Что такое режим восстановления служб каталогов в Windows 7

Обновлено: 03.07.2024

Режим восстановления служб каталогов (DSRM) — это специальный режим загрузки для исправления или восстановления Active Directory. Он используется для входа в систему в случае сбоя Active Directory или необходимости ее восстановления.

Примечание. Не путайте DSRM с безопасным режимом. Active Directory по-прежнему будет пытаться запуститься в безопасном режиме, и если это не удастся, вы не сможете войти в систему. Вместо этого используйте DSRM.

Вы можете войти в DSRM, используя специальный пароль DSRM, который вы установили при повышении роли контроллера домена. Используйте имя учетной записи для входа .\Администратор (язык может отличаться).

DSRM требуется только в том случае, если Active Directory настолько повреждена, что вы не можете войти в систему, используя свой обычный пароль администратора AD. Используйте DSRM при восстановлении всего домена или леса, когда AD настолько повреждена, что не может нормально загружаться.

Как войти в DSRM

После загрузки DSRM (см. ниже) нажмите «Переключить пользователя» -> «Другой пользователь». При запросе имени учетной записи для входа введите .\Администратор

В первом запросе на вход будет указано имя учетной записи MyDomain\Administrator, где MyDomain — это имя домена. Это неверно и не будет работать. Вы должны нажать «Сменить пользователя» и вручную ввести имя .\Администратор.

Если вы потеряли пароль DSRM

Если вы забыли пароль DSRM для учетной записи .\Administrator, вы можете сбросить его с помощью ntdsutil. См. Сброс пароля DSRM. Для этого требуется работающая Active Directory.

Если Active Directory также не работает, вы можете сбросить пароль DSRM с помощью стандартного инструмента восстановления утерянного пароля для настольного ПК:

<УЛ>
  • Windows Server 2016–2022 (средства восстановления Windows 10/11)
  • Windows Server 2012 R2 (средства восстановления Windows 8.1)
  • Windows Server 2012 (средства восстановления Windows 8)
  • Windows Server 2008 R2 (средства восстановления Windows 7)

    • Если после загрузки DSRM вам необходимо восстановить пароль Active Directory для учетной записи администратора домена, см. статью Изменение утерянного пароля администратора домена.

    Как загрузить DSRM: клавиша F8

    Чтобы вручную загрузиться в режиме восстановления служб каталогов, несколько раз нажмите клавишу F8. Сделайте это сразу после экрана BIOS POST, до появления логотипа Windows. (Время может быть сложным; если появляется логотип Windows, значит, вы ждали слишком долго.) Появится текстовое меню. С помощью клавиш со стрелками вверх/вниз выберите режим восстановления служб каталогов или режим восстановления DS. Затем нажмите клавишу Enter.

    Windows 8 или более поздняя версия: клавиша F8 отключена в настольных версиях Windows 8 или более поздней версии. Если вы хотите загрузиться в безопасном режиме, запустите msconfig и выберите «Минимальный». Затем перезагрузитесь.

    Как загрузить DSRM: msconfig.exe

    Вы можете настроить Windows для загрузки DSRM с помощью msconfig.exe:

    1. Нажмите WIN+R.
    2. В поле «Открыть» введите msconfig и нажмите «ОК». Появится диалоговое окно «Конфигурация системы».
    3. Нажмите на вкладку "Загрузка" (вверху).
    4. В разделе "Параметры загрузки" установите флажок "Безопасная загрузка".
    5. Выберите восстановление Active Directory и нажмите OK.
    6. Перезагрузите компьютер. Нажмите «Пуск» (или нажмите WIN+X -> Завершение работы или выход из системы -> Перезагрузка.

    Это загрузит компьютер в DSRM.

    1. Нажмите WIN+R.
    2. В поле «Открыть» введите msconfig и нажмите «ОК». Появится диалоговое окно «Конфигурация системы».
    3. Нажмите на вкладку "Загрузка" (вверху).
    4. В разделе "Параметры загрузки" снимите флажок "Безопасная загрузка" и нажмите "ОК".
    5. Перезагрузите компьютер. Нажмите «Пуск» (или нажмите WIN+X -> Завершение работы или выход из системы -> Перезагрузка.

    Это загрузит компьютер обратно в обычный режим.

