启动基于 Windows 或基于 SBS 的域控制器时出现“Directory Services cannot start”（目录服务无法启动）错误消息

本文引导您完成一系列步骤，这些步骤或许可以帮助您诊断“目录服务无法启动”系统错误的原因。这些步骤可能包括：

·         验证 Active Directory 目录服务文件是否存在

·         验证文件系统权限是否正确

·         检查 Active Directory 数据库的完整性

·         执行语义数据库分析

·         修复 Active Directory 数据库

·         删除并重新创建 Active Directory 数据库

本文还介绍如何使用 Ntdsutil 或 Esentutl 对 Active Directory 数据库执行损失修复。由于损失修复会删除数据并且可能会带来新的问题，因此除非绝对必要，否则不要执行损失修复。

回到顶端

当您启动域控制器时，屏幕可能会变黑，并且您可能会收到以下错误消息：

LSASS.EXE - 系统错误，由于下列错误，安全帐户管理器初始化失败：目录服务无法启动。错误状态 0xc00002e1。

请单击“确定”，关闭这个系统并重新启动到目录服务还原模式中。有关详细信息，请查阅事件日志。

此外，事件日志中还可能显示下列事件 ID 消息：

事件 ID: 700
描述: “NTDS (260) 联机碎片整理正开始全面检查数据库 NTDS.DIT。”

事件 ID: 701
描述: “NTDS (268) 联机碎片整理已完成对数据库‘C:\WINNT\NTDS\ntds.dit’的全面检查。”

事件 ID: 101
描述: “NTDS (260) 数据库引擎已停止。”

事件 ID: 1004
描述: “目录成功关闭。”

事件 ID: 1168
描述: “错误: 出现 1032 (fffffbf8)。(内部 ID 4042b)。请与 Microsoft 产品支持服务联系以获得帮助。”

事件 ID: 1103
描述: “Windows 目录服务数据库无法初始化，并返回错误 1032。无法恢复错误，目录无法继续。”

回到顶端

发生此问题的原因是出现了下列一种或多种情况：

·         NTFS 文件系统对驱动器根目录的权限限制过于严格。

·         NTFS 文件系统对 NTDS 文件夹的权限限制过于严格。

·         包含 Active Directory 数据库的卷的驱动器号已更改。

·         Active Directory 数据库 (Ntds.dit) 已损坏。

·         NTDS 文件夹已被压缩。

回到顶端

要解决此问题，请按照下列步骤操作：

1.    重新启动域控制器。

2.    当显示 BIOS 信息时，按 F8。

3.    选择“目录服务还原模式”，然后按 Enter。

4.    使用目录服务还原模式的密码登录。

注意：如果无法登录，请访问以下 Microsoft 知识库文章：

  ( ) 如果启动分区的驱动器号更改则无法登录

5.    单击“开始”，选择“运行”，在“打开”框中键入 cmd，然后单击“确定”。

6.    在命令提示符处，键入 ntdsutil files info。

即会显示与以下内容类似的输出：

7.  驱动器信息:

8.   

9.  C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)

10.           

11.          DS 路径信息:

12.           

13.          Database   :C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb

14.          Backup dir :C:\WINDOWS\NTDS\dsadata.bak

15.          Working dir:C:\WINDOWS\NTDS

16.          Log dir    :C:\WINDOWS\NTDS - 42.1 Mb total

17.          temp.edb - 2.1 Mb

18.          res2.log - 10.0 Mb

19.          res1.log - 10.0 Mb

20.          edb00001.log - 10.0 Mb

edb.log - 10.0 Mb

注意：在下面的注册表子项中，也可以找到该输出中所包含的文件位置：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

该项中的下列条目包含这些文件位置

o    Database Backup path

o    Database Log files path

o    DSA Working Directory

21. 验证步骤 6 的输出中所列出的文件是否存在。如果这些文件不存在，请按照以下 Microsoft 知识库文章中的步骤操作：

  ( ) 目录服务在缺少 Ntds.dit 文件时无法启动

22. 验证 Ntdsutil 输出中的文件夹是否具有正确的权限。下列表格中指定了正确的权限。

回到顶端

Windows Server 2003

收起该表格展开该表格

回到顶端

Windows 2000

收起该表格展开该表格

注意：此外，系统帐户还需要对下列文件夹具有“完全控制”权限：

o    包含 Ntds 文件夹的驱动器根目录

o    %WINDIR% 文件夹

在 Windows Server 2003 中，%WINDIR% 文件夹的默认位置是 C:\WINDOWS。在 Windows 2000 中，%WINDIR% 文件夹的默认位置是 C:\WINNT。

23. 检查 Active Directory 数据库的完整性。为此，请在命令提示符处键入 ntdsutil files integrity。

如果完整性检查指示没有错误，请以正常模式重新启动域控制器。如果完整性检查在发现错误时停止，请继续执行下面的步骤。

24. 执行语义数据库分析。为此，请在命令提示符处键入以下命令，包括引号：

ntdsutil "sem d a" go

25. 如果语义数据库分析指示没有错误，请继续执行下面的步骤。如果分析报告任何错误，请在命令提示符处键入下面的命令，包括引号：

ntdsutil "sem d a" "go f"

26. 按照以下 Microsoft 知识库文章中的步骤操作，对 Active Directory 数据库执行脱机碎片整理：

  ( ) 对 Active Directory 数据库执行脱机碎片整理

27. 如果在执行脱机碎片整理后问题仍旧存在，并且同一域中存在其他运行正常的域控制器，请将 Active Directory 从服务器中删除，然后再重新安装该服务。为此，请按照以下 Microsoft 知识库文章中“替代方法”一节介绍的步骤操作：

