Domänencontroller funktioniert nicht einwandfrei

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 837513 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
837513 Domain controller is not functioning correctly
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie das Dienstprogramm "Dcdiag" auf einem Domänencontroller mit Microsoft Windows 2000 Server oder Windows Server 2003 ausführen, wird möglicherweise die folgende Fehlermeldung angezeigt:
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31 (DC-Diagnose
Anfängliches Setup wird ausgeführt:
[DC1] LDAP-Bindungsversuch fehlgeschlagen mit Fehler 31)
Wenn Sie das Dienstprogramm REPADMIN /SHOWREPS lokal auf einem Domänencontroller ausführen, wird eventuell die folgende Fehlermeldung angezeigt:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error). ([D:\nt\private\ds\srcl\repadmin\repinfo.c, 389] LDAP-Fehler 82 (Lokaler Fehler).)

Wenn Sie versuchen, Netzwerkressourcen, zum Beispiel UNC-Ressourcen (UNC = Universal Naming Convention) oder zugeordnete Netzlaufwerke auf einem betroffenen Domänencontroller zu verwenden, wird möglicherweise die folgende Fehlermeldung angezeigt:
No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS") (Keine Anmeldeserver verfügbar (c000005e = "STATUS_NO_LOGON_SERVERS"))
Wenn Sie versuchen, Active Directory-Verwaltungsprogramme wie "Active Directory-Benutzer und -Computer" oder "Active Directory-Standorte und -Dienste" von der Konsole eines betroffenen Domänencontrollers aus zu starten, wird möglicherweise eine der folgenden Fehlermeldungen angezeigt:
Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Für die Authentifizierung war keine Autorität erreichbar. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist.
Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Der Zielkontoname ist ungültig. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfiguriert und online ist.
Microsoft Outlook-Clients, die mit Microsoft Exchange Server-Computern verbunden sind, die von diesem Problem betroffene Domänencontroller für die Authentifizierung verwenden, werden eventuell nach ihren Anmeldeinformationen gefragt, obwohl die Anmeldeauthentifizierung bei anderen Domänencontrollern bereits erfolgreich war.

Im Dienstprogramm "Netdiag" können die folgenden Fehlermeldungen angezeigt werden:
DC list test . . . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to <servername>.<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for krbtgt/<fqdn>.
[FATAL] Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC <hostname>\<fqdn> (Test der Domänencontrollerliste.....: Fehlgeschlagen
[WARNUNG] DsBind für <Servername>.<FQDN> (<IP-Adresse> kann nicht aufgerufen werden. [FEHLER_DOMÄNENCONTROLLER_NICHT_GEFUNDEN]
Kerberos-Test. . . . . . . . . . . : Fehlgeschlagen
[SCHWERWIEGEND] Kerberos hat kein Ticket für krbtgt/<FQDN>.
[SCHWERWIEGEND] Kerberos hat kein Ticket für <Hostname>.
LDAP-Test. . . . . . . . . . . . . : Bestanden
[WARNUNG] SPN-Registrierung auf DC <Hostname>\<FQDN> konnte nicht abgefragt werden)


Das folgende Ereignis wird eventuell im Systemereignisprotokoll des betroffenen Domänencontrollers protokolliert:

Typ: Fehler
Quelle: Dienststeuerungs-Manager
Ereigniskennung: 7023
Beschreibung: Der Dienst "Kerberos-Schlüsselverteilungscenter" wurde mit folgendem Fehler beendet: Der Server des Sicherheitskonten-Managers (SAM, Security Account Manager) oder der lokalen Sicherheitsautorität (LSA, Local Security Authority) befand sich in einem Zustand, in dem der Sicherheitsvorgang nicht durchgeführt werden kann.

Lösung

Bei diesen Symptomen gibt es diverse Lösungsmöglichkeiten. Im Folgenden finden Sie eine Liste mit den Methoden, die Sie versuchen sollten. Auf diese Liste folgt eine Beschreibung der Schritte, die im Rahmen der einzelnen Methoden durchzuführen sind. Wenden Sie die Methoden nacheinander an, bis das Problem behoben ist. Weiter unten in diesem Artikel werden Microsoft Knowledge Base-Artikel aufgelistet, in denen weniger gebräuchliche Lösungen für dieses Problem beschrieben werden.
  1. Methode 1: DNS-Fehler (Domain Name System) beheben.
  2. Methode 2: Uhrzeit zwischen den Computern synchronisieren.
  3. Methode 3: Benutzerberechtigung Auf diesen Computer vom Netzwerk aus zugreifen überprüfen.
  4. Methode 4: Vergewissern Sie sich, dass auf dem Domänencontroller für das Attribut "userAccountControl" der Wert 532480 festgelegt ist.
  5. Methode 5: Kerberos-Bereich überprüfen (sicherstellen, dass die Registrierungsschlüssel "PolAcDmN" und "PolPrDmN" zueinander passen).
  6. Methode 6: Kennwort für das Computerkonto zurücksetzen und dann ein neues Kerberos-Ticket anfordern.

