DetailPage-MSS-KB

Knowledge Base

Artikel ID: 258062 - Laatste beoordeling: dinsdag 31 december 2013 - Wijziging: 1.0

Samenvatting

In dit artikel wordt een reeks stappen beschreven waarmee u de oorzaak kunt achterhalen van de systeemfout 'Kan de directoryservice niet starten'. Tot deze stappen behoren:
  • Controleren of de bestanden van de Active Directory-service bestaan
  • Controleren of de machtigingen voor het bestandssysteem correct zijn
  • De integriteit van de Active Directory-database controleren
  • Een semantische database-analyse uitvoeren
  • De Active Directory-database herstellen
  • De Active Directory-database verwijderen en opnieuw maken
In dit artikel wordt tevens beschreven hoe u Ntdsutil of Esentutl gebruikt om de Active Directory-database te herstellen met gegevensverlies. Omdat bij een herstelbewerking met gegevensverlies gegevens worden verwijderd en nieuwe problemen kunnen ontstaan, dient u deze herstelbewerking alleen uit te voeren als u geen andere keuze meer hebt.

Symptomen

Wanneer u de domeincontroller start, kan het scherm zwart worden en het volgende foutbericht worden weergegeven:
LSASS.EXE – Systeemfout, het initialiseren van de SAM (Security Accounts Manager) is mislukt vanwege de volgende fout: Kan de directoryservice niet starten. Foutstatus 0xc00002e1.

Klik op OK om dit systeem af te sluiten en start het systeem opnieuw op in de modus Active Directory terugzetten. Raadpleeg het gebeurtenislogboek voor meer gegevens.
Verder kunnen de volgende berichten met gebeurtenis-id's worden opgeslagen in het gebeurtenislogboek:

Gebeurtenis-id: 700
Omschrijving: "NTDS (260) De online defragmentatie start een volledige controle van databaseNTDS.DIT."

Gebeurtenis-id: 701
Omschrijving: "NTDS (268) De online defragmentatie heeft de controle van database C:\WINNT\NTDS\ntds.dit voltooid."

Gebeurtenis-id: 101
Omschrijving: "NTDS (260) De database-engine is gestopt."

Gebeurtenis-id: 1004
Omschrijving: "De directory is afgesloten."

Gebeurtenis-id: 1168
Omschrijving: "Fout: 1032 (fffffbf8) is opgetreden. (interne id 4042b). Neem contact op met Microsoft Productondersteuning voor assistentie."

Gebeurtenis-id: 1103
Omschrijving: "De Windows directory services database kon niet worden geïnitialiseerd en gaf foutmelding 1032. Onherstelbare fout, de directory kan niet doorgaan."

Oorzaak

Dit probleem doet zich voor in de volgende gevallen:
  • De machtigingen voor het NTFS-bestandssysteem voor de hoofdmap van het station zijn te beperkend.
  • De machtigingen voor het NTFS-bestandssysteem voor de map NTDS zijn te beperkend.
  • De stationsaanduiding van het volume waarop de Active Directory-database is opgeslagen, is gewijzigd.
  • De Active Directory-database (Ntds.dit) is beschadigd.
  • De map NTDS is gecomprimeerd.

Oplossing

Ga als volgt te werk om dit probleem op te lossen: 
  1. Start de domeincontroller opnieuw.
  2. Druk op F8 wanneer de BIOS-gegevens worden weergegeven.
  3. Selecteer Modus Active Directory terugzetten en druk op Enter.
  4. Meld u aan met het wachtwoord voor de modus Active Directory terugzetten.

    Opmerking Als u zich niet kunt aanmelden, raadpleegt u het volgende artikel in de Microsoft Knowledge Base:
    249321  (http://support.microsoft.com/kb/249321/nl/ ) Aanmelden is niet mogelijk wanneer de stationsaanduiding van de opstartpartitie is gewijzigd
  5. Klik op Start, selecteer Uitvoeren, typ cmd in het vak Openen en klik op OK.
  6. Typ ntdsutil files info bij de opdrachtprompt.

