DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 258062 - Última revisão: sexta-feira, 20 de outubro de 2006 - Revisão: 12.2

Sumário

Este artigo conduz você por uma série de etapas que podem ajudá-lo a diagnosticar o erro do sistema "Os serviços de diretórios não puderam ser iniciados". Essas etapas podem incluir:
  • A verificação de que os arquivos do serviço de diretório do Active Directory existem
  • A verificação de que as permissões do sistema estão corretas
  • A verificação da integridade do banco de dados do Active Directory
  • A execução de uma análise semântica do banco de dados
  • A reparação do banco de dados do Active Directory
  • A remoção e recriação do banco de dados do Active Directory
Este artigo também mostra como usar o Ntdsutil ou o Esentutl para executar um reparo de perdas do banco de dados do Active Directory. Como um reparo de perdas exclui os dados e pode trazer novos problemas, só deve ser feito se for a única opção disponível.

Sintomas

Ao iniciar o controlador de domínio, a tela deve ficar branca e a seguinte mensagem de erro pode ser exibida:
LSASS.EXE - Erro de sistema, falha na inicialização do gerenciador de contas de segurança devido ao seguinte erro: Os serviços de diretórios não puderam ser iniciados. Status do erro 0xc00002e1.

Clique em OK para parar esse sistema e reinicialize no modo Restauração de serviços de diretório e verifique o log de eventos para obter informações mais detalhadas.
Além disso, as seguintes mensagens de identificação de evento podem ser registradas no log de eventos:

Identificação do evento: 700
Descrição: "NTDS (260) A desfragmentação on-line iniciou uma passagem em um banco de dados NTDS.DIT."

Identificação do evento: 701
Descrição: "NTDS (268) A desfragmentação on-line concluiu uma passagem completa no banco de dados C:\WINNT\NTDS\ntds.dit"

Identificação do evento: 101
Descrição: "NTDS (260) o mecanismo do banco de dados parou."

Identificação do evento: 1004
Descrição: "O diretório foi encerrado com êxito."

Identificação do evento: 1168
Descrição: Mensagens de erro "Erro: 1032 (fffffbf8). (interno ID 4042b). Contate o Atendimento Microsoft para obter assistência"

Identificação do evento: 1103
Descrição: "O banco de dados dos serviços de diretórios do Windows não pôde ser inicializado e retornou o erro 1032. Erro irrecuperável, o diretório não pode continuar."

Causa

O problema ocorre porque uma ou mais das seguintes condições são verdadeiras:
  • As permissões do sistema de arquivo NTFS na raiz da unidade são muito restritivas.
  • As permissões do sistema de arquivo NTFS na pasta NTDS são muito restritivas.
  • A letra da unidade do volume que contém o banco de dados do Active Directory foi alterada.
  • O banco de dados do Active Directory (Ntds.dit) está corrompido.
  • A pasta NTDS está compactada.

Resolução

Para resolver o problema, execute as seguintes etapas:
  1. Reinicie o controlador de domínio.
  2. Quando aparecerem as informações de BIOS pressione F8.
  3. Selecione Modo de restauração dos serviços de diretório e pressione ENTER.
  4. Faça logon usando a senha do Modo de restauração dos serviços de diretório.

    Observação Se você não puder fazer logon, consulte o seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    249321  (http://support.microsoft.com/kb/249321/ ) Não é possível fazer logon se a letra da unidade da partição de inicialização tiver sido alterada
  5. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
  6. No prompt de comando, digite ntdsutil files info.

    Uma resposta similar à seguinte aparece:
    Informações da unidade:
    
            C:\ NTFS (Unidade fixa  ) livre(533.3 Mb) total(4.1 Gb)
    
    Informações do caminho DS:
    
            Database: C:\WINDOWS\NTDS\ntds.dit - 10.1 Mb Backup dir : C:\WINDOWS\NTDS\dsadata.bak Working dir: C:\WINDOWS\NTDS Log dir    : C:\WINDOWS\NTDS - 42.1 Mb total temp.edb - 2.1 Mb res2.log - 10.0 Mb res1.log - 10.0 Mb edb00001.log - 10.0 Mb edb.log - 10.0 Mb

    Observação As localizações dos arquivos foram incluídas nessa saída e também são encontradas na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
    As entradas seguintes nessa chave contêm a localização dos arquivos
    • Caminho do backup do banco de dados
    • Caminho dos arquivos de log do banco de dados
    • Diretório de trabalho DSA
  7. Verifique se os arquivos listados na saída na etapa 6 existem. Se não existirem, execute as etapas do seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    240362  (http://support.microsoft.com/kb/240362/ ) Os serviços de diretório não iniciam se o arquivo Ntds.dit estiver faltando
  8. Verifique se as pastas na saída Ntdsutil possuem as permissões corretas. As permissões corretas estão especificadas nas seguintes tabelas.

