DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 258062 - Geändert am: Dienstag, 30. Juli 2013 - Version: 1.0

Zusammenfassung

Dieser Artikel führt Sie durch eine Reihe von Schritten, die Ihnen helfen können, die Ursache des Systemfehlers "Der Verzeichnisdienst kann nicht gestartet werden" zu ermitteln. Zu diesen Schritten können gehören:
  • Überprüfen, ob die Active Directory-Verzeichnisdienstdateien vorhanden sind
  • Überprüfen, ob die Dateisystemberechtigungen korrekt sind
  • Überprüfen der Integrität der Active Directory-Datenbank
  • Durchführen einer semantischen Analyse der Datenbank
  • Reparieren der Active Directory-Datenbank
  • Entfernen und Neuerstellen der Active Directory-Datenbank
Dieser Artikel beschreibt außerdem die Verwendung der Dienstprogramme "Ntdsutil" oder "Esentutl" zum Durchführen einer verlustbehafteten Reparatur der Active Directory-Datenbank. Da bei einer verlustbehafteten Reparatur Daten gelöscht werden und neue Probleme entstehen können, führen Sie diese Art der Reparatur nur durch, wenn dies die einzig verfügbare Möglichkeit ist.

Problembeschreibung

Wenn Sie Ihren Domänencontroller starten, wird der Bildschirm möglicherweise schwarz, und es wird möglicherweise die folgende Fehlermeldung angezeigt:
LSASS.EXE - Systemfehler. Die Sicherheitskontenverwaltung konnte nicht initialisiert werden, da folgender Fehler aufgetreten ist: Der Verzeichnisdienst kann nicht gestartet werden. Fehlerstatus: 0xc00002e1.

Klicken Sie auf "OK", um das System herunterzufahren, und wählen Sie beim nächsten Neustart "Verzeichnisdienste wiederherstellen". Weitere Informationen finden Sie im Ereignisprotokoll.
Außerdem können im Ereignisprotokoll Ereignismeldungen protokolliert werden, die in etwa folgenden Wortlaut haben:

Ereigniskennung: 700

Beschreibung: "NTDS (260) Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank NTDS.DIT begonnen."

Ereigniskennung: 701

Beschreibung: "NTDS (268) Onlinedefragmentierung hat einen vollständigen Durchlauf der Datenbank 'C:\WINNT\NTDS\ntds.dit' abgeschlossen."

Ereigniskennung: 101

Beschreibung: "NTDS (260) Das Datenbankmodul wird angehalten."

Ereigniskennung: 1004

Beschreibung: "Das Verzeichnis wurde ordnungsgemäß heruntergefahren."

Ereigniskennung: 1168

Beschreibung: "Fehler: 1032 (fffffbf8) ist aufgetreten. (Interne Kennung 4042b). Wenden Sie sich an Microsoft Support Services."

Ereigniskennung: 1103

Beschreibung: "Die Windows-Verzeichnisdienst-Datenbank konnte nicht initialisiert werden und hat den Fehler 1032 zurückgegeben. Dieser Fehler ist nicht behebbar, und der Verzeichnisdienst kann nicht mehr ausgeführt werden."

Ursache

Dieses Problem tritt auf, wenn mindestens eine der folgenden Bedingungen vorliegt:
  • Die NTFS-Dateisystemberechtigungen für den Stamm des Laufwerks sind zu restriktiv.
  • Die NTFS-Dateisystemberechtigungen für den NTDS-Ordner sind zu restriktiv.
  • Der Laufwerkbuchstabe des Volumes, das die Active Directory-Datenbank enthält, hat sich geändert.
  • Die Active Directory-Datenbank (Ntds.dit) ist beschädigt.
  • Der NTDS-Order ist komprimiert.

Lösung

Gehen Sie folgendermaßen vor, um dieses Problem zu beheben:
  1. Starten Sie den Domänencontroller neu.
  2. Wenn die BIOS-Informationen angezeigt werden, drücken Sie die Taste F8.
  3. Wählen Sie Verzeichnisdienste wiederherstellen, und drücken Sie anschließend die EINGABETASTE.
  4. Melden Sie sich mit dem Kennwort für den Verzeichnisdienste-Wiederherstellungsmodus an.

    Hinweis Wenn die Anmeldung fehlschlägt, lesen Sie den folgenden Microsoft Knowledge Base-Artikel:
    249321  (http://support.microsoft.com/kb/249321/de/ ) Keine Anmeldung möglich, wenn sich der Laufwerkbuchstabe der Startpartition geändert hat
  5. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
  6. Geben Sie in der Eingabeaufforderung ntdsutil files info ein.

