybie normalnym kończy się błędem 0xC00002CB. Ten kod błędu nie jest dobrze udokumentowany publicznie.

Ten problem prawdopodobnie dotyczy wszystkich kontrolerów domeny w lesie, ale staje się widoczny tylko po ponownym uruchomieniu kontrolera domeny, którego dotyczy problem. Nie należy ponownie uruchamiać żadnych działających kontrolerów domeny, dopóki problem nie zostanie rozwiązany.

Rozwiązanie podane w tym artykule wymaga co najmniej jednego kontrolera domeny działającego w trybie normalnym. Jeśli żaden kontroler domeny w lesie nie może uruchomić się w trybie normalnym, autorytatywne przywrócenie obiektu konfiguracji oświadczeń (patrz poniżej) jest prawdopodobnie jedyną opcją. Czynności wykonywane w celu wykonania tego autorytatywnego przywracania nie są omówione w tym artykule.
 

Ten problem może być spowodowany, jeśli w usłudze Active Directory brakuje następującego obiektu:

CN=Claims Configuration,CN=Services,CN=Configuration,DC=domain,DC=suffix

Aby potwierdzić problem, wykonaj następujące czynności:

1. Na operacyjnym kontrolerze domeny uruchom ADSI Edit (adsiedit.msc).
2. Z menu Akcja wybierz polecenie Połącz z...
3. Z listy rozwijanej w obszarze Wybierz dobrze znany kontekst nazewnictwa wybierz opcję Konfiguracja i kliknij przycisk OK.
4. W lewym okienku rozwiń opcję Konfiguracja.
5. Rozwiń ścieżkę CN=Konfiguracja, DC=domena, DC=sufiks.
6. Rozwiń węzeł CN=Services i wyszukaj obiekt o nazwie CN=Claims Configuration.
7. Jeśli brakuje obiektu konfiguracji oświadczeń, wykonaj czynności opisane w sekcji Rozwiązywanie problemów poniżej. W przeciwnym razie nie kontynuuj; Ten artykuł nie ma zastosowania do Twojego problemu.

Aby rozwiązać ten problem, wykonaj następujące kroki:
 

1. Nadal w tej samej lokalizacji w edycji ADSI, spójrz kilka wierszy powyżej CN=Services w lewym okienku i znajdź CN=ForestUpdates. Wybierz ten obiekt kontenera.
2. W środkowym okienku kliknij prawym przyciskiem myszy CN=ActiveDirectoryUpdate i wybierz Właściwości.
3. W oknie właściwości odszukaj atrybut poprawki . Wartość tego atrybutu zależy od poziomu funkcjonalności lasu usługi AD:
   • Windows Server 2008: 2
   • Windows Server 2008 R2: 5
   • Windows Server 2012: 11
   • Windows Server 2012 R2: 15
   • Windows Server 2016: 16
4. Wybierz atrybut poprawki i kliknij przycisk Edytuj. Zmień wartość na poprzednią wersję. (Na przykład, jeśli wartość to 15, ustaw ją na 11). Kliknij przycisk OK , aby potwierdzić zmianę.
5. W lewym okienku rozwiń CN=ForestUpdates i wybrać plik CN=Operations kontener znajdujący się pod nim.
6. W środkowym okienku powinny być wyświetlane obiekty kontenerów z identyfikatorami GUID jako nazwami. Zaznacz te obiekty i usuń je. Kontener CN=Operations powinien być pusty.
7. Zamknij edycję ADSI.
8. Zlokalizuj nośnik instalacyjny systemu operacyjnego odpowiadający bieżącemu poziomowi funkcjonalności lasu usługi AD. (Jeśli na przykład poziom funkcjonalności lasu to Windows Server 2012 R2, użyj nośnika instalacyjnego systemu Windows Server 2012 R2. Jeśli poziomem funkcjonalności jest system Windows Server 2016, można użyć nośnika instalacyjnego systemu Windows Server 2016 lub 2019). Włóż płytę DVD lub zamontuj obraz ISO, jeśli jest to konieczne.
9. W wierszu poleceń z podwyższonym poziomem uprawnień przejdź do X:\support\adprep. (Zastąp X literą napędu DVD lub zamontowanym obrazem ISO z poprzedniego kroku).
10. Uruchom adprep /forestprep i upewnij się, że zakończy się bezbłędnie. Spowoduje to ponowne utworzenie brakującego obiektu konfiguracji oświadczeń, jego obiektów podrzędnych i obiektów kontenera, które zostały usunięte w kroku 6.
11. Odmontuj obraz ISO, jeśli był używany w poprzednich krokach.

Problem powinien zostać rozwiązany na lokalnym kontrolerze domeny. Wprowadzone zmiany są replikowane do wszystkich kontrolerów domeny, które nadal działają w trybie normalnym. Do tych zmian ma zastosowanie normalny harmonogram replikacji usługi AD, ale replikację można wymusić przy użyciu odmian repadmin /syncall .