Compartilhar via

Error when you start your Windows-based domain controller: Directory Services cannot start

Este artigo explica como se recuperar de um banco de dados corrompido do Active Directory ou de um problema semelhante que impede que o computador seja iniciado no modo normal.

Aplica-se a: Windows Server 2003
Número original do KB: 258062

Resumo

Este artigo conduz você por uma série de etapas que podem ajudá-lo a diagnosticar a causa do erro do sistema dos Serviços de Diretório não pode ser iniciado . Essas etapas podem incluir:

  • Verificando se os arquivos do serviço de diretório do Active Directory existem.
  • Verificando se as permissões do sistema de arquivos estão corretas.
  • Verificando a integridade do banco de dados do Active Directory.
  • Realizando uma análise de banco de dados semântico.
  • Reparando o banco de dados do Active Directory.
  • Removendo e recriando o banco de dados do Active Directory.

Este artigo também informa como usar o Ntdsutil ou o Esentutl para executar um reparo com perdas do banco de dados do Active Directory. Como um reparo com perdas exclui dados e pode introduzir novos problemas, execute um reparo com perdas apenas se for a única opção disponível.

Sintomas

Quando você inicia o controlador de domínio, a tela pode ficar em branco e você pode receber a seguinte mensagem de erro:

LSASS.EXE - Erro do sistema, a inicialização do gerenciador de contas de segurança falhou devido ao seguinte erro: Os serviços de diretório não podem ser iniciados. Status do erro 0xc00002e1.

Clique em OK para desligar este sistema e reiniciar no modo de restauração dos serviços de diretório, verifique o log de eventos para obter informações mais detalhadas.

Além disso, as seguintes mensagens de ID de evento podem aparecer no log de eventos:

ID do evento: 700
Descrição: "NTDS (260) A desfragmentação online está a iniciar uma passagem na base de dados NTDS. DIT."
ID do evento: 701
Descrição: "A desfragmentação online do NTDS (268) concluiu uma passagem completa no banco de dados 'C:\WINNT\NTDS\ntds.dit'."
ID do evento: 101
Descrição: "NTDS (260) o mecanismo de banco de dados parou."
ID do evento: 1004
Descrição: "O diretório foi encerrado com êxito."
ID do evento: 1168
Descrição: "Ocorreu o erro: 1032 (fffffbf8). (ID interno 4042b). Entre em contato com os serviços de suporte ao produto da Microsoft para obter assistência."
ID do Evento: 1103
Descrição: "Não foi possível inicializar o banco de dados de serviços de diretório do Windows e o erro 1032 foi retornado. Erro irrecuperável, o diretório não pode continuar."

Causa

Esse problema ocorre porque uma ou mais das seguintes condições são verdadeiras:

  • As permissões do sistema de arquivos NTFS na raiz da unidade são muito restritivas.
  • As permissões do sistema de arquivos NTFS na pasta NTDS são muito restritivas.
  • A letra da unidade do volume que contém o banco de dados do Active Directory foi alterada.
  • O banco de dados do Active Directory (Ntds.dit) está corrompido.
  • A pasta NTDS é compactada.

Solução

Para resolver esse problema, siga estas etapas:

  1. Reinicie o controlador de domínio.

  2. Quando as informações do BIOS forem exibidas, pressione F8.

  3. Selecione Modo de Restauração dos Serviços de Diretório e pressione ENTER.

  4. Faça logon usando a senha do Modo de Restauração dos Serviços de Diretório.

  5. Clique em Iniciar, selecione Executar, digite cmd na caixa Abrir e clique em OK.

  6. No prompt de comando, digite ntdsutil files info.

    A saída semelhante à seguinte é exibida:

    Informações da unidade:

    C:\ NTFS (Unidade Fixa) livre(533.3 Mb) total(4.1 Gb)

    Informações do caminho DS:

    Banco de dados : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Diretório de backup : C:\WINDOWS\NTDS\dsadata.bak Diretório de trabalho: C:\WINDOWS\NTDS Diretório de log : C:\WINDOWS\NTDS - 42.1 Mb temp.edb total - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    Observação

    Os locais de arquivo incluídos nessa saída também são encontrados na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    As seguintes entradas nesta chave contêm os locais dos arquivos:

    • Caminho de backup do banco de dados
    • Caminho dos arquivos de log do banco de dados
    • Diretório de Trabalho DSA

  7. Verifique se os arquivos listados na saída na etapa 6 existem.

  8. Verifique se as pastas na saída Ntdsutil têm as permissões corretas. As permissões corretas são especificadas nas tabelas a seguir.

