После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена

Код статьи: 257623 - Список продуктов, к которым относится данная статья.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986
(http://support.microsoft.com/kb/256986/ )
Описание реестра Microsoft Windows
Развернуть все | Свернуть все

На этой странице

На основном контроллере домена или рядовом сервере под управлением Microsoft Windows NT 4.0 после обновления операционной системы до версии Microsoft Windows 2000 DNS-суффикс контроллера домена может не соответствовать имени домена. При этом могут возникать некоторые дополнительные проблемы.

Как правило, подобное поведение наблюдается в следующих случаях.
  • На контроллере домена под управлением Microsoft Windows NT 4.0 устанавливается исходная версия Windows 2000.
  • В средстве «Сеть» панели управления контроллера домена указан DNS-суффикс.
Для устранения проблемы установите последний пакет обновления для Windows 2000 или обновите операционную систему контроллера домена до версии Windows Server 2003. Кроме того, для устранения проблемы можно использовать способы, описанные в данной статье.
Перейти к началу страницы | Отправить отзыв

Проблема

На основном контроллере домена или рядовом сервере под управлением Windows NT 4.0 после обновления операционной системы до версии Windows 2000 DNS-суффикс контроллера домена может не соответствовать имени домена.

Кроме того, могут возникнуть следующие проблемы.
  • Не удается выполнить репликацию Active Directory.
  • Служба репликации файлов (FRS) перестает отвечать на запросы.
  • При добавлении к домену компьютера под управлением Microsoft Windows XP Professional появляется сообщение об ошибке следующего вида:
    Не удалось связаться с контроллером домена для домена имя_домена.local .
    Если в окне появившегося сообщения щелкнуть Подробнее, появится текст, подобный приведенному ниже:
    DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена имя_домена.local. Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.DomainName.LOCAL
  • Не удается войти в домен.
  • При установке Active Directory на другом рядовом сервере появляется сообщение об ошибке, подобное одному из приведенных ниже.

    Сообщение 1
    Указанный домен не существует, или к нему невозможно подключиться.
    Сообщение 2
    Не удалось создать имя участника службы (SPN), поскольку предложенное имя узла имеет неподходящий формат.
    Сообщение 3
    Служба каталогов не смогла создать объект-сервер для CN=NTDS Settings,CN=CLIENT01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Contoso,DC=com на сервере DC01. Убедитесь, что указанные сетевые учетные данные имеют достаточные права для добавления реплики.
    Сообщение 4
    Операция не выполнена по следующей причине: не удалось найти подходящий контроллер домена для домена contoso.com. Указанный домен не существует, или к нему невозможно подключиться.
  • При запуске оснасток MMC, предназначенных для администрирования Active Directory, появляются следующие сообщения об ошибках.

    Сообщение 1
    Не удалось найти сведения об именах по следующей причине: Попытка входа в систему неудачна.
    Сообщение 2
    Не удалось найти сведения об именах по следующей причине: Имя объекта имеет недопустимый синтаксис.
  • В журнале системных событий клиентского компьютера, рядового сервера или контроллера домена регистрируются следующие события.

    • Код (ID): 5788
      Источник: Netlogon
      Описание: Не удалось обновить имя участника службы (SPN) для объекта-компьютера в службе каталогов Active Directory. Ошибка: Для службы каталогов указан недопустимый синтаксис атрибута.

    • Код (ID): 5789
      Источник: Netlogon
      Не удалось обновить имя узла DNS для объекта-компьютера в службе каталогов Active Directory. Произошла следующая ошибка: Параметр задан неверно.

  • В журнале событий приложений клиентского компьютера, рядового сервера или контроллера домена регистрируются следующие события.

    • Код (ID): 1000
      Источник: Userenv
      Описание: Windows не удалось установить подключение к CONTOSO.COM. Возвращенное значение (1787).

    • Код (ID): 1000
      Источник: Userenv
      Описание: Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

    • Код (ID): 1000
      Источник: Userenv
      Описание: Не удалось определить имя пользователя или компьютера. Возвращенное значение (1326).

