невозможно инициализировать службу работы с базой данных windows 7
Ошибка при запуске контроллера Windows на основе домена: службы directory не могут запускаться
В этой статье рассказывается о том, как восстановиться из поврежденной базы данных Active Directory или из-за аналогичной проблемы, которая не позволяет компьютеру запускаться в обычном режиме.
Применяется к: Windows Server 2003
Исходный номер КБ: 258062
Сводка
В этой статье приводится ряд действий, которые могут помочь вам диагностировать причину, из-за чего службы каталогов не могут запускать системную ошибку. Эти действия могут включать в себя следующие действия:
В этой статье также рассказывается, как использовать Ntdsutil или Esentutl для выполнения убыточного ремонта базы данных Active Directory. Так как убыточное восстановление удаляет данные и может привести к новым проблемам, выполните убыточное восстановление только в том случае, если это единственный доступный вариант.
Симптомы
При запуске контроллера домена экран может оказаться пустым, и вы можете получить следующее сообщение об ошибке:
Нажмите кнопку ОК, чтобы отключить эту систему и перезагружаться в режим восстановления служб каталогов, проверьте журнал событий для получения более подробных сведений.
Кроме того, в журнале событий могут отображаться следующие сообщения об ИД событий:
ID события: 700
Описание: «NTDS (260) Online defragmentation is beginning a pass on database NTDS. DIT.»
ID события: 701
Описание: «NTDS (268) Online defragmentation has completed a full pass on database ‘C:\WINNT\NTDS\ntds.dit'».
ID события: 101
Описание: «NTDS (260) двигатель базы данных остановлен».
ID события: 1004
Описание: «Каталог был успешно закрыт».
ID события: 1168
Описание: «Ошибка: произошла ошибка 1032 (fffffbf8). (внутренний ID 4042b). Обратитесь за помощью в службы поддержки продуктов Майкрософт».
ID события: 1103
Описание: «База данных служб каталога windows не может быть инициализирована и возвращена ошибка 1032. Невозвратная ошибка, каталог не может продолжаться».
Причина
Эта проблема возникает из-за того, что одно или несколько из следующих условий являются верными:
Решение
Чтобы устранить эту проблему, выполните следующие действия:
Перезапустите контроллер домена.
Когда появится информация BIOS, нажмите кнопку F8.
Выберите режим восстановления служб directory и нажмите кнопку ENTER.
Войдите в систему с помощью пароля режима восстановления служб Directory.
Нажмите кнопку Начните, выберите Выполнить, введите cmd в поле Открыть, а затем нажмите кнопку ОК.
В командной подсказке введите сведения о файлах ntdsutil.
Вывод, аналогичный следующему, отображается:
C:\ Общий объем NTFS (фиксированный диск) (533,3 Мб) (4,1 ГБ)
Сведения о пути DS:
Расположения файлов, включенные в этот вывод, также содержатся в следующем подкайке реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Следующие записи в этом ключе содержат расположения файлов:
Убедитесь, что файлы, перечисленные в выводе на шаге 6, существуют.
Убедитесь, что папки на выходе Ntdsutil имеют правильные разрешения. Правильные разрешения указаны в следующих таблицах.
Windows Server 2003
| Счет | Permissions | Наследование |
|---|---|---|
| Системные | Полный доступ | Эта папка, подмостки и файлы |
| Администраторы | Полный доступ | Эта папка, подмостки и файлы |
| Владелец создателя | Полный доступ | Только подмостки и файлы |
| Локализованная служба | Создание папок и данных приложения | Эта папка и подмостки |
Windows 2000
| Счет | Permissions | Наследование |
|---|---|---|
| Администраторы | Полный доступ | Эта папка, подмостки и файлы |
| Системные | Полный доступ | Эта папка, подмостки и файлы |
Кроме того, учетная запись System требует разрешений на полный контроль в следующих папках:
В Windows Server 2003 расположение папки %WINDIR% по умолчанию — C:\WINDOWS. В Windows 2000 г. расположение папки %WINDIR% по умолчанию — C:\WINNT.
Проверьте целостность базы данных Active Directory. Для этого введите целостность файлов ntdsutil в командной подсказке.
Если проверка целостности не указывает на отсутствие ошибок, перезапустите контроллер домена в обычном режиме. Если проверка целостности не заканчивается без ошибок, продолжайте следующие действия.
Выполните семантический анализ базы данных. Для этого введите следующую команду в командной подсказке, включая кавычка:
Если анализ семантической базы данных не указывает на отсутствие ошибок, продолжайте следующие действия. Если анализ сообщает о каких-либо ошибках, введите следующую команду в командной подсказке, включая кавычка:
Выполните действия в следующей статье Базы знаний Майкрософт для выполнения автономной дефрагментации базы данных Active Directory:
232122 автономной дефрагментации базы данных Active Directory
Если проблема все еще существует после автономной дефрагментации, а в том же домене есть другие функциональные контроллеры домена, удалите Active Directory с сервера и переустановите Active Directory. Для этого выполните действия в разделе «Обходное решение» в следующей статье Microsoft Knowledge Base:
332199 контроллеры домена не понижали изящно при использовании мастера установки Active Directory для принудительного понижения в Windows Server 2003 и Windows 2000 Server
Если контроллер домена выполняет Microsoft Small Business Server, вы не можете выполнить этот шаг, так как сервер малого бизнеса не может быть добавлен в существующий домен в качестве дополнительного контроллера домена (реплики). Если у вас есть резервное копирование состояния системы, которое является более новым, чем срок службы надгробия, восстановим резервное копирование состояния системы вместо удаления Active Directory с сервера. По умолчанию срок службы надгробия составляет 60 дней.
Если резервное копирование системного состояния не доступно, а в домене нет других здоровых контроллеров домена, рекомендуется восстановить домен, удалив Active Directory, а затем переустановив Active Directory на сервере, создав новый домен. Можно снова использовать старое доменное имя или использовать новое доменное имя. Вы также можете восстановить домен путем переформатирования и переустановки Windows на сервере. Однако удаление Active Directory быстрее и эффективно удаляет поврежденную базу данных Active Directory.
Если резервное копирование системного состояния не доступно, в домене нет других здоровых контроллеров домена, а контроллер домена должен работать немедленно, выполнить убыточное восстановление с помощью Ntdsutil или Esentutl.
Корпорация Майкрософт не поддерживает контроллеры доменов после того, как Ntdsutil или Esentutl используются для восстановления после повреждения базы данных Active Directory. Если выполняется такой ремонт, необходимо восстановить контроллер домена для Active Directory, чтобы он был в поддерживаемой конфигурации. Команда ремонта в Ntdsutil использует утилиту Esentutl для выполнения убыточного ремонта базы данных. Этот вид ремонта устраняет коррупцию путем удаления данных из базы данных. Только используйте этот вид ремонта в качестве последнего средства.
Несмотря на то, что контроллер домена может запускаться и, как представляется, правильно функционировать после ремонта, его состояние неподдержка, так как удаленные из базы данных данные могут вызвать любое количество проблем, которые могут возникнуть не позднее. Нет способа определить, какие данные были удалены при восстановлении базы данных. Как можно скорее после ремонта необходимо восстановить домен, чтобы вернуть Active Directory в поддерживаемую конфигурацию. Если вы используете только методы автономного дефрагментации или семантического анализа баз данных, которые ссылались в этой статье, вам не придется восстанавливать контроллер домена после этого.
Прежде чем выполнить убыточное восстановление, обратитесь в службы поддержки продуктов Майкрософт, чтобы убедиться, что вы рассмотрели все возможные варианты восстановления и убедитесь, что база данных действительно находится в неотвратимом состоянии. Полный список номеров телефонов служб поддержки продуктов Майкрософт и сведений о расходах на поддержку посетите следующий веб-сайт Microsoft:
На контроллере домена Windows 2000 на основе сервера используйте Ntdsutil для восстановления базы данных Active Directory. Для этого введите ntdsutil files repair по командной подсказке в режиме восстановления службы Directory.
Чтобы выполнить убыточное восстановление контроллера домена на Windows Server 2003, используйте Esentutl.exe для восстановления базы данных Active Directory. Для этого введите esentutl/p в командной подсказке на контроллере домена на Windows Server 2003.
Если вы можете запустить контроллер домена в обычном режиме после ремонта, как можно скорее перенести соответствующие объекты Active Directory в новый лес. Так как этот метод восстановления с потерей устраняет коррупцию путем удаления данных, он может привести к более поздним проблемам, которые крайне трудно устранить. При первой возможности после ремонта необходимо восстановить домен, чтобы вернуть Active Directory в поддерживаемую конфигурацию.
Вы можете перенести пользователей, компьютеры и группы с помощью средства миграции Active Directory (ADMT), Ldifde или средства миграции, не в microsoft. ADMT может перенести учетные записи пользователей, учетные записи компьютеров и группы безопасности с историей идентификатора безопасности (SID) или без нее. ADMT также переносит профили пользователей. Чтобы использовать ADMT в среде сервера малого бизнеса, просмотрите документ «Миграция с сервера малого бизнеса 2000 или Windows сервера 2000». Чтобы получить этот белый документ, посетите следующий веб-сайт Microsoft:
Вы можете использовать Ldifde для экспорта и импорта многих типов объектов из поврежденного домена в новый домен. Эти объекты включают учетные записи пользователей, учетные записи компьютеров, группы безопасности, подразделения организации, сайты Active Directory, подсети и ссылки на сайты. Ldifde не может перенести историю SID. Ldifde является частью Windows 2000 Server и Windows Server 2003.
Дополнительные сведения о том, как использовать Ldifde, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
237677 Использование Ldifde для импорта и экспорта объектов каталога в Active Directory
Консоль управления групповой политикой (GPMC) можно использовать для экспорта файловой системы и части Active Directory объекта групповой политики из поврежденного домена в новый домен.
Чтобы получить GPMC, посетите следующий веб-сайт Microsoft:
Сведения о переносе объектов групповой политики с помощью GPMC см. в документе «Перенос GPOS через домены с помощью GPMC». Чтобы получить этот белый документ, посетите следующий веб-сайт Microsoft:
После восстановления оцените текущий план резервного копирования, чтобы убедиться, что у вас достаточно часто запланированы резервные копии состояния системы. Расписание резервного копирования состояния системы по крайней мере каждый день или после каждого существенного изменения. Резервное копирование системного состояния должно содержать необходимый уровень допуска неисправностей. Например, не храните резервные копии на том же диске, что и на резервном компьютере. По возможности используйте несколько контроллеров домена, чтобы избежать одной точки сбоя. Хранение резервных копий в расположении вне сайта, чтобы катастрофа сайта (пожар, кража, наводнение, кража компьютера) не повлияла на вашу способность к восстановлению. Следующие веб-сайты Майкрософт могут помочь вам разработать план резервного копирования.
Службе криптографических служб не удалось инициализировать базу данных каталога
В Event Viewer ( eventvwr ) я заметил повторяющуюся ошибку:
Я пытался найти ответы в Интернете, они помогают мне восстановить базу данных ESENT ( ссылка ).
Я останавливаю Криптографические сервисы :
и переименовал папку catroot2 в catroot2.old Затем я перезапускаю криптографические сервисы:
Через несколько минут новый catroot2 будет создан. Затем я пытаюсь проверить содержимое:
Одинаковый вывод для режима дефрагментации ( /d ) и режима контрольной суммы ( /k )
Если я использую режим восстановления ( /r ), вывод:
Кажется, я поставил неправильные параметры в режиме восстановления.
Что я могу делать дальше?
Примечание: все команды выполняются в командной строке администратора
5 ответов 5
Я действительно не знаю, почему это так, но кажется, что это может помочь изменить драйвер для вашего контроллера IDE/ATA. Переименуйте папку catroot2, затем перейдите в диспетчер устройств, выберите контроллер IDE/ATA, щелкните свойства и затем обновите драйвер, затем выберите «выбрать вручную» и выберите совместимый драйвер (например, стандартный контроллер microsoft Microsoft ahci 1.0, применить ) и перезагрузите компьютер.
Предыстория: я заменил неисправный жесткий диск на 380 ГБ на своем ноутбуке VAIO на дисковод WD «Classic» емкостью 1 ТБ. Я последовал предложению, приведенному в документации по приводу на сайте www.wdc.com/advformat, и загрузил программное обеспечение Acronis True Image and Align.
Мне не нужно было беспокоиться, поскольку ни один из них не помог в решении повторяющихся ошибок CAPI2.
Похоже, вам нужны новые драйверы Intel «RST» только для внутренних накопителей с размером сектора 4 КБ, обычно> 2 ТБ.
этот поток почти решил мои проблемы (которые были, что Центр обновления Windows не запустился). Это началось после выполнения стандартных исправлений очистки папки SoftwareDistribution и обновления драйвера. В моем случае я также повторно создал образ системы из пятилетней резервной копии на новый жесткий диск (после сбоя жесткого диска) и застрял не в состоянии обновить. Однако после запуска многих обновлений стало появляться больше ошибок Windows Update. Я думаю, это произошло потому, что база данных снова была повреждена. Я считаю, что для решения этой проблемы мне понадобилось исправление с https://support.microsoft.com/en-us/kb/982018. В зависимости от возраста вашей системы у вас уже может быть это. Но без этого я получал коррупцию даже с обновленным драйвером. Надеюсь, это поможет кому-то еще.
Если это та же проблема, что и у меня, просто (как говорится в ошибке) файл не существует. Попробуйте перейти в это место с помощью файлового менеджера Windows.
Хотя это кажется бессмысленным, предложенное выше предложение заменить драйвер SATA на Generic Windows, а не на Intel, решило мою проблему. Что было после замены моего ноутбука на SSHD (через Seagate DiskWizard Clone), все казалось нормальным, но обновление Windows не запускалось, различные ошибки в журнале событий о криптографии. Все стандартные приложения Windows будут предупреждать об «неизвестном издателе».
Смена драйвера SATA исправила все это!
Еще один очевидный успех. Сбой жесткого диска, его заменили новым более крупным диском той же марки (WD), затем файлы и ОС (Win7 HP), восстановленные из резервной копии Acronis. Все работало, но отмеченные выше ошибки были безудержными, особенно ошибка 583.
Прочитав эту ветку, я попробовал Win Update, и он даже не запустился.
Остановился ли крипто, переименовал catroot и перезапустился безуспешно.
Затем был произведен повторный выбор ручного драйвера SATA, и теперь все работает. 583 ошибки исчезли и Win Update сработал.
Не уверен, почему драйвер будет проблемой, когда старый и новый жесткий диск WD.
Решение проблем использования СЗИ Блокхост-Сеть 2.0
В последней на сегодняшний день версии СЗИ Блокхост-Сеть 2.2.16.1038 разработчикам удалось решить многочисленные проблемы прошлых версий, а их система развертывания работает просто таки хорошо. И все же проблем с установкой и эксплуатацией СЗИ еще хватает. Ниже предпринята попытка систематизировать трудности, с которыми, скорее всего, придется столкнуться ее администраторам и пользователям.
1. Ошибки при установке Блокхост-Cеть
С чем может быть связана ошибка при установке «Не найдено сетевое имя»?
На рабочей станции, куда проводится установка должны быть открыты стандартные общие ресурсы C$ и admin$:
Кроме того, на рабочей станции должна быть включена учетная запись Администратор и к ней задан пароль.
При распространении Блокхоста на клиентские машины через серверную консоль статус подключения – «Отсутствует доступ»
Обычно проблема связана с работой брандмауера Windows на системной машине. Обычно антивирусное ПО на клиенте перехватывает управление брандмауэром и тогда установка клиента Блокхоста проходит штатно. Экран брандмауэра в панели управления Windows 7 при этом выглядят следующим образом:
В отдельных случаях перехвата не происходит и тогда экран брандмауера будет выглядеть так:
Потребуется зайти в параметры брандмауера и отключить его для всех типов сетей:
Саму службу брандмауэра отключа ( Брандмауэр Windows для Windows 7 и Брандмауэр защитника Windows в Windows 10) отключать не нужно, иначе при установке получите сообщение об ошибке «Невозможно подключиться к машине».
В этом случае успех принесла следующая последовательность действий:
2. Проблемы со входом в систему после установки Блокхост-Сеть
После разблокировки рабочей станции Блокхост не видит аппаратный носитель, при вводе пароля выдает ошибку, что пароль неверный. После перезагрузки, иногда неоднократной, все приходит в норму
Сложности входа на рабочую станцию с медленных компьютеров
После появления приглашения ctrl+alt+delete ждем 30-60 секунд (дожидаемся загрузки служб Блокхоста) и пытаемся авторизоваться.
Ошибка при входе с eToken : предъявленный ключевой носитель заблокирован на доступ пользователя к данной рабочей станции»
Еще похожая ошибка:
При входе в систему зависает на экране «Добро пожаловать», после 1-2 перезагрузок приходит в норму.
Если сразу после ввода пароля и пин-кода при зависании нажать ctrl+alt+delete и перейти на диспетчер задач, то загрузка ОС происходит нормально.
Для Windows 10 можно посоветовать такую последовательность: перед включением клиента не подключать носитель, а подключить его, когда загрузится окно входа. После этого подключить носитель и произвести вход.
Как решить проблему при входе пользователя в ОС «время ожидания истекло»?
Посмотрите есть ли в списке установленного ПО на рабочей станции следующее: wufuc – программа, разблокирующая центр обновления на неподдерживаемом оборудовании. Если есть, удалите ее.
После ввода пользователем своих регистрационных данных появляется сообщение «Не удалось загрузить службу персонального экрана»
В этом случае необходимо переустановить драйвер персонального экрана БлокХоста автоматическим или ручным способом. Подробное описание способов привелено в приложенном файле.
На экране ввода пароля или не отображается окно носителя (нет иконки носителя и поля для ввода пин-кода), только строчки домен, пользователь и пароль.
Необходимо нажать кнопку Сменить пользователя. Драйвер носителя должен быть установлен. Сам аппаратный носитель должен быть вставлен в рабочую станцию.
Выключаем политику, перезагружаем.
При попытке штатного входа пользователя в систему с установлены БХС после некоторого ожидания выводится ошибка: Автозапуск служб не настроен. Вход в систему в этом режиме возможен только с токеном. Для входа в мягком режиме настройте автозапуск служб
решение проблемы приводится в приложенном файле:
3. Эксплуатация – проблемы и решения
Какой пин-код спрашивает Блокхост-Сеть при входе?
Как предоставить общий доступ к папке на рабочей станции пользователя если установлен Блокхост-Сеть?
Доступ к общей папке открывается (помимо стандартного механизма Windows) добавлением дополнительной доменной учетной записи в качестве пользователя Блокхоста на станции с общей папкой. Вместо локального входа выбирается «сетевой вход», носитель в такой схеме привязывать не нужно.
Как в Блокхост-Сеть 2.0 ограничить использование usb-устройств перечнем разрешенных? Как назначить группе сотрудников (отделу) одинаковые доступные флэшки?
Управление в том числе и usb-устройствами производится в разделе Контроль портов и CD окна Настройки машины :
В приложенным файле – практическое пособие от разработчиков по использованию механизма контроля портов.
Недостаток механизма контроля портов в Блокхост-Сеть заключается в следующем. Если необходимо, чтобы usb-устройство было доступным для всех пользователей в организации, это устройство необходимо будет прописать на рабочей станции каждого сотрудника. И так с каждого устройства! Частично обойти это ограничение можно способом, указанным ниже.
Как будет осуществляться техподдержка, в том числе удаленная, при установленном Блокхост-Сеть?
Можно ли настроить автоматическую блокировку компьютера при отключении ключевого носителя?
Можно для рабочих станций, включенных в домен, через групповые политики. Для этого на контроллере домена настроить политику действий при изъятии смарт-карты:
Кроме того, на рабочей станции-клиенте СЗИ необходимо запустить службу Политика удаления смарт-карт и установить для нее автоматический запуск при старте ОС
В результате этих действий после того, как пользователь извлечет из компьютера свой ключевой носитель, рабочая станция будет заблокирована.
Указанный способ не будет работать для рабочих станций, не включенных в домен, а находящихся в рабочей группе.
Как настроить БХ на клиенте чтобы пользователь мог зайти на рабочую станцию только с помощью eToken
Можно ли настроить клонирование настроек рабочих станций, то есть осуществить перенос настроек на другую.
Средство называется синхронизация настроек. Создается группа, туда добавляются рабочие станции. Затем настраиваете одну из рабочих станций и синхронизируете группу соответствующей командой из меню.
Однако таким способом синхронизировать можно только общие настройки, вроде мягкого режима. Настройки пользователей синхронизировать получится только, если предполагается, что синхронизируемые в группе пользователи работают на всех машинах в группе, например это может быть администратор. Конкретных же пользователей каждой машине придется задавать индивидуально.
Нужно ли обязательно записывать пароль на eToken при смене пароля?
актуальна в основном для учетных записей с несменяемым паролем, например администратора. В таком случае пароль можно записать на ключевой носитель и входить в систему без ввода пароля.
В этом случае следует попробовать развернуть msi пакеты снова на клиентских станциях, добавив при этом в Параметрах Connect=1
При запуске серверной консоли появляется окно с ошибкой Не возможно получить клиентские настройки. Генерация параметров MSI развертывания и развертывание через агента работать не будут.
Существует готовое решение от разработчиков:
Однако помогает оно не всегда и более простым решением может оказаться переустановка серверной части. При условии наличии сохраненных ранее настроек сервера:
все рабочие станции успешно присоединятся к серверу после его восстановления.
Как удалить правильно удалить клиента Блокхост-Сеть?
Еще может оказаться необходимым удаление папки C:\BlockHost с клиента и удаление веток из реестра при помощи поиска по ключевому слову blockhost
На многих компах с БХ 2.0 после загрузки все сетевые диски помечены красным крестом, типа недоступны!? Хотя на самом деле доступны и после первого входа на них значок исчезает. Также появились проблемы при смене пароля.
Для устранения этих проблем вам понадобиться консольная утилита enumiric.exe из сервисного набора БХС. Эта утилита выводит привязки служб к адаптерам машины, а также пишет, возможно ли изменение конфигурации адаптера.
Подробное описание решения проблемы и утилита – в приложенных файлах.