Fehler beim Starten des Windows-basierten Domänencontrollers: Verzeichnisdienste können nicht gestartet werden

In diesem Artikel wird erläutert, wie Sie nach einer beschädigten Active Directory-Datenbank oder einem ähnlichen Problem wiederherstellen, das verhindert, dass Der Computer im normalen Modus gestartet wird.

Ursprüngliche Produktversion:   Windows Server 2003
Ursprüngliche KB-Nummer:   258062

Zusammenfassung

Dieser Artikel führt Sie durch eine Reihe von Schritten, mit deren Hilfe Sie die Ursache für das Fehlstarten des Systemfehlers durch die Verzeichnisdienste diagnostizieren können. Diese Schritte können Folgendes umfassen:

  • Überprüfen, ob die Active Directory-Verzeichnisdienstdateien vorhanden sind.
  • Überprüfen, ob die Dateisystemberechtigungen korrekt sind.
  • Überprüfen der Integrität der Active Directory-Datenbank.
  • Durchführen einer semantischen Datenbankanalyse.
  • Reparieren der Active Directory-Datenbank.
  • Entfernen und Erneutes Erstellen der Active Directory-Datenbank.

In diesem Artikel erfahren Sie auch, wie Sie ntdsutil oder Esentutl verwenden, um eine verlustige Reparatur der Active Directory-Datenbank durchzuführen. Da eine verlustige Reparatur Daten löscht und möglicherweise zu neuen Problemen führt, führen Sie eine Reparatur mit Verlust nur aus, wenn dies die einzige verfügbare Option ist.

Problembeschreibung

Wenn Sie den Domänencontroller starten, wird der Bildschirm möglicherweise leer, und möglicherweise wird die folgende Fehlermeldung angezeigt:

LSASS.EXE - Systemfehler: Fehler bei der Initialisierung des Sicherheitskonten-Managers aufgrund des folgenden Fehlers: Verzeichnisdienste können nicht gestartet werden. Fehlerstatus 0xc00002e1.

Klicken Sie auf "OK", um dieses System herunter zu fahren und den Wiederherstellungsmodus für Verzeichnisdienste neu zu starten. Überprüfen Sie das Ereignisprotokoll auf ausführlichere Informationen.

Darüber hinaus können die folgenden Ereignis-ID-Meldungen im Ereignisprotokoll angezeigt werden:

Ereignis-ID: 700
Beschreibung: "NTDS (260) Die Onlinedefragmentierung beginnt mit dem Übergeben von Datenbank-NTDS. DIT."
Ereignis-ID: 701
Beschreibung: "Die NTDS (268) #A0 hat einen vollständigen Pass der Datenbank 'C:\WINNT\NTDS\ntds.dit' abgeschlossen."
Ereignis-ID: 101
Beschreibung: "NTDS (260) Das Datenbankmodul wurde beendet."
Ereignis-ID: 1004
Beschreibung: "Das Verzeichnis wurde erfolgreich beendet."
Ereignis-ID: 1168
Beschreibung: "Fehler: 1032 (fffffbf8) ist aufgetreten. (interne ID 4042b). Wenden Sie sich an den Microsoft-Produktsupport, um Unterstützung zu erhalten."
Ereignis-ID: 1103
Beschreibung: "Die Datenbank der Windows-Verzeichnisdienste konnte nicht initialisiert werden, und fehler 1032 wurde zurückgegeben. Nicht behebbarer Fehler, das Verzeichnis kann nicht fortgesetzt werden."

Ursache

Dieses Problem tritt auf, weil mindestens eine der folgenden Bedingungen zutrifft:

  • Die Dateisystemberechtigungen für NTFS im Stammverzeichnis des Laufwerks sind zu restriktiv.
  • Die Berechtigungen des Dateisystems NTFS für den Ordner NTDS sind zu restriktiv.
  • Der Laufwerkbuchstabe des Volumes, das die Active Directory-Datenbank enthält, wurde geändert.
  • Die Active Directory-Datenbank (Ntds.dit) ist beschädigt.
  • Der Ordner NTDS ist komprimiert.

Lösung

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Starten Sie den Domänencontroller neu.

