Windows Server: Active Directory-domänkontrollanten startar för att stoppa kod 0xC00002CB

Domänkontrollanter i en skog kan inte starta i normalt läge men startar i DSRM (Directory Services Restore Mode). Försök att starta en domänkontrollant i normalt läge resulterar i fel 0xC00002CB. Den här felkoden är inte väl dokumenterad offentligt.

Det här problemet påverkar troligen alla domänkontrollanter i skogen, men blir bara uppenbart när en påverkad domänkontrollant startas om. Domänkontrollanter som fortfarande är i drift bör inte startas om förrän problemet har lösts.

Lösningen i den här artikeln kräver minst en domänkontrollant som körs i normalt läge. Om ingen domänkontrollant i skogen kan starta i normalt läge är en auktoritativ återställning av anspråkskonfigurationsobjektet (se nedan) troligen det enda alternativet. Stegen för att utföra den här auktoritativa återställningen beskrivs inte i den här artikeln.
 

Det här problemet kan orsakas om följande objekt saknas i Active Directory:

CN=Claims Configuration,CN=Services,CN=Configuration,DC=domain,DC=suffix

Bekräfta problemet genom att utföra följande steg:

1. På en driftsdomänkontrollant startar du ADSI-redigering (adsiedit.msc).
2. På åtgärdsmenyn väljer du Anslut till...
3. I listrutan under Välj en välkänd namngivningskontext väljer du Konfiguration och klickar på OK.
4. I den vänstra rutan expanderar du Konfiguration.
5. Expandera CN=Configuration, DC=domain, DC=suffix.
6. Expandera CN=Services och leta efter ett objekt med namnet CN=Claims Configuration.
7. Om anspråkskonfigurationsobjektet saknas fortsätter du med stegen i avsnittet Lösning nedan. Annars, fortsätt inte; Den här artikeln gäller inte ditt problem.

Lös problemet genom att utföra följande steg:
 

1. Fortfarande på samma plats i ADSI-redigering tittar du några rader ovanför CN=Services i den vänstra rutan och letar upp CN=ForestUpdates. Välj det här behållarobjektet.
2. Högerklicka i mittenfönstret CN=ActiveDirectoryUpdate och välj Egenskaper.
3. Leta reda på revisionsattributet i egenskapsfönstret. Värdet för det här attributet beror på AD-skogens funktionsnivå:
   • Windows Server 2008: 2
   • Windows Server 2008 R2: 5
   • Windows Server 2012: 11
   • Windows Server 2012 R2: 15
   • Windows Server 2016: 16
4. Markera revisionsattributet och klicka på Redigera. Ändra värdet till den tidigare versionen. (Om värdet till exempel är 15 anger du det till 11.) Klicka på OK för att bekräfta ändringen.
5. I den vänstra rutan expanderar du CN=ForestUpdates och välj CN=Operations behållarobjektet under den.
6. Mittenfönstret bör visa containerobjekt med GUID:er för deras namn. Markera dessa objekt och ta bort dem. Containern CN=Operations ska vara tom efter detta.
7. Stäng ADSI-redigering.
8. Leta reda på operativsystemsinstallationsmedia som motsvarar den aktuella funktionsnivån för AD-skogen. (Om skogens funktionalitetsnivå till exempel är Windows Server 2012 R2 använder du installationsmediet för Windows Server 2012 R2. Om funktionsnivån är Windows Server 2016 kan antingen installationsmedia för Windows Server 2016 eller 2019 användas.) Sätt i DVD-skivan eller montera ISO-avbildningen.
9. Från en upphöjd kommandotolk går du till X:\support\adprep. (Ersätt X med enhetsbeteckningen för DVD-enheten eller den monterade ISO-avbildningen i föregående steg.)
10. Kör adprep /forestprep och se till att den avslutas utan fel. Detta återskapar det saknade anspråkskonfigurationsobjektet, dess underordnade objekt och behållarobjekten som togs bort i steg 6.
11. Demontera ISO-avbildningen, om den användes i föregående steg.

Problemet bör nu vara löst på den lokala domänkontrollanten. Ändringarna replikeras till alla domänkontrollanter som fortfarande körs i normalt läge. Det normala AD-replikeringsschemat gäller för dessa ändringar, men replikering kan framtvingas med hjälp av variationer av repadmin /syncall befallning.