    Es werden Informationen angezeigt, die den folgenden ähneln:
    Drive Information:
    
            C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)
    
    DS Path Information:
    
            Database   : C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir    : C:\WINDOWS\NTDS - 42.1 Mb total temp.edb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    Hinweis Die in dieser Ausgabe enthaltenen Dateipfade stehen auch im folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    Die folgenden Einträge in diesem Schlüssel enthalten die Dateipfade:
    • Pfad der Datenbank-Sicherungskopie
    • Pfad der Datenbank-Protokolldateien
    • DSA-Arbeitsverzeichnis
  7. Vergewissern Sie sich, dass die in der Ausgabe in Schritt 6 aufgelisteten Dateien vorhanden sind. Wenn die Dateien nicht vorhanden sind, führen Sie die Schritte aus dem folgenden Artikel der Microsoft Knowledge Base aus:
    240362  (http://support.microsoft.com/kb/240362/de/ ) Wenn die Datei "Ntds.dit" fehlt, wird der Verzeichnisdienst nicht gestartet
  8. Vergewissern Sie sich, dass die Ordner in der Ntdsutil-Ausgabe die korrekten Berechtigungen haben. Die richtigen Berechtigungen sind in den folgenden Tabellen angegeben.

    Windows Server 2003

    Tabelle minimierenTabelle vergrößern
    KontoBerechtigungenVererbung
    System VollzugriffDieser Ordner, Unterordner und Dateien
    Administratoren VollzugriffDieser Ordner, Unterordner und Dateien
    Ersteller-Besitzer VollzugriffNur Unterordner und Dateien
    Lokaler Dienst Ordner erstellen/Daten anhängenDieser Ordner und Unterordner

    Windows 2000

    Tabelle minimierenTabelle vergrößern
    KontoBerechtigungenVererbung
    AdministratorenVollzugriffDieser Ordner, Unterordner und Dateien
    SystemVollzugriffDieser Ordner, Unterordner und Dateien
    Hinweis Außerdem benötigt das Systemkonto die Berechtigung "Vollzugriff" für die folgenden Ordner:
    • Der Stamm des Laufwerks, das den Ordner "Ntds" enthält
    • Der Ordner "%WINDIR%"
    In Windows Server 2003 hat der Ordner "%WINDIR%" den Standardpfad "C:\WINDOWS". In Windows 2000 hat der Ordner "%WINDIR%" den Standardpfad "C:\WINNT".
  9. Überprüfen Sie die Integrität der Active Directory-Datenbank. Geben Sie hierzu in der Eingabeaufforderung ntdsutil files integrity ein.

    Wenn die Integritätsprüfung keine Fehler ergibt, starten Sie den Domänencontroller im Normalmodus neu. Wenn die Integritätsprüfung nicht ohne Fehler abgeschlossen wird, fahren Sie mit den folgenden Schritten fort.
  10. Führen Sie eine semantische Analyse der Datenbank durch. Geben Sie hierzu an der Eingabeaufforderung den folgenden Befehl ein (einschließlich der Anführungszeichen):
    ntdsutil "sem d a" go
  11. Wenn die semantische Analyse der Datenbank keine Fehler ergibt, fahren Sie mit den folgenden Schritten fort. Wenn bei der Analyse Fehler gemeldet werden, geben Sie an der Eingabeaufforderung folgenden Befehl ein (einschließlich der Anführungszeichen):
    ntdsutil "sem d a" "go f"
  12. Führen Sie eine Offline-Defragmentierung der Active Directory-Datenbank durch. Gehen Sie hierzu nach den Schritten im folgenden Artikel der Microsoft Knowledge Base vor:
    232122  (http://support.microsoft.com/kb/232122/de/ ) Offline-Defragmentierung der Active Directory-Datenbank
  13. Wenn das Problem nach der Offline-Defragmentierung immer noch besteht und es andere funktionsfähige Domänencontroller in derselben Domäne gibt, entfernen Sie Active Directory vom Server, und installieren Sie Active Directory anschließend neu. Befolgen Sie hierzu die im Abschnitt "Abhilfe" angegebenen Schritte des folgenden Artikels der Microsoft Knowledge Base:
    332199  (http://support.microsoft.com/kb/332199/de/ ) Domänencontroller können durch Verwendung des Active Directory-Installations-Assistenten für eine erzwungene Herabstufung in Windows Server 2003 und Windows 2000 Server nicht herabgestuft werden
    Hinweis Wenn auf dem Domänencontroller Microsoft Small Business Server ausgeführt wird, können Sie diesen Schritt nicht durchführen, weil Small Business Server nicht als zusätzlicher Domänencontroller (Replikat) einer vorhandenen Domäne hinzugefügt werden kann. Wenn Sie eine Systemstatus-Sicherung haben, die neuer als die Tombstone-Lebensdauer ist, stellen Sie den Systemstatus anhand der Sicherung wieder her, statt Active Directory vom Server zu entfernen. Die Tombstone-Lebensdauer beträgt standardmäßig 60 Tage.

