Windows Server: Reparation av Active Directory-databas efter domänkontrollantfel

I den här artikeln behandlas Active Directory-reparationer på Windows Server-operativsystem.

Problem:

Vid start visar en Windows Server 2003 Active Directory-domänkontrollant (DC) ett meddelande före inloggningsuppmaningen, som liknar följande:

Program-popup: lsass.exe – Systemfel: Initieringen av Security Accounts Manager misslyckades på grund av följande fel: Katalogtjänsten kan inte startas. Error Status: 0xc00002e1. Please click OK to shutdown this system and reboot into Directory Services Restore Mode, check the event log for more detailed information. (Program-popup: Isass.exe - Systemfel: Initiering av hanteraren för kontosäkerhet misslyckades på grund av följande fel: Katalogtjänsten kan inte starta. Felstatus: 0xc00002e1. Klicka på OK för att stänga systemet och starta om i återställningsläge för katalogtjänst, se händelseloggen för mer information.)

Active Directory-databasen (AD) är skadad. Servern kan inte autentisera AD-domänmedlemmar och startar inte i normalt läge.

 

Lösning:

I avsaknad av en nyligen genomförd säkerhetskopiering av systemtillståndet kan följande steg användas som ett försök till AD-återställning.

1. Starta om DC i återställningsläge för katalogtjänst (DSRM).

    a. När servern startas trycker du på F8 efter att initieringarna av system-BIOS och maskinvara (t.ex. PERC, iDRAC) har slutförts. 

    B.  På startmenyn väljer du Directory Services Restore Mode (återställningsläge för katalogtjänster) och trycker på Enter.


2. Från Windows Start-knapp väljer du Run och skriver cmd för att öppna en kommandotolk.

    Skriv "ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o" och tryck på Retur för att utföra den första integritetskontrollen.



    I fall av databasinkonsekvenser visas ett felmeddelande, t.ex.  "results CORRUPTED, -1206" returneras.

3. Skriv sedan NTDSUTIL och tryck på Enter.  Då startas NTDS-verktygsuppsättningen.

    A.  I kommandotolken skriver du "Files" och trycker på Retur för att komma till NTDS-filhanteringsverktyget

b.  Vid underhåll av den andra enheten skriver du "info" och trycker på Retur för att visa alla AD-databasrelaterade filer.



4. Vid file maintenance: skriver du Recover och trycker på Enter.  Detta kommer att initiera en ”mjuk” återställning av AD-databasen.

    Ange "quit" vid varje prompt tills du returneras till kommandotolken

(C:\<path>). 5. Skriv "ESENTUTL /ml c:\windows\ntds\edb" i kommandotolken för att kontrollera AD-databasloggfilerna.



    Om det här steget misslyckas, kan du skicka följande kommandon och trycka på Enter efter varje:

    A.  "DEL *.log"

    B.  "DEL *.chk"

    och gå vidare till steg 6.

6. Från kommandotolken skriver du "ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o" och trycker på Enter för att utföra en "hård" återställning
av AD-databasen.

7. Från kommandotolken skriver du "ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o" och trycker på Retur för att säkerställa databasens konsekvens.



8. Återgå till NTDSUTIL-prompten (se steg 3) och skriv sem dat ana (trunkerad från Semantic Database Analysis) och tryck på Enter.
    Från prompten semantic checker: skriver du go och trycker på Enter.



    Om ett problem upptäcks skriver du "go fix" och trycker på Retur.

9. Starta om servern i normalt läge när alla steg har slutförts.

 

Ytterligare information:

http://support.microsoft.com/kb/258062