Methode 1: DNS-Fehler beheben

  1. Führen Sie in einer Eingabeaufforderung den Befehl netdiag -v aus. Durch diesen Befehl wird eine Datei "Netdiag.log" in dem Ordner erstellt, für den der Befehl ausgeführt wurde.
  2. Beheben Sie etwaige DNS-Fehler, die in der Datei "Netdiag.log" beschrieben werden, bevor Sie die Problembehandlung fortsetzen. Das Dienstprogramm "Netdiag" ist in den Windows 2000 Server-Supporttools auf der Windows 2000 Server-CD-ROM enthalten und steht außerdem zum Download zur Verfügung. Besuchen Sie die folgende Website von Microsoft, um die Windows 2000 Server-Supporttools herunterzuladen:
    http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx
  3. Stellen Sie sicher, dass DNS korrekt konfiguriert wurde. Einer der häufigsten DNS-Fehler ist, dass der Domänencontroller auf einen Internetdienstanbieter für DNS verweist und nicht auf DNS selbst oder einen anderen DNS-Server, der dynamische Aktualisierungen und SRV-Einträge unterstützt. Wir empfehlen, dass der Domänencontroller auf sich selbst oder einen anderen DNS-Server verweist, der dynamische Aktualisierungen und SRV-Einträge unterstützt. Wir empfehlen, für die Namensauflösung im Internet Weiterleitungen an den Internetdienstanbieter zu konfigurieren.
Weitere Informationen zum Konfigurieren von DNS für den Active Directory-Verzeichnisdienst finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
291382 Häufig gestellte Fragen zu Windows 2000 DNS und Windows Server 2003 DNS
237675 Einrichten von DNS für Active Directory
254680 DNS-Namespace-Planung
255248 DNS-Namespace in eine untergeordnete Domäne delegieren

Methode 2: Uhrzeit zwischen den Computern synchronisieren

Vergewissern Sie sich, dass die Uhrzeit zwischen den Domänencontrollern korrekt synchronisiert ist. Überprüfen Sie außerdem, ob die Uhrzeit zwischen Clientcomputern und Domänencontrollern korrekt synchronisiert wurde.

Weitere Informationen zum Konfigurieren des Windows-Zeitdienstes finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
258059 Synchronisieren der Uhrzeit in Windows 2000 in einer Windows NT 4.0-Domäne
216734 Konfigurieren eines autorisierenden Zeitservers in Windows 2000

Methode 3: Benutzerberechtigung "Auf diesen Computer vom Netzwerk aus zugreifen" überprüfen

Modifizieren Sie die Datei "Gpttmpl.inf" so, dass gewährleistet ist, dass die richtigen Benutzer auf dem Domänencontroller über die Berechtigung Auf diesen Computer vom Netzwerk aus zugreifen verfügen. Gehen Sie hierzu folgendermaßen vor:
  1. Modifizieren Sie die Datei "Gpttmpl.inf" für die Standarddomänencontrollerichtlinie. In der Standarddomänencontrollerichtlinie werden standardmäßig die Benutzerberechtigungen für einen Domänencontroller definiert. Die Datei "Gpttmpl.inf" für die Standarddomänencontrollerichtlinie ist standardmäßig in folgendem Ordner gespeichert:

    Hinweis: "Sysvol" kann sich an einem anderen Speicherort befinden, der Pfad für die Datei "Gpttmpl.inf" bleibt jedoch ansonsten gleich.

    Für Windows Server 2003-Domänencontroller:

    C:\WINDOWS\Sysvol\Sysvol\<Domänenname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Für Windows 2000 Server-Domänencontroller:

    C:\WINNT\Sysvol\Sysvol\<Domänenname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. Rechts von dem Eintrag "SeNetworkLogonRight" fügen Sie die Sicherheitskennungen für die Gruppen "Administratoren", "Authentifizierte Benutzer" und "Jeder" hinzu. (Siehe hierzu die folgenden Beispiele.)