  ( ) 在 Windows Server 2003 和 Windows 2000 Server 中使用 Active Directory 安装向导强制降级时，域控制器无法正常降级

注意：如果您的域控制器运行的是 Microsoft Small Business Server，则无法执行该步骤，原因是无法将 Small Business Server 作为附加域控制器（副本）添加到现有域中。如果您的系统状态备份比逻辑删除生存时间要新，请还原该系统状态备份，而不用将 Active Directory 从服务器中删除。默认情况下，逻辑删除的生存时间为 60 天。

有关如何还原系统状态备份的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

  ( ) 如何在 Windows 2000 中使用备份程序备份和还原系统状态

28. 如果未提供系统状态备份，并且域中没有其他正常运行的域控制器，则建议您重建该域，方法是：将 Active Directory 从服务器中删除，然后再重新安装该服务，新建一个域。仍可以使用旧域名，也可以使用新域名。此外，通过在服务器上重新格式化并重新安装 Windows，也可以重建该域。不过，删除 Active Directory 的过程较快，并且可以有效删除损坏的 Active Directory 数据库。

如果未提供系统状态备份，域中也没有其他正常运行的域控制器，并且必须使该域控制器立即工作，请使用 Ntdsutil 或 Esentutl 执行损失修复。

注意：使用 Ntdsutil 或 Esentutl 从损坏的 Active Directory 数据库恢复之后，Microsoft 不支持域控制器。如果执行这种修复，必须重建域控制器才能使 Active Directory 处于受支持的配置中。Ntdsutil 中的修复命令使用 Esentutl 实用工具对数据库执行损失修复。这种修复通过从数据库删除数据来对损坏进行修复。如非绝对必要，请勿使用这种修复。

虽然在修复后域控制器可以启动并且似乎可以正常运行，但由于从数据库中删除的数据可能会导致发生任意数量的问题（可能以后才会出现），因此该域控制器的状态是不受支持的。无法确定修复数据库时删除了哪些数据。修复后，必须尽快重建域以使 Active Directory 恢复到受支持的配置。如果只使用本文中提及的脱机碎片整理方法或语义数据库分析方法，则修复后就不必重建域控制器。

29. 在执行损失修复之前，请与 Microsoft 产品支持服务联系以确认您已查看了所有可能的恢复选项并验证数据库是否确实处于不可恢复的状态。有关如何与 Microsoft 产品支持服务联系的信息，请访问以下 Microsoft 网站：

()

要使用 Ntdsutil 恢复 Active Directory 数据库，请在目录服务还原模式下，在命令提示符处键入 ntdsutil files repair。

30. 完成修复操作以后，请使用一个不同的扩展名（如 .bak）重命名 NTDS 文件夹中的 .log 文件，然后尝试在正常模式下启动域控制器。

31. 如果在修复后可以在正常模式下启动域控制器，请尽快将相关的 Active Directory 对象迁移到新的目录林中。由于这种损失修复方法通过删除数据来对损坏进行修复，因此可能会导致以后发生极难解决的问题。在修复后，必须尽快重建域以使 Active Directory 恢复到受支持的配置。

可以使用 Active Directory 迁移工具 (ADMT) Ldifde 或非 Microsoft 迁移工具来迁移用户、计算机和组。ADMT 迁移用户帐户、计算机帐户和安全组时可以带也可以不带安全标识符 (SID) 历史记录。ADMT 还可以迁移用户配置文件。要在 Small Business Server 环境中使用 ADMT，请查看白皮书“Migrating from Small Business Server 2000 or Windows 2000 Server”（从 Small Business Server 2000 或 Windows 2000 Server 迁移）。要获取此白皮书，请访问下面的 Microsoft 网站：

()

您可以使用 Ldifde 将许多类型的对象从损坏的域中导出或导入到新域中。这些对象包括用户帐户、计算机帐户、安全组、组织单位、Active Directory 站点、子网和网站链接。Ldifde 不能迁移 SID 历史记录。Ldifde 是 Windows 2000 Server 和 Windows Server 2003 的一部分。 有关如何使用 Ldifde 的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

  ( ) 使用 LDIFDE 将目录对象导入或导出到 Active Directory

您可以使用组策略管理控制台 (GPMC) 将组策略对象的文件系统和 Active Directory 部分从损坏的域导出到新域中。

要获取 GPMC，请访问下面的 Microsoft 网站：

()

有关如何使用 GPMC 迁移组策略对象的信息，请查看白皮书“利用 GPMC 在域间迁移 GPO”。要获取此白皮书，请访问下面的 Microsoft 网站：

()

32. 恢复后，请评估当前的备份计划以确保安排足够频繁的系统状态备份。至少安排每天备份一次系统状态，或每次发生重大更改后进行备份。系统状态备份必须包含所需的容错级别。例如，不要将备份与要备份的计算机存储在同一驱动器上。请尽可能地使用多个域控制器来避免单一故障点。请将备份存储在一个远离现场的位置，这样，当现场发生灾难（火灾、失窃、水灾、计算机失窃）时不会影响您的恢复能力。下列 Microsoft 网站可帮助您制定备份计划。

o    Windows Server 2003：

()

o    Windows 2000：

()

o    Windows Small Business Server：

()

o    Windows Small Business Server 2003: ()

有关 Active Directory 灾难恢复的更多信息，请访问下面的 Microsoft 网站：

---------------

没有效果...

error msg.

----------

Integrity check completed.
Database is CORRUPTED, the last full backup of th
7:56:47