Windows Server: naprawa bazy danych usługi Active Directory po awarii kontrolera domeny
Summary: Jak naprawić usługę Active Directory w systemach operacyjnych Windows Server po awarii kontrolera domeny?
Symptoms
Ten artykuł dotyczy naprawy usługi Active Directory w systemach operacyjnych Windows Server.
Problem:
Podczas uruchamiania kontroler domeny (DC) Active Directory systemu Windows Server 2003 wyświetla komunikat przed monitem o zalogowanie, podobny do poniższego:
Application popup: lsass.exe - System Error : Security Accounts Manager initialization failed because of the following error: Directory Service cannot start. Error Status: 0xc00002e1. Kliknij przycisk OK, aby zamknąć ten system i uruchomić go ponownie w trybie przywracania usług katalogowych, a następnie sprawdź dziennik zdarzeń, aby uzyskać szczegółowe informacje.
Baza danych Active Directory (AD) jest uszkodzona; serwer nie może uwierzytelnić członków domeny AD i nie uruchomi się w trybie normalnym.
Rozwiązanie:
W przypadku braku niedawnej kopii zapasowej stanu systemu można użyć następujących czynności w ramach próby odzyskania AD.
1. Uruchom ponownie kontroler domeny w trybie przywracania usług katalogowych (DSRM).
a. Podczas uruchamiania serwera naciśnij klawisz F8 po zakończeniu inicjalizacji systemu BIOS i usługi sprzętowej (np. PERC, iDRAC).
b. Z menu rozruchu wybierz opcję Tryb przywracania usług katalogowych, a następnie naciśnij klawisz Enter.
2. Z menu Start systemu Windows wybierz polecenie Uruchom, a następnie wpisz ciąg cmd, aby otworzyć wiersz polecenia.
Wpisz ciąg „ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o” i naciśnij klawisz Enter, aby przeprowadzić początkową kontrolę spójności.
W przypadku niespójności bazy danych zwracany jest komunikat o błędzie, np. „results CORRUPTED, -1206”.
3. Następnie wpisz „NTDSUTIL” i naciśnij klawisz Enter. Spowoduje to uruchomienie zestawu narzędzi NTDS.
a. Po wyświetleniu monitu wpisz „Files” i naciśnij klawisz Enter, aby przejść do narzędzia zarządzania plikami NTDS
b. W opcji zarządzania plikami: po monicie wpisz „info” i naciśnij klawisz Enter, aby wyświetlić lokalizacje wszystkich plików związanych z bazą danych AD.
4. W opcji zarządzania plikami: po monicie wpisz polecenie „Recover” i naciśnij klawisz Enter. Spowoduje to rozpoczęcie „miękkiego” odzyskiwania bazy danych AD.
Po wyświetleniu dowolnego monitu wpisz „quit”, aż wrócisz do wiersza polecenia (C:\<ścieżka>).
5. W wierszu polecenia wpisz „ESENTUTL /ml c:\windows\ntds\edb”, aby sprawdzić pliki dzienników bazy danych AD.
Jeśli ten krok zakończy się niepowodzeniem, wydaj następujące polecenia i naciśnij klawisz ENTER po każdym z nich:
a. „DEL *.log”
b. „DEL *.chk”
i przejdź do kroku 6.
6. W wierszu polecenia wpisz „ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o” i naciśnij klawisz Enter, aby przeprowadzić „twarde” odzyskiwanie
bazy danych AD.
7. W wierszu polecenia wpisz „ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o” i naciśnij klawisz Enter, aby sprawdzić spójność bazy danych.
8. Wróć do monitu NTDSUTIL (zobacz krok 3) i wpisz „sem dat ana” (skrót od „Semantic Database Analysis”, analizy semantycznej bazy danych) i naciśnij klawisz Enter.
Przy monicie semantic checker: wpisz „go” i naciśnij klawisz Enter.
W przypadku wykrycia problemu wpisz „go fix” i naciśnij klawisz Enter.
9. Uruchom ponownie serwer w trybie normalnym po zakończeniu wszystkich czynności.
Informacje dodatkowe:
http://support.microsoft.com/kb/258062