    Für Windows Server 2003-Domänencontroller:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Für Windows 2000 Server-Domänencontroller:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Hinweis: "Administrator" (S-1-5-32-544), "Authentifizierte Benutzer" (S-1-5-11), "Jeder" (S-1-1-0) und "Domänencontroller der Organisation" (S-1-5-9) verwenden bekannte Sicherheitskennungen, die in jeder Domäne gleich sind.
  3. Entfernen Sie etwaige Einträge rechts von dem Eintrag SeDenyNetworkLogonRight (Zugriff vom Netzwerk auf diesen Computer verweigern), sodass der gesamte Eintrag aussieht wie in dem folgenden Beispiel.

    SeDenyNetworkLogonRight =

    Hinweis: Dieses Beispiel gilt für Windows 2000 Server und Windows Server 2003 gleichermaßen.

    Standardmäßig gibt es für Windows 2000 Server keine Einträge unter dem Eintrag "SeDenyNetworkLogonRight". Standardmäßig gibt es für Windows Server 2003 nur den Eintrag "Support_beliebige Zeichenfolge" unter dem Eintrag "SeDenyNetworkLogonRight". (Das Konto "Support_beliebige Zeichenfolge" wird für die Remoteunterstützung verwendet.) Da das Konto "Support_beliebige Zeichenfolge" in jeder Domäne eine andere Sicherheitskennung (SID) verwendet, ist dieses Konto nicht einfach dadurch von einem typischen Benutzerkonto zu unterscheiden, indem man sich die SID ansieht. Sie könnten die SID in eine andere Textdatei kopieren und dann die SID aus dem Eintrag "SeDenyNetworkLogonRight" entfernen. Auf diese Weise können Sie sie wieder zurück kopieren, wenn die Problembehandlung abgeschlossen ist.

    "SeNetworkLogonRight" und "SeDenyNetworkLogonRight" können in jeder beliebigen Richtlinie definiert werden. Falls das Problem durch die vorstehend beschriebenen Schritte nicht behoben werden konnte, überprüfen Sie die Datei "Gpttmpl.inf" in anderen Richtlinien in "Sysvol", um sich zu vergewissern, dass die Benutzerberechtigungen nicht auch dort definiert sind. Falls eine Datei "Gpttmpl.inf" keinen Verweis auf "SeNetworkLogonRight" oder auf "SeDenyNetworkLogonRight" enthält, sind diese Einstellungen in der Richtlinie nicht definiert, die also auch nicht der Auslöser des Problems sein kann. Falls diese Einträge vorhanden sind, stellen Sie sicher, dass sie den zuvor aufgelisteten Einstellungen für die Standarddomänencontrollerichtlinie entsprechen.

Methode 4: Vergewissern Sie sich, dass auf dem Domänencontroller für das Attribut "userAccountControl" der Wert 532480 festgelegt ist

  1. Klicken Sie auf Start, klicken Sie auf Ausführen und geben Sie adsiedit.msc ein.
  2. Erweitern Sie der Reihe nach Domain NC, DC=Domäne und anschließend OU=Domain Controllers.
  3. Klicken Sie mit der rechten Maustaste auf den betroffenen Domänencontroller, und klicken Sie anschließend auf Eigenschaften.
  4. Aktivieren Sie in Windows Server 2003 auf der Registerkarte Attribut-Editor die Kontrollkästchen Verbindliche Attribute anzeigen und Optionale Attribute anzeigen. In Windows 2000 Server klicken Sie im Feld Anzuzeigende Eigenschaften auswählen (Select which properties to view) auf Beide.
  5. In Windows Server 2003 klicken Sie im Feld Attribute auf userAccountControl. In Windows 2000 Server klicken Sie im Feld Anzuzeigende Eigenschaften auswählen (Select a property to view) auf userAccountControl.
  6. Ist der Wert nicht 532480, geben Sie im Feld Attribut bearbeiten (Edit Attribute) den Wert 532480 ein, klicken Sie auf Festlegen, auf Übernehmen, und klicken Sie anschließend auf OK.
  7. Beenden Sie "ADSI Edit".

Methode 5: Kerberos-Bereich überprüfen (sicherstellen, dass die Registrierungsschlüssel "PolAcDmN" und "PolPrDmN" zueinander passen)

Hinweis: Diese Methode ist nur auf Windows 2000 Server anwendbar.
Warnung: Die unkorrekte Verwendung des Registrierungs-Editors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.
  1. Starten Sie den Registrierungs-Editor.
  2. Erweitern Sie im linken Fensterbereich Security.
  3. Klicken Sie im Menü Security (Sicherheit) auf Berechtigungen, um der lokalen Gruppe "Administratoren" die Berechtigung "Vollzugriff" für die Struktur "SECURITY" sowie deren untergeordnete Container und Objekte zuzuweisen.
  4. Suchen Sie den Schlüssel HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. Klicken Sie im rechten Fenster des Registrierungs-Editors auf <Kein Name>: REG_NONE.
  6. Klicken Sie im Menü Ansicht auf Binäre Daten anzeigen. Klicken Sie im Abschnitt Format des Dialogfelds auf Byte.
  7. Der Domänenname wird als Zeichenfolge rechts im Dialogfeld Binäre Daten angezeigt. Der Domänenname ist mit dem Kerberos-Bereich identisch.
  8. Suchen Sie den Registrierungschlüssel HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. Doppelklicken Sie im rechten Fenster des Registrierungs-Editors auf den Eintrag <Kein Name>: REG_NONE.
  10. Fügen Sie im Dialogfeld Binär-Editor den Wert aus "PolPrDmN" ein. (Der Wert aus "PolPrDmN" ist der NetBIOS-Domänenname).
  11. Starten Sie den Domänencontroller neu.

Methode 6: Kennwort für das Computerkonto zurücksetzen und dann ein neues Kerberos-Ticket anfordern

  1. Beenden Sie den Dienst "Kerberos-Schlüsselverteilungscenter", und legen Sie anschließend als Starttyp "Manuell" fest.
  2. Verwenden Sie das Dienstprogramm "Netdom" aus den Windows 2000 Server-Supporttools oder den Windows Server 2003-Supporttools wie folgt, um das Kennwort für das Computerkonto des Domänencontrollers zurückzusetzen:

    netdom resetpwd /server:anderer Domänencontroller /userd:domain\administrator /passwordd:Administratorkennwort

    Vergewissern Sie sich, dass für den Befehl "netdom" gemeldet wird, dass er erfolgreich ausgeführt wurde. Andernfalls hat der Befehl nicht funktioniert. Für die Domäne "Contoso", in der der Domänencontroller DC1 betroffen ist und der Domänencontroller DC2 funktioniert, führen Sie den folgenden netdom-Befehl von der Konsole von DC1 aus:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:Administratorkennwort
  3. Starten Sie den betroffenen Domänencontroller neu.
  4. Starten Sie den Dienst "Kerberos-Schlüsselverteilungscenter", und legen Sie anschließend als Starttyp Automatisch fest.

Weitere Informationen zu diesem Problem finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
325322 "Der Server ist nicht betriebsbereit Fehlermeldung, wenn Sie versuchen, Exchange-Systemmanager zu öffnen"
284929 Kann aktives Verzeichnis-Snap-Ins starten Fehlermeldung besagt, dass es für Authentifizierung keine Stelle hergestellt werden konnte
257623 Das DNS-Suffix des Computernamens eines Domänencontrollers stimmt möglicherweise nicht mit dem Domänennamen überein, nachdem Sie einen Windows NT 4.0 Primary Domain Controller (primären Domänencontroller) auf Windows 2000 aktualisiert haben
257346 Rechts Benutzer "auf diesen Computer von dem Netzwerk zugreift" verursacht Tools nicht zu Arbeit
316710 Deaktivierte Kerberos-Schlüsselverteilung verhindert das Starten von Exchange-Diensten
329642 Fehlermeldung, wenn Sie Active Directory-Snap-Ins und Exchange-Systemmanager öffnen
272686 Fehlermeldung treten ein, wenn Snap-Ins Active Directory-Benutzer geöffnet wird
323542 Da der Server nicht betriebsbereit ist, können Sie das Programm Active Directory-Benutzer nicht starten
329887 Sie können nicht interaktiv mit Active Directory MMC-Snap-Ins arbeiten
325465 Windows 2000-Domänencontroller benötigen SP3 oder höher bei Verwendung der Windows Server 2003-Verwaltungsprogramme
322267 Des Client für Microsoft-Netzwerke entfernen löscht anderen Dienst
297234 Zwischen dem Client und dem Server ist Zeitunterschied vorhanden
247151 Domänenbenutzern wird beim Start von MMC-Snap-In Fehler angezeigt
280833 Fehler, All DNS Zones in Proxy anzugeben, führt zu DNS-fehler, die zu Titel schwierig sind
322307 Kann Exchange-Dienste oder aktives Verzeichnis-Snap-Ins nach Ihnen Installation von Service Pack 2 (SP2) für Windows 2000 nicht starten

Eigenschaften

Artikel-ID: 837513 - Geändert am: Freitag, 2. Februar 2007 - Version: 1.6
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Keywords: 
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com