0xc00002e2 windows server 2012 как решить



0xc00002e2 windows server 2012 как решить

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов Pyatilistnik.org. В прошлый раз мы с вами рассматривали менеджер пакетов Winget, который позволяет с помощью PowerShell много чего устанавливать. В сегодняшней статье я буду бороться с пресловутым синим экраном 0xc00002e2, который я поймал на одном из контроллеров домена. Что ж не приятно, но не смертельно, давайте выходить из этой ситуации.

❌Описание ситуации с BSOD 0xc00002e2 на контроллере домена

И так есть Active Directory состоящий из леса и трех доменов, в одном из доменов есть четыре контроллера домена. Один из них в какой-то момент перестал отвечать в системе мониторинга. Это была виртуальная машина на базе Vmware ESXI. Подключившись к консольному подключению я увидел вот такую картину:

После перезагрузки сервер опять выпадал в BSOD, и далее по циклу. В логах вы можете потом обнаружить, если доберетесь:

Как исправить синий экран 0xc00002e2

Надеюсь, что у вас это не последний контроллер домена в сети, поэтому самый простой способ это:

  • Восстановить из резервной копии данный контроллер, при условии, что его копия не старше дня, чтобы не было проблем с репликацией
  • Полностью удалить недоступный контроллер домена и заменить его на новый. Если на сервере были роли FSMO, то их сначала нужно захватить и перенести.
  • Но если решились восстанавливать то давайте приступать, может, что и получиться.

Когда вы раза три увидите синий экран с кодом 0xc00002e2, то сервер загрузиться в режиме восстановления WinPE, его при желании можно вызвать клавишей F8 при загрузке. У любого контроллера домена есть специальный режим восстановления службы каталогов (Directory Services Repair Mode — DSRM).

На экране «Choose an option» выберите пункт «Troubleshoot«.

Далее выбираем пункт «Startup Settings«.

Далее при загрузке найдите пункт «Directory Services Repair Mode»

Начнется загрузка DSRM, по сути вы увидите привычную загрузку Windows, в которую вы сможете войти под локальным администратором DSRM, он задается при настройке.

Попав в систему вы первым делом должны запустить командную строку от имени администратора, и далее нам понадобиться одна из самых важных утилит в Active Directory ntdsutil. Вводим команды:

  • Ntdsutil (Запускаем саму утилиту)
  • activate instance ntds (Подключаемся к активной БД Active Directory)
  • Files (Делаем запрос к файлам. где лежит БД)
  • Info (Смотрим все файлы и их расположение)

В моем случае это нестандартный каталог, у меня все лежит в папке C:\ADDS\NTDS\. Тут же вы можете посмотреть размер файла БД NTDS.dit.

Теперь попробуйте проверить целостность базы данных, для этого вводим:

У меня выскочила ошибка:

Или еще распространенная ошибка:

Попробуем восстановить целостность Базы данных Active Directory, для этого есть всем известная утилита esentutl, она очень часто используется при работе с почтовым сервером Exchange. Перед любыми работами всегда нужно сделать резервную копию данных, для этого:

mkdir c:\ntds_backup — Создаем папку для резервных копий
xcopy c:\ADDS\NTDS\*.* c:\ntds_backup — Копируем содержимое c:\ADDS\NTDS\ в c:\ntds_backup

Проверим целостность файла ntds.dit:

esentutl /g c:\ADDS\NTDS\ntds.dit

Утилита вам сообщит. что с базой не все хорошо и она повреждена:

После чего начнется процесс восстановления, а может и не начаться и вы легко можете опять получить ошибку Jet error — 1206.

Первый процесс закончен, попробуем исправить найденные ошибки, для этого выполните команду:

Если все хорошо, то вы должны получить сообщение «Operation completed successfully in xx seconds«.

Обязательно еще раз проверьте в целостности базы данных, выполните:

должно появиться сообщение:

теперь выполним семантический анализ, для этого:

При обнаружении семантических ошибок примените ключ fixup:

Произведем сжатие БД ntds.dit:

Перезапишем оригинальный файл ntds.dit:

Удалите все лог файлы из каталога NTDS:

Проверка прав на файлы NTDS

Еще очень важно проверить не сброшены ли были чем-то права на файлы из папки NTDS. Для этого в командной строке введите предварительно попав нужный каталог:

Должны быть права NT AUTHORITY\SYSTEM: (ID) F и BUILTIN\Administrators: (id) f

Должны быть D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)

Должно быть NT AUTHORITY\SYSTEM: (ID) F и BUILTIN\Administrators: (id) f

Должно быть D:AI (A; ID; FA;;; SY) (A; ID; FA;;; BA)

Источник

Domain controller does not start, c00002e2 error occurs, or «Choose an option» is displayed

This article helps to fix the error c00002e2 or «Choose an option» when Domain controller does not start.

Applies to: В Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Original KB number: В 2737463

Symptoms

A domain controller does not start or does not display the logon screen. After you restart the domain controller and watch the start process, you notice the following symptoms, according to your operating system.

Windows Server 2008 R2 or Windows Server 2008

At startup, the server experiences a Stop error and briefly displays the following error message:

STOP: c00002e2 Directory Services could not start because of the following error:
The specified procedure could not be found
Error status: 0xc000007a.

The server then switches to the startup menu for recovery or for a regular startup.

Windows Server 2012 and later versions

At startup, the server switches to the Choose an option menu that offers to continue or troubleshoot.

Cause

This issue happens because the Active Directory Domain Services role was removed from a domain controller without first demoting it. Using Dism.exe, Pkgmgr.exe, or Ocsetup.exe to remove the DirectoryServices-DomainController role will succeed, but these servicing tools do not validate whether the computer is a domain controller.

Resolution

These steps assume that you have other working domain controllers, and you only want to remove Active Directory Domain Services from this server. If you do not have other working domain controllers, and this is the only domain controller in the domain, you must restore an earlier system state backup.

Windows Server 2008 R2 or Windows Server 2008

Restart the server while you hold Shift+F8.

Select Directory Services Repair Mode (DSRM), and then log on by using the DSRM account.

Validate that the role was removed. For example, to do it on Windows Server 2008 R2, use the following command:

Add the DirectoryServices-DomainController role back to the server. For example, to do it on Windows Server 2008 R2, use the following command:

Restart and select Directory Services Restore Mode again.

Apply a /forceremoval parameter to remove Active Directory Domain Services from the domain controller. To do it, run the following command:

To remove the domain controller metadata, use the ntdsutil.exe or dsa.msc tool.

Windows Server 2012 and later versions

From the Choose an option menu, select Troubleshoot, click Startup Settings, and then click Restart.

Select Directory Services Repair Mode (DSRM), and then log on by using the DSRM password.

Validate that the role was removed. To do it, use the following command:

Add the DirectoryServices-DomainController role back to the server. To do it, use the following command:

Restart, select Directory Services Restore Mode again, and log on by using the DSRM account.

Use Server Manager or Windows PowerShell, and apply a -ForceRemoval parameter to remove Active Directory Domain Services from the domain controller. To do it, run the following command:

To remove the domain controller metadata, use the ntdsutil.exe or dsa.msc tool.

More information

Always use Server Manager or the ServerManager Windows PowerShell module to remove the Active Directory Domain Services role binaries. These tools validate whether a server is an active domain controller and do not let you remove critical files.

For more information about how to remove domain controller metadata, go to the following Microsoft TechNet website:
Clean Up Server Metadata
If it is the only server domain in the domain, do not remove the Active Directory Domain Services from the server. Instead, restore its system state from the most recent backup.

Источник

Контроллер домена не начинается, возникает ошибка c00002e2 или отображается «Выбор параметра»

Эта статья помогает устранить ошибку c00002e2 или «Выберите вариант», когда контроллер домена не запустится.

Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 2737463

Симптомы

Контроллер домена не начинает или не отображает экран логотипа. После перезапуска контроллера домена и просмотра процесса запуска вы заметите следующие симптомы в соответствии с операционной системой.

Windows Сервер 2008 R2 или Windows Server 2008

При запуске сервер испытывает ошибку Stop и кратко отображает следующее сообщение об ошибке:

STOP: c00002e2 Directory Services не удалось запустить из-за следующей ошибки:
Указанную процедуру найти не удалось
Состояние ошибки: 0xc000007a.

Затем сервер переключается в меню запуска для восстановления или для обычного запуска.

Windows Server 2012 и более поздние версии

При запуске сервер переключается на меню Выбор параметра, которое предлагает продолжить или устранить неполадки.

Причина

Эта проблема происходит из-за того, что роль служб домена Active Directory была удалена из контроллера домена без ее понижения. Использование Dism.exe, Pkgmgr.exe или Ocsetup.exe, чтобы удалить роль DirectoryServices-DomainController, но эти средства обслуживания не проверяют, является ли компьютер контроллером домена.

Решение

Эти действия предполагают, что у вас есть другие рабочие контроллеры домена, и необходимо удалить только службы домена Active Directory с этого сервера. Если у вас нет других рабочих контроллеров домена, и это единственный контроллер домена в домене, необходимо восстановить более раннее резервное копирование состояния системы.

Windows Сервер 2008 R2 или Windows Server 2008

Перезапустите сервер во время удержания Shift+F8.

Выберите режим ремонта служб каталогов (DSRM), а затем войдите в систему с помощью учетной записи DSRM.