    De uitvoer ziet er ongeveer als volgt uit:
    Drive Information:
    
            C:\ NTFS (Fixed Drive  ) free(533.3 Mb) total(4.1 Gb)
    
    DS Path Information:
    
            Database: C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir    : C:\WINDOWS\NTDS - 42.1 Mb total temp.edb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    Opmerking U kunt de bestandslocaties in deze uitvoer ook vinden in de volgende subsleutel van het register:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    De volgende waarden in deze sleutel bevatten de bestandslocaties
    • Database Backup path
    • Database Log files path
    • DSA Working Directory
  7. Controleer of de bestanden die in de uitvoer in stap 6 worden vermeld bestaan. Als de bestanden niet bestaan, voert u de stappen in het volgende Microsoft Knowledge Base-artikel uit:
    240362  (http://support.microsoft.com/kb/240362/ ) Directory Services kan niet worden gestart als het bestand Ntds.dit ontbreekt
  8. Controleer of voor de mappen in de uitvoer van Ntdsutil de juiste machtigingen zijn ingesteld. De juiste machtigingen ziet u in de volgende tabellen.

    Windows Server 2003

    Deze tabel samenvouwenDeze tabel uitklappen
    AccountMachtigingenOvername
    Systeem Volledig beheerDeze map, submappen en bestanden
    Administrators Volledig beheerDeze map, submappen en bestanden
    Maker Eigenaar Volledig beheerAlleen submappen en bestanden
    Lokale service Mappen maken / Gegevens toevoegenDeze map en submappen

    Windows 2000

    Deze tabel samenvouwenDeze tabel uitklappen
    AccountMachtigingenOvername
    AdministratorsVolledig beheerDeze map, submappen en bestanden
    SysteemVolledig beheerDeze map, submappen en bestanden
    Opmerking Bovendien vereist de account System Volledig beheer-machtigingen voor de volgende mappen:
    • De hoofdmap van het station met de map Ntds
    • De map %WINDIR%
    In Windows Server 2003 is C:\WINDOWS de standaardlocatie van de map %WINDIR%. In Windows 2000 is C:\WINNT de standaardlocatie van de map %WINDIR%.
  9. Controleer de integriteit van de Active Directory-database. Daartoe typt u ntdsutil files integrity bij de opdrachtprompt.

    Als de integriteitscontrole geen fouten geeft, start u de domeincontroller opnieuw in de normale modus. Als de integriteitscontrole niet zonder fouten wordt voltooid, gaat u verder met de volgende stappen.
  10. Voer een semantische database-analyse uit. Hiertoe typt u de volgende opdracht bij de opdrachtprompt, inclusief de aanhalingstekens:
    ntdsutil "sem d a" go
  11. Als de semantische database-analyse geen fouten aangeeft, gaat u verder met de volgende stappen. Als in de analyse nog fouten voorkomen, typt u de volgende opdracht bij de opdrachtprompt, inclusief de aanhalingstekens:
    ntdsutil "sem d a" "go f"
  12. Volg de stappen in het volgende Microsoft Knowledge Base-artikel om een offline defragmentatie van de Active Directory-database uit te voeren:
    232122  (http://support.microsoft.com/kb/232122/ ) Offline defragmentatie van de Active Directory-database uitvoeren
  13. Als het probleem na de offline defragmentatie nog niet is opgelost en er andere functionele domeincontrollers in hetzelfde domein voorkomen, verwijdert u Active Directory van de server en installeert u Active Directory opnieuw. Daartoe volgt u de stappen in de sectie 'Tijdelijke oplossing' van het volgende Microsoft Knowledge Base-artikel:
    332199  (http://support.microsoft.com/kb/332199/ ) Domeincontrollers worden niet op een elegante wijze gedegradeerd wanneer u de wizard Active Directory installeren gebruikt om degradatie in Windows Server 2003 en Windows 2000 Server te forceren
    Opmerking Als Microsoft Small Business Server op de domeincontroller wordt uitgevoerd, kunt u deze stap niet uitvoeren. Small Business Server kan immers niet als een aanvullende domeincontroller (replica) aan een bestaand domein worden toegevoegd. Als u een back-up van de systeemstatus hebt die nieuwer is dan de Tombstone-levensduur, herstelt u de back-up van de systeemstatus in plaats van Active Directory van de server te verwijderen. De Tombstone-levensduur is standaard 60 dagen.