    Windows Server 2003

    Recolher esta tabelaExpandir esta tabela
    ContaPermissõesHerança
    Sistema Controle totalEsta pasta, subpastas e arquivos
    Administradores Controle totalEsta pasta, subpastas e arquivos
    Proprietário criador Controle totalApenas subpastas e arquivos
    Serviço local Criar Pastas/Anexar DadosEsta pasta e subpastas

    Windows 2000

    Recolher esta tabelaExpandir esta tabela
    ContaPermissõesHerança
    AdministradoresControle totalEsta pasta, subpastas e arquivos
    SistemaControle totalEsta pasta, subpastas e arquivos
    Observação Além disso, a conta do sistema exige permissões de controle total nas seguintes pastas:
    • A raiz da unidade que contém a pasta Ntds
    • A pasta %WINDIR%
    No Windows Server 2003, o local padrão da pasta %WINDIR% é C:\WINDOWS. No Windows 2000, o local padrão da pasta %WINDIR% é C:\WINNT.
  9. Verifique a integridade do banco de dados do Active Directory. Para fazer isso, digite ntdsutil files integrity no prompt de comando.

    Se a verificação de integridade indicar que não há erros, reinicie o controlador de domínio no modo normal. Se a verificação de integridade não finaliza sem erros, continue com as seguintes etapas.
  10. Execute uma análise semântica do banco de dados. Para fazer isso, digite o seguinte comando no prompt de comando, incluindo as aspas:
    ntdsutil "sem d a" go
  11. Se a análise semântica do banco de dados indicar que não há erros, prossiga com as seguintes etapas. Se houver erros, digite o seguinte comando no prompt de comando, incluindo as aspas:
    ntdsutil "sem d a" go
  12. Execute as etapas do seguinte artigo na Base de Dados de Conhecimento Microsoft para executar uma desfragmentação offline do banco de dados do Active Directory (a página pode estar em inglês):
    232122  (http://support.microsoft.com/kb/232122/ ) Realizando desfragmentação offline do banco de dados do Active Directory
  13. Se o problema ainda existir depois da desfragmentação offline e houver outro domínio funcional no mesmo domínio, remova o Active Directory do servidor e reinstale o Active Directory. Para fazer isso, execute as etapas na seção "Solução alternativa" do seguinte artigo da Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    332199  (http://support.microsoft.com/kb/332199/ ) Os controladores de domínio não são rebaixados corretamente ao usar o Assistente para instalação do Active Directory no Windows Server 2003 e no Windows 2000 Server
    Observação Se o controlador de domínio estiver executando o Microsoft Small Business Server, você não poderá executar a seguinte etapa, porque o Small Business Server não pode ser adicionado a um domínio existente como um controlador de domínio adicional (réplica). Se houver um backup do estado do sistema que seja mais novo do que a vida útil marcada para exclusão, restaure o backup do estado do sistema ao invés de remover o Active Directory do servidor. Por padrão, a vida útil é de 60 dias.

    Para obter informações adicionais sobre como restaurar o backup do estado do sistema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    240363  (http://support.microsoft.com/kb/240363/ ) Como fazer backup e restaurar o estado do sistema utilizando o programa de backup
  14. Se não houver um backup do estado do sistema disponível nem outros controladores de domínio íntegro no domínio, é aconselhável reconstruir o domínio removendo o Active Directory e reinstalando-o no servidor, criando um novo domínio. Você pode usar o nome antigo do domínio novamente ou usar um novo. Você pode reconstruir o domínio reformatando e reinstalando o servidor do Windows. Contudo, a remoção do Active Directory é mais rápida e remove com eficiência o banco de dados do Active Directory.

    Se não houver backup do estado do sistema disponível, nem outros controladores de domínio íntegros no domínio e você precisa ter um controlador de domínio funcionando imediatamente, execute um reparo de perdas usando o Ntdsutil ou o Esentutl.

    Observação A Microsoft não dá suporte aos controladores do domínio depois do uso do Ntdsutil ou do Esentutl para recuperar a corrupção do banco de dados do Active Directory. Se executar esse tipo de reparo, você deve reconstruir o controlador de domínio para o Active Directory ter uma configuração com suporte. Esse comando de reparo no Ntdsutil usa o utilitário Esentutl para executar um reparo de perdas do banco de dados. Esse tipo de reparo corrige a corrupção excluindo os dados do banco de dados. Somente use esse tipo de reparo como último recurso.

