Windows Server: Řadič domény služby Active Directory se spustí a zastaví kód 0xC00002CB

Řadiče domény v doménové struktuře se nespustí do normálního režimu, ale úspěšně se spustí do režimu obnovení adresářových služeb (DSRM). Pokus o spuštění řadiče domény do normálního režimu má za následek chybu 0xC00002CB. Tento chybový kód není veřejně dobře zdokumentován.

Tento problém se pravděpodobně týká všech řadičů domény v doménové struktuře, ale projeví se až po restartování dotčeného řadiče domény. Žádné řadiče domény, které jsou stále funkční, by neměly být restartovány, dokud nebude problém vyřešen.

Řešení uvedené v tomto článku vyžaduje alespoň jeden řadič domény běžící v normálním režimu. Pokud se žádný řadič domény v doménové struktuře nemůže spustit do normálního režimu, je pravděpodobně jedinou možností autoritativní obnovení objektu Claims Configuration (viz níže). Postup provedení tohoto autoritativního obnovení není v tomto článku popsán.
 

Tento problém může být způsoben tím, že ve službě Active Directory chybí následující objekt:

CN=Claims Configuration,CN=Services,CN=Configuration,DC=domain,DC=suffix

Problém potvrďte provedením následujících kroků:

1. V provozním řadiči domény spusťte aplikaci ADSI Edit (adsiedit.msc).
2. V nabídce Akce vyberte Připojit k...
3. V rozevíracím seznamu v části Vybrat dobře známý názvový kontext vyberte Konfigurace a klikněte na OK.
4. V levém podokně rozbalte položku Configuration.
5. Rozbalte položku CN=konfigurace, DC=doména, DC=přípona.
6. Rozbalte CN=Services a vyhledejte objekt s názvem CN=Claims Configuration.
7. Pokud objekt Konfigurace deklarací identity chybí, pokračujte kroky v části Řešení níže. V opačném případě nepokračujte; Tento článek se netýká vašeho problému.

Problém vyřešíte provedením následujících kroků:
 

1. Stále ve stejném umístění v editoru ADSI se podívejte na několik řádků nad CN=Services v levém podokně a vyhledejte CN=ForestUpdates. Vyberte tento objekt kontejneru.
2. V prostředním podokně klikněte pravým tlačítkem na ikonu CN=ActiveDirectoryUpdate a vyberte Vlastnosti.
3. V okně vlastností vyhledejte atribut revize . Hodnota tohoto atributu závisí na úrovni funkčnosti doménové struktury AD:
   • Windows Server 2008: 2
   • Windows Server 2008 R2: 5
   • Windows Server 2012: 11
   • Windows Server 2012 R2: 15
   • Windows Server 2016: 16
4. Vyberte atribut revize a klikněte na Upravit. Změňte hodnotu na předchozí verzi. (Pokud je například hodnota 15, nastavte ji na 11.) Kliknutím na tlačítko OK potvrďte změnu.
5. V levém podokně rozbalte položku CN=ForestUpdates a vybrat soubor CN=Operations kontejneru pod ním.
6. V prostředním podokně by se měly zobrazovat objekty kontejneru s identifikátory GUID pro jejich názvy. Vyberte tyto objekty a odstraňte je. Kontejner CN=Operations by měl být poté prázdný.
7. Ukončete aplikaci ADSI Edit.
8. Vyhledejte instalační médium operačního systému, které odpovídá aktuální úrovni funkčnosti doménové struktury AD. (Pokud je například úroveň funkčnosti doménové struktury Windows Server 2012 R2, použijte instalační médium Windows Server 2012 R2. Pokud je úroveň funkčnosti Windows Server 2016, můžete použít instalační médium Windows Server 2016 nebo 2019.) Vložte disk DVD nebo připojte obraz ISO, podle potřeby.
9. Na příkazovém řádku se zvýšenými oprávněními přejděte do nabídky X:\support\adprep. (Nahraďte X písmenem jednotky DVD mechaniky nebo připojeného obrazu ISO v předchozím kroku.)
10. Spustit adprep /forestprep a ujistěte se, že se dokončí bez chyb. Tím se znovu vytvoří chybějící objekt konfigurace deklarací identity, jeho podřízené objekty a objekty kontejneru, které byly odstraněny v kroku 6.
11. Odpojte bitovou kopii ISO, pokud byla použita v předchozích krocích.

Problém by nyní měl být vyřešen na místním řadiči domény. Provedené změny se replikují do všech řadičů domény, které stále běží v normálním režimu. Na tyto změny se vztahuje normální plán replikace AD, ale replikaci lze vynutit pomocí různých repadmin /syncall .