    Voor meer informatie over het terugzetten van de systeemstatus met behulp van een back-up klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
    240363  (http://support.microsoft.com/kb/240363/nl/ ) Het programma Back-up gebruiken om een back-up te maken van de systeemstatus en deze te herstellen
  14. Als u geen back-up van de systeemstatus hebt en er geen andere goed functionerende domeincontrollers in het domein zijn, adviseren we u het domein opnieuw te maken door Active Directory van de server te verwijderen en opnieuw op de server te installeren, waardoor een nieuw domein wordt gemaakt. U kunt de oude domeinnaam weer gebruiken of een nieuwe domeinnaam opgeven. U kunt het domein ook opnieuw maken door de server opnieuw te formatteren en Windows opnieuw te installeren. Het is echter sneller om Active Directory te verwijderen. Hiermee verwijdert u op doeltreffende wijze de Active Directory-database.

    Als u geen back-up van de systeemstatus hebt, er geen andere goed functionerende domeincontrollers in het domein zijn en u de domeincontroller onmiddellijk moet kunnen gebruiken, voert u met Ntdsutil of Esentutl een herstelbewerking met gegevensverlies uit.

    Opmerking Microsoft biedt geen ondersteuning voor domeincontrollers nadat Ntdsutil of Esentutl is gebruikt om een beschadigde Active Directory-database te herstellen. Na deze herstelbewerking moet u de domeincontroller opnieuw maken om Active Directory weer in een ondersteunde configuratie te plaatsen. De opdracht repair van Ntdsutil gebruikt het hulpprogramma Esentutl om een herstelbewerking met gegevensverlies van de database uit te voeren. Een dergelijke herstelbewerking herstelt een beschadiging door gegevens uit de database te verwijderen. Deze manier van herstellen dient uitsluitend als laatste redmiddel te worden gebruikt.

    Hoewel de domeincontroller na de herstelbewerking opstart en normaal lijkt te functioneren, wordt de toestand ervan niet ondersteund omdat de verwijdering van gegevens uit de database een aantal problemen tot gevolg kan hebben die zich mogelijk pas later manifesteren. Het is vooralsnog niet mogelijk om na te gaan welke gegevens tijdens de herstelbewerking uit de database zijn verwijderd. Na deze herstelbewerking moet u de domeincontroller zo snel mogelijk opnieuw maken om Active Directory weer in een ondersteunde configuratie te plaatsen. Als u alleen de methode met de offline defragmentatie of de semantische database-analyse gebruikt die in dit artikel zijn beschreven, hoeft u de domeincontroller niet opnieuw te maken.
  15. Voordat u een herstelbewerking met gegevensverlies uitvoert, neemt u contact op met Microsoft Product Support Services om na te gaan of u alle mogelijke herstelopties hebt geprobeerd en om er zeker van te zijn dat de database werkelijk onherstelbaar is. Ga voor een complete telefoonlijst van Microsoft Productondersteuning en informatie over de kosten van de ondersteuning naar de volgende Microsoft-website:
    http://support.microsoft.com/contactus/?ws=support&ln=nl-nl (http://support.microsoft.com/contactus/?ws=support&ln=nl)
    Gebruik op een Windows Server 2000-domeincontroller de opdracht Ntdsutil om de Active Directory-database te herstellen. Typ hiertoe ntdsutil files repair achter de opdrachtprompt in de modus Active Directory terugzetten.

    Voor een herstelbewerking met gegevensverlies van een Windows Server 2003-domeincontroller gebruikt u het programma Esentutl.exe om de Active Directory-database te herstellen. Typ hiertoe esentutl /p achter de opdrachtprompt van de Windows Server 2003-domeincontroller.
  16. Nadat de herstelbewerking is voltooid, wijzigt u de naam van de LOG-bestanden in de map NTDS door een andere extensie te gebruiken, bijvoorbeeld .bak. Probeer vervolgens de domeincontroller in de normale modus te starten.
  17. Als u de domeincontroller na de herstelbewerking in de normale modus kunt starten, migreert u de relevante Active Directory-objecten zo snel mogelijk naar een nieuwe forest. Omdat deze herstelmethode met gegevensverlies een beschadigde database herstelt door gegevens te verwijderen, kunnen later problemen optreden die uitermate moeilijk op te lossen zijn. Na deze herstelbewerking moet u de domeincontroller zo snel mogelijk opnieuw maken om Active Directory weer in een ondersteunde configuratie te plaatsen.