    Windows Server 2003

    Conta Permissões Herança
    Sistema Controle total Esta pasta, as subpastas e os arquivos
    Administradores Controle total Esta pasta, as subpastas e os arquivos
    Creator Owner (Proprietário criador) Controle total Somente subpastas e arquivos
    Serviço Local Criar pastas / Anexar dados Esta pasta e subpastas

    Windows 2000

    Conta Permissões Herança
    Administradores Controle total Esta pasta, as subpastas e os arquivos
    Sistema Controle total Esta pasta, as subpastas e os arquivos

    Observação

    Além disso, a conta do sistema requer permissões de Controle Total nas seguintes pastas:

    • A raiz da unidade que contém a pasta Ntds
    • A pasta %WINDIR%

    No Windows Server 2003, o local padrão da pasta %WINDIR% é C:\WINDOWS. No Windows 2000, o local padrão da pasta %WINDIR% é C:\WINNT.

  9. Verifique a integridade do banco de dados do Active Directory. Para fazer isso, digite ntdsutil files integrity no prompt de comando.

    Se a verificação de integridade indicar que não há erros, reinicie o controlador de domínio no modo normal. Se a verificação de integridade não for concluída sem erros, continue com as etapas a seguir.

  10. Execute uma análise semântica do banco de dados. Para fazer isso, digite o seguinte comando no prompt de comando, incluindo as aspas:

    ntdsutil "sem d a" go

  11. Se a análise do banco de dados semântico não indicar erros, continue com as etapas a seguir. Se a análise relatar erros, digite o seguinte comando no prompt de comando, incluindo as aspas:

    ntdsutil "sem d a" "go f"

  12. Siga as etapas no seguinte artigo da Base de Dados de Conhecimento Microsoft para executar uma desfragmentação offline do banco de dados do Active Directory:

    232122 Executando a desfragmentação offline do banco de dados do Active Directory

  13. Se o problema persistir após a desfragmentação offline e houver outros controladores de domínio funcionais no mesmo domínio, remova o Active Directory do servidor e reinstale o Active Directory. Para fazer isso, siga as etapas na seção "Solução alternativa" no seguinte artigo da Base de Dados de Conhecimento Microsoft:

    332199 Os controladores de domínio não são rebaixados normalmente quando você usa o Assistente de Instalação do Active Directory para forçar o rebaixamento no Windows Server 2003 e no Windows 2000 Server

    Observação

    Se o controlador de domínio estiver executando o Microsoft Small Business Server, você não poderá executar esta etapa, pois o Small Business Server não pode ser adicionado a um domínio existente como um controlador de domínio adicional (réplica). Se você tiver um backup de estado do sistema mais recente do que o tempo de vida da marca de exclusão, restaure esse backup de estado do sistema em vez de remover o Active Directory do servidor. Por padrão, o tempo de vida da marca de exclusão é de 60 dias.

  14. Se nenhum backup de estado do sistema estiver disponível e não houver outros controladores de domínio íntegros no domínio, recomendamos que você recompile o domínio removendo o Active Directory e reinstalando o Active Directory no servidor, criando um novo domínio. Você pode usar o nome de domínio antigo novamente ou usar um novo nome de domínio. Você também pode recriar o domínio reformatando e reinstalando o Windows no servidor. No entanto, a remoção do Active Directory é mais rápida e remove efetivamente o banco de dados corrompido do Active Directory.

    Se nenhum backup de estado do sistema estiver disponível, não haverá outros controladores de domínio íntegros no domínio e você deverá ter o controlador de domínio funcionando imediatamente, execute um reparo com perdas usando Ntdsutil ou Esentutl.

    Observação

    A Microsoft não dá suporte a controladores de domínio depois que Ntdsutil ou Esentutl é usado para se recuperar da corrupção do banco de dados do Active Directory. Se você executar esse tipo de reparo, deverá recompilar o controlador de domínio para que o Active Directory esteja em uma configuração com suporte. O comando repair no Ntdsutil usa o utilitário Esentutl para executar um reparo com perdas do banco de dados. Esse tipo de reparo corrige a corrupção excluindo dados do banco de dados. Use esse tipo de reparo apenas como último recurso.

