AD完整校验.docx

本文引导您完成一系列步骤，这些步骤或许可以帮助您诊断“目录服务无法启动”系统错误的原因。这些步骤可能包括：验证Active Directory目录服务文件是否存在验证文件系统权限是否正确检查Active Directory数据库的完整性执行语义数据库分析修复Active Directory数据库删除并重新创建Active Directory数据库本文还介绍如何使用Ntdsutil或Esentutl对Active Directory数据库执行损失修复。由于损失修复会删除数据并且可能会带来新的问题，因此除非绝对必要，否则不要执行损失修复。回到顶端症状当您启动域控制器时，屏幕可能会变黑，并且您可能会收到以下错误消息：LSASS.EXE -系统错误，由于下列错误，安全帐户管理器初始化失败：目录服务无法启动。错误状态0xc00002e1。请单击“确定”，关闭这个系统并重新启动到目录服务还原模式中。有关详细信息，请查阅事件日志。此外，事件日志中还可能显示下列事件ID消息：事件ID: 700描述: “NTDS (260)联机碎片整理正开始全面检查数据库NTDS.DIT。”事件ID: 701描述: “NTDS (268)联机碎片整理已完成对数据库C:WINNTNTDSntds.dit的全面检查。”事件ID: 101描述: “NTDS (260)数据库引擎已停止。”事件ID: 1004描述: “目录成功关闭。”事件ID: 1168描述: “错误:出现1032 (fffffbf8)。(内部ID 4042b)。请与Microsoft产品支持服务联系以获得帮助。”事件ID: 1103描述: “Windows目录服务数据库无法初始化，并返回错误1032。无法恢复错误，目录无法继续。”回到顶端原因发生此问题的原因是出现了下列一种或多种情况：NTFS文件系统对驱动器根目录的权限限制过于严格。NTFS文件系统对NTDS文件夹的权限限制过于严格。包含Active Directory数据库的卷的驱动器号已更改。Active Directory数据库(Ntds.dit)已损坏。NTDS文件夹已被压缩。回到顶端解决方案要解决此问题，请按照下列步骤操作：1.重新启动域控制器。2.当显示BIOS信息时，按F8。3.选择“目录服务还原模式”，然后按Enter。4.使用目录服务还原模式的密码登录。注意：如果无法登录，请访问以下Microsoft知识库文章：249321如果启动分区的驱动器号更改则无法登录5.单击“开始”，选择“运行”，在“打开”框中键入cmd，然后单击“确定”。6.在命令提示符处，键入ntdsutil files info。即会显示与以下内容类似的输出：7.驱动器信息:8.9.C: NTFS (Fixed Drive) free(533.3 Mb) total(4.1 Gb)10.11.DS路径信息:12.13.Database:C:WINDOWSNTDSntds.dit - 10.1 Mb14.Backup dir :C:WINDOWSNTDSdsadata.bak15.Working dir:C:WINDOWSNTDS16.Log dir:C:WINDOWSNTDS - 42.1 Mb total17.temp.edb - 2.1 Mb18.res2.log - 10.0 Mb19.res1.log - 10.0 Mb20.edb00001.log - 10.0 Mbedb.log - 10.0 Mb注意：在下面的注册表子项中，也可以找到该输出中所包含的文件位置：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNTDSParameters该项中的下列条目包含这些文件位置oDatabase Backup pathoDatabase Log files pathoDSA Working Directory21.验证步骤6的输出中所列出的文件是否存在。如果这些文件不存在，请按照以下Microsoft知识库文章中的步骤操作：240362目录服务在缺少Ntds.dit文件时无法启动22.验证Ntdsutil输出中的文件夹是否具有正确的权限。下列表格中指定了正确的权限。回到顶端Windows Server 2003帐户权限继承系统完全控制此文件夹、子文件夹和文件管理员完全控制此文件夹、子文件夹和文件创建者所有者完全控制只有子文件夹和文件本地服务创建文件夹/附加数据此文件夹和子文件夹回到顶端Windows 2000帐户权限继承管理员完全控制此文件夹、子文件夹和文件系统完全控制此文件夹、子文件夹和文件注意：此外，系统帐户还需要对下列文件夹具有“完全控制”权限：o包含Ntds文件夹的驱动器根目录o%WINDIR%文件夹在Windows Server 2003中，%WINDIR%文件夹的默认位置是C:WINDOWS。在Windows 2000中，%WINDIR%文件夹的默认位置是C:WINNT。23.检查Active Directory数据库的完整性。为此，请在命令提示符处键入ntdsutil files integrity。如果完整性检查指示没有错误，请以正常模式重新启动域控制器。如果完整性检查在发现错误时停止，请继续执行下面的步骤。24.执行语义数据库分析。为此，请在命令提示符处键入以下命令，包括引号：ntdsutil sem d a go25.如果语义数据库分析指示没有错误，请继续执行下面的步骤。如果分析报告任何错误，请在命令提示符处键入下面的命令，包括引号：ntdsutil sem d a go f26.按照以下Microsoft知识库文章中的步骤操作，对Active Directory数据库执行脱机碎片整理：232122对Active Directory数据库执行脱机碎片整理27.如果在执行脱机碎片整理后问题仍旧存在，并且同一域中存在其他运行正常的域控制器，请将Active Directory从服务器中删除，然后再重新安装该服务。为此，请按照以下Microsoft知识库文章中“替代方法”一节介绍的步骤操作：332199在Windows Server 2003和Windows 2000 Server中使用Active Directory安装向导强制降级时，域控制器无法正常降级注意：如果您的域控制器运行的是Microsoft Small Business Server，则无法执行该步骤，原因是无法将Small Business Server作为附加域控制器（副本）添加到现有域中。如果您的系统状态备份比逻辑删除生存时间要新，请还原该系统状态备份，而不用将Active Directory从服务器中删除。默认情况下，逻辑删除的生存时间为60天。有关如何还原系统状态备份的更多信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：240363如何在Windows 2000中使用备份程序备份和还原系统状态28.如果未提供系统状态备份，并且域中没有其他正常运行的域控制器，则建议您重建该域，方法是：将Active Directory从服务器中删除，然后再重新安装该服务，新建一个域。仍可以使用旧域名，也可以使用新域名。此外，通过在服务器上重新格式化并重新安装Windows，也可以重建该域。不过，删除Active Directory的过程较快，并且可以有效删除损坏的Active Directory数据库。如果未提供系统状态备份，域中也没有其他正常运行的域控制器，并且必须使该域控制器立即工作，请使用Ntdsutil或Esentutl执行损失修复。注意：使用Ntdsutil或Esentutl从损坏的Active Directory数据库恢复之后，Microsoft不支持域控制器。如果执行这种修复，必须重建域控制器才能使Active Directory处于受支持的配置中。Ntdsutil中的修复命令使用Esentutl实用工具对数据库执行损失修复。这种修复通过从数据库删除数据来对损坏进行修复。如非绝对必要，请勿使用这种修复。虽然在修复后域控制器可以启动并且似乎可以正常运行，但由于从数据库中删除的数据可能会导致发生任意数量的问题（可能以后才会出现），因此该域控制器的状态是不受支持的。无法确定修复数据库时删除了哪些数据。修复后，必须尽快重建域以使Active Directory恢复到受支持的配置。如果只使用本文中提及的脱机碎片整理方法或语义数据库分析方法，则修复后就不必重建域控制器。29.在执行损失修复之前，请与Microsoft产品支持服务联系以确认您已查看了所有可能的恢复选项并验证数据库是否确实处于不可恢复的状态。有关如何与Microsoft产品支持服务联系的信息，请访问以下Microsoft网站：/default.aspx?scid=fh;zh-cn;CNTACTMS要使用Ntdsutil恢复Active Directory数据库，请在目录服务还原模式下，在命令提示符处键入ntdsutil files repair。30.完成修复操作以后，请使用一个不同的扩展名（如.bak）重命名NTDS文件夹中的.log文件，然后尝试在正常模式下启动域控制器。31.如果在修复后可以在正常模式下启动域控制器，请尽快将相关的Active Directory对象迁移到新的目录林中。由于这种损失修复方法通过删除数据来对损坏进行修复，因此可能会导致以后发生极难解决的问题。在修复后，必须尽快重建域以使Active Directory恢复到受支持的配置。可以使用Active Directory迁移工具(ADMT) Ldifde或非Microsoft迁移工具来迁移用户、计算机和组。ADMT迁移用户帐户、计算机帐户和安全组时可以带也可以不带安全标识符(SID)历史记录。ADMT还可以迁移用户配置文件。要在Small Business Server环境中使用ADMT，请查看白皮书“Migrating from Small Business Server 2000 or Windows 2000 Server”（从Small Business Server 2000或Windows 2000 Server迁移）。要获取此白皮书，请访问下面的Microsoft网站：/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx您可以使用Ldifde将许多类型的对象从损坏的域中导出或导入到新域中。这些对象包括用户帐户、计算机帐户、安全组、组织单位、Active Directory站点、子网和网站链接。Ldifde不能迁移SID历史记录。Ldifde是Windows 2000 Server和Windows Server 2003的一部分。有关如何使用Ldifde的更多信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：237677使用LDIFDE将目录对象导入或导出到Active Directory您可以使用组策略管理控制台(GPMC)将组策略对象的文件系统和Active Directory部分从损坏的域导出到新域中。要获取GPMC，请访问下面的Microsoft网站：/china/windowsserver2003/gpmc/default.mspx有关如何使用GPMC迁移组策略对象的信息，请查看白皮书“利用GPMC在域间迁移GPO”。要获取此白皮书，请访问下面的Microsoft网站：/china/windowsserver2003/gpmc/migrgpo.mspx32.恢复后，请评估当前的备份计划以确保安排足够频繁的系统状态备份。至少安排每天备份一次系统状态，或每次发生重大更改后进行备份。系统状态备份必须包含所需的容错级别。例如，不要将备份与要备份的计算机存储在同一驱动器上。请尽可能地使用多个域控制器来避免单一故障点。请将备份存储在一个远离现场的位置，这样，当现场发生灾难（火灾、失窃、水灾、计算机失窃）时不会影响您的恢复能力。下列Microsoft网站可帮助您制定备份计划。oWindows Server 2003：/windowsserver/en/library/BC401E10-2243-4A4F-9708-2021EA14A7D91033.mspxoWindows 2000：/technet/prodtechnol/windows2000serv/maintain/featusability/c14w2kad.mspxoWindows Small Business Server：/technet/prodtechnol/sbs/2000/maintain/bkuprcvr.mspxoWindows Small Business Server 2003:/downloads/details.aspx?DisplayLang=zh-cn&FamilyID=487736f8-f6f5-436d-a82d-0c8d66e2a634有关Active Directory灾难恢复的更多信息，请访问下面的Microsoft网站：/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en-没有效果.error msg.-Integrity check completed.Database is CORRUPTED, the last full backup of th7:56:47Operation ter