Freigeben über

Fehler beim Starten des Windows-basierten Domänencontrollers: Verzeichnisdienste können nicht gestartet werden.

In diesem Artikel wird erläutert, wie Sie aus einer beschädigten Active Directory-Datenbank oder einem ähnlichen Problem wiederherstellen, das verhindert, dass Ihr Computer im normalen Modus gestartet wird.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 258062

Zusammenfassung

Dieser Artikel führt Sie durch eine Reihe von Schritten, die Ihnen helfen können, die Ursache der Verzeichnisdienste zu diagnostizieren, der Systemfehler nicht starten kann. Die folgenden Schritte können Folgendes umfassen:

  • Überprüfen, ob die Active Directory-Verzeichnisdienstdateien vorhanden sind.
  • Überprüfen, ob die Dateisystemberechtigungen korrekt sind.
  • Überprüfen der Integrität der Active Directory-Datenbank.
  • Durchführen einer semantischen Datenbankanalyse.
  • Reparieren der Active Directory-Datenbank.
  • Entfernen und Erneutes Erstellen der Active Directory-Datenbank.

In diesem Artikel erfahren Sie auch, wie Sie ntdsutil oder Esentutl verwenden, um eine verlustbehaftete Reparatur der Active Directory-Datenbank durchzuführen. Da eine Verlustreparatur Daten löscht und möglicherweise neue Probleme verursachen kann, führen Sie nur eine verlustbehaftete Reparatur durch, wenn sie die einzige verfügbare Option ist.

Problembeschreibung

Wenn Sie den Domänencontroller starten, wird der Bildschirm möglicherweise leer angezeigt, und Möglicherweise wird die folgende Fehlermeldung angezeigt:

LSASS.EXE – Systemfehler, Fehler bei der Initialisierung des Sicherheitskonten-Managers aufgrund des folgenden Fehlers: Verzeichnisdienste können nicht gestartet werden. Fehlerstatus 0xc00002e1.

Klicken Sie auf 'OK', um dieses System herunterzufahren und den Wiederherstellungsmodus für Verzeichnisdienste neu zu starten. Weitere Informationen finden Sie im Ereignisprotokoll.

Darüber hinaus können die folgenden Ereignis-ID-Meldungen im Ereignisprotokoll angezeigt werden:

Ereignis-ID: 700
Beschreibung: "NTDS (260) Online-Defragmentierung beginnt mit einem Pass on Database NTDS. DIT."
Ereignis-ID: 701
Beschreibung: "NTDS (268) Onlinefragmentierung hat eine vollständige Übergabe der Datenbank 'C:\WINNT\NTDS\ntds.dit' abgeschlossen."
Ereignis-ID: 101
Beschreibung: "NTDS (260) das Datenbankmodul wurde beendet."
Ereignis-ID: 1004
Beschreibung: "Das Verzeichnis wurde erfolgreich heruntergefahren."
Ereignis-ID: 1168
Beschreibung: "Fehler: 1032 (fffffbf8) ist aufgetreten. (interne ID 4042b). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten."
Ereignis-ID: 1103
Beschreibung: "Die Windows Directory Services-Datenbank konnte nicht initialisiert und der Fehler 1032 zurückgegeben werden. Nicht behebbarer Fehler, das Verzeichnis kann nicht fortgesetzt werden."

Ursache

Dieses Problem tritt auf, da mindestens eine der folgenden Bedingungen zutrifft:

  • Die NTFS-Dateisystemberechtigungen auf dem Stammverzeichnis des Laufwerks sind zu restriktiv.
  • Die NTFS-Dateisystemberechtigungen für den NTDS-Ordner sind zu restriktiv.
  • Der Laufwerkbuchstaben des Volumes, das die Active Directory-Datenbank enthält, wurde geändert.
  • Die Active Directory-Datenbank (Ntds.dit) ist beschädigt.
  • Der NTDS-Ordner wird komprimiert.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:

  1. Starten Sie den Domänencontroller neu.

  2. Wenn die BIOS-Informationen angezeigt werden, drücken Sie F8.

  3. Wählen Sie den Wiederherstellungsmodus für Verzeichnisdienste aus, und drücken Sie dann die EINGABETASTE.

  4. Melden Sie sich mit dem Kennwort für den Wiederherstellungsmodus für Verzeichnisdienste an.

  5. Klicken Sie auf "Start", wählen Sie "Ausführen" aus, geben Sie "cmd" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".

