當您啟動 Windows 的網域控制站時發生錯誤:目錄服務無法啟動

本文說明如何從損壞的 Active Directory 資料庫或類似的問題復原,以防止電腦在正常模式中啟動。

原始產品版本:   Windows Server 2003
原始 KB 編號:   258062

摘要

本文將引導您完成一系列步驟,可協助您診斷 目錄服務無法啟動 系統錯誤的原因。 這些步驟可能包括:

  • 驗證 Active Directory 目錄服務檔是否存在。
  • 驗證檔案系統許可權是否正確。
  • 檢查 Active Directory 資料庫的完整性。
  • 執行語義資料庫分析。
  • 修復 Active Directory 資料庫。
  • 移除並重新建立 Active Directory 資料庫。

本文也會告訴您如何使用 Ntdsutil 或 Esentutl 執行 Active Directory 資料庫的損損修復。 因為損損修復會刪除資料,而且可能會引入新的問題,所以只有當它是唯一可用的選項時,才執行損損修復。

徵狀

當您啟動您的網域控制站時,畫面可能會是空白的,而且您可能會收到下列錯誤訊息:

LSASS.EXE-系統錯誤,由於下列錯誤,安全性帳戶管理員初始化失敗:無法啟動目錄服務。 錯誤狀態0xc00002e1。

請按一下 [確定] 關閉此系統,並重新啟動進入目錄服務還原模式,檢查事件記錄檔以取得更詳細的資訊。

此外,事件記錄檔中也可能會出現下列事件識別碼訊息:

事件 ID: 700
描述:「NTDS (260) 線上磁碟重組正開始進行資料庫 NTDS 的傳遞。DIT。
事件 ID: 701
描述:「NTDS (268) 線上磁碟重組已完成資料庫 ' C:\WINNT\NTDS\ntds.dit ' 的完整掃描。
事件 ID: 101
描述:「NTDS (260) 資料庫引擎已停止。」
事件 ID: 1004
描述:「成功關閉目錄」。
事件 ID: 1168
描述:「錯誤: 1032 (fffffbf8) 發生。 (內部識別碼 4042b) 。 請與 Microsoft 產品支援服務聯繫以取得協助。」
事件 ID: 1103
Description: "windows 目錄服務資料庫無法初始化,並傳回錯誤1032。 無法復原的錯誤,目錄無法繼續。

原因

發生此問題的原因是下列一或多個條件成立:

  • 磁片磁碟機根目錄的 NTFS 檔案系統許可權過於嚴格。
  • NTDS 資料夾的 NTFS 檔案系統許可權過於嚴格。
  • 包含 Active Directory 資料庫之磁片區的磁碟機號已變更。
  • Active Directory 資料庫 (ntds.dit) 損毀。
  • NTDS 資料夾已經壓縮。

解決方案

若要解決此問題,請遵循下列步驟:

  1. 重新開機網域控制站。

  2. 顯示 BIOS 資訊時,按 F8 鍵。

  3. 選取 [ 目錄服務還原模式],然後按 enter。

  4. 使用目錄服務還原模式密碼登入。

  5. 按一下 [開始],選取 [執行],在 [開啟] 方塊中輸入 cmd ,然後按一下 [確定]

  6. 在命令提示字元處,輸入 ntdsutil files info

    如下所示的輸出:

    磁片磁碟機資訊:

    C:\NTFS (固定磁片磁碟機 ) 可用 (533.3 Mb) 總計 (4.1 Gb)

    DS 路徑資訊:

    資料庫: C:\WINDOWS\NTDS\ntds.dit-10.1 Mb 備份目錄: C:\WINDOWS\NTDS\dsadata.bak 工作目錄: C:\WINDOWS\NTDS 記錄目錄: C:\WINDOWS\NTDS-42.1 Mb 總的 .edb-2.1 Mb res2. 記錄檔-10.0 Mb res1. 記錄檔-10.0 mb. 記錄-10.0 mb

    注意

    下列的登錄子機碼中也會找到此輸出中包含的檔案位置:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    此機碼中的下列專案包含檔位置:

