启动基于 Windows 或基于 SBS 的域控制器时出现“Directory Services cannot start”(目录服务无法启动)错误消息
概要本文引导您完成一系列步骤,这些步骤或许可以帮助您诊断出现目录服务无法启动系统错误的原因。这些步骤可能包括:
验证 Active Directory 目录服务文件是否存在
验证文件系统权限是否正确
检查 Active Directory 数据库的完整性
执行语义数据库分析
修复 Active Directory 数据库
删除并重新创建 Active Directory 数据库

本文还介绍如何使用 Ntdsutil Esentutl Active Directory 数据库执行损失修复。由于损失修复会删除数据并且可能会带来新的问题,因此除非绝对必要,否则不要执行损失修复。
症状当您启动域控制器时,屏幕可能会变黑,并且您可能会收到以下错误消息:
LSASS.EXE -
系统错误,由于下列错误,安全帐户管理器初始化失败:目录服务无法启动。错误状态: 0xc00002e1

请单击确定,关闭这个系统并重新启动到目录服务还原模式中。有关详细信息,请查阅事件日志。
此外,事件日志中还可能显示下列事件 ID 消息:
事件 ID700
描述:“NTDS (260) 联机碎片整理正开始全面检查数据库 NTDS.DIT

事件 ID701
描述:“NTDS (268) 联机碎片整理已完成对数据库‘C:\WINNT\NTDS\ntds.dit’的全面检查。

事件 ID101
描述:“NTDS (260) 数据库引擎停止。

事件 ID1004
描述:目录成功关闭。

事件 ID1168
描述:错误:出现 1032 (fffffbf8)。(内部 ID 4042b)。请与 Microsoft 产品支持服务联系以获得帮助。

事件 ID1103
描述:“Windows 目录服务数据库无法初始化,并返回错误 1032。无法恢复错误,目录无法继续。

原因发生此问题的原因是出现了下列一种或多种情况: • NTFS 文件系统对驱动器根目录的权限限制过于严格。
• NTFS
文件系统对 NTDS 文件夹的权限限制过于严格。
包含 Active Directory 数据库的卷的驱动器号已更改。
• Active Directory
数据库 (Ntds.dit) 已损坏。
• NTDS
文件夹已被压缩。

解决方案要解决此问题,请按照下列步骤操作: 1. 重新启动域控制器。
2.
当显示 BIOS 信息时,按 F8
3.
选择目录服务还原模式,然后按 Enter
4.
使用目录服务还原模式密码登录。

注意:如果无法登录,请参见以下 Microsoft 知识库文章:
249321 ([url]http://support.microsoft.com/kb/249321/[/url])
如果启动分区的驱动器号更改则无法登录  
5.
单击开始,选择运行,在打开框中键入 cmd,然后单击确定
6.
在命令提示符处,键入 ntdsutil files info

即会显示与以下内容类似的输出:

Drive Information:

C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)

DS Path Information:

Database   :C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb
Backup dir :C:\WINDOWS\NTDS\dsadata.bak
Working dir:C:\WINDOWS\NTDS
Log dir    :C:\WINDOWS\NTDS - 42.1 Mb total
temp.edb - 2.1 Mb
res2.log - 10.0 Mb
res1.log - 10.0 Mb
edb00001.log - 10.0 Mb
edb.log - 10.0 Mb

注意:在下面的注册表子项中,也可以找到该输出中所包含的文件位置:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
该项中的下列条目包含这些文件位置 • Database Backup path
• Database Log files path
• DSA Working Directory

7.
验证步骤 6 的输出中所列出的文件是否存在。如果这些文件不存在,请按照下面 Microsoft 知识库中的步骤操作:
240362 ([url]http://support.microsoft.com/kb/240362/[/url])
目录服务在缺少 Ntds.dit 文件时无法启动  
8.
验证 Ntdsutil 输出中的文件夹是否具有正确的权限。下表中指定了正确的权限。
Windows Server 2003
帐户 权限 继承
System
完全控制 该文件夹、子文件夹和文件
Administrator s
完全控制 该文件夹、子文件夹和文件
Creator Owner
完全控制 只有子文件夹和文件
Local Service
创建文件夹/附加数据 该文件夹和子文件夹