    Как загрузить DSRM: Bcdedit

    В Windows Server 2008 или более поздней версии вы можете запустить bcdedit в административной консоли:

    1. Чтобы загрузить DSRM, введите команду bcdedit /set safeboot dsrepair , затем выполните перезагрузку: shutdown /r /f /t 5.
    2. Когда вы будете готовы загрузиться в обычном режиме, введите bcdedit /deletevalue safeboot, затем выполните перезагрузку: shutdown /r /f /t 5.

    Эту процедуру можно использовать, когда графический интерфейс пользователя (GUI) недоступен (например, в Server Core).

    Для получения дополнительной информации

    U-Move защищает контроллер домена Active Directory, предлагая надежную защиту резервного копирования и восстановления, а также расширенные возможности обновления.

    В этой статье объясняется, как восстановить поврежденную базу данных Active Directory или аналогичную проблему, из-за которой компьютер не загружается в обычном режиме.

    Применимо к: Windows Server 2003
    Исходный номер базы знаний: 258062

    Обзор

    Эта статья проведет вас через ряд шагов, которые могут помочь вам диагностировать причину системной ошибки «Службы каталогов не могут быть запущены». Эти шаги могут включать:

    • Проверка существования файлов службы каталогов Active Directory.
    • Проверка правильности разрешений файловой системы.
    • Проверка целостности базы данных Active Directory.
    • Выполнение семантического анализа базы данных.
    • Восстановление базы данных Active Directory.
    • Удаление и повторное создание базы данных Active Directory.

    В этой статье также рассказывается, как использовать Ntdsutil или Esentutl для восстановления базы данных Active Directory с потерями. Поскольку восстановление с потерями удаляет данные и может вызвать новые проблемы, выполняйте восстановление с потерями только в том случае, если это единственный доступный вариант.

    Симптомы

    При запуске контроллера домена экран может стать пустым, и вы можете получить следующее сообщение об ошибке:

    LSASS.EXE — системная ошибка, инициализация диспетчера учетных записей безопасности не удалась из-за следующей ошибки: не удается запустить службы каталогов. Статус ошибки 0xc00002e1.

    Пожалуйста, нажмите OK, чтобы выключить эту систему и перезагрузиться в режиме восстановления служб каталогов, проверьте журнал событий для получения более подробной информации.

    Кроме того, в журнале событий могут появиться следующие сообщения с идентификаторами событий:

    Код события: 700
    Описание: "NTDS (260) Онлайн-дефрагментация начинает проход базы данных NTDS.DIT".
    Идентификатор события: 701
    Описание: "Интерактивная дефрагментация NTDS (268) завершила полный проход базы данных "C:\WINNT\NTDS\ntds.dit"".
    Код события: 101
    Описание: "NTDS (260) ядро ​​базы данных остановлено".
    Идентификатор события: 1004.
    Описание: "Каталог успешно закрыт".
    Идентификатор события: 1168.
    Описание: "Произошла ошибка: 1032 (ffffffbf8). (Внутренний идентификатор 4042b). Обратитесь за помощью в службу поддержки продуктов Майкрософт".
    Идентификатор события: 1103
    Описание: "Не удалось инициализировать базу данных службы каталогов Windows, и возвращена ошибка 1032. Неисправимая ошибка, работа каталога невозможна".

    Причина

    Эта проблема возникает из-за того, что выполняется одно или несколько из следующих условий:

    • Разрешения файловой системы NTFS в корне диска слишком ограничены.
    • Разрешения файловой системы NTFS для папки NTDS слишком ограничены.
    • Буква диска тома, содержащего базу данных Active Directory, изменилась.
    • База данных Active Directory (Ntds.dit) повреждена.
    • Папка NTDS сжата.

    Разрешение

    Чтобы решить эту проблему, выполните следующие действия:

    Перезапустите контроллер домена.

    Когда появится информация о BIOS, нажмите F8.

    Выберите режим восстановления служб каталогов и нажмите клавишу ВВОД.

    Войдите в систему, используя пароль режима восстановления служб каталогов.

    Нажмите "Пуск", выберите "Выполнить", введите cmd в поле "Открыть" и нажмите "ОК".

    В командной строке введите информация о файлах ntdsutil.