    • 資料庫備份路徑
    • 資料庫記錄檔路徑
    • DSA 工作目錄
  7. 驗證在步驟6的輸出中所列的檔案是否存在。

  8. 確認 Ntdsutil 輸出中的資料夾具有正確的許可權。 下表指定正確的許可權。

    Windows Server 2003

    帳戶 權限 繼承
    系統 完全控制 這個資料夾、子資料夾及檔案
    系統管理員 完全控制 這個資料夾、子資料夾及檔案
    建立者擁有者 完全控制 僅子資料夾及檔案
    本機服務 建立資料夾/附加資料 這個資料夾及子資料夾

    Windows 2000

    帳戶 權限 繼承
    系統管理員 完全控制 這個資料夾、子資料夾及檔案
    系統 完全控制 這個資料夾、子資料夾及檔案

    注意

    此外,系統帳戶需要下列資料夾的「完全控制」許可權:

    • 包含 Ntds 資料夾之磁片磁碟機的根目錄
    • % WINDIR% 資料夾

    在 Windows Server 2003 中,% WINDIR% 資料夾的預設位置為 C:\WINDOWS。 在 Windows 2000 中,% WINDIR% 資料夾的預設位置為 C:\WINNT。

  9. 檢查 Active Directory 資料庫的完整性。 若要這麼做,請在命令提示字元處輸入 ntdsutil files 整體性

    如果完整性檢查指出沒有錯誤,請以正常模式重新開機網域控制站。 如果完整性檢查沒有錯誤完成,請繼續執行下列步驟。

  10. 執行語義資料庫分析。 若要這麼做,請在命令提示字元處輸入下列命令,包含引號:

    ntdsutil "sem d a" go
    
  11. 如果語義資料庫分析指出沒有錯誤,請繼續執行下列步驟。 如果分析報告任何錯誤,請在命令提示字元處輸入下列命令,包含引號:

    ntdsutil "sem d a" "go f"
    
  12. 請遵循下列 Microsoft 知識庫文章中的步驟,以執行 Active Directory 資料庫的離線磁碟重組:

    232122 執行 Active Directory 資料庫的離線整理

  13. 如果在離線磁碟重組之後仍存在問題,且相同網域中有其他運作中的網域控制站,請從伺服器移除 Active Directory,然後重新安裝 Active Directory。 若要這麼做,請遵循下列 Microsoft 知識庫文章中「變通方法」一節中的步驟:

    當您使用 Active Directory 安裝精靈在 Windows Server 2003 和 Windows 2000 伺服器中強制降級時,不會適當地降級網域控制站332199

    注意

    如果您的網域控制站執行的是 Microsoft Small Business 伺服器,您就無法執行此步驟,因為小型商務伺服器不能新增至現有的網域,做為額外的網域控制站 (複本) 。 如果您的系統狀態備份比邏輯刪除存留時間新,請還原該系統狀態備份,而不是從伺服器移除 Active Directory。 根據預設,tombstone 存留期是60天。

  14. 如果沒有可用的系統狀態備份,而且網域中沒有其他正常運作的網域控制站,我們建議您先移除 Active Directory,然後在伺服器上重新安裝 Active Directory,以建立新的網域,以重建網域。 您可以再次使用舊的功能變數名稱,也可以使用新的功能變數名稱。 您也可以在伺服器上重新格式化並重新安裝 Windows,以重建網域。 不過,移除 Active Directory 的速度較快,且有效地移除已損壞的 Active Directory 資料庫。

    如果沒有可用的系統狀態備份,則網域中沒有其他健康的網域控制站,而且您必須立即使用網域控制站,使用 Ntdsutil 或 Esentutl 執行損妥修復。

    注意

    Microsoft 不支援使用 Ntdsutil 或 Esentutl 從 Active Directory 資料庫損壞復原後的網域控制站。 若執行這種修復,您必須為 Active Directory 重新建立網域控制站,使其成為受支援的設定。 Ntdsutil 中的修復命令會使用 Esentutl 公用程式,對資料庫進行損損修復。 這種修復方式會從資料庫中刪除資料,以修正損毀。 請只以這種修復方式做為最後的手段。