  6. Geben Sie an der Eingabeaufforderung "ntdsutil files info" ein.

    Die Ausgabe, die dem folgenden ähnelt, wird angezeigt:

    Laufwerksinformationen:

    C:\ NTFS (Fixed Drive) free(533,3 Mb) gesamt(4,1 Gb)

    DS-Pfadinformationen:

    Datenbank: C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir: C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir: C:\WINDOWS\NTDS - 42.< 1 Mb gesamt temp.edb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Notiz

    Die Dateispeicherorte, die in dieser Ausgabe enthalten sind, befinden sich auch im folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Die folgenden Einträge in diesem Schlüssel enthalten die Dateispeicherorte:

    • Datenbanksicherungspfad
    • Pfad der Datenbankprotokolldateien
    • DSA-Arbeitsverzeichnis

  7. Stellen Sie sicher, dass die Dateien, die in der Ausgabe in Schritt 6 aufgeführt sind, vorhanden sind.

  8. Stellen Sie sicher, dass die Ordner in der Ntdsutil-Ausgabe über die richtigen Berechtigungen verfügen. Die richtigen Berechtigungen werden in den folgenden Tabellen angegeben.

    Windows Server 2003

    Konto Berechtigungen Vererbung
    System Vollzugriff Dieser Ordner, die Unterordner und Dateien
    Administratoren Vollzugriff Dieser Ordner, die Unterordner und Dateien
    Creator Owner (Ersteller-Besitzer) Vollzugriff Nur Unterordner und Dateien
    Lokaler Dienst Erstellen von Ordnern/Anfügen von Daten Dieser Ordner und Unterordner

    Windows 2000

    Konto Berechtigungen Vererbung
    Administratoren Vollzugriff Dieser Ordner, die Unterordner und Dateien
    System Vollzugriff Dieser Ordner, die Unterordner und Dateien

    Notiz

    Darüber hinaus erfordert das Systemkonto Vollzugriffsberechtigungen für die folgenden Ordner:

    • Der Stamm des Laufwerks, das den Ordner "Ntds" enthält
    • Der Ordner %WINDIR%

    In Windows Server 2003 lautet der Standardspeicherort des Ordners %WINDIR% C:\WINDOWS. In Windows 2000 lautet der Standardspeicherort des Ordners %WINDIR% C:\WINNT.

  9. Überprüfen Sie die Integrität der Active Directory-Datenbank. Geben Sie dazu an der Eingabeaufforderung die Integrität von ntdsutil-Dateien ein.

    Wenn die Integritätsprüfung keine Fehler anzeigt, starten Sie den Domänencontroller im normalen Modus neu. Wenn die Integritätsprüfung nicht ohne Fehler abgeschlossen wird, fahren Sie mit den folgenden Schritten fort.

  10. Führen Sie eine Semantikdatenbankanalyse aus. Geben Sie dazu den folgenden Befehl an der Eingabeaufforderung ein, einschließlich der Anführungszeichen:

    ntdsutil "sem d a" go

  11. Wenn die Semantikdatenbankanalyse keine Fehler anzeigt, fahren Sie mit den folgenden Schritten fort. Wenn die Analyse Fehler meldet, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, einschließlich der Anführungszeichen:

    ntdsutil "sem d a" "go f"

  12. Führen Sie die Schritte im folgenden Microsoft Knowledge Base-Artikel aus, um eine Offlinedefragmentierung der Active Directory-Datenbank auszuführen:

    232122 Durchführen einer Offlinedefragmentierung der Active Directory-Datenbank

  13. Wenn das Problem nach der Offline-Defragmentierung weiterhin vorhanden ist und andere funktionale Domänencontroller in derselben Domäne vorhanden sind, entfernen Sie Active Directory vom Server, und installieren Sie Active Directory dann erneut. Führen Sie dazu die Schritte im Abschnitt "Problemumgehung" im folgenden Microsoft Knowledge Base-Artikel aus:

    332199 Domänencontroller werden nicht ordnungsgemäß herabstufen, wenn Sie den Active Directory-Installations-Assistenten verwenden, um die Herabstufung in Windows Server 2003 und windows 2000 Server zu erzwingen.