  2. Drücken Sie F8, wenn die BIOS-Informationen angezeigt werden.

  3. Wählen Sie den Wiederherstellungsmodus für Verzeichnisdienste aus, und drücken Sie dann die EINGABETASTE.

  4. Melden Sie sich mit dem Kennwort für den Verzeichnisdienstewiederherstellungsmodus an.

  5. Klicken Sie auf "Start", wählen Sie "Ausführen" aus, geben Sie "Cmd" in das Feld "Öffnen" ein, und klicken Sie dann auf "OK".

  6. Geben Sie an der Eingabeaufforderung ntdsutil-Dateiinformationen ein.

    Es wird eine Ausgabe ähnlich der folgenden angezeigt:

    Laufwerkinformationen:

    C:\ NTFS (Fixed Drive ) free(533.3 Mb) total(4.1 Gb)

    DS-Pfadinformationen:

    Datenbank : C:\WINDOWS\NTDS\ntds.dit - 10,1 MB Sicherungsverzeichnis : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 42,1 MB insgesamt temp.edb - 2,1 MB res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Hinweis

    Die Dateiorte, die in dieser Ausgabe enthalten sind, befinden sich auch im folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Die folgenden Einträge in diesem Schlüssel enthalten die Dateiorte:

    • Datenbanksicherungspfad
    • Pfad der Datenbankprotokolldateien
    • DSA Working Directory
  7. Stellen Sie sicher, dass die In der Ausgabe in Schritt 6 aufgeführten Dateien vorhanden sind.

  8. Stellen Sie sicher, dass die Ordner in der Ntdsutil-Ausgabe über die richtigen Berechtigungen verfügen. Die richtigen Berechtigungen werden in den folgenden Tabellen angegeben.

    Windows Server 2003

    Konto Berechtigungen Vererbung
    System Vollzugriff Dieser Ordner, Unterordner und Dateien
    Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
    Creator Owner Vollzugriff Nur Unterordner und Dateien
    Lokaler Dienst Erstellen von Ordnern/Anfügen von Daten Dieser Ordner und unterordner

    Windows 2000

    Konto Berechtigungen Vererbung
    Administratoren Vollzugriff Dieser Ordner, Unterordner und Dateien
    System Vollzugriff Dieser Ordner, Unterordner und Dateien

    Hinweis

    Darüber hinaus erfordert das Systemkonto vollzugriffsberechtigungen für die folgenden Ordner:

    • Der Stamm des Laufwerks, das den Ordner "Ntds" enthält
    • Der Ordner "%WINDIR%"

    In Windows Server 2003 ist der Standardspeicherort des Ordners %WINDIR% C:\WINDOWS. In Windows 2000 ist der Standardspeicherort des Ordners %WINDIR% C:\WINNT.

  9. Überprüfen Sie die Integrität der Active Directory-Datenbank. Geben Sie dazu an der Eingabeaufforderung die Integrität von ntdsutil-Dateien ein.

    Wenn die Integritätsprüfung keine Fehler angibt, starten Sie den Domänencontroller im normalen Modus neu. Wenn die Integritätsprüfung nicht fehlerfrei abgeschlossen wird, fahren Sie mit den folgenden Schritten fort.

  10. Durchführen einer semantischen Datenbankanalyse. Geben Sie dazu an der Eingabeaufforderung den folgenden Befehl ein, einschließlich der Anführungszeichen:

    ntdsutil "sem d a" go
    
  11. Wenn die Semantikdatenbankanalyse keine Fehler angibt, fahren Sie mit den folgenden Schritten fort. Wenn die Analyse Fehler meldet, geben Sie an der Eingabeaufforderung den folgenden Befehl ein, einschließlich der Anführungszeichen:

    ntdsutil "sem d a" "go f"
    
  12. Führen Sie die Schritte im folgenden Microsoft Knowledge Base-Artikel aus, um eine Offlinedefragmentierung der Active Directory-Datenbank durchzuführen:

    232122 Durchführen der Offlinedefragmentierung der Active Directory-Datenbank

  13. Wenn das Problem nach der Offlinedefragmentierung weiterhin besteht und sich andere funktionale Domänencontroller in derselben Domäne befinden, entfernen Sie Active Directory vom Server, und installieren Sie Active Directory erneut. Führen Sie dazu die Schritte im Abschnitt "Problemumgehung" im folgenden Microsoft Knowledge Base-Artikel aus:

    332199 Domänencontroller werden nicht wie bedenklich herabstufen, wenn Sie den Active Directory-Installations-Assistenten verwenden, um die Herabstufung in Windows Server 2003 und Windows 2000 Server zu erzwingen

    Hinweis

    Wenn auf Ihrem Domänencontroller Microsoft Small Business Server ausgeführt wird, können Sie diesen Schritt nicht ausführen, da Small Business Server nicht als zusätzlicher Domänencontroller (Replikat) zu einer vorhandenen Domäne hinzugefügt werden kann. Wenn Sie über eine Systemstatussicherung verfügen, die neuer ist als die Lebensdauer des Tombstones, stellen Sie diese Systemstatussicherung wieder her, anstatt Active Directory vom Server zu entfernen. Standardmäßig beträgt die Lebensdauer des Tombstones 60 Tage.

  14. Wenn keine Systemstatussicherung verfügbar ist und keine anderen fehlerfreien Domänencontroller in der Domäne vorhanden sind, wird empfohlen, die Domäne neu zu erstellen, indem Sie Active Directory entfernen und dann Active Directory auf dem Server neu installieren und eine neue Domäne erstellen. Sie können den alten Domänennamen erneut verwenden oder einen neuen Domänennamen verwenden. Sie können die Domäne auch neu erstellen, indem Sie Windows auf dem Server neu anformatieren und erneut installieren. Das Entfernen von Active Directory ist jedoch schneller und entfernt effektiv die beschädigte Active Directory-Datenbank.

    Wenn keine Systemstatussicherung verfügbar ist, keine weiteren fehlerfreien Domänencontroller in der Domäne vorhanden sind und der Domänencontroller sofort funktioniert, führen Sie eine Verlustreparatur mithilfe von Ntdsutil oder Esentutl aus.

    Hinweis

    Microsoft unterstützt Domänencontroller nicht, nachdem Ntdsutil oder Esentutl zur Wiederherstellung nach einer Beschädigung der Active Directory-Datenbank verwendet wurde. Wenn Sie diese Art der Reparatur durchführen, müssen Sie den Domänencontroller neu erstellen, damit Active Directory in einer unterstützten Konfiguration vorhanden ist. Der Reparaturbefehl in Ntdsutil verwendet das Hilfsprogramm Esentutl, um eine verlustige Reparatur der Datenbank auszuführen. Diese Art der Reparatur behebt Beschädigungen, indem Daten aus der Datenbank gelöscht werden. Verwenden Sie diese Art der Reparatur nur als letztes Mittel.

    Obwohl der Domänencontroller möglicherweise gestartet wird und nach der Reparatur möglicherweise ordnungsgemäß funktioniert, wird sein Zustand nicht unterstützt, da die aus der Datenbank gelöschten Daten eine beliebige Anzahl von Problemen verursachen können, die erst später auftreten können. Es gibt keine Möglichkeit, zu bestimmen, welche Daten bei der Reparatur der Datenbank gelöscht wurden. So bald wie möglich nach der Reparatur müssen Sie die Domäne neu erstellen, um Active Directory zu einer unterstützten Konfiguration zurückzukehren. Wenn Sie nur die Offlinedefragmentierungs- oder semantischen Datenbankanalysemethoden verwenden, auf die in diesem Artikel verwiesen wird, müssen Sie den Domänencontroller anschließend nicht neu erstellen.

  15. Bevor Sie eine Reparatur mit Verlust durchführen, wenden Sie sich an den Microsoft-Produktsupport, um zu bestätigen, dass Sie alle möglichen Wiederherstellungsoptionen überprüft haben, und um sicherzustellen, dass sich die Datenbank tatsächlich in einem nicht behebbaren Zustand befindet. Eine vollständige Liste der Telefonnummern des Microsoft Product Support Services und Informationen zu Supportkosten finden Sie auf der folgenden Microsoft-Website:

    Wenden Sie sich an den Microsoft-Support.

    Verwenden Sie auf einem Server-basierten Windows 2000-Domänencontroller Ntdsutil zum Wiederherstellen der Active Directory-Datenbank. Geben Sie dazu an einer Eingabeaufforderung im Verzeichnisdienstwiederherstellungsmodus die Ntdsutil-Dateireparatur ein.

    Verwenden Sie zum Durchführen einer Verlustreparatur eines Windows Server 2003-basierten Domänencontrollers das tool Esentutl.exe, um die Active Directory-Datenbank wiederhergestellt. Geben Sie dazu an einer Eingabeaufforderung auf dem Windows Server 2003-basierten Domänencontroller "esentutl /p" ein.

  16. Benennen Sie nach Abschluss des Reparaturvorgangs die Protokolldateien im Ordner NTDS um, indem Sie eine andere Erweiterung wie BAK verwenden, und versuchen Sie, den Domänencontroller im normalen Modus zu starten.

  17. Wenn Sie den Domänencontroller nach der Reparatur im normalen Modus starten können, migrieren Sie relevante Active Directory-Objekte so bald wie möglich in eine neue Gesamtstruktur. Da diese verlustbehebungsmethode die Beschädigung durch Löschen von Daten behebt, kann sie zu problemen führen, die sehr schwierig zu beheben sind. Bei der ersten Gelegenheit nach der Reparatur müssen Sie die Domäne neu erstellen, um Active Directory zu einer unterstützten Konfiguration zurück zu bringen.

    Sie können Benutzer, Computer und Gruppen mithilfe des Active Directory-Migrationstools (ACTIVE Directory Migration Tool, ADMT), ldifde oder eines Nicht-Microsoft-Migrationstools migrieren. ADMT kann Benutzerkonten, Computerkonten und Sicherheitsgruppen mit oder ohne sicherheitsbezeichner (SID)-Verlauf migrieren. AdMT migriert auch Benutzerprofile. Wenn Sie ADMT in einer Small Business Server-Umgebung verwenden möchten, lesen Sie das Whitepaper "Migrieren von Small Business Server 2000 oder Windows 2000 Server". Um dieses Whitepaper zu erhalten, besuchen Sie die folgende Microsoft-Website:

    Migrieren von Small Business Server 2000 oder Windows 2000 Server zu Windows Small Business Server 2003

    Sie können Ldifde verwenden, um viele Objekttypen aus der beschädigten Domäne in die neue Domäne zu exportieren und zu importieren. Zu diesen Objekten gehören Benutzerkonten, Computerkonten, Sicherheitsgruppen, Organisationseinheiten, Active Directory-Standorte, Subnetze und Standortverknüpfungen. Ldifde kann den SID-Verlauf nicht migrieren. Ldifde ist Teil von Windows 2000 Server und Windows Server 2003.

    Weitere Informationen zur Verwendung von Ldifde finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu sehen:

    237677 Verwenden von Ldifde zum Importieren und Exportieren von Verzeichnisobjekten in Active Directory

    Sie können die Gruppenrichtlinienverwaltungskonsole verwenden, um das Dateisystem und den Active Directory-Teil des Gruppenrichtlinienobjekts aus der beschädigten Domäne in die neue Domäne zu exportieren.

    Um die GPMC zu erhalten, besuchen Sie die folgende Microsoft-Website:

    Cloud Computing Services

    Informationen zum Migrieren von Gruppenrichtlinienobjekten mithilfe der GPMC finden Sie im Whitepaper "Migrieren von Gruppenrichtlinienobjekten über Domänen hinweg mit der GPMC". Um dieses Whitepaper zu erhalten, besuchen Sie die folgende Microsoft-Website:

    Migrieren von Gruppenrichtlinienobjekten über Domänen hinweg

  18. Überprüfen Sie nach der Wiederherstellung den aktuellen Sicherungsplan, um sicherzustellen, dass Sie häufig genug geplante Systemstatussicherungen haben. Planen Sie Systemstatussicherungen mindestens täglich oder nach jeder wesentlichen Änderung. Systemstatussicherungen müssen die erforderliche Fehlertoleranzstufe enthalten. Speichern Sie z. B. Sicherungen nicht auf demselben Laufwerk wie der Computer, den Sie sichern. Verwenden Sie nach Möglichkeit mehrere Domänencontroller, um eine einzelne Fehlerstelle zu vermeiden. Speichern Sie Sicherungen an einem Off-Site-Standort, sodass sich der Notfall des Standorts (Brand, Diebstahl, Überschwemmung, Computerdiebstahl) nicht auf Ihre Wiederherstellungsfähigkeit auswirken kann. Die folgenden Microsoft-Websites können Ihnen bei der Entwicklung eines Sicherungsplans helfen.