Windows Server: Reparasjon av Active Directory-database etter feil på domenekontroller

Denne artikkelen tar for seg Active Directory-reparasjon på Windows Server-operativsystemer.

Problem:

Ved oppstart viser en Windows Server 2003 Active Directory-domenekontroller (DC) en melding før påloggingsledeteksten, som ligner på dette:

application popup: lsass.exe - System Error : Initialisering av Security Accounts Manager mislyktes på grunn av følgende feil: Katalogtjenesten kan ikke starte. Error Status: 0xc00002e1. Klikk på OK for å slå av systemet og starte det på nytt i modus for gjenoppretting av katalogtjenester. Se hendelsesloggen hvis du vil ha mer detaljert informasjon.

Active Directory-databasen (AD) er ødelagt, serveren kan ikke godkjenne AD-domenemedlemmer, og vil ikke starte opp i normal modus.

 

Løsning:

I fravær av en nylig sikkerhetskopi av systemtilstanden kan følgende trinn brukes som et AD-gjenopprettingsforsøk.

1. Start DC i Modus for gjenoppretting av katalogtjenester (DSRM).

    a. Ved oppstart av serveren trykker du på F8 etter at system-BIOS- og maskinvaretjenesten (for eksempel PERC, iDRAC) er fullført. 

    B.  Fra oppstartsmenyen velger du Directory Services Restore Mode (Modus for gjenoppretting av katalogtjenester) og trykker på Enter.


2. Fra Windows-knappen Start velger du Run (Kjør), og skriver inn cmd for å åpne en ledetekst.

    Skriv inn ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o, og trykk på Enter for å utføre den første integritetskontrollen.



    I tilfeller med databaseinkonsekvenser vises en feilmelding, f.eks.  "results CORRUPTED, -1206" vil bli returnert.

3. Skriv deretter inn NTDSUTIL, og trykk på Enter.  Dette starter NTDS-verktøysettene.

    A.  I ledeteksten skriver du inn Files (Filer), og trykker på Enter for å gå til NTDS file management utility

b.  Ved file maintenance(vedlikehold):spør skriv inn «info», og trykk på Enter for å vise plasseringen av alle AD-databaserelaterte filer.



4. Ved ledeteksten file maintenance (filvedlikehold): skriv inn Recover (Gjenopprett), og trykk på Enter.  Dette starter «myk» gjenoppretting av AD-databasen.

    Skriv inn quit (avslutt) i hver ledetekst til du kommer tilbake til ledeteksten (C:\<path>).

5. Skriv inn ESENTUTL /ml c:\windows\ntds\edb i ledeteksten for å kontrollere loggfilene for AD-databasen.



    Hvis dette trinnet mislykkes, kan du utstede følgende kommandoer, og trykke Enter etter hver kommando.

    A.  DEL *.log

    B.  DEL *.chk

    og gå videre til trinn 6.

6. Fra ledeteksten skriver du inn ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o, og trykker på Enter for å utføre en "hard" gjenoppretting
av AD-databasen.

7. I ledeteksten skriver du inn ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o, og trykker på Enter for å sikre databasekonsekvens.



8. Gå tilbake til ledeteksten NTDSUTIL (se trinn 3), og skriv inn sem dat ana (forkortelse for Semantic Database Analysis (Semantisk databaseanalyse)), og trykk på Enter.
    Fra ledeteksten semantic checker (semantisk kontroll): skriv inn go (kjør), og trykk på Enter.



    Hvis det oppdages et problem, skriver du inn go fix og trykker på Enter.

9. Start serveren på nytt i normal-modus etter fullføring av alle trinn.

 

Tilleggsinformasjon:

http://support.microsoft.com/kb/258062