    Notiz

    Wenn Ihr Domänencontroller Microsoft Small Business Server ausführt, können Sie diesen Schritt nicht ausführen, da Small Business Server einer vorhandenen Domäne nicht als zusätzlicher Domänencontroller (Replikat) hinzugefügt werden kann. Wenn Sie eine Systemstatussicherung haben, die neuer als die Tombstone-Lebensdauer ist, stellen Sie diese Systemstatussicherung wieder her, anstatt Active Directory vom Server zu entfernen. Standardmäßig beträgt die Grabsteinlebensdauer 60 Tage.

  14. Wenn keine Systemstatussicherung verfügbar ist und keine anderen fehlerfreien Domänencontroller in der Domäne vorhanden sind, empfiehlt es sich, die Domäne neu zu erstellen, indem Sie Active Directory entfernen und dann Active Directory auf dem Server erneut installieren und eine neue Domäne erstellen. Sie können den alten Domänennamen erneut verwenden oder einen neuen Domänennamen verwenden. Sie können die Domäne auch neu erstellen, indem Sie Windows auf dem Server neu formatieren und erneut installieren. Das Entfernen von Active Directory ist jedoch schneller und entfernt effektiv die beschädigte Active Directory-Datenbank.

    Wenn keine Systemstatussicherung verfügbar ist, gibt es keine anderen fehlerfreien Domänencontroller in der Domäne, und Sie müssen den Domänencontroller sofort funktionieren lassen, indem Sie ntdsutil oder Esentutl verwenden.

    Notiz

    Microsoft unterstützt Domänencontroller nicht, nachdem Ntdsutil oder Esentutl zum Wiederherstellen von Active Directory-Datenbankbeschädigungen verwendet wurde. Wenn Sie diese Art von Reparatur durchführen, müssen Sie den Domänencontroller für Active Directory neu erstellen, um in einer unterstützten Konfiguration zu sein. Der Reparaturbefehl in Ntdsutil verwendet das Hilfsprogramm Esentutl, um eine verlustbehaftete Reparatur der Datenbank durchzuführen. Diese Art von Reparatur behebt Beschädigungen, indem Daten aus der Datenbank gelöscht werden. Verwenden Sie diese Art von Reparatur nur als letztes Mittel.

    Obwohl der Domänencontroller nach der Reparatur möglicherweise ordnungsgemäß gestartet wird und möglicherweise ordnungsgemäß funktioniert, wird der Zustand nicht unterstützt, da die aus der Datenbank gelöschten Daten eine beliebige Anzahl von Problemen verursachen können, die erst später angezeigt werden können. Es gibt keine Möglichkeit, zu bestimmen, welche Daten beim Reparieren der Datenbank gelöscht wurden. So schnell wie möglich nach der Reparatur müssen Sie die Domäne neu erstellen, um Active Directory an eine unterstützte Konfiguration zurückzugeben. Wenn Sie nur die Offlinedefragmentierungs- oder semantischen Datenbankanalysemethoden verwenden, auf die in diesem Artikel verwiesen wird, müssen Sie den Domänencontroller danach nicht neu erstellen.

  15. Bevor Sie eine verlustbehaftete Reparatur durchführen, wenden Sie sich an den Microsoft-Produktsupport, um zu bestätigen, dass Sie alle möglichen Wiederherstellungsoptionen überprüft haben, und um sicherzustellen, dass sich die Datenbank wirklich in einem nicht wiederherstellbaren Zustand befindet. Eine vollständige Liste der Telefonnummern und Informationen zu Supportkosten für Microsoft-Produkte finden Sie auf der folgenden Microsoft-Website:

    Kontakt Microsoft-Support

    Verwenden Sie auf einem Windows 2000 Server-basierten Domänencontroller Ntdsutil, um die Active Directory-Datenbank wiederherzustellen. Geben Sie dazu ntdsutil-Dateien an einer Eingabeaufforderung im Verzeichnisdienstwiederherstellungsmodus ein .

    Um eine verlustbehaftete Reparatur eines Windows Server 2003-basierten Domänencontrollers durchzuführen, verwenden Sie das Esentutl.exe Tool, um die Active Directory-Datenbank wiederherzustellen. Geben Sie dazu esentutl /p an einer Eingabeaufforderung auf dem Windows Server 2003-basierten Domänencontroller ein.