    Embora o controlador de domínio possa iniciar e parecer funcionar corretamente depois do reparo, seu estado não recebe suporte porque os dados excluídos do banco de dados podem causar uma série de problemas, que só aparecerão posteriormente. Não há meios de determinar quais dados foram excluídos quando o banco de dados foi reparado. Assim que possível, depois do reparo, você deve reconstruir o domínio para retornar o Active Directory a uma configuração com suporte. Se você usar somente o desfragmentador offline ou os métodos de análises semânticas de bancos de dados citados neste artigo, não será possível reconstruir o controlador de domínio posteriormente.
  15. Antes de executar um reparo de perdas, entre em contato com o Atendimento Microsoft para confirmar que conferiu todas as opções possíveis de recuperação e para verificar se o banco de dados está realmente em um estado irrecuperável. Para obter mais informações sobre como contatar o Atendimento Microsoft, visite o seguinte site da Microsoft:
    http://support.microsoft.com/default.aspx?scid=fh;PT-BR;CNTACTMS (http://support.microsoft.com/contactus/?ws=support)
    Para usar o Ntdsutil para recuperar o banco de dados do Active Directory, digite ntdsutil files repair em um prompt de comando no Modo de restauração de serviços de diretório.
  16. Depois que a operação de reparo estiver concluída, renomeie os arquivos .log na pasta NTDS usando uma extensão diferente como .bak e tente iniciar o controlador de domínio no modo normal.
  17. Se você puder iniciar o controlador de domínio no modo normal depois do reparo, mova os objetos mais relevantes do Active Directory para uma floresta o mais rápido possível. Como este método de reparo de perdas corrige a corrupção excluindo dados, ele pode causar problemas futuros extremamente difíceis de serem resolvidos. Assim que possível, depois do reparo você deve reconstruir o domínio para retornar o Active Directory a uma configuração com suporte.

    Você pode migrar usuários, computadores e grupos usando a ADMT (Ferramenta de migração do Active Directory), Ldifde ou uma ferramenta de migração de terceiros. A ADMT pode migrar as contas de usuários, as contas de computadores e os grupos de segurança sem o histórico do identificador de segurança (SID). A ADMT também migra os perfis de usuários. Para usar o ADMT em um ambiente do Small Business Server, examine o white paper "Migrando do Small Business Server 2000 ou do Windows 2000 Server". Para obter este white paper, visite o seguinte site da Microsoft (em inglês):
    http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx (http://www.microsoft.com/technet/prodtechnol/sbs/2003/deploy/sbs2k203.mspx)
    É possível usar o Ldifde para exportar e importar vários tipos de objetos do domínio danificado para o novo domínio. Esses objetos incluem as contas de usuário, as contas de computadores, os grupos de segurança, as unidades de organização, os sites do Active Directory, as sub-redes e os links de sites. O Ldifde não pode migrar o histórico SID. O Ldifde é parte do Windows 2000 Server e do Windows Server 2003. Para obter mais informações sobre como usar o Ldifde, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    237677  (http://support.microsoft.com/kb/237677/ ) Usando o Ldifde para importar e exportar objetos de diretórios para o Active Directory
    Você pode usar o Console de Gerenciamento de Diretiva de Grupo (GPMC) para exportar o sistema de arquivos e parte do Active Directory do Objeto da diretiva de grupo do domínio danificado para o novo domínio.

    Para obter o GPMC, visite o seguinte site da Microsoft:
    http://www.microsoft.com/windowsserver2003/gpmc/default.mspx (http://www.microsoft.com/brasil/windowsserver2003/default.mspx)
    Para obter informações sobre como migrar os GPOs usando o GPMC, examine o white paper "Migrar GPOs entre domínios com o GPMC". Para obter esse documento, consulte o seguinte site da Microsoft:
    http://www.microsoft.com/brasil/windowsserver2003/default.mspx (http://www.microsoft.com/windowsserver2003/gpmc/migrgpo.mspx)
  18. Depois da recuperação, avalie o seu plano de backup atual para verificar se o agendamento dos backups do estado do sistema foi programado para acontecer com freqüência suficiente. Agende um backup do estado do sistema para todos os dias ou, pelo menos, a cada mudança significativa. Os backups do estado do sistema devem conter o nível exigido de tolerância de falta. Por exemplo, não armazene os backups na mesma unidade do computador no qual você está fazendo backup. Sempre que possível, use mais de um controlador de domínio para evitar um único ponto de falha. Armazene os backups em um local externo para que nenhum incidente local (fogo, enchente, roubo, roubo de computador) afete a capacidade de recuperação. Os sites da Microsoft abaixo podem ajudá-lo a desenvolver um planejamento de backup: Para obter informações adicionais sobre a recuperação de desastre do Active Directory, visite o seguinte site da Microsoft (em inglês):
    http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en (http://www.microsoft.com/downloads/details.aspx?familyid=4A82ECCC-76D6-4431-AAC4-1EF1BA11DBEA&displaylang=en)

Referências

Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
318116  (http://support.microsoft.com/kb/318116/ ) Problemas com os banco de dados do Jet em arquivos compactados

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Small Business Server 2000 Standard Edition
Palavras-chave: 
kbacl kbenv kberrmsg kbprb kbsecconfiged KB258062
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store