    Появится вывод, похожий на следующий:

    Информация о диске:

    C:\ NTFS (фиксированный диск) свободно (533,3 МБ) всего (4,1 ГБ)

    Информация о пути DS:

    < p>База данных: C:\WINDOWS\NTDS\ntds.dit — 10,1 Мб Резервный каталог: C:\WINDOWS\NTDS\dsadata.bak Рабочий каталог: C:\WINDOWS\NTDS Каталог журнала: C:\WINDOWS\NTDS — 42.1 Всего Мб temp.edb — 2,1 Мб res2.log — 10,0 Мб res1.log — 10,0 Мб edb00001.log — 10,0 Мб edb.log — 10,0 Мб

    Расположения файлов, включенные в эти выходные данные, также находятся в следующем подразделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

    Следующие записи в этом ключе содержат расположение файлов:

    • Путь к резервной копии базы данных
    • Путь к файлам журнала базы данных
    • Рабочий каталог DSA

    Убедитесь, что файлы, перечисленные в выходных данных на шаге 6, существуют.

    Убедитесь, что папки в выходных данных Ntdsutil имеют правильные разрешения. Правильные разрешения указаны в следующих таблицах.

    Windows Server 2003

    td> < /таблица>

    Windows 2000

    Учетная запись Разрешения Наследование
    Система Полный доступ Эта папка, подпапки и файлы
    Администраторы Полный доступ Эта папка, вложенные папки и файлы
    Создатель-владелец Полный доступ Только вложенные папки и файлы
    Локальная служба Создать папки/Добавить данные Эта папка и подпапки
    Учетная запись Разрешения Наследование
    Администраторы Полный доступ Эта папка, вложенные папки и файлы
    Система Полный доступ Эта папка, вложенные папки и файлы

    Кроме того, системной учетной записи требуются разрешения на полный доступ к следующим папкам:

    • Корень диска, на котором находится папка Ntds.
    • Папка %WINDIR%

    В Windows Server 2003 расположением папки %WINDIR% по умолчанию является C:\WINDOWS. В Windows 2000 папка %WINDIR% по умолчанию находится в папке C:\WINNT.

    Проверьте целостность базы данных Active Directory. Для этого введите целостность файлов ntdsutil в командной строке.

    Если проверка целостности не выявила ошибок, перезапустите контроллер домена в обычном режиме. Если проверка целостности не завершается без ошибок, перейдите к следующим шагам.

    Выполните семантический анализ базы данных. Для этого введите в командной строке следующую команду, включая кавычки:

    Если семантический анализ базы данных не выявил ошибок, перейдите к следующим шагам. Если анализ сообщает об ошибках, введите в командной строке следующую команду, включая кавычки:

    Выполните действия, описанные в следующей статье базы знаний Майкрософт, чтобы выполнить автономную дефрагментацию базы данных Active Directory:

    232122 Выполнение автономной дефрагментации базы данных Active Directory

    Если после автономной дефрагментации проблема не устранена, а в том же домене есть другие работающие контроллеры домена, удалите Active Directory с сервера, а затем переустановите Active Directory. Для этого выполните действия, описанные в разделе «Временное решение» следующей статьи базы знаний Майкрософт:

    332199 Контроллеры домена не понижаются корректно при использовании мастера установки Active Directory для принудительного понижения роли в Windows Server 2003 и Windows 2000 Server

    Если на вашем контроллере домена работает Microsoft Small Business Server, вы не сможете выполнить этот шаг, поскольку Small Business Server нельзя добавить в существующий домен в качестве дополнительного контроллера домена (реплики). Если у вас есть резервная копия состояния системы, которая старше времени существования захоронения, восстановите эту резервную копию состояния системы, а не удаляйте Active Directory с сервера. По умолчанию срок службы захоронения составляет 60 дней.

    Если резервная копия состояния системы недоступна и в домене нет других работоспособных контроллеров домена, рекомендуется перестроить домен, удалив Active Directory, а затем переустановив Active Directory на сервере, создав новый домен. Вы можете снова использовать старое доменное имя или использовать новое доменное имя. Вы также можете восстановить домен, переформатировав и переустановив Windows на сервере. Однако удаление Active Directory выполняется быстрее и эффективно удаляет поврежденную базу данных Active Directory.

    Если резервная копия состояния системы недоступна, в домене нет других исправных контроллеров домена, и вам необходимо, чтобы контроллер домена работал немедленно, выполните восстановление с потерями с помощью Ntdsutil или Esentutl.

    Microsoft не поддерживает контроллеры домена после использования Ntdsutil или Esentutl для восстановления после повреждения базы данных Active Directory. Если вы выполняете такое восстановление, вы должны перестроить контроллер домена для Active Directory, чтобы он находился в поддерживаемой конфигурации. Команда восстановления в Ntdsutil использует утилиту Esentutl для выполнения восстановления базы данных с потерями. Этот вид исправления исправляет повреждение, удаляя данные из базы данных. Используйте этот вид ремонта только в крайнем случае.

    Несмотря на то, что контроллер домена может запускаться и работать правильно после восстановления, его состояние не поддерживается, поскольку данные, удаленные из базы данных, могут вызвать множество проблем, которые могут проявиться позже. Невозможно определить, какие данные были удалены при восстановлении базы данных. Как можно скорее после ремонта вы должны перестроить домен, чтобы вернуть Active Directory в поддерживаемую конфигурацию. Если вы используете только те методы автономной дефрагментации или семантического анализа базы данных, которые упоминаются в этой статье, вам не нужно впоследствии перестраивать контроллер домена.

    Прежде чем выполнять восстановление с потерями, обратитесь в службу поддержки продуктов Майкрософт, чтобы убедиться, что вы просмотрели все возможные варианты восстановления, и убедиться, что база данных действительно находится в невосстановимом состоянии. Полный список номеров телефонов службы поддержки продуктов Майкрософт и информацию о стоимости поддержки можно найти на следующем веб-сайте Майкрософт:

    На контроллере домена под управлением Windows 2000 Server используйте Ntdsutil для восстановления базы данных Active Directory. Для этого введите ntdsutil files repair в командной строке в режиме восстановления службы каталогов.

    Чтобы выполнить восстановление контроллера домена под управлением Windows Server 2003 с потерями, используйте средство Esentutl.exe для восстановления базы данных Active Directory. Для этого введите esentutl /p в командной строке на контроллере домена под управлением Windows Server 2003.

    После завершения операции восстановления переименуйте файлы .log в папке NTDS, используя другое расширение, например .bak, и попытайтесь запустить контроллер домена в обычном режиме.

    Если вы можете запустить контроллер домена в обычном режиме после восстановления, как можно скорее перенесите соответствующие объекты Active Directory в новый лес. Поскольку этот метод восстановления с потерями исправляет повреждение путем удаления данных, он может впоследствии вызвать проблемы, которые чрезвычайно трудно устранить. При первой же возможности после восстановления вы должны перестроить домен, чтобы вернуть Active Directory к поддерживаемой конфигурации.

    Мигрировать пользователей, компьютеры и группы можно с помощью средства миграции Active Directory (ADMT), Ldifde или средства миграции сторонних производителей. ADMT может переносить учетные записи пользователей, учетные записи компьютеров и группы безопасности с историей идентификатора безопасности (SID) или без нее. ADMT также переносит профили пользователей. Чтобы использовать ADMT в среде Small Business Server, ознакомьтесь с информационным документом «Миграция с Small Business Server 2000 или Windows 2000 Server». Чтобы получить этот технический документ, посетите следующий веб-сайт Microsoft:

    Вы можете использовать Ldifde для экспорта и импорта многих типов объектов из поврежденного домена в новый домен. К этим объектам относятся учетные записи пользователей, учетные записи компьютеров, группы безопасности, организационные подразделения, сайты Active Directory, подсети и ссылки на сайты. Ldifde не может перенести историю SID. Ldifde входит в состав Windows 2000 Server и Windows Server 2003.

    Для получения дополнительных сведений об использовании Ldifde щелкните следующий номер статьи базы знаний Майкрософт:

    237677 Использование Ldifde для импорта и экспорта объектов каталога в Active Directory

    Вы можете использовать Консоль управления групповыми политиками (GPMC) для экспорта файловой системы и части Active Directory объекта групповой политики из поврежденного домена в новый домен.

    Чтобы получить GPMC, посетите следующий веб-сайт Microsoft:

    Сведения о переносе объектов групповой политики с помощью консоли управления групповыми политиками см. в официальном документе "Миграция объектов групповой политики между доменами с помощью консоли управления групповыми политиками". Чтобы получить этот технический документ, посетите следующий веб-сайт Microsoft:

    После восстановления оцените текущий план резервного копирования, чтобы убедиться, что резервное копирование состояния системы запланировано достаточно часто. Планируйте резервное копирование состояния системы не реже одного раза в день или после каждого существенного изменения. Резервные копии состояния системы должны содержать требуемый уровень отказоустойчивости. Например, не храните резервные копии на том же диске, что и компьютер, резервную копию которого вы создаете. По возможности используйте более одного контроллера домена, чтобы избежать единой точки отказа. Храните резервные копии в удаленном месте, чтобы авария на объекте (пожар, кража, наводнение, кража компьютера) не повлияла на вашу способность к восстановлению. Следующие веб-сайты Microsoft могут помочь вам разработать план резервного копирования.

    Режим восстановления служб каталогов (DSRM) — это специальный вариант загрузки, аналогичный безопасному режиму в Windows. Но этот режим применим только к контроллерам домена Windows Server и используется для восстановления или восстановления базы данных Active Directory. Если есть необходимость исправить или восстановить базу данных Active Directory, необходимо использовать DSRM. При перезапуске в режиме восстановления служб каталогов контроллер домена отключается, то есть он работает как обычный сервер, а не как контроллер домена.

    Загрузиться в режиме восстановления службы каталогов

    Если у вас есть физический доступ к контроллеру домена, вы можете легко получить доступ к режиму восстановления служб каталогов. Просто включите или перезагрузите компьютер и нажмите F8 перед загрузкой Windows, система отобразит дополнительные параметры загрузки.

    dsrm

    Выберите в меню режим восстановления службы каталогов и нажмите Enter. После этого сервер загрузится в режиме восстановления службы каталогов.

    Пароль режима восстановления служб каталогов

    Как правило, когда вы запускаете команду DCPROMO для повышения роли отдельного сервера до контроллера домена, мастер установки предложит вам установить пароль для режима восстановления служб каталогов. Этот пароль на самом деле для встроенной учетной записи локального администратора. Чтобы загрузиться в режиме восстановления служб каталогов, вам необходимо использовать учетную запись локального администратора вместе с паролем DSRM, чтобы пройти экран входа в систему Windows.

    Очень важно знать пароль DSRM. Пароль DSRM предоставляет администратору черный ход для загрузки в режим восстановления служб каталогов для выполнения задач обслуживания и восстановления. Большинство администраторов AD часто забывают об этой учетной записи, что создает значительный риск для безопасности. Использование этой угрозы безопасности может привести к серьезным последствиям.

    Пароль DSRM необходимо регулярно менять. Поскольку пароль DSRM можно использовать для входа в систему в режиме восстановления служб каталогов, а в этом режиме могут выполняться важные задачи, эксплойт учетной записи DSRM может нанести серьезный ущерб вашему лесу AD DS.

    Но что делать, если вы забыли пароль DSRM? Если вы забыли пароль DSRM, вы можете легко изменить или сбросить его, используя приемы, описанные в этой статье: Как изменить или сбросить пароль администратора DSRM.

    Получите полный доступ к Поваренной книге Active Directory и более чем 60 000 других наименований с бесплатной 10-дневной пробной версией O'Reilly.

    Есть также прямые онлайн-мероприятия, интерактивный контент, материалы для подготовки к сертификации и многое другое.

    Проблема

    Вы хотите перезапустить контроллер домена в режиме восстановления DS.

    Решение

    Чтобы войти в режим восстановления DS, необходимо перезагрузить сервер с помощью консоли. Нажмите F8 после самотестирования при включении питания (POST), чтобы открыть меню, как показано на рис. 16-1. В меню выберите Режим восстановления служб каталогов.

    Параметры загрузки

    Рисунок 16-1. Параметры загрузки

    Обсуждение

    База данных Active Directory активна и заблокирована системой, когда контроллер домена загружается в обычном режиме. Если вы хотите выполнить проверку целостности, каким-либо образом манипулировать базой данных Active Directory или восстановить часть базы данных, вам необходимо перезагрузиться в режиме восстановления DS. В этом режиме Active Directory не запускается и файлы базы данных ( ntds.dit ) не блокируются.

    Не всегда целесообразно входить в консоль сервера, когда вам нужно перезагрузить его в режиме восстановления DS. Это можно обойти, изменив файл boot.ini, чтобы сервер автоматически загружался в режиме восстановления DS после перезагрузки. Затем вы можете использовать службы терминалов для удаленного входа на машину, пока она находится в этом режиме. См. MS KB 256588 для получения дополнительной информации о том, как включить эту возможность. Будьте осторожны, если вы пытаетесь получить доступ к режиму восстановления DS через службы терминалов. Если вы не настроили все правильно, контроллер домена может оказаться загруженным в режиме восстановления DS, а не .

    Получите рекомендацию Active Directory прямо сейчас с онлайн-обучением O’Reilly.

    Члены O’Reilly проходят онлайн-обучение в режиме реального времени, а также получают книги, видео и цифровой контент от более чем 200 издателей.

    Читайте также: