Der Domänencontroller funktioniert nicht ordnungsgemäß

  • Artikel

Dieser Artikel enthält allgemeine Lösungen für das Problem, bei dem der Domänencontroller nicht ordnungsgemäß funktioniert.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 837513

Problembeschreibung

Wenn Sie das Dcdiag-Tool auf einem Domänencontroller auf Basis von Microsoft Windows 2000-Server oder auf einem Domänencontroller auf Basis von Windows Server 2003 ausführen, erhalten Sie möglicherweise die folgende Fehlermeldung:

DC-Diagnose
Anfangssetup wird ausgeführt:
[DC1] LDAP-Bindungsfehler 31

Wenn Sie das Hilfsprogramm REPADMIN /SHOWREPS lokal auf einem Domänencontroller ausführen, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

[D:ntprivatedssrcutilrepadminrepinfo.c, 389] LDAP-Fehler 82 (lokaler Fehler).

Letzter Versuch @ yyyy-mm-dd hh:mm.ss fehlgeschlagen, Ergebnis 1753: Es sind keine weiteren Endpunkte über die Endpunktzuordnung verfügbar.

Letzter Versuch @ yyyy-mm-dd hh:mm.ss fehlgeschlagen, Ergebnis 5: Zugriff verweigert.

Wenn Sie Active Directory-Standorte und -Dienste verwenden, um die Replikation auszulösen, erhalten Sie möglicherweise eine Meldung, die angibt, dass der Zugriff verweigert wird.

Wenn Sie versuchen, Netzwerkressourcen über die Konsole eines betroffenen Domänencontrollers zu verwenden, einschließlich UNC-Ressourcen (Universal Naming Convention) oder zugeordnete Netzwerklaufwerke, wird möglicherweise die folgende Fehlermeldung angezeigt:

Keine Anmeldeserver verfügbar (c000005e = "STATUS_NO_LOGON_SERVERS")

Wenn Sie irgendein Active Directory-Verwaltungsprogramm über die Konsole eines betroffenen Domänencontrollers starten, einschließlich Active Directory-Standorte und -Dienste und Active Directory-Benutzer und -Computer, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Für die Authentifizierung war keine Autorität erreichbar. Wenden Sie sich an den Systemadministrator, um zu überprüfen, ob Ihre Domäne ordnungsgemäß konfiguriert und derzeit online ist.

Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Der Zielkontoname ist ungültig. Wenden Sie sich an den Systemadministrator, um zu überprüfen, ob Ihre Domäne ordnungsgemäß konfiguriert und derzeit online ist.

Microsoft Outlook-Clients, die mit Microsoft Exchange Server-Computern verbunden sind, die betroffene Domänencontroller für die Authentifizierung verwenden, werden möglicherweise zur Eingabe von Anmeldeinformationen aufgefordert, obwohl eine erfolgreiche Anmeldeauthentifizierung von anderen Domänencontrollern vorliegt.

Das Netdiag-Tool kann die folgenden Fehlermeldungen anzeigen:

DC-Listentest. . . . . . . . . . . : Fehlgeschlagen
[WARNUNG] Kann DsBind nicht zu <Servername>.<fqdn> (<IP-Adresse>) aufrufen. [FEHLER_DOMÄNENCONTROLLER_NICHT_GEFUNDEN]
Kerberos-Test. . . . . . . . . . . : Fehlgeschlagen
[FATAL] Kerberos verfügt nicht über ein Ticket für krbtgt/<fdqn>.

[FATAL] Kerberos verfügt nicht über ein Ticket für <hostname>.
LDAP-Test. . . . . . . . . . . . . : Durchgeführt
[WARNUNG] Fehler bei der Abfrage der SPN-Registrierung auf DC <hostname><fdqn>

Das folgende Ereignis kann im Systemereignisprotokoll des betroffenen Domänencontrollers protokolliert werden:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Lösung

Es gibt mehrere Lösungen für diese Symptome. Nachfolgend finden Sie eine Liste von Methoden, die Sie ausprobieren können. Auf die Liste folgen die Schritte zur Durchführung jeder Methode. Probieren Sie jede Methode aus, bis das Problem behoben ist. Microsoft Knowledge Base-Artikel, die weniger übliche Lösungen für diese Symptome beschreiben, sind weiter unten aufgeführt.

  1. Methode 1: Beheben Sie DNS-Fehler (Domain Name System).
  2. Methode 2: Synchronisieren Sie die Uhrzeit zwischen Computern.
  3. Methode 3: Überprüfen Sie die Benutzerrechte für den Zugriff auf diesen Computer über das Netzwerk.
  4. Methode 4: Stellen Sie sicher, dass das userAccountControl-Attribut des Domänencontrollers 532480 lautet.
  5. Methode 5: Korrigieren Sie den Kerberosbereich (vergewissern Sie sich, dass der PolAcDmN-Registrierungsschlüssel und der PolPrDmN-Registrierungsschlüssel übereinstimmen).
  6. Methode 6: Setzen Sie das Computerkonto-Kennwort zurück und erstellen Sie ein neues Kerberos-Ticket.

Methode 1: Beheben von DNS-Fehlern

  1. Führen Sie an einer Eingabeaufforderung den Befehl netdiag -v aus. Dieser Befehl erstellt eine "Netdiag.log"-Datei in dem Ordner, in dem er ausgeführt wurde.
  2. Beheben Sie alle DNS-Fehler in der "Netdiag.log"-Datei, bevor Sie weitermachen. Das Netdiag-Tool ist in den Windows 2000 Server Support Tools auf der Windows 2000 Server CD-ROM oder als Download verfügbar.
  3. Stellen Sie sicher, dass DNS korrekt konfiguriert ist. Einer der häufigsten DNS-Fehler besteht darin, den Domänencontroller für DNS auf einen Internetdienstanbieter (ISP) anstatt auf sich selbst oder auf einen anderen DNS-Server zu verweisen, der dynamische Updates und SRV-Einträge unterstützt. Es wird empfohlen, den Domänencontroller auf sich selbst oder auf einen anderen DNS-Server zu verweisen, der dynamische Updates und SRV-Einträge unterstützt. Es wird empfohlen, Weiterleitungen an den Internetdienstanbieter (ISP) für die Namensauflösung im Internet einzurichten.

Weitere Informationen zum Konfigurieren von DNS für den Active Directory-Verzeichnisdienst finden Sie in den folgenden Microsoft Knowledge Base-Artikeln:
254680 DNS-Namespaceplanung

Methode 2: Synchronisieren der Uhrzeit zwischen Computern

Stellen Sie sicher, dass die Uhrzeit zwischen Domänencontrollern korrekt synchronisiert ist. Überprüfen Sie außerdem, dass die Uhrzeit zwischen Clientcomputern und Domänencontrollern korrekt synchronisiert ist.

Methode 3: Überprüfen der Benutzerrechte für den „Zugriff auf diesen Computer über das Netzwerk“

Ändern Sie die Datei "Gpttmpl.inf", so dass die entsprechenden Benutzer das Recht Zugriff auf diesen Computer über das Netzwerk auf dem Domänencontroller haben. Gehen Sie dazu wie folgt vor:

  1. Ändern Sie die Datei "Gpttmpl.inf" für die Standarddomänencontroller-Richtlinie Standardmäßig sind in der Standardrichtlinie für Domänencontroller Benutzerrechte für einen Domänencontroller definiert. Standardmäßig befindet sich die Datei „Gpttmpl.inf“ für die Standard-Domänencontrollerrichtlinie im folgenden Ordner.

    Hinweis

    Sysvol befindet sich möglicherweise an einem anderen Speicherort, aber der Pfad für die Datei „Gpttmpl.inf“ bleibt der gleiche.

    Für Windows Server 2003-Domänencontroller:

    C:\WINDOWS\Sysvol\Sysvol\<Domänenname>\Richtlinien\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Für Windows 2000 Server-Domänencontroller:

    C:\WINNT\Sysvol\Sysvol\<Domänenname>\Richtlinien\6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. Fügen Sie rechts neben dem SeNetworkLogonRight-Eintrag die Sicherheits-IDs für Administratoren, für Authentifizierte Benutzer und für Jeden hinzu. Weitere Informationen finden Sie in den folgenden Beispielen.

    Für Windows Server 2003-Domänencontroller:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Für Windows 2000 Server-Domänencontroller:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Hinweis

    Administratoren (S-1-5-32-544), authentifizierte Benutzer (S-1-5-11), Jeder (S-1-1-0) und Domänencontroller der Organisation (S-1-5-9) verwenden bekannte Sicherheits-IDs, die in jeder Domäne identisch sind.

  3. Entfernen Sie alle Einträge rechts neben dem SeDenyNetworkLogonRight-Eintrag (Zugriff vom Netzwerk auf diesen Computer verweigern), um dem folgenden Beispiel zu entsprechen.

    SeDenyNetworkLogonRight =

    Hinweis

    Das Beispiel ist für Windows 2000 Server und für Windows Server 2003 identisch.

    Standardmäßig enthält Windows 2000 Server keine Einträge im SeDenyNetworkLogonRight-Eintrag. Standardmäßig verfügt Windows Server 2003 nur über das Zeichenfolgenkonto Support_random im SeDenyNetworkLogonRight-Eintrag. (Das Zeichenfolgenkonto Support_random wird von der Remoteunterstützung verwendet.) Da das Zeichenfolgenkonto Support_random in jeder Domäne eine andere Sicherheits-ID (SID) verwendet, ist das Konto nicht einfach von einem typischen Benutzerkonto zu unterscheiden, nur indem man sich die SID ansieht. Möglicherweise möchten Sie die SID in eine andere Textdatei kopieren und dann die SID aus dem SeDenyNetworkLogonRight-Eintrag entfernen. Auf diese Weise können Sie sie retablieren, wenn Sie mit der Problembehandlung fertig sind.

    SeNetworkLogonRight und SeDenyNetworkLogonRight können in jeder Richtlinie definiert werden. Wenn das Problem durch die vorherigen Schritte nicht behoben wird, überprüfen Sie die Datei „Gpttmpl.inf“ in anderen Richtlinien in Sysvol, um sicherzugehen, dass die Benutzerrechte dort nicht ebenfalls definiert werden. Wenn eine Datei „Gpttmpl.inf“ keinen Verweis auf SeNetworkLogonRight oder SeDenyNetworkLogonRight enthält, sind diese Einstellungen nicht in der Richtlinie definiert, und das Problem wird nicht durch diese Richtlinie verursacht. Wenn diese Einträge vorhanden sind, stellen Sie sicher, dass sie mit den zuvor für die Standarddomänencontrollerrichtlinie aufgeführten Einstellungen übereinstimmen.

Methode 4: Überprüfen, ob das userAccountControl-Attribut des Domänencontrollers 532480 ist

  1. Klicken Sie auf Start und dann auf Ausführen, und geben Sie adsiedit.msc ein.
  2. Erweitern Sie Domain NC, erweitern Sie DC=domain, und erweitern Sie dann OU=Domain Controllers.
  3. Klicken Sie mit der rechten Maustaste auf den Domänencontroller, und klicken Sie anschließend auf Eigenschaften.
  4. Aktivieren Sie unter Windows Server 2003 auf der Registerkarte Attribut-Editor sowohl das Kontrollkästchen Verbindliche Attribute anzeigen als auch das Kontrollkästchen Optionale Attribute anzeigen. In Windows 2000 Server klicken Sie im Feld Anzuzeigende Eigenschaften auf Beide.
  5. Klicken Sie in Windows Server 2003 im Feld Attribute auf userAccountControl. Klicken Sie in Windows 2000 Server im Feld Anzuzeigende Eigenschaft auf userAccountControl.
  6. Wenn der Wert nicht 532480 ist, geben Sie 532480 in das Feld Attribut bearbeiten ein, klicken Sie auf Festlegen, klicken Sie auf Übernehmen und dann auf OK.
  7. Beenden Sie die ADSI Bearbeitung.

Methode 5: Korrigieren des Kerberos-Bereichs (vergewissern Sie sich, dass der PolAcDmN-Registrierungsschlüssel und der PolPrDmN-Registrierungsschlüssel übereinstimmen)

Hinweis

Diese Methode ist nur für Windows 2000 Server gültig.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

  1. Starten Sie den Registrierungs-Editor.
  2. Erweitern Sie im linken Fensterbereich Sicherheit.
  3. Klicken Sie im Menü Sicherheit auf Berechtigungen, um der lokalen Administratorengruppe volle Kontrolle über die Struktur SICHERHEIT und ihre untergeordneten Container und Objekte zu gewähren.
  4. Suchen Sie den Schlüssel HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. Im rechten Bereich des Registrierungs-Editors klicken Sie einmal auf den Eintrag <No Name>: REG_NONE.
  6. Klicken Sie im Menü Ansicht auf Binärdaten anzeigen. Klicken Sie im Abschnitt Format des Dialogfelds auf Byte.
  7. Der Domänenname wird als Zeichenfolge auf der rechten Seite des Dialogfelds Binärdaten angezeigt. Der Domänenname entspricht dem Kerberos-Bereich.
  8. Suchen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. Doppelklicken Sie im rechten Bereich des Registrierungs-Editors auf den Eintrag <No Name>: REG_NONE.
  10. Fügen Sie im Dialogfeld Binär-Editor den Wert aus PolPrDmN ein. (Der Wert von PolPrDmN ist der NetBIOS-Domänenname).
  11. Starten Sie den Domänencontroller neu.

Methode 6: Zurücksetzen des Kennworts für das Computerkonto und Abrufen eines neuen Kerberos-Tickets

  1. Beenden Sie den Dienst Kerberos Key Distribution Center, und legen Sie dann dessen Starttyp auf Manuell fest.

  2. Verwenden Sie das Netdom-Tool aus den Windows 2000 Server-Supporttools oder aus den Windows Server 2003-Supporttools, um das Computerkontokennwort des Domänencontrollers zurückzusetzen:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    Stellen Sie sicher, dass der Befehl netdom als erfolgreich abgeschlossen zurückgegeben wird. Andernfalls hat der Befehl nicht funktioniert. Für die Domäne Contoso, bei der der betroffene Domänencontroller DC1 und ein funktionierender Domänencontroller DC2 ist, führen Sie den folgenden netdom-Befehl über die Konsole von DC1 aus:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  3. Starten Sie den betroffenen Domänencontroller neu.

  4. Starten Sie den Dienst Kerberos Key Distribution Center, und legen Sie dann dessen Starttyp auf Automatisch fest.

Weitere Informationen zu diesem Problem finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
323542 Sie können das Tool Active Directory-Benutzer und -Computer nicht starten, da der Server nicht betriebsbereit ist.