    • Код (ID): 5721
      Источник: Сетевой вход в систему
      Описание: Установка сеанса к контроллеру домена Windows NT или Windows 2000 для домена contoso.com не выполнена, так как контроллер домена не имеет учетной записи для компьютера имя_компьютера.

  • При установке службы RUS (Recipient Update Service) на сервере Microsoft Exchange Server появляется следующее сообщение об ошибке.
    Only one instance of the Recipient Update Service can update a Domain Controller and all Domain Controllers on contoso.com are being updated. ID No: c1039c6c.
  • На компьютере с сервером Microsoft Exchange 2000 не запускается служба Microsoft Exchange System Attendant, и в журнале событий приложений регистрируется следующее событие.

    Код (ID): 9157
    Источник: MSExchangeSA
    Описание: Microsoft Exchange System Attendant does not have sufficient rights to read Exchange configuration objects in Active Directory. System attendant will try again in approximately one minute.

  • При работе средства Setspn появляется следующее сообщение об ошибке:
    Requested name "contoso\DC01$" not found in directory.
  • Клиентам PXE (Pre-Boot Execution Environment) не удается пройти проверку подлинности даже при использовании учетных данных администратора домена. При возникновении данной проблемы на странице «Logon Error» мастера установки клиента появляется следующее сообщение.
    00004e28.Ошибка OSC - Система не может проверить это имя, пароль или имя домена.

    Система не может проверить это имя, пароль или имя домена. Проверьте, правильно ли указаны имя пользователя и домен, затем заново введите пароль. При вводе пароля строчные и прописные буквы различаются. Проверьте, не была ли случайно нажата клавиша CAPS LOCK.
  • При установке сервера MIS (Mobile Information Server) после указания пароля для обработчика сообщений появляется следующее сообщение об ошибке:

    Работа мастера была прервана до завершения установки "Mobile Information Server". Обновление параметров системы не выполнено.

    Кроме того, в журнале событий приложений регистрируется следующее событие.

    Код (ID): 10005
    Источник: MSIInstaller
    Описание: Product: Mobile Information Server - error 29910 failed to validate user. Error no: 0x0 Error message: The operation completed successfully.

  • При запуске средства ADMT (Active Directory Migration Tool) в журнале Migration.log регистрируется следующая ошибка.
    2002-01-23 15:00:34 ERR2:7422 Ошибка при перемещении объекта CN=Jsmith, hr=8009030d. Предоставленные пакету учетные данные не были распознаны.
  • Средство Domain Controller Diagnostic Tool (Dcdiag.exe) сообщает о возникновении следующих ошибок.
    • Starting test: NetLogons
      * Network Logons Privileges Check
      [DC01] An net use or LsaPolicy operation failed with error 1231, The network location cannot be reached
    • Starting test: MachineAccount Could not open pipe with
      [DC01]:failed with 1231: The network location cannot be reached. For information about network troubleshooting, see Windows Help. Could not get NetBIOSDomainName Failed can not test for HOST SPN
  • Если создать пользователя с помощью консоли «Small Business Personal Console» или оснастки «Active Directory - пользователи и компьютеры», а затем создать для этого пользователя почтовый ящик, то возникают следующие проблемы.
    • Не создаются свойства электронной почты.
    • Не создаются адреса SMTP.
    • Пользователь не отображается в глобальном списке адресов.
    • В журнале событий службы каталогов регистрируется следующее событие.

      Код (ID): 1655
      Источник: NTDS
      Описание: Не удалось установить связь с глобальным каталогом \\DC01, код состояния: Не удалось создать имя участника службы (SPN), поскольку предложенное имя узла имеет неподходящий формат. Возможно, не удастся продолжить выполняемую операцию. Служба каталогов использует локатор для поиска доступного сервера глобального каталога для следующей операции, которой потребуется глобальный каталог.