    Weitere Informationen dazu, wie Sie den Systemstatus mit einer Sicherungskopie wiederherstellen, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    240363  (http://support.microsoft.com/kb/240363/de/ ) Sicherung und Wiederherstellung des Systemzustands mithilfe des Sicherungsprogramms
  14. Wenn keine Systemstatus-Sicherung verfügbar ist und es keine weiteren funktionsfähigen Domänencontroller in der Domäne gibt, sollten Sie die Domäne neu erstellen, indem Sie Active Directory entfernen und anschließend auf dem Server neu installieren, um eine neue Domäne zu erstellen. Sie können den alten Domänennamen oder einen neuen Domänennamen verwenden. Sie können die Domäne auch neu erstellen, indem Sie eine Neuformatierung durchführen und Windows auf dem Server neu installieren. Die Entfernung von Active Directory geht jedoch schneller; außerdem wird dabei die beschädigte Active Directory-Datenbank effektiv entfernt.

    Wenn keine Systemstatus-Sicherung verfügbar ist, es keine weiteren funktionsfähigen Domänencontroller in der Domäne gibt und der Domänencontroller sofort funktionsfähig sein muss, führen Sie mithilfe von "Ntdsutil" oder "Esentutl" eine verlustbehaftete Reparatur durch.

    Hinweis Microsoft unterstützt keine Konfiguration mit Domänencontrollern, nachdem "Ntdsutil" oder "Esentutl" zum Reparieren einer beschädigten Active Directory-Datenbank verwendet wurden. Wenn Sie eine solche Reparatur durchführen, müssen Sie den Domänencontroller für Active Directory neu erstellen, um eine unterstützte Konfiguration zu erhalten. Der Reparaturbefehl in "Ntdsutil" verwendet das Programm "Esentutl", um eine verlustbehaftete Reparatur der Datenbank durchzuführen. Bei dieser Reparatur werden Beschädigungen behoben, indem Daten aus der Datenbank gelöscht werden. Daher sollte diese Reparatur nur als letzte Möglichkeit angewendet werden.

    Der Domänencontroller könnte zwar nach der Reparatur wieder gestartet werden und korrekt funktionieren, sein Zustand wird aber dennoch nicht unterstützt, weil die Löschung von Daten aus der Datenbank zu diversen Problemen führen kann, die erst später in Erscheinung treten können. Es gibt keine Möglichkeit festzustellen, welche Daten bei der Reparatur der Datenbank gelöscht wurden. Sie müssen sobald wie möglich nach der Reparatur die Domäne neu erstellen, um wieder eine unterstützte Active Directory-Konfiguration zu erhalten. Wenn Sie nur die oben erwähnten Methoden der Offline-Defragmentierung oder semantischen Datenbankanalyse anwenden, brauchen Sie den Domänencontroller anschließend nicht neu zu erstellen.
  15. Wenden Sie sich vor der Durchführung einer verlustbehafteten Reparatur an Microsoft Support Services, um sicherzustellen, dass alle verfügbaren Wiederherstellungsoptionen geprüft wurden und dass die Datenbank tatsächlich nicht wiederhergestellt werden kann. Eine vollständige Liste der Telefonnummern des Microsoft-Produktsupports sowie Informationen zu den Supportkosten finden Sie auf der folgenden Microsoft-Website:
    http://support.microsoft.com/default.aspx?scid=fh;DE-DE;CNTACTMS (http://support.microsoft.com/contactus/)
    Auf einem Domänencontroller mit Windows 2000 Server verwenden Sie Ntdsutil zum Wiederherstellen der Active Directory-Datenbank. Hierzu geben Sie im Verzeichnisdienst-Wiederherstellungsmodus an einer Eingabeaufforderung den Befehl ntdsutil files repair ein.

    Um einen Domänencontroller, der auf Windows 2003 Server basiert, mit einem gewissen Verlustrisiko zu reparieren, verwenden Sie das Tool "Esentutl.exe", um die Active Directory-Datenbank wiederherzustellen. Geben Sie hierzu auf einem Windows Server 2003-Domänencontroller an einer Eingabeaufforderung den Befehl esentutl /p ein.

  16. Benennen Sie nach dem Abschluss des Reparaturvorgangs die LOG-Dateien im Ordner "NTDS" um, indem Sie eine andere Erweiterung wie z. B. ".bak" verwenden, und versuchen Sie den Domänencontroller im Normalmodus zu starten.
  17. Wenn Sie den Domänencontroller nach der Reparatur im Normalmodus starten können, migrieren Sie sobald wie möglich relevante Active Directory-Objekte in eine neue Gesamtstruktur. Da bei der Methode der verlustbehafteten Reparatur Beschädigungen durch Löschen von Daten behoben werden, können später Probleme auftreten, die extrem schwer zu behandeln sind. Deshalb müssen Sie bei der ersten Gelegenheit nach der Reparatur die Domäne neu erstellen, um wieder eine unterstützte Active Directory-Konfiguration zu erhalten.



    Sie können Benutzer, Computer und Gruppen mit dem Active Directory-Migrationsprogramm (ADMT), mit "Ldifde" oder einem Fremdanbieter-Migrationsprogramm migrieren. ADMT kann Benutzerkonten, Computerkonten und Sicherheitsgruppen mit oder ohne den SID-Verlauf migrieren. ADMT migriert auch Benutzerprofile. Für die Verwendung von ADMT in einer Small Business Server-Umgebung lesen Sie bitte das Whitepaper "Migrating from Small Business Server 2000 or Windows 2000 Server" (Migration von Small Business Server 2000 oder Windows 2000 Server). Besuchen Sie die folgende Microsoft-Website, um dieses Whitepaper herunterzuladen:
    http://technet.microsoft.com/de-de/library/cc719892.aspx (http://technet.microsoft.com/de-de/library/cc719892.aspx)
    Mit Ldifde können Sie viele Objekttypen aus der beschädigten Domäne exportieren und in die neue Domäne importieren. Zu diesen Objekten gehören Benutzerkonten, Computerkonten, Sicherheitsgruppen, Organisationseinheiten, Active Directory-Standorte, Subnetze und Standortverknüpfungen. Die Migration des SID-Verlaufs ist mit "Ldifde" nicht möglich. Ldifde ist eine Komponente von Windows 2000 Server und Windows Server 2003. Weitere Informationen zum Verwenden von Ldifde finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    237677  (http://support.microsoft.com/kb/237677/de/ ) Importieren und Exportieren von Verzeichnisobjekten in bzw. aus Active Directory mit LDIFDE
    Sie können die Gruppenrichtlinien-Verwaltungskonsole (GPMC) verwenden, um das Dateisystem und den Active Directory-Abschnitt des Gruppenrichtlinienobjekts aus der beschädigten Domäne zu exportieren und in die neue Domäne zu importieren.

    Sie können GPMC von der folgenden Microsoft-Website beziehen:
    http://www.microsoft.com/windowsserver2008/de/de/security-policy.aspx (http://www.microsoft.com/windowsserver2008/en/us/security-policy.aspx)
    Informationen zum Migrieren von Gruppenrichtlinienobjekten mit der GPMC finden Sie im Whitepaper "Migrate GPOs across domains with GPMC". Sie finden dieses Whitepaper auf der folgenden Microsoft-Website:
    http://technet.microsoft.com/de-de/library/cc785343(WS.10).aspx (http://technet.microsoft.com/de-de/library/cc785343(WS.10).aspx)
  18. Überprüfen Sie nach der Wiederherstellung Ihren aktuellen Sicherungsplan, um sicherzustellen, dass ausreichend häufige Systemstatus-Sicherungen geplant sind. Systemstatus-Sicherungen sollten mindestens einmal täglich oder nach jeder signifikanten Änderung eingeplant werden. Systemstatus-Sicherungen müssen den erforderlichen Fehlertoleranzlevel enthalten. Speichern Sie zum Beispiel keine Sicherungen auf einem Laufwerk des Computers, den Sie sichern. Verwenden Sie wenn möglich mehr als einen Domänencontroller, um das Risiko eines Totalverlusts durch Fehlfunktionen an einem einzigen Punkt zu vermeiden. Speichern Sie Sicherungen an einem anderen Ort, damit Sie Ihr System auch dann wiederherstellen können, wenn der zu sichernde Standort von einer größeren Katastrophe (Brand, Diebstahl, Überschwemmung, Computerdiebstahl) betroffen wurde. Auf den folgenden Websites von Microsoft erhalten Sie Unterstützung bei der Einrichtung eines Sicherungsplans. Weitere Informationen zur Active Directory-Notfallwiederherstellung finden Sie auf folgender Microsoft-Website:
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=de (http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en)

Informationsquellen

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
318116  (http://support.microsoft.com/kb/318116/de/ ) Probleme mit Jet-Datenbank auf komprimierten Laufwerken
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen (http://go.microsoft.com/fwlink/?LinkId=151500) .

Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Small Business Server 2000 Standard Edition
Keywords: 
kbacl kbenv kberrmsg kbprb kbsecconfiged KB258062
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store
Folgen Sie uns: