Error al iniciar el controlador de dominio basado en Windows: Los servicios de directorio no se pueden iniciar

En este artículo se explica cómo recuperarse de una base de datos de Active Directory dañada o de un problema similar que impide que el equipo se inicie en modo normal.

Versión original del producto:   Windows Server 2003
Número KB original:   258062

Resumen

Este artículo le guía a través de una serie de pasos que pueden ayudarle a diagnosticar la causa de los servicios de directorio no puede iniciar el error del sistema. Estos pasos pueden incluir:

  • Comprobar que existen los archivos del servicio de directorio de Active Directory.
  • Comprobar que los permisos del sistema de archivos son correctos.
  • Comprobar la integridad de la base de datos de Active Directory.
  • Realizar un análisis semántico de la base de datos.
  • Reparar la base de datos de Active Directory.
  • Quitar y volver a crear la base de datos de Active Directory.

En este artículo también se explica cómo usar Ntdsutil o Esentutl para realizar una reparación de pérdida de la base de datos de Active Directory. Dado que una reparación de pérdida elimina datos y puede presentar nuevos problemas, solo realice una reparación de pérdida si es la única opción disponible.

Síntomas

Al iniciar el controlador de dominio, es posible que la pantalla se vaya en blanco y reciba el siguiente mensaje de error:

LSASS.EXE- Error del sistema, error de inicialización del administrador de cuentas de seguridad debido al siguiente error: Los servicios de directorio no se pueden iniciar. Estado de error 0xc00002e1.

Haga clic en Aceptar para cerrar este sistema y reiniciar en modo de restauración de servicios de directorio, consulte el registro de eventos para obtener información más detallada.

Además, pueden aparecer los siguientes mensajes de identificador de evento en el registro de eventos:

Identificador de evento: 700
Descripción: "NTDS (260) La desfragmentación en línea está comenzando un paso en ntds de base de datos. DIT".
Identificador de evento: 701
Descripción: "NTDS (268) La desfragmentación en línea ha completado un paso completo en la base de datos 'C:\WINNT\NTDS\ntds.dit'".
Identificador de evento: 101
Descripción: "NTDS (260) se detuvo el motor de base de datos".
Identificador de evento: 1004
Descripción: "El directorio se cerró correctamente".
Identificador de evento: 1168
Descripción: "Error: se ha producido 1032 (fffffbf8). (id. interno 4042b). Póngase en contacto con los servicios de soporte técnico de Microsoft para obtener ayuda."
Identificador de evento: 1103
Descripción: "No se pudo inicializar la base de datos de servicios de directorio de Windows y se devolvió el error 1032. Error irrecuperable, el directorio no puede continuar".

Causa

Este problema se produce porque se cumplen una o varias de las siguientes condiciones:

  • Los permisos del sistema de archivos NTFS en la raíz de la unidad son demasiado restrictivos.
  • Los permisos del sistema de archivos NTFS en la carpeta NTDS son demasiado restrictivos.
  • La letra de unidad del volumen que contiene la base de datos de Active Directory ha cambiado.
  • La base de datos de Active Directory (Ntds.dit) está dañada.
  • La carpeta NTDS está comprimida.

Solución

Para resolver este problema, siga estos pasos:

  1. Reinicie el controlador de dominio.

  2. Cuando aparezca la información del BIOS, presione F8.

  3. Seleccione El modo de restauración de servicios de directorio y, a continuación, presione ENTRAR.

  4. Inicie sesión con la contraseña del modo de restauración de servicios de directorio.

  5. Haga clic en Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, haga clic en Aceptar.

  6. En el símbolo del sistema, escriba la información de archivos ntdsutil.

    Aparece un resultado similar al siguiente:

    Información de unidad:

    C:\ NTFS (unidad fija) free(533,3 Mb) total(4,1 Gb)

    Información de ruta de acceso de DS:

    Base de datos: C:\WINDOWS\NTDS\ntds.dit - Directorio de copia de seguridad de 10,1 MB: C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 42. 1 MB total temp.edb - 2,1 MB res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 MB

    Nota

    Las ubicaciones de archivo que se incluyen en este resultado también se encuentran en la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Las siguientes entradas de esta clave contienen las ubicaciones de archivo:

    • Ruta de copia de seguridad de la base de datos
    • Ruta de acceso de archivos de registro de base de datos
    • Directorio de trabajo de DSA
  7. Compruebe que los archivos enumerados en el resultado del paso 6 existen.

  8. Compruebe que las carpetas de la salida Ntdsutil tienen los permisos correctos. Los permisos correctos se especifican en las tablas siguientes.

    Windows Server 2003

    Cuenta Permisos Herencia
    Sistema Control total Esta carpeta, subcarpetas y archivos
    Administradores Control total Esta carpeta, subcarpetas y archivos
    Creator Owner Control total Solo subcarpetas y archivos
    Servicio local Crear carpetas o anexar datos Esta carpeta y subcarpetas

    Windows 2000

    Cuenta Permisos Herencia
    Administradores Control total Esta carpeta, subcarpetas y archivos
    Sistema Control total Esta carpeta, subcarpetas y archivos

    Nota

    Además, la cuenta del sistema requiere permisos de control total en las carpetas siguientes:

    • La raíz de la unidad que contiene la carpeta Ntds
    • La carpeta %WINDIR%

    En Windows Server 2003, la ubicación predeterminada de la carpeta %WINDIR% es C:\WINDOWS. En Windows 2000, la ubicación predeterminada de la carpeta %WINDIR% es C:\WINNT.

  9. Compruebe la integridad de la base de datos de Active Directory. Para ello, escribe la integridad de archivos ntdsutil en el símbolo del sistema.

    Si la comprobación de integridad indica que no hay errores, reinicia el controlador de dominio en modo normal. Si la comprobación de integridad no finaliza sin errores, sigue los pasos siguientes.

  10. Realice un análisis semántico de la base de datos. Para ello, escriba el siguiente comando en el símbolo del sistema, incluidas las comillas:

    ntdsutil "sem d a" go
    
  11. Si el análisis de base de datos semántica no indica errores, siga estos pasos. Si el análisis informa de algún error, escriba el siguiente comando en el símbolo del sistema, incluidas las comillas:

    ntdsutil "sem d a" "go f"
    
  12. Siga los pasos del siguiente artículo de Microsoft Knowledge Base para realizar una desfragmentación sin conexión de la base de datos de Active Directory:

    232122 Realizar la desfragmentación sin conexión de la base de datos de Active Directory

  13. Si el problema persiste después de la desfragmentación sin conexión y hay otros controladores de dominio funcionales en el mismo dominio, quite Active Directory del servidor y vuelva a instalar Active Directory. Para ello, siga los pasos de la sección "Solución alternativa" del siguiente artículo de Microsoft Knowledge Base:

    Los controladores de dominio 332199 no disminuyen de nivel correctamente cuando se usa el Asistente para instalación de Active Directory para forzar la degradación en Windows Server 2003 y en Windows 2000 Server

    Nota

    Si el controlador de dominio ejecuta Microsoft Small Business Server, no puede realizar este paso, porque small business server no se puede agregar a un dominio existente como controlador de dominio adicional (réplica). Si tiene una copia de seguridad de estado del sistema más reciente que la duración de la eliminación, restaure esa copia de seguridad de estado del sistema en lugar de quitar Active Directory del servidor. De forma predeterminada, la duración de la lápida es de 60 días.

  14. Si no hay ninguna copia de seguridad de estado del sistema disponible y no hay otros controladores de dominio en buen estado en el dominio, se recomienda volver a generar el dominio quitando Active Directory y, a continuación, reinstalando Active Directory en el servidor, creando un nuevo dominio. Puede volver a usar el nombre de dominio antiguo o usar un nuevo nombre de dominio. También puedes recompilar el dominio mediante el cambio de formato y la reinstalación de Windows en el servidor. Sin embargo, la eliminación de Active Directory es más rápida y elimina eficazmente la base de datos de Active Directory dañada.

    Si no hay ninguna copia de seguridad de estado del sistema disponible, no hay otros controladores de dominio en buen estado en el dominio y debe hacer que el controlador de dominio funcione inmediatamente, realice una reparación de pérdida mediante Ntdsutil o Esentutl.

    Nota

    Microsoft no admite controladores de dominio después de usar Ntdsutil o Esentutl para recuperarse de daños en la base de datos de Active Directory. Si realiza este tipo de reparación, debe recompilar el controlador de dominio de Active Directory para que esté en una configuración compatible. El comando de reparación de Ntdsutil usa la utilidad Esentutl para realizar una reparación de pérdida de la base de datos. Este tipo de reparación corrige los daños eliminando datos de la base de datos. Use este tipo de reparación como último recurso.

    Aunque el controlador de dominio puede iniciarse y parece funcionar correctamente después de la reparación, su estado no es compatible porque los datos que se eliminan de la base de datos pueden causar cualquier número de problemas que pueden no aparecer hasta más adelante. No hay forma de determinar qué datos se eliminaron cuando se reparó la base de datos. Tan pronto como sea posible después de la reparación, debe volver a generar el dominio para devolver Active Directory a una configuración compatible. Si solo usa los métodos de análisis de base de datos semántica o de desfragmentación sin conexión a los que se hace referencia en este artículo, no tiene que volver a generar el controlador de dominio posteriormente.

  15. Antes de realizar una reparación de pérdida, póngase en contacto con el Servicio de soporte técnico de Microsoft para confirmar que ha revisado todas las opciones de recuperación posibles y para comprobar que la base de datos realmente se encuentra en un estado irrecuperable. Para obtener una lista completa de los números de teléfono de los Servicios de soporte técnico de Microsoft e información sobre los costos de soporte técnico, visite el siguiente sitio web de Microsoft:

    Póngase en contacto con el soporte técnico de Microsoft

    En un controlador de dominio basado en Windows 2000 Server, use Ntdsutil para recuperar la base de datos de Active Directory. Para ello, escriba la reparación de archivos ntdsutil en un símbolo del sistema en el modo de restauración del servicio de directorio.

    Para realizar una reparación con pérdida de un controlador de dominio basado en Windows Server 2003, use la herramienta Esentutl.exe para recuperar la base de datos de Active Directory. Para ello, escriba esentutl /p en un símbolo del sistema en el controlador de dominio basado en Windows Server 2003.

  16. Una vez completada la operación de reparación, cambie el nombre de los archivos .log de la carpeta NTDS con una extensión diferente, como .bak, e intente iniciar el controlador de dominio en modo normal.

  17. Si puede iniciar el controlador de dominio en modo normal después de la reparación, migre los objetos de Active Directory relevantes a un nuevo bosque lo antes posible. Dado que este método de reparación de pérdida corrige daños al eliminar datos, puede causar problemas posteriores que son extremadamente difíciles de solucionar. En la primera oportunidad después de la reparación, debe volver a generar el dominio para que Active Directory vuelva a una configuración compatible.

    Puede migrar usuarios, equipos y grupos mediante la Herramienta de migración de Active Directory (ADMT), Ldifde o una herramienta de migración que no es de Microsoft. ADMT puede migrar cuentas de usuario, cuentas de equipo y grupos de seguridad con o sin el historial del identificador de seguridad (SID). ADMT también migra perfiles de usuario. Para usar ADMT en un entorno de Small Business Server, revise las white paper "Migrating from Small Business Server 2000 or Windows 2000 Server" (Migrar desde Small Business Server 2000 o Windows 2000 Server). Para obtener estas white paper, visite el siguiente sitio web de Microsoft:

    Migración de Small Business Server 2000 o Windows 2000 Server a Windows Small Business Server 2003

    Puede usar Ldifde para exportar e importar muchos tipos de objetos del dominio dañado al nuevo dominio. Estos objetos incluyen cuentas de usuario, cuentas de equipo, grupos de seguridad, unidades de organización, sitios de Active Directory, subredes y vínculos a sitios. Ldifde no puede migrar el historial de SID. Ldifde forma parte de Windows 2000 Server y Windows Server 2003.

    Para obtener más información acerca de cómo usar Ldifde, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    237677 Usar Ldifde para importar y exportar objetos de directorio a Active Directory

    Puedes usar la Consola de administración de directivas de grupo (GPMC) para exportar el sistema de archivos y la parte de Active Directory del objeto de directiva de grupo del dominio dañado al nuevo dominio.

    Para obtener la GPMC, visite el siguiente sitio web de Microsoft:

    Servicios informáticos en la nube

    Para obtener información sobre cómo migrar objetos de directiva de grupo mediante la GPMC, revisa las white paper "Migrar GPO entre dominios con GPMC". Para obtener estas white paper, visite el siguiente sitio web de Microsoft:

    Migración de GPO entre dominios

  18. Después de la recuperación, evalúe el plan de copia de seguridad actual para asegurarse de que ha programado copias de seguridad de estado del sistema con la suficiente frecuencia. Programe copias de seguridad de estado del sistema al menos cada día o después de cada cambio significativo. Las copias de seguridad de estado del sistema deben contener el nivel necesario de tolerancia a errores. Por ejemplo, no almacene copias de seguridad en la misma unidad que el equipo del que está haciendo una copia de seguridad. Siempre que sea posible, use más de un controlador de dominio para evitar un único punto de error. Almacene copias de seguridad en una ubicación fuera del sitio para que el desastre del sitio (incendio, robo, inundación, robo de equipos) no afecte a su capacidad de recuperación. Los siguientes sitios web de Microsoft pueden ayudarle a desarrollar un plan de copia de seguridad.