Windows 2000
帐户 权限 继承
Administrator s
完全控制 该文件夹、子文件夹和文件
System
完全控制 该文件夹、子文件夹和文件
注意:此外,System 帐户还需要对下列文件夹具有完全控制权限:包含 Ntds 文件夹的驱动器根目录
• %WINDIR%
文件夹
Windows Server 2003 中,%WINDIR% 文件夹的默认位置是 C:\WINDOWS。在 Windows 2000 中,%WINDIR% 文件夹的默认位置是 C:\WINNT
9.
检查 Active Directory 数据库的完整性。为此,请在命令提示符处键入 ntdsutil files integrity

如果完整性检查指示没有错误,请以正常模式重新启动域控制器。如果完整性检查在发现错误时停止,请继续执行下面的步骤。
10.
执行语义数据库分析。为此,请在命令提示符处键入以下命令,包括引号:
ntdsutil "sem d a" go
11.
如果语义数据库分析指示没有错误,请继续执行下面的步骤。如果分析报告任何错误,请在命令提示符处键入下面的命令,包括引号:
ntdsutil "sem d a" "go f"
12.
按照下面 Microsoft 知识库中的步骤操作,对 Active Directory 数据库执行脱机碎片整理:
232122 ([url]http://support.microsoft.com/kb/232122/[/url])
Active Directory 数据库执行脱机碎片整理  
13.
如果在执行脱机碎片整理后问题仍旧存在,并且同一域中存在其他运行正常的域控制器,请将 Active Directory 从服务器中删除,然后再重新安装该服务。为此,请按照下面 Microsoft 知识库文章中如果域控制器无法在正常模式下启动一节中的步骤操作:
332199 ([url]http://support.microsoft.com/kb/332199/[/url])
Windows Server 2003 Windows 2000 Server 中使用 Active Directory 安装向导强制降级时,域控制器无法正常降级
注意:如果您的域控制器运行的是 Microsoft Small Business Server,则无法执行该步骤,原因是无法将 Small Business Server 作为附加域控制器(副本)添加到现有域中。如果您的系统状态备份比逻辑删除存留时间要新,请还原该系统状态备份,而不用将 Active Directory 从服务器中删除。默认情况下,逻辑删除存留时间为 60 天。

有关如何还原系统状态备份的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
240363 ([url]http://support.microsoft.com/kb/240363/[/url])
如何在 Windows 2000 中使用备份程序备份和还原系统状态  
14.
如果未提供系统状态备份,并且域中没有其他正常运行的域控制器,则建议您重建该域,方法是:将 Active Directory 从服务器中删除,然后再重新安装该服务,新建一个域。仍可以使用旧域名,也可以使用新域名。此外,通过在服务器上重新格式化并重新安装 Windows,也可以重建该域。不过,删除 Active Directory 的过程较快,并且可以有效删除损坏的 Active Directory 数据库。

如果未提供系统状态备份,域中也没有其他正常运行的域控制器,并且必须使该域控制器正常工作,请使用 Ntdsutil Esentutl 执行损失修复。

注意:使用 Ntdsutil Esentutl 从损坏的 Active Directory 数据库恢复之后,Microsoft 不支持域控制器。如果执行这种修复,必须重建域控制器才能使 Active Directory 处于受支持的配置中。Ntdsutil 中的修复命令使用 Esentutl 实用工具对数据库执行损失修复。这种修复通过从数据库删除数据来对损坏进行修复。如非绝对必要,请勿使用这种修复。

虽然在修复后域控制器可以启动并且似乎可以正常运行,但由于从数据库中删除的数据可能会导致发生任意数量的问题(可能以后才会出现),因此该域控制器的状态是不受支持的。无法确定修复数据库时删除了哪些数据。修复后,必须尽快重建域以使 Active Directory 恢复到受支持的配置。如果只使用本文中提及的脱机碎片整理方法或语义数据库分析方法,则修复后就不必重建域控制器。
15.
在执行损失修复之前,请与 Microsoft 产品支持服务联系以确认您是否已查看了所有可能的恢复选项并验证数据库是否确实处于不可恢复的状态。有关如何与 Microsoft 产品 支持服务联系的信息,请访问下面的 Microsoft 网站:
[url]http://support.microsoft.com/default.aspx?scid=fh;zh-cn;CNTACTMS[/url] ([url]http://support.microsoft.com/default.aspx?scid=fh;zh-cn;cntactms[/url])
要使用 Ntdsutil 恢复 Active Directory 数据库,请在目录服务还原模式下,在命令提示符处键入 ntdsutil files repair
16.
完成修复操作以后,请使用一个不同的扩展名(如 .bak)重命名 NTDS 文件夹中的 .log 文件,然后尝试在正常模式下启动域控制器。
17.
如果在修复后可以在正常模式下启动域控制器,请尽快将相关的 Active Directory 对象迁移到新的目录林中。由于这种损失修复方法通过删除数据来对损坏进行修复,因此可能会导致以后发生极难解决的问题。在修复后,必须尽快重建域以使 Active Directory 恢复到受支持的配置。

可以使用 Active Directory 迁移工具 (ADMT) Ldifde 或非 Microsoft 迁移工具来迁移用户、计算机和组。ADMT 迁移用户帐户、计算机帐户和安全组时可以带也可以不带安全标识符 (SID) 历史记录。ADMT 还可以迁移用户配置文件。因为 Small Business Server 不支持信任,所以 ADMT 无法迁移 SBS 中的对象。必须存在信任 ADMT 才能运行。要获取 ADMT,请访问下面的 Microsoft 网站:
[url]http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp[/url] ([url]http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp[/url])


您可以使用 Ldifde 将许多类型的对象从损坏的域导出或导入到新域。这些对象包括用户帐户、计算机帐户、安全组、组织单位、Active Directory 站点、子网和网站链接。Ldifde 不能迁移 SID 历史记录。Ldifde Windows 2000 Server Windows Server 2003 的一部分。 有关如何使用 Ldifde 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
237677 ([url]http://support.microsoft.com/kb/237677/[/url])
使用 LDIFDE 将目录对象导入或导出到 Active Directory
您可以使用组策略管理控制台 (GPMC) 将组策略对象的文件系统和 Active Directory 部分从损坏的域导出到新域。

要获取 GPMC,请访问下面的 Microsoft 网站:
[url]http://go.microsoft.com/fwlink/?linkid=12946[/url] ([url]http://go.microsoft.com/fwlink/?linkid=12946[/url])
有关如何使用 GPMC 迁移组策略对象的信息,请查看白皮书“Migrate GPOs across domains with GPMC”(使用 GPMC 跨域迁移 GPO)。要获取此白皮书,请访问下面的 Microsoft 网站:
[url]http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx[/url] ([url]http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx[/url])
18.
恢复后,请评估当前的备份计划以确保安排足够频繁的系统状态备份。至少安排每天备份一次系统状态,或每次发生重大更改后进行备份。系统状态备份必须包含所需的容错级别。例如,不要将备份与要备份的计算机存储在同一驱动器上。请尽可能地使用多个域控制器来避免单点故障。请将备份存储在一个远离现场的位置,这样,当现场发生灾难(火灾、失窃、水灾、计算机失窃)时不会影响您的恢复能力。下列 Microsoft 网站可帮助您制定备份计划。 • Windows Server 2003
[url]http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/pdpbd_con_ciyr.asp[/url] ([url]http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/pdpbd_con_ciyr.asp[/url])
• Windows 2000

[url]http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/featusability/c14w2kad.mspx[/url] ([url]http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/featusability/c14w2kad.mspx[/url])
• Small Business Server

[url]http://www.microsoft.com/technet/prodtechnol/sbs/2000/maintain/bkuprcvr.mspx[/url] ([url]http://www.microsoft.com/technet/prodtechnol/sbs/2000/maintain/bkuprcvr.mspx[/url])
有关 Active Directory 灾难恢复的更多信息,请访问下面的 Microsoft 网站:
[url]http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/support/adrecov.mspx[/url]