    Embora o controlador de domínio possa ser iniciado e parecer funcionar corretamente após o reparo, seu estado não tem suporte porque os dados excluídos do banco de dados podem causar vários problemas que podem não aparecer até mais tarde. Não há como determinar quais dados foram excluídos quando o banco de dados foi reparado. Assim que possível após o reparo, você deve recompilar o domínio para retornar o Active Directory a uma configuração com suporte. Se você usar apenas os métodos de desfragmentação offline ou análise de banco de dados semântico mencionados neste artigo, não precisará recompilar o controlador de domínio posteriormente.

  15. Antes de executar um reparo com perdas, entre em contato com o Atendimento Microsoft para confirmar se você revisou todas as opções de recuperação possíveis e para verificar se o banco de dados realmente está em um estado irrecuperável. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft:

    Entre em contato com o Suporte da Microsoft

    Em um controlador de domínio baseado no Windows 2000 Server, use Ntdsutil para recuperar o banco de dados do Active Directory. Para fazer isso, digite ntdsutil files repair em um prompt de comando no Modo de Restauração do Serviço de Diretório.

    Para executar um reparo com perdas de um controlador de domínio baseado no Windows Server 2003, use a ferramenta Esentutl.exe para recuperar o banco de dados do Active Directory. Para fazer isso, digite esentutl /p em um prompt de comando no controlador de domínio baseado no Windows Server 2003.

  16. Após a conclusão da operação de reparo, renomeie os arquivos .log na pasta NTDS usando uma extensão diferente, como .bak, e tente iniciar o controlador de domínio no modo normal.

  17. Se você puder iniciar o controlador de domínio no modo normal após o reparo, migre os objetos relevantes do Active Directory para uma nova floresta o mais rápido possível. Como esse método de reparo com perdas corrige a corrupção excluindo dados, ele pode causar problemas posteriores que são extremamente difíceis de solucionar. Na primeira oportunidade após o reparo, você deve recompilar o domínio para trazer o Active Directory de volta a uma configuração com suporte.

    Você pode migrar usuários, computadores e grupos usando a Ferramenta de Migração do Active Directory (ADMT), Ldifde ou uma ferramenta de migração que não seja da Microsoft. O ADMT pode migrar contas de usuário, contas de computador e grupos de segurança com ou sem o histórico do SID (identificador de segurança). O ADMT também migra perfis de usuário. Para usar o ADMT em um ambiente do Small Business Server, consulte o white paper "Migrando do Small Business Server 2000 ou do Windows 2000 Server". Para obter este white paper, visite o seguinte site da Microsoft:

    Migrando do Small Business Server 2000 ou do Windows 2000 Server para o Windows Small Business Server 2003

    Você pode usar o Ldifde para exportar e importar muitos tipos de objetos do domínio danificado para o novo domínio. Esses objetos incluem contas de usuário, contas de computador, grupos de segurança, unidades organizacionais, sites do Active Directory, sub-redes e links de sites. O Ldifde não pode migrar o histórico do SID. O Ldifde faz parte do Windows 2000 Server e do Windows Server 2003.

    Para obter mais informações sobre como usar o Ldifde, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

    237677 Usando o Ldifde para importar e exportar objetos de diretório para o Active Directory

    Você pode usar o GPMC (Console de Gerenciamento de Diretiva de Grupo) para exportar o sistema de arquivos e a parte do Active Directory do objeto de diretiva de grupo do domínio danificado para o novo domínio.

    Para obter o GPMC, visite o seguinte site da Microsoft:

    Serviços de computação em nuvem

    Para obter informações sobre como migrar objetos de diretiva de grupo usando o GPMC, consulte o white paper "Migrar GPOs entre domínios com o GPMC". Para obter este white paper, visite o seguinte site da Microsoft:

    Migrando GPOs entre domínios

  18. Após a recuperação, avalie seu plano de backup atual para garantir que você tenha agendado backups de estado do sistema com frequência suficiente. Agende backups de estado do sistema pelo menos todos os dias ou após cada alteração significativa. Os backups de estado do sistema devem conter o nível necessário de tolerância a falhas. Por exemplo, não armazene backups na mesma unidade que o computador do qual você está fazendo backup. Sempre que possível, use mais de um controlador de domínio para evitar um único ponto de falha. Armazene backups em um local externo para que o desastre do local (incêndio, roubo, inundação, roubo de computador) não afete sua capacidade de recuperação. Os seguintes sites da Microsoft podem ajudá-lo a desenvolver um plano de backup.