    U kunt gebruikers, computers en groepen migreren met Active Directory Migration tool (ADMT), Ldifde of een migratieprogramma van derden. Met ADMT kunt u gebruikersaccounts, computeraccounts en beveiligingsgroepen met of zonder SID-geschiedenis (security identifier) migreren. Met ADMT kunt u ook gebruikersprofielen migreren. Als u ADMT in een Small Business Server-omgeving wilt gebruiken, raadpleegt u het technische rapport 'Migrating from Small Business Server 2000 or Windows 2000 Server'. U vindt dit technische rapport op de volgende Microsoft-website:
    http://technet.microsoft.com/nl-nl/library/cc719892.aspx (http://technet.microsoft.com/nl-nl/library/cc719892.aspx)
    Met Ldifde kunt u vele typen objecten exporteren en importeren van het beschadigde naar het nieuwe domein. Het betreft onder meer gebruikersaccounts, computeraccounts, beveiligingsgroepen, organisatie-eenheden, Active Directory-sites, subnetten en koppelingen naar sites. Met Ldifde kunt u de SID-geschiedenis niet migreren. Ldifde is een onderdeel van Windows 2000 Server en Windows Server 2003. Klik voor meer informatie over het gebruik van Ldifde op het volgende artikelnummer in de Microsoft Knowledge Base:
    237677  (http://support.microsoft.com/kb/237677/nl/ ) Ldifde gebruiken voor het importeren en exporteren van Active Directory-objecten naar Active Directory
    Met de GPMC (Group Policy Management Console) kunt u het bestandssysteem en het Active Directory-deel van het groepsbeleidobject van het beschadigde domein naar het nieuwe domein exporteren.

    U vindt de GPMC op de volgende Microsoft-website:
    http://www.microsoft.com/nl-nl/server-cloud/products/windows-server-2012-r2 (http://www.microsoft.com/windowsserver2008/en/us/security-policy.aspx)
    Voor meer informatie over het migreren van groepsbeleidobjecten met de GPMC, raadpleegt u het technische rapport 'Migrate GPOs across domains with GPMC'. U vindt dit technische rapport op de volgende Microsoft-website:
    http://technet.microsoft.com/nl-nl/library/cc785343(WS.10).aspx (http://technet.microsoft.com/nl-nl/library/cc785343(WS.10).aspx)
  18. Na de herstelbewerking controleert u uw huidige back-upschema om na te gaan of de frequentie voor het maken van back-ups van de systeemstatus groot genoeg is. Maak minstens elke dag een back-up van de systeemstatus, of na elke grote wijziging. Back-ups van de systeemstatus moeten het vereiste fouttolerantieniveau hebben. Sla back-ups bijvoorbeeld niet op hetzelfde station op als de computer waarvan u een back-up maakt. Gebruik zo mogelijk meer dan één domeincontroller om de foutgevoeligheid niet tot één punt te beperken. Sla back-ups op een geografisch andere locatie op zodat rampen op de oorspronkelijke locatie (brand, diefstal, overstroming, computerdiefstal) niet tot gevolg hebben dat u niet meer kunt herstellen. Op de volgende Microsoft-websites vindt u hulp bij het opstellen van een back-upschema. Ga voor meer informatie over herstel na noodgevallen voor Active Directory naar de volgende Microsoft-website:
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=nl (http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en)

Referenties

Klik voor meer informatie op het volgende artikelnummer om het Microsoft Knowledge Base-artikel weer te geven:
318116  (http://support.microsoft.com/kb/318116/ ) Problemen met Jet-databases op gecomprimeerde stations
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst (http://go.microsoft.com/fwlink/?LinkId=151500) voor overige aandachtspunten.

De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows® 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Small Business Server 2000 Standard Edition
Trefwoorden: 
kbacl kbenv kberrmsg kbprb kbsecconfiged KB258062
Delen
Extra ondersteuningsopties
Microsoft Community Support-forums
Neem rechtstreeks contact met ons op
Een door Microsoft gecertificeerde partner zoeken
Microsoft Store