    雖然在修復之後,網域控制站可能會開始,而且似乎可以正常運作,但因為從資料庫刪除的資料可能會導致任何數目的問題,直到之後才會呈現。 沒有任何方法可以判斷修復資料庫時所刪除的資料。 修復之後,您必須將網域重新構建為可將 Active Directory 傳回支援的設定。 如果您只使用本文所提及的離線磁碟重組或語義資料庫分析方法,則不需要在以後重建網域控制站。

  15. 在您執行損損修復之前,請與 Microsoft 產品支援服務聯繫,以確認您已檢查所有可能的復原選項,並確認資料庫確實處於不可恢復的狀態。 如需 Microsoft 產品支援服務電話號碼的完整清單,以及有關支援成本的資訊,請造訪下列 Microsoft 網站:

    與 Microsoft 支援人員聯繫

    在 Windows 2000 伺服器的網域控制站上,使用 Ntdsutil 來復原 Active Directory 資料庫。 若要這麼做,請在目錄服務還原模式中,于命令提示字元處輸入 ntdsutil files 修復

    若要對以 Windows Server 2003 為基礎的網域控制站執行損損修復,請使用 Esentutl.exe 工具來復原 Active Directory 資料庫。 若要執行此動作,請在 Windows Server 2003 的網域控制站上,于命令提示字元處輸入 esentutl/p

  16. 修復作業完成後,請使用不同的副檔名(例如 .bak)來重新命名 NTDS 資料夾中的 .log 檔案,並嘗試在正常模式中啟動網域控制站。

  17. 如果您可以在修復之後于一般模式中啟動網域控制站,請儘快將相關的 Active Directory 物件遷移至新的樹系。 因為此損毀修復方法會因刪除資料而修正損毀,所以可能會導致較晚的問題,以極難進行疑難排解。 在修復之後的第一個機會中,您必須重建網域,使 Active Directory 回到支援的設定。

    您可以使用 Active Directory 遷移工具 (ADMT) 、Ldifde 或非 Microsoft 遷移工具來遷移使用者、電腦和群組。 ADMT 可以遷移使用者帳戶、電腦帳戶和安全性群組,但不含安全性識別碼 (SID) 歷程記錄。 ADMT 也會遷移使用者設定檔。 若要在小型商務伺服器環境中使用 ADMT,請參閱「從小型企業伺服器2000或 Windows 2000 伺服器遷移」白皮書。 若要取得此白皮書,請流覽下列 Microsoft 網站:

    從小型企業伺服器2000或 Windows 2000 伺服器遷移至 Windows Small Business Server 2003

    您可以使用 Ldifde,將許多類型的物件從損壞的網域匯出及匯入至新的網域。 這些物件包含使用者帳戶、電腦帳戶、安全性群組、組織單位、Active Directory 網站、子網及網站連結。 Ldifde 無法遷移 SID 歷程記錄。 Ldifde 是 Windows 2000 Server 和 Windows Server 2003 的一部分。

    如需如何使用 Ldifde 的詳細資訊,請按一下下列文章編號,以查看 Microsoft 知識庫中的文章:

    237677 使用 Ldifde 將目錄物件匯入及匯出至 Active directory

    您可以使用「群組原則管理」主控台 (GPMC) ,將檔案系統和「群組原則」物件的 Active Directory 部分從損壞的網域匯出至新的網域。

    若要取得 GPMC,請流覽下列 Microsoft 網站:

    雲端計算服務

    如需如何使用 GPMC 遷移「群組原則」物件的詳細資訊,請參閱「透過 GPMC 遷移多個網域」白皮書。 若要取得此白皮書,請流覽下列 Microsoft 網站:

    跨網域遷移 Gpo

  18. 復原之後,請評估目前的備份計畫,以確定您的系統狀態備份已足夠頻繁。 每日至少或每次重大變更時,安排系統狀態備份。 系統狀態備份必須包含必要的容錯層級。 例如,不要將備份儲存在要備份的電腦所在的磁片磁碟機上。 請盡可能使用一個以上的網域控制站,以避免單一失敗點。 將備份儲存在離站的位置,這樣就能 (火災、盜竊、淹沒、電腦盜竊) 不會影響您的復原能力。 下列 Microsoft 網站可以協助您開發備份計畫。