Проверка удаления роли. Например, чтобы сделать это на Windows Server 2008 R2, используйте следующую команду:

Добавьте DirectoryServices-DomainController роль обратно на сервер. Например, чтобы сделать это на Windows Server 2008 R2, используйте следующую команду:

Перезапустите и выберите режим восстановления служб Directory.

Применить параметр /forceremoval для удаления служб домена Active Directory из контроллера домена. Для этого запустите следующую команду:

Чтобы удалить метаданные контроллера домена, используйте средство ntdsutil.exe или dsa.msc.

Windows Server 2012 и более поздние версии

Из меню Выбор параметра выберите устранение неполадок, нажмите кнопку Запуск Параметры и нажмите кнопку Перезапустить.

Выберите режим ремонта служб каталогов (DSRM), а затем войдите в систему с помощью пароля DSRM.

Проверка удаления роли. Для этого используйте следующую команду:

Добавьте DirectoryServices-DomainController роль обратно на сервер. Для этого используйте следующую команду:

Перезапустите, снова выберите режим восстановления служб Directory и войдите в систему с помощью учетной записи DSRM.

Используйте диспетчер сервера или Windows PowerShell и используйте параметр -ForceRemoval для удаления служб домена Active Directory из контроллера домена. Для этого запустите следующую команду:

Чтобы удалить метаданные контроллера домена, используйте средство ntdsutil.exe или dsa.msc.

Дополнительная информация

Всегда используйте диспетчер серверов или модуль Windows PowerShell ServerManager для удаления развязок роли служб домена Active Directory. Эти средства проверяют, является ли сервер активным контроллером домена и не позволяют удалять критически важные файлы.

Дополнительные сведения о том, как удалить метаданные контроллера домена, перейдите на следующий веб-сайт Microsoft TechNet:
Очистка метаданных сервера
Если это единственный домен сервера в домене, не удалять службы домена Active Directory с сервера. Вместо этого восстановим состояние системы из последней резервной копии.

Источник

Server 2012 CRASH – ERROR 0XC00002E2

нормально грузится в режиме восстановления . файл базы сначало вообще не давал ничего с собой делать через ntdsutil. ругался что не может запустить JET .

журналы переименовывал (как одно из средств восстановления, создаются по новой.)

после Esentutl с разными ключами , база начала хоть как то дефрагментироваться и проверяться. но есть ошибка:

ntdsutil: Activate Instance NTDS
Активный экземпляр — «NTDS».
ntdsutil: files
file maintenance: Compact to c:\temp\tempNTDS
Запуск режима ДЕФРАГМЕНТАЦИИ.
Исходная база данных: C:\Windows\NTDS\ntds.dit
Конечная база данных: c:\temp\tempNTDS\ntds.dit

Defragmentation Status (% complete)

0 10 20 30 40 50 60 70 80 90 100
|—-|—-|—-|—-|—-|—-|—-|—-|—-|—-|
. Операция прекращена с
ошибкой -1605( JET_errKeyDuplicate, Illegal duplicate key ).
______________________________

проверял все доступы к папкам журнала и базы . все нормально.

recover проходит без ошибок. а вот

file maintenance: integrity
Выполнение проверки целостности для базы данных: C:\Windows\NTDS\ntds.dit.

Checking database integrity.

Scanning Status (% complete)

Integrity check completed. Database is CORRUPTED!
Операция прекращена с ошибкой -1206( JET_errDatabaseCorrupted, Non database file
or corrupted db ).

— в домене трудится второй контроллер — с него как то можно взять файл базы или синхронизировать ?

— можно сломанный сервер освободить от роли AD загрузиться в нормальном режиме и опять развернуть службу AD — домен его как » страый «второй КД подхватит?

Ответы

ВОПРОС — МОЖНО ЕГО СЕЙЧАС В СЕТЬ ВОЗВРАЩАТЬ чтоб он реплицировался и встал в строй полноценно??

проверки есть какие нибудь ??

Лучше не возвращать, а принудительно понизить (Uninstall-ADDSDomainController -ForceRemoval в Powershell), вычистить на другом КД информацию о нём из Active Directory (к примеру — удалить подобъект NTDS Settings объекта этого сервера в AD Sites and services) и, если он ещё нужен как КД — повысить заново.

Дело в том, что после выполнения esentutl /p потеря данных при таком исправлении может привести к рассогласованию БД Active Directory с копией на другом КД, которое практически невозможно выявить. А также — к другим трудновыявляемым ошибкам.

Поэтому Microsoft советует (есть статья 258062 в MS KB) прибегать к esentutl /p только как крайней мере — для восстановления единственного КД в домене при отсутствии резервной копии — и даже рекомендует после этого по возможности быстрее произвести миграцию учётных записей пользователей и компьютеров в неповреждённый домен.

Источник

You may also like...