Windows Server: исправление базы данных Active Directory после сбоя контроллера домена

В этой статье рассматривается исправление Active Directory в операционных системах Windows Server.

Проблема:

При запуске в контроллере домена (DC) Active Directory Windows Server 2003 перед запросом на вход отображается сообщение, подобное следующему.

Application popup: lsass.exe - System Error: Security Accounts Manager initialization failed because of the following error: Directory Service cannot start. Error Status: 0xc00002e1. Please click OK to shutdown this system and reboot into Directory Services Restore Mode, check the event log for more detailed information.

База данных Active Directory (AD) повреждена; сервер не может выполнить аутентификацию членов домена AD и не загружается в обычном режиме.

 

Решение:

При отсутствии недавней резервной копии состояния системы можно попытаться восстановить AD, выполнив следующие действия.

1. Перезапустите контроллер домена в режиме восстановления служб каталогов (DSRM).

    A. При запуске сервера нажмите F8 после того, как будет завершена инициализация BIOS и аппаратных служб (например, PERC, iDRAC). 

    Б. В меню загрузки выберите «Directory Services Restore Mode» и нажмите клавишу Enter.


2. В Windows нажмите кнопку Пуск, выберите Выполнить и введите cmd, чтобы открыть командную строку.

    Введите «ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o» и нажмите клавишу Enter, чтобы выполнить начальную проверку целостности.



    В случае несогласованности базы данных возвращается сообщение об ошибке, например: «results CORRUPTED, -1206».

3. Затем введите «NTDSUTIL» и нажмите клавишу ENTER.  При этом запускается набор инструментов NTDS.

    А. В командной строке введите «Files» и нажмите Enter, чтобы открыть утилиту управления файлами NTDS

    Б.  При появлении командной строки File maintenance: введите «info» и нажмите Enter, чтобы отобразить местонахождение всех файлов, связанных с базой данных AD.



4. При появлении запроса file maintenance: введите «Recover» и нажмите клавишу ENTER.  При этом запускается «мягкое» восстановление базы данных AD.

    Вводите «quit» при каждом запросе, пока не вернетесь в командную строку (C:\<путь>).

5. В командной строке введите «ESENTUTL /ml c:\windows\ntds\edb», чтобы проверить файлы журнала базы данных AD.



    Если этот шаг выполнить не удается, вводите следующие команды, нажимая клавишу ENTER после каждой:

    A. «DEL *.log»

    Б.  «DEL *.chk»

    и перейдите к шагу 6.

6. В командной строке введите «ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o» и нажмите Enter для выполнения «жесткого» восстановления
    базы данных AD.

7. В командной строке введите «ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o» и нажмите Enter, чтобы обеспечить согласованность базы данных.



8. Вернитесь к запросу NTDSUTIL (см. шаг 3), введите «sem dat ana» (сокращение от «Semantic Database Analysis», семантический анализ базы данных) и нажмите клавишу ENTER.
    При появлении запроса semantic checker: введите команду «go» и нажмите клавишу ENTER.



    Если проблема обнаружена, введите «go fix» и нажмите Enter.

9. После выполнения всех шагов перезапустите сервер в обычном режиме.

 

Дополнительная информация

http://support.microsoft.com/kb/258062