Errore durante l'avvio del controller Windows di dominio basato su server: Impossibile avviare i servizi directory

In questo articolo viene illustrato come eseguire il ripristino da un database di Active Directory danneggiato o da un problema simile che impedisce l'avvio del computer in modalità normale.

Si applica a:   Windows Server 2003
Numero KB originale:   258062

Riepilogo

In questo articolo viene illustrata una serie di passaggi che consentono di diagnosticare la causa dell'errore di sistema Impossibile avviare i servizi directory. Questi passaggi possono includere:

  • Verifica dell'esistenza dei file del servizio directory Active Directory.
  • Verifica della correttezza delle autorizzazioni del file system.
  • Verifica dell'integrità del database di Active Directory.
  • Esecuzione di un'analisi semantica del database.
  • Ripristino del database di Active Directory.
  • Rimozione e ricreazione del database di Active Directory.

In questo articolo viene inoltre illustrato come utilizzare Ntdsutil o Esentutl per eseguire un ripristino con perdita di dati del database di Active Directory. Poiché un ripristino con perdita elimina i dati e può introdurre nuovi problemi, eseguire un ripristino con perdita solo se è l'unica opzione disponibile.

Sintomi

Quando si avvia il controller di dominio, la schermata potrebbe andare vuota e potrebbe essere visualizzato il seguente messaggio di errore:

LSASS.EXE - Errore di sistema, inizializzazione del gestore degli account di sicurezza non riuscita a causa dell'errore seguente: Impossibile avviare i servizi directory. Stato errore 0xc00002e1.

Fare clic su OK per arrestare il sistema e riavviare la modalità di ripristino dei servizi directory, controllare il registro eventi per informazioni più dettagliate.

Inoltre, nel registro eventi possono essere visualizzati i seguenti messaggi di ID evento:

ID evento: 700
Descrizione: "NTDS (260) La deframmentazione online sta iniziando un passaggio sul database NTDS. DIT."
ID evento: 701
Description: "NTDS (268) Online defragmentation has completed a full pass on database 'C:\WINNT\NTDS\ntds.dit'."
ID evento: 101
Descrizione: "NTDS (260) il motore di database è stato arrestato."
ID evento: 1004
Descrizione: "La directory è stata arrestata correttamente".
ID evento: 1168
Description: "Error: 1032 (fffffbf8) has occurred. (ID interno 4042b). Per assistenza, contattare il servizio di supporto tecnico Microsoft."
ID evento: 1103
Descrizione: "Impossibile inizializzare il database dei servizi directory di Windows e restituire l'errore 1032. Errore irreversibile, la directory non può continuare."

Causa

Questo problema si verifica perché si verifica una o più delle condizioni seguenti:

  • Le autorizzazioni del file system NTFS nella radice dell'unità sono troppo restrittive.
  • Le autorizzazioni del file system NTFS per la cartella NTDS sono troppo restrittive.
  • La lettera di unità del volume che contiene il database di Active Directory è stata modificata.
  • Il database di Active Directory (Ntds.dit) è danneggiato.
  • La cartella NTDS è compressa.

Risoluzione

Per risolvere il problema, attenersi alla seguente procedura:

  1. Riavviare il controller di dominio.

  2. Quando vengono visualizzate le informazioni sul BIOS, premere F8.

  3. Selezionare Modalità ripristino servizi directory e quindi premere INVIO.

  4. Accedere utilizzando la password per la modalità ripristino servizi directory.

  5. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.

  6. Al prompt dei comandi digitare ntdsutil files info.

    Viene visualizzato un output simile al seguente:

    Informazioni unità:

    C:\ NTFS (unità fissa) gratuito(533,3 Mb) totale(4,1 Gb)

    Informazioni percorso DS:

    Database : C:\WINDOWS\NTDS\ntds.dit - 10,1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir : C:\WINDOWS\NTDS - 42.. 1 Mb totale temp.edb - 2,1 Mb res2.log - 10,0 Mb res1.log - 10,0 Mb edb00001.log - 10,0 Mb edb.log - 10,0 Mb

    Nota

    I percorsi dei file inclusi in questo output si trovano anche nella seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Le voci seguenti in questa chiave contengono i percorsi dei file:

    • Percorso backup database
    • Percorso file di registro del database
    • Directory di lavoro DSA
  7. Verificare che i file elencati nell'output nel passaggio 6 esistano.

  8. Verificare che le cartelle nell'output di Ntdsutil dispongono delle autorizzazioni corrette. Le autorizzazioni corrette sono specificate nelle tabelle seguenti.

    Windows Server 2003

    Account Autorizzazioni Ereditarietà
    Sistema Controllo completo Questa cartella, sottocartelle e file
    Amministratori Controllo completo Questa cartella, sottocartelle e file
    Creator Owner Controllo completo Solo sottocartelle e file
    Servizio locale Creazione di cartelle/ Accodamento dati Questa cartella e sottocartelle

    Windows 2000

    Account Autorizzazioni Ereditarietà
    Amministratori Controllo completo Questa cartella, sottocartelle e file
    Sistema Controllo completo Questa cartella, sottocartelle e file

    Nota

    Inoltre, l'account di sistema richiede autorizzazioni di controllo completo per le cartelle seguenti:

    • Radice dell'unità che contiene la cartella Ntds
    • Cartella %WINDIR%

    In Windows Server 2003, il percorso predefinito della cartella %WINDIR% è C:\WINDOWS. In Windows 2000, il percorso predefinito della cartella %WINDIR% è C:\WINNT.

  9. Verificare l'integrità del database di Active Directory. A tale scopo, digitare ntdsutil files integrity al prompt dei comandi.

    Se il controllo di integrità non indica errori, riavviare il controller di dominio in modalità normale. Se il controllo di integrità non viene completato senza errori, procedere come segue.

  10. Eseguire un'analisi semantica del database. A tale scopo, al prompt dei comandi digitare il comando seguente, incluse le virgolette:

    ntdsutil "sem d a" go
    
  11. Se l'analisi semantica del database non indica errori, procedere come segue. Se l'analisi segnala errori, al prompt dei comandi digitare il comando seguente, incluse le virgolette:

    ntdsutil "sem d a" "go f"
    
  12. Seguire i passaggi descritti nell'articolo della Microsoft Knowledge Base seguente per eseguire una deframmentazione offline del database di Active Directory:

    232122 deframmentazione offline del database di Active Directory

  13. Se il problema persiste dopo la deframmentazione offline e sono presenti altri controller di dominio funzionali nello stesso dominio, rimuovere Active Directory dal server e quindi reinstallare Active Directory. A tale scopo, attenersi alla procedura descritta nella sezione "Workaround" nell'articolo della Microsoft Knowledge Base riportato di seguito:

    332199 i controller di dominio non abbassano di livello normalmente quando si utilizza l'Installazione guidata di Active Directory per forzare l'abbassamento di livello in Windows Server 2003 e in Windows 2000 Server

    Nota

    Se il controller di dominio esegue Microsoft Small Business Server, non è possibile eseguire questo passaggio, perché Small Business Server non può essere aggiunto a un dominio esistente come controller di dominio aggiuntivo (replica). Se si dispone di un backup dello stato del sistema più recente della durata della rimozione definitiva, ripristinare tale backup dello stato del sistema invece di rimuovere Active Directory dal server. Per impostazione predefinita, la durata dell'oggetto contrassegnato per la rimozione definitiva è di 60 giorni.

  14. Se non è disponibile alcun backup dello stato del sistema e non sono presenti altri controller di dominio integri nel dominio, è consigliabile ricreare il dominio rimuovendo Active Directory e quindi reinstallando Active Directory nel server, creando un nuovo dominio. È possibile utilizzare di nuovo il vecchio nome di dominio o un nuovo nome di dominio. È inoltre possibile ricreare il dominio riformattando e reinstallando Windows sul server. Tuttavia, la rimozione di Active Directory è più rapida ed effettivamente rimuove il database di Active Directory danneggiato.

    Se non è disponibile alcun backup dello stato del sistema, non sono presenti altri controller di dominio integri nel dominio ed è necessario che il controller di dominio funzioni immediatamente, eseguire un ripristino con perdita utilizzando Ntdsutil o Esentutl.

    Nota

    Microsoft non supporta i controller di dominio dopo l'utilizzo di Ntdsutil o Esentutl per il ripristino da un danneggiamento del database di Active Directory. Se si esegue questo tipo di ripristino, è necessario ricreare il controller di dominio perché Active Directory sia in una configurazione supportata. Il comando di ripristino in Ntdsutil utilizza l'utilità Esentutl per eseguire un ripristino con perdita di dati del database. Questo tipo di ripristino consente di correggere il danneggiamento eliminando i dati dal database. Utilizzare solo questo tipo di ripristino come ultima risorsa.

    Anche se il controller di dominio potrebbe avviarsi e potrebbe sembrare funzionare correttamente dopo il ripristino, il relativo stato non è supportato perché i dati eliminati dal database possono causare un numero qualsiasi di problemi che potrebbero non verificarsi fino a un secondo momento. Non è possibile determinare quali dati sono stati eliminati durante il ripristino del database. Appena possibile dopo il ripristino, è necessario ricreare il dominio per ripristinare Active Directory a una configurazione supportata. Se si utilizzano solo i metodi di deframmentazione offline o di analisi semantica del database a cui si fa riferimento in questo articolo, non è necessario ricreare il controller di dominio in seguito.

  15. Prima di eseguire un ripristino con perdita di dati, contattare il Servizio Supporto Tecnico Clienti Microsoft per verificare di aver esaminato tutte le possibili opzioni di ripristino e di verificare che il database sia effettivamente in uno stato irreversibile. Per un elenco completo dei numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi del supporto, visitare il seguente sito Web Microsoft:

    Contattare il supporto tecnico Microsoft

    In un Windows di dominio basato su server 2000, utilizzare Ntdsutil per ripristinare il database di Active Directory. A tale scopo, digitare ntdsutil files repair al prompt dei comandi in Modalità ripristino servizio directory.

    Per eseguire un ripristino con perdita di dati di un controller di dominio basato su Windows Server 2003, utilizzare lo strumento Esentutl.exe per ripristinare il database di Active Directory. A tale scopo, digitare esentutl /p al prompt dei comandi nel controller di dominio basato su Windows Server 2003.

  16. Al termine dell'operazione di ripristino, rinominare i file con estensione log nella cartella NTDS utilizzando un'estensione diversa, ad esempio bak, e provare ad avviare il controller di dominio in modalità normale.

  17. Se è possibile avviare il controller di dominio in modalità normale dopo il ripristino, eseguire la migrazione degli oggetti Active Directory rilevanti in una nuova foresta il prima possibile. Poiché questo metodo di ripristino con perdita risolve il danneggiamento eliminando i dati, può causare problemi successivi estremamente difficili da risolvere. Alla prima opportunità dopo il ripristino, è necessario ricreare il dominio per riportare Active Directory a una configurazione supportata.

    È possibile eseguire la migrazione di utenti, computer e gruppi utilizzando l'Utilità di migrazione ad Active Directory (ADMT), Ldifde o uno strumento di migrazione non Microsoft. ADMT può eseguire la migrazione di account utente, account computer e gruppi di sicurezza con o senza la cronologia degli identificatori di sicurezza (SID). ADMT esegue anche la migrazione dei profili utente. Per utilizzare ADMT in un ambiente Small Business Server, vedere il white paper "Migrazione da Small Business Server 2000 o Windows 2000 Server". Per ottenere questo white paper, visitare il seguente sito Web Microsoft:

    Migrazione da Small Business Server 2000 o Windows 2000 Server a Windows Small Business Server 2003

    È possibile utilizzare Ldifde per esportare e importare molti tipi di oggetti dal dominio danneggiato al nuovo dominio. Questi oggetti includono account utente, account computer, gruppi di sicurezza, unità organizzative, siti di Active Directory, subnet e collegamenti di sito. Ldifde non può eseguire la migrazione della cronologia SID. Ldifde fa parte di Windows 2000 Server e Windows Server 2003.

    Per ulteriori informazioni su come utilizzare Ldifde, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

    237677 utilizzo di Ldifde per importare ed esportare oggetti directory in Active Directory

    È possibile utilizzare Console Gestione Criteri di gruppo per esportare il file system e la parte Active Directory dell'oggetto Criteri di gruppo dal dominio danneggiato al nuovo dominio.

    Per ottenere la Console Gestione Criteri di gruppo, visitare il seguente sito Web Microsoft:

    Servizi cloud computing

    Per informazioni su come eseguire la migrazione degli oggetti Criteri di gruppo tramite la Console Gestione Criteri di gruppo, vedere il white paper "Eseguire la migrazione degli oggetti Criteri di gruppo tra domini con Console Gestione Criteri di gruppo". Per ottenere questo white paper, visitare il seguente sito Web Microsoft:

    Migrazione di oggetti Criteri di gruppo tra domini

  18. Dopo il ripristino, valutare il piano di backup corrente per assicurarsi di aver pianificato i backup dello stato del sistema con una frequenza sufficiente. Pianificare i backup dello stato del sistema almeno ogni giorno o dopo ogni modifica significativa. I backup dello stato del sistema devono contenere il livello di tolleranza di errore richiesto. Ad esempio, non archiviare i backup nella stessa unità del computer di cui si esegue il backup. Quando possibile, utilizzare più controller di dominio per evitare un singolo punto di errore. Archiviare i backup in una posizione fuori sede in modo che un'emergenza del sito (incendio, furto, inondazione, furto di computer) non influisca sulla capacità di ripristino. I siti Web Microsoft seguenti consentono di sviluppare un piano di backup.