Windows Server: Active Directory-Datenbankreparatur nach Domain-Controller-Fehler
Resumen: Wie kann ich Active Directory in Windows Server-Betriebssystemen nach einem Domänencontroller-Fehler reparieren?
Síntomas
Dieser Artikel behandelt die Active Directory-Reparatur auf Windows Server-Betriebssystemen.
Problem:
Beim Starten zeigt ein Windows Server 2003 Active Directory-Domänencontroller (DC) vor der Anmeldeaufforderung eine Meldung ähnlich der folgenden an:
Application popup: lsass.exe - Systemfehler: Die Initialisierung von Security Accounts Manager ist aufgrund des folgenden Fehlers fehlgeschlagen: Directory Service kann nicht gestartet werden. Fehlerstatus: 0xc00002e1. Klicken Sie auf „OK“, um den Computer herunterzufahren und wählen Sie beim nächsten Neustart „Verzeichnisdienste wiederherstellen“. Überprüfen Sie das Ereignisprotokoll, um weitere Informationen zu erhalten.
Die Active Directory (AD)-Datenbank ist beschädigt. Der Server kann keine AD-Domänenmitglieder authentifizieren und startet nicht im Normalmodus.
Lösung:
Wenn keine aktuelle Sicherung des Systemstatus vorhanden ist, können die folgenden Schritte als AD-Wiederherstellungsversuch verwendet werden.
1. Starten Sie den Domänencontroller im Verzeichnisdienste-Wiederherstellungsmodus (DSRM) neu.
a. Drücken Sie beim Serverstart die Taste F8, nachdem die Initialisierung von System-BIOS und Hardwaredienst (z. B. PERC, iDRAC) abgeschlossen sind.
b. Wählen Sie im Startmenü die Option „Verzeichnisdienste-Wiederherstellungsmodus“ und drücken Sie die Eingabetaste.
2. Wählen Sie unter Windows StartAusführen und geben Sie „cmd“ ein, um eine Eingabeaufforderung zu öffnen.
Geben Sie „ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o“ ein und drücken Sie die Eingabetaste, um die erste Integritätsprüfung durchzuführen.
Im Fall von Datenbankinkonsistenzen wird eine Fehlermeldung angezeigt, z. B. „Ergebnisse BESCHÄDIGT,-1206“.
3. Geben Sie als Nächstes „NTDSUTIL“ ein und drücken Sie die Eingabetaste. Dadurch wird das NTDS-Toolset gestartet.
a. Geben Sie an der Eingabeaufforderung „Files“ ein und drücken Sie die Eingabetaste, um das NTDS-Dateiverwaltungsprogramm aufzurufen
b. Geben Sie an der Eingabeaufforderung Dateiwartung: geben Sie „info“ ein und drücken Sie die Eingabetaste, um die Speicherorte aller AD-Datenbank-bezogenen Dateien anzuzeigen.
4. Geben Sie bei der Eingabeaufforderung file maintenance:„Recover“ ein und drücken Sie die Eingabetaste. Dadurch wird der Soft Recovery-Vorgang der AD-Datenbank initiiert.
Geben Sie bei jeder Eingabeaufforderung „quit“ ein, bis Sie zur Befehlszeile (C:\<path>) zurückgekehrt sind.
5. Geben Sie in die Befehlszeile „ESENTUTL/ml c:\windows\ntds\edb“ ein, um die Protokolldateien der AD-Datenbank zu überprüfen.
Wenn dieser Schritt fehlschlägt, geben Sie die folgenden Befehle ein und drücken nach jedem die Eingabetaste:
a. „DEL *.log“
B. „DEL *.chk“
und fahren Sie mit Schritt 6 fort.
6. Geben Sie in die Befehlszeile „ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o“ ein und drücken Sie die Eingabetaste, um einen Hard Recovery
der AD-Datenbank durchzuführen.
7. Geben Sie in die Befehlszeile „ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o“ ein und drücken Sie die Eingabetaste, um die Datenbankkonsistenz sicherzustellen.
8. Gehen Sie zur Eingabeaufforderung von NTDSUTIL zurück (siehe Schritt 3) und geben Sie „sem dat ana“ ein (kurz für „Semantic Database Analysis“) und drücken Sie die Eingabetaste.
Geben Sie bei der Eingabeaufforderung semantic checker:„go“ ein und drücken Sie die Eingabetaste.
Wenn ein Problem erkannt wird, geben Sie „go fix“ ein und drücken die Eingabetaste. Starten Sie den Server im normalen Modus neu, sobald Sie alle Schritte durchgeführt haben.
Weitere Informationen:
http://support.microsoft.com/kb/258062