  • При установке служб Windows Services for Unix 2.0 появляется следующее сообщение об ошибке:
    error 26065 NIS Schema Upgrade Failed
Примечание. После установки служб Active Directory на рядовом сервере данный компьютер нельзя переименовать, используя вкладку Сетевая идентификация в окне «Свойства системы».
Перейти к началу страницы | Отправить отзыв

Причина

Подобное поведение наблюдается в следующих случаях.
  • На контроллере домена под управлением Microsoft Windows NT 4.0 устанавливается исходная версия Microsoft Windows 2000.
  • В средстве «Сеть» панели управления контроллера домена указан DNS-суффикс.
При установке Windows 2000 программа установки Windows 2000 автоматически снимает флажок Сменить основной DNS-суффикс при смене членства в домене, а также присваивает основному DNS-суффиксу первое значение, указанное в соответствующем списке средства «Сеть» панели управления. После установки служб Active Directory на рядовом сервере данный компьютер пытается выполнять разрешение имен DNS в зоне DNS, соответствующей основному DNS-суффиксу этого компьютера.

Рассмотренная проблема не будет возникать, если выполняется хотя бы одно из следующих условий.
  • Перед обновлением операционной системы контроллера домена под управлением Windows NT 4.0 на этом компьютере не был задан DNS-суффикс.
  • На контроллере домена под управлением Windows NT 4.0 операционная система обновляется до версии Windows 2000 с пакетом обновления 1 (SP1) или более поздней версии.
  • На контроллере домена под управлением Windows NT 4.0 операционная система обновляется до версии Windows Server 2003.
При надлежащей конфигурации системы DNS Windows 2000 и Windows Server 2003 поддерживают непересекающиеся пространства имен. Однако в большинстве случаев появление непересекающихся пространств имен является неумышленным.
Перейти к началу страницы | Отправить отзыв

Решение

Для устранения проблемы установите последний пакет обновления для Windows 2000 или обновите операционную систему контроллера домена до версии Windows Server 2003. Дополнительные сведения о получении последней версии пакета обновления для Windows 2000 см. в следующей статье базы знаний Майкрософт:
260910
(http://support.microsoft.com/kb/260910/ )
Как получить последний пакет обновления для Windows 2000
Для устранения проблемы можно также воспользоваться одним из следующих способов.

Способ 1

  1. Когда в процессе обновления операционной системы до версии Windows 2000 запустится мастер установки Active Directory, сразу завершите работу данного мастера.
  2. Установите флажок Сменить основной DNS-суффикс при смене членства в домене.
  3. Повторно запустите мастер установки Active Directory.

Способ 2

Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Проверьте, имеются ли в окружении непересекающиеся пространства имен. Если такие пространства имеются, исправьте конфигурацию пространства имен. Для этого выполните следующие действия.
  1. Щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Свойства.
  2. В окне Свойства системы перейдите на вкладку Имя компьютера.

    Если DNS-суффикс имени компьютера не соответствует имени домена, значит, используются непересекающиеся пространства имен. Ниже представлены примеры непересекающихся пространств имен.
    • Полное имя компьютера: dc01.fabrikam.com
      Домен: contoso.com
    • Полное имя компьютера: dc01.corp.contoso.com
      Домен: contoso.com
    • Полное имя компьютера: dc01
      Домен: contoso.com
    Чтобы проверить, существуют ли в системе непересекающиеся пространства имен, можно также использовать средство Netdiag.exe. Если средство Netdiag обнаружит, что DNS-суффикс имени компьютера не соответствует DNS-имени домена, значит, используются непересекающиеся пространства имен. Ниже представлены примеры непересекающихся пространств имен.
    • DNS-имя узла: dc01.fabrikam.com
      DNS-имя домена: contoso.com
    • DNS-имя узла: dc01.corp.contoso.com
      DNS-имя домена: contoso.com
    • DNS-имя узла: dc01
      DNS-имя домена: contoso.com
Если DNS-имя состоит из одной метки, и компьютер работает под управлением Windows 2000 с пакетом обновления 4 (SP4), Windows XP или Windows Server 2003, для устранения проблемы воспользуйтесь параметром реестра AllowSingleLabelDnsDomain. Например, если имя домена — «contoso» (не «contoso.com»), то говорят, что данное имя состоит из одной метки. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
300684
(http://support.microsoft.com/kb/300684/ )
Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки
Если в системе используются непересекающиеся пространства имен, выполните следующие действия, чтобы изменить эту конфигурацию.
  1. Войдите в систему на контроллере домена, используя учетную запись с правами администратора домена.
  2. Запустите программу «Блокнот» и скопируйте в окно редактора приведенный ниже код. Сохраните получившийся файл под именем Fixdomainsuffix.vbs.
    Const ADS_PROPERTY_CLEAR = 1

Answer = MsgBox("This script will change the Domain Suffix of this computer"  & vbCrLf &_
                "to equal the AD Domain name that this DC is a member of."    & vbCrLf &_
                "This script can only be run on a Windows 2000 DC by an"      & vbCrLf &_
                "Administrator of the Domain.  You must reboot this computer" & vbCrLf &_
                "after the script completes."                                 & vbCrLf &_
                                                                                vbCrLf &_
                "Choose ""OK"" to continue ""Cancel"" to stop processing the script", vbOKCancel, _
                "Change DNS Suffix to match AD Domain")

If Answer = vbCancel Then WScript.Quit

Set Cont = GetObject("LDAP://localhost")
strTemp = Cont.distinguishedName
strTemp = Mid(strTemp, 4, Len(strTemp))

Set regEx = New RegExp
regEx.Global = True
regEx.IgnoreCase = True
regEx.Pattern = ",DC="
strTemp = regEx.Replace(strTemp, ".")

Set WshShell = CreateObject("WScript.Shell")
WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain", strTemp, "REG_SZ"
WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NV Domain", strTemp, "REG_SZ"
WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SyncDomainWithMembership", 1, "REG_DWORD"

Set Cont = GetObject("LDAP://localhost/RootDSE")
Set Cont = GetObject("LDAP://"&Cont.serverName)
Set Cont = GetObject("LDAP://"&Cont.serverReference)
Cont.PutEx ADS_PROPERTY_CLEAR, "dNSHostName", vbNull
Cont.PutEx ADS_PROPERTY_CLEAR, "servicePrincipalName", vbNull
Cont.SetInfo

Answer = MsgBox("The computer needs to be rebooted for the changes to take effect.  Would you like the DC to be rebooted now?", _
                vbYesNo, "Reboot now?")
If Answer = vbYes Then
   Set OpSysSet = GetObject("winmgmts:{(Shutdown)}").ExecQuery("select * from Win32_OperatingSystem where Primary=true")
      For Each OpSys In OpSysSet
	 OpSys.Reboot()
      Next
End If
    Примечание. Данный сценарий автоматически изменяет параметры, хранящиеся в следующем разделе реестра:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
    В этом разделе находятся следующие параметры.
    Свернуть эту таблицуРазвернуть эту таблицу
    ИмяТипзначение
    HostnameREG_SZимя_компьютера
    NV HostnameREG_SZимя_компьютера
    NV DomainREG_SZимя_домена
  3. Дважды щелкните файл, сохраненный на шаге 2.
  4. Перезагрузите контроллер домена.
Перейти к началу страницы | Отправить отзыв

Дополнительная информация

Чтобы использовать непересекающиеся пространства имен необходимо, чтобы DNS-серверы, используемые контроллерами домена, рядовыми серверами и клиентскими компьютерами, могли выполнять разрешение имен в следующих зонах DNS.
  • В зонах DNS, имена которых совпадают с полностью определенным именем домена, в котором находится учетная запись компьютера.
  • В зонах DNS данного леса, имена которых совпадают с основным DNS-суффиксом.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 257623 - Последнее изменение :: 3 декабря 2007 г. - Редакция: 8.3
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows Services for UNIX 2.0 Standard Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Mobile Information Server 2001 Enterprise Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kberrmsg kbtshoot kbdns kbactivedirectory kbnetwork kbprb kbdirservices KB257623
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы