Windows Server: Oprava databáze Active Directory po selhání řadiče domény

Tento článek se věnuje opravě systému Active Directory na operačních systémech Windows Server.

Problém:

Po spuštění řadič domény (DC) se systémem Windows Server 2003 ve službě Active Directory zobrazuje zprávu před výzvou k přihlášení podobnou této:

Místní nabídka aplikace: lsass.exe - Systémová chyba : Inicializace správce účtů zabezpečení se nezdařila, protože došlo k následující chybě: Adresářovou službu nelze spustit. Chybový stav: 0xc00002e1. Klepnutím na tlačítko OK ukončíte systém a restartujete do režimu Obnovení adresářových služeb. Poté si můžete prohlédnout podrobnosti v protokolu událostí.

Databáze služby Active Directory (AD) je poškozená; server nedokáže ověřit členy domény AD a nespustí se do normálního režimu.

 

Řešení:

Pokud není k dispozici aktuální záloha stavu systému, je možné se pokusit o obnovení služby AD podle následujícího postupu.

1. Restartujte řadič domény v režimu obnovení adresářových služeb (DSRM).

    a. Po spuštění serveru stiskněte klávesu F8, až se dokončí inicializace systému BIOS a hardwarových služeb (např. PERC, iDRAC). 

    b. V nabídce spouštění vyberte možnost Directory Services Restore Mode a stiskněte klávesu Enter.


2. V nabídce Start systému Windows vyberte možnost Spustit a otevřete příkazový řádek zadáním příkazu cmd.

    Zadejte příkaz „ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o“ a stisknutím Enter proveďte počáteční kontrolu integrity.



    V případě nekonzistence databáze se zobrazí chybová zpráva, např. results CORRUPTED, -1206.

3. Poté zadejte příkaz NTDSUTIL a stiskněte klávesu Enter.  Spustí se sada nástrojů NTDS.

    a.  Do příkazového řádku zadejte výraz „Files“ a stisknutím klávesy Enter přejděte do nástroje pro správu souborů NTDS.

    b.  Ve výzvě příkazového řádku file maintenance: zadejte „info“ a stisknutím klávesy Enter zobrazíte umístění všech souborů souvisejících s databázemi AD.



4. V části file maintenance: zadejte do příkazového řádku výraz „Recover“ a stiskněte klávesu Enter.  Tím se zahájí „měkké“ obnovení databáze AD.

    Zadejte po každé výzvě výraz quit, dokud se nedostanete do příkazového řádku (C:\<cesta>).

5. V příkazovém řádku zadejte příkaz „ESENTUTL /ml c:\windows\ntds\edb“ a zkontrolujte soubory s protokoly databáze AD.



    Pokud se tento krok nepodaří, zadejte následující příkazy a po každém stiskněte klávesu Enter:

    a.  'DEL *.log'

    b.  'DEL *.chk'

    a pokračujte krokem 6.

6. Zadejte v příkazovém řádku příkaz „ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o“ a stiskněte klávesu Enter, aby proběhlo „tvrdé“ obnovení
databáze AD.

7. Zadejte v příkazovém řádku příkaz „ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o“ a stiskněte klávesu Enter, aby byla zajištěna konzistence databáze.



8. Vraťte se do příkazového řádku NTDSUTIL (viz krok 3) a zadejte příkaz sem dat ana (zkratka výrazu „sémantická analýza databáze“). Poté stiskněte klávesu Enter.
    V řádku semantic checker: zadejte do příkazového řádku výraz „go“ a stiskněte klávesu Enter.



    Pokud je rozpoznán problém, zadejte příkaz go fix a stiskněte klávesu Enter.

9. Po dokončení všech kroků restartujte server v normálním režimu.

 

Další informace:

http://support.microsoft.com/kb/258062