Sintomas
Este artigo aborda o reparo do Active Directory nos sistemas operacionais do Windows Server.
Problema:
Após a inicialização, um controlador de domínio (DC) do Active Directory no Windows Server 2003 exibe uma mensagem antes do prompt de login semelhante a esta:
Pop-up do aplicativo: lsass.exe - Erro do sistema: Falha na inicialização do Gerenciador de Contas de Segurança devido ao seguinte erro: O serviço de diretório não pode ser iniciado. Status do erro: 0xc00002e1. Clique em OK para encerrar esse sistema e reiniciar em Modo de Restauração dos Serviços de Diretório, e verifique o log de eventos para obter informações mais detalhadas.
O banco de dados do Active Directory (AD) está corrompido; o servidor não pode autenticar os membros do domínio do AD e não inicializará em modo normal.
Solução:
Na ausência de um backup recente do estado dos sistemas, será possível realizar as etapas a seguir como uma tentativa de recuperação do AD.
1. Reinicie o DC em Modo de Restauração dos Serviços de Diretório (DSRM).
a. Na inicialização do servidor, pressione F8 depois que as inicializações do BIOS do sistema e do serviço de hardware (por exemplo, PERC, iDRAC) estiverem concluídas.
b. No menu de inicialização, selecione Directory Services Restore Mode e pressione Enter.
2. No botão Iniciar do Windows, selecione Executar e digite cmd para abrir um prompt de comando.
Digite ESENTUTL /g C:\windows\NTDS\ntds.dit /!10240 /8 /o e pressione Enter para fazer a verificação de integridade inicial.
Nos casos de inconsistência do banco de dados, será exibida uma mensagem de erro, como: results CORRUPTED, -1206.
3. Em seguida, digite NTDSUTIL e pressione Enter. Isso faz com que o conjunto de ferramentas de NTDS seja inicializado.
a. No prompt, digite Files e pressione Enter para acessar o utilitário de gerenciamento de arquivos NTDS
b. No prompt file maintenance:, digite info e pressione Enter para exibir as localizações de todos os arquivos relacionados ao banco de dados do AD.
4. No prompt file maintenance:, digite Recover e pressione Enter. Isso iniciará uma recuperação simples do banco de dados do AD.
Nota: Com raras exceções, essa etapa não será suficiente para solucionar o problema. Trata-se, sobretudo, de uma etapa preliminar para diagnosticar a dimensão do problema.
Digite quit em cada prompt até retornar ao prompt de comando (C:\<path>).
5. No prompt de comando, digite ESENTUTL /ml c:\windows\ntds\edb para verificar os arquivos de log do banco de dados do AD.
Se essa etapa falhar, execute os seguintes comandos e pressione a tecla Enter após cada um deles:
a. 'DEL *.log'
b. 'DEL *.chk'
e prossiga para a etapa 6.
6. No prompt de comando, digite ESENTUTL /p C:\Winnt\NTDS\ntds.dit /!10240 /8 /o e pressione Enter para executar uma recuperação complexa
do banco de dados do AD.
Advertência: Após a conclusão bem-sucedida, o comando ESENTUTL /p retornará o banco de dados para o estado de sua última transação confirmada. É possível que as alterações recentes sejam perdidas. Por isso, para recuperar um servidor do AD, recomenda-se como melhor prática fazer uma restauração completa do estado do sistema a partir do backup diário.
7. No prompt de comando, digite ESENTUTL /g C:\Winnt\NTDS\ntds.dit /!10240 /8 /o e pressione Enter para garantir a consistência do banco de dados.
8. Retorne ao prompt NTDSUTIL (consulte a Etapa 3) e digite sem dat ana (truncado de Semantic Database Analysis) e pressione Enter.
No prompt semantic checker:, digite go e pressione Enter.
Se um problema for detectado, digite go fix e pressione Enter.
9. Reinicie o servidor em modo normal após a conclusão de todas as etapas.