  16. Benennen Sie nach Abschluss des Reparaturvorgangs die .log Dateien im NTDS-Ordner mithilfe einer anderen Erweiterung wie .bak um, und versuchen Sie, den Domänencontroller im normalen Modus zu starten.

  17. Wenn Sie den Domänencontroller nach der Reparatur im normalen Modus starten können, migrieren Sie relevante Active Directory-Objekte so schnell wie möglich zu einer neuen Gesamtstruktur. Da diese verlustbehaftete Reparaturmethode Beschädigungen durch Löschen von Daten behebt, kann es zu späteren Problemen führen, die äußerst schwierig zu behandeln sind. Nach der Reparatur müssen Sie die Domäne zum ersten Mal neu erstellen, um Active Directory wieder in eine unterstützte Konfiguration zu bringen.

    Sie können Benutzer, Computer und Gruppen migrieren, indem Sie das Active Directory-Migrationstool (ADMT), Ldifde oder ein Nicht-Microsoft-Migrationstool verwenden. ADMT kann Benutzerkonten, Computerkonten und Sicherheitsgruppen mit oder ohne den SID-Verlauf (Security Identifier) migrieren. ADMT migriert auch Benutzerprofile. Wenn Sie ADMT in einer Small Business Server-Umgebung verwenden möchten, lesen Sie das Whitepaper "Migrieren von Small Business Server 2000 oder Windows 2000 Server". Um dieses Whitepaper zu erhalten, besuchen Sie die folgende Microsoft-Website:

    Migrieren von Small Business Server 2000 oder Windows 2000 Server zu Windows Small Business Server 2003

    Sie können Ldifde verwenden, um viele Objekttypen aus der beschädigten Domäne in die neue Domäne zu exportieren und zu importieren. Zu diesen Objekten gehören Benutzerkonten, Computerkonten, Sicherheitsgruppen, Organisationseinheiten, Active Directory-Standorte, Subnetze und Standortlinks. Ldifde kann den SID-Verlauf nicht migrieren. Ldifde ist Teil von Windows 2000 Server und Windows Server 2003.

    Wenn Sie weitere Informationen zur Verwendung von Ldifde benötigen, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

    237677 Verwenden von Ldifde zum Importieren und Exportieren von Verzeichnisobjekten in Active Directory

    Sie können die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) verwenden, um das Dateisystem und den Active Directory-Teil des Gruppenrichtlinienobjekts aus der beschädigten Domäne in die neue Domäne zu exportieren.

    Um die Gruppenrichtlinien-Verwaltungskonsole zu erhalten, besuchen Sie die folgende Microsoft-Website:

    Cloud Computing Services

    Informationen zum Migrieren von Gruppenrichtlinienobjekten mithilfe der Gruppenrichtlinien-Verwaltungskonsole erfahren Sie im Whitepaper "Migrieren von GRUPPENrichtlinienobjekten über Domänen mit GPMC hinweg". Um dieses Whitepaper zu erhalten, besuchen Sie die folgende Microsoft-Website:

    Migrieren von GPOs über Domänen hinweg

  18. Bewerten Sie nach der Wiederherstellung Ihren aktuellen Sicherungsplan, um sicherzustellen, dass Sie häufig genügend Systemstatussicherungen geplant haben. Planen Sie Systemstatussicherungen mindestens jeden Tag oder nach jeder signifikanten Änderung. Systemstatussicherungen müssen die erforderliche Fehlertoleranz aufweisen. Speichern Sie beispielsweise keine Sicherungen auf demselben Laufwerk wie der Computer, den Sie sichern. Verwenden Sie nach Möglichkeit mehrere Domänencontroller, um einen einzelnen Fehlerpunkt zu vermeiden. Speichern Sie Sicherungen an einem Standort außerhalb des Standorts, sodass das Notfall des Standorts (Feuer, Diebstahl, Flut, Computerdiebstahl) Ihre Fähigkeit zum Wiederherstellen nicht beeinträchtigt. Die folgenden Microsoft-Websites können Ihnen beim Entwickeln eines Sicherungsplans helfen.