Windows Server: naprawa bazy danych usługi Active Directory po awarii kontrolera domeny

Ten artykuł dotyczy naprawy usługi Active Directory w systemach operacyjnych Windows Server.

Problem:

Podczas uruchamiania kontroler domeny (DC) Active Directory systemu Windows Server 2003 wyświetla komunikat przed monitem o zalogowanie, podobny do poniższego:

Application popup: lsass.exe - System Error : Security Accounts Manager initialization failed because of the following error: Directory Service cannot start. Error Status: 0xc00002e1. Kliknij przycisk OK, aby zamknąć ten system i uruchomić go ponownie w trybie przywracania usług katalogowych, a następnie sprawdź dziennik zdarzeń, aby uzyskać szczegółowe informacje.

Baza danych Active Directory (AD) jest uszkodzona; serwer nie może uwierzytelnić członków domeny AD i nie uruchomi się w trybie normalnym.

 

Rozwiązanie:

W przypadku braku niedawnej kopii zapasowej stanu systemu można użyć następujących czynności w ramach próby odzyskania AD.

1. Uruchom ponownie kontroler domeny w trybie przywracania usług katalogowych (DSRM).

    a. Podczas uruchamiania serwera naciśnij klawisz F8 po zakończeniu inicjalizacji systemu BIOS i usługi sprzętowej (np. PERC, iDRAC). 

    b. Z menu rozruchu wybierz opcję Tryb przywracania usług katalogowych, a następnie naciśnij klawisz Enter.


2. Z menu Start systemu Windows wybierz polecenie Uruchom, a następnie wpisz ciąg cmd, aby otworzyć wiersz polecenia.

    Wpisz ciąg „ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o” i naciśnij klawisz Enter, aby przeprowadzić początkową kontrolę spójności.



    W przypadku niespójności bazy danych zwracany jest komunikat o błędzie, np. „results CORRUPTED, -1206”.

3. Następnie wpisz „NTDSUTIL” i naciśnij klawisz Enter.  Spowoduje to uruchomienie zestawu narzędzi NTDS.

    a. Po wyświetleniu monitu wpisz „Files” i naciśnij klawisz Enter, aby przejść do narzędzia zarządzania plikami NTDS

b. W opcji zarządzania plikami: po monicie wpisz „info” i naciśnij klawisz Enter, aby wyświetlić lokalizacje wszystkich plików związanych z bazą danych AD.



4. W opcji zarządzania plikami: po monicie wpisz polecenie „Recover” i naciśnij klawisz Enter.  Spowoduje to rozpoczęcie „miękkiego” odzyskiwania bazy danych AD.

    Po wyświetleniu dowolnego monitu wpisz „quit”, aż wrócisz do wiersza polecenia (C:\<ścieżka>).

5. W wierszu polecenia wpisz „ESENTUTL /ml c:\windows\ntds\edb”, aby sprawdzić pliki dzienników bazy danych AD.



    Jeśli ten krok zakończy się niepowodzeniem, wydaj następujące polecenia i naciśnij klawisz ENTER po każdym z nich:

    a. „DEL *.log”

b. „DEL *.chk”

i przejdź do kroku 6.

6. W wierszu polecenia wpisz „ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o” i naciśnij klawisz Enter, aby przeprowadzić „twarde” odzyskiwanie
    bazy danych AD.

7. W wierszu polecenia wpisz „ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o” i naciśnij klawisz Enter, aby sprawdzić spójność bazy danych.



8. Wróć do monitu NTDSUTIL (zobacz krok 3) i wpisz „sem dat ana” (skrót od „Semantic Database Analysis”, analizy semantycznej bazy danych) i naciśnij klawisz Enter.
    Przy monicie semantic checker: wpisz „go” i naciśnij klawisz Enter.



    W przypadku wykrycia problemu wpisz „go fix” i naciśnij klawisz Enter.

9. Uruchom ponownie serwer w trybie normalnym po zakończeniu wszystkich czynności.

 

Informacje dodatkowe:

http://support.microsoft.com/kb/258062