pengendali domain tidak berfungsi dengan benar

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 837513
Perbesar semua | Perkecil semua

Pada Halaman ini

Gejala

Ketika Anda menjalankan alat Dcdiag pada Microsoft Windows pengendali domain berbasis 2000 server atau domain berbasis Windows Server 2003 controller, Anda mungkin menerima pesan galat berikut:
DC Diagnosis
Melakukan konfigurasi awal:
[DC1] Mengikat LDAP gagal dengan kesalahan 31
Ketika Anda menjalankan utilitas REPADMIN /SHOWREPS secara lokal pada pengendali domain, Anda mungkin menerima salah satu pesan galat berikut:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP kesalahan 82 (lokal Error).
Upaya terakhir @ yyyy-mm-dd hh:mm.ss gagal, hasil 1753: ada tidak lebih Endpoint yang tersedia dari endpoint mapper.
Upaya terakhir @ yyyy-mm-dd hh:mm.ss gagal, hasil 5: akses ditolak.
Jika Anda menggunakan Active Directory situs dan layanan untuk memicu replikasi, Anda mungkin menerima pesan yang menunjukkan bahwa akses ditolak.

Ketika Anda mencoba untuk menggunakan sumber jaringan dari konsol pengendali domain yang terkena dampak, termasuk Penamaan Universal Konvensi (UNC) sumber daya atau kandar jaringan yang dipetakan, Anda akan menerima pesan galat berikut:
Server masuk tidak tersedia (c000005e = "STATUS_NO_LOGON_SERVERS")
Jika Anda mulai aktif apapun Alat administratif direktori dari konsol domain yang terpengaruh controller, termasuk aktif Direktori Situs dan layanan dan Active Directory Pengguna dan komputer, Anda mungkin menerima salah satu pesan galat berikut:
Penamaan informasi tidak dapat ditemukan karena: tidak ada otoritas bisa dihubungi untuk otentikasi. Hubungi sistem Anda administrator untuk memverifikasi bahwa domain Anda dikonfigurasi dengan benar dan sedang online.
Penamaan informasi tidak dapat terletak karena: nama akun Target salah. Hubungi sistem Anda administrator untuk memverifikasi bahwa domain Anda dikonfigurasi dengan benar dan sedang online.
Microsoft Outlook klien yang tersambung ke Microsoft Exchange Server komputer yang menggunakan pengontrol domain terpengaruh untuk otentikasi akan diminta untuk log masuk kredensial, meskipun ada otentikasi berhasil masuk dari pengontrol domain lainnya.

The Alat Netdiag akan menampilkan pesan kesalahan berikut:
DC Daftar tes........ : Gagal
[PERINGATAN] Tidak dapat memanggil DsBind untuk <servername>.<fqdn> (<ip address="">). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] </ip></fqdn></servername>
Kerberos tes........... : Gagal
[FATAL] Kerberos tidak memiliki tiket untuk krbtgt /<fqdn>. </fqdn>
[FATAL] Kerberos tidak memiliki tiket untuk <hostname>.<b00> </b00> </hostname>
LDAP test. . . . . . . . . . . . . : Lulus
[PERINGATAN] Gagal untuk query SPN pendaftaran di DC <hostname>\<fqdn> </fqdn> </hostname>
The peristiwa berikut ini mungkin login di log peristiwa sistem domain terpengaruh controller:

Jenis peristiwa: kesalahan
Peristiwa Sumber: Service Control Manager
Event ID: 7023
Deskripsi: Kerberos pusat distribusi bukti kunci layanan diakhiri dengan error berikut: manajer akun keamanan (SAM) atau keamanan lokal otoritas (LSA) server adalah dalam keadaan yang salah untuk melakukan operasi keamanan.

Pemecahan masalah

Ada beberapa resolusi untuk gejala-gejala ini. The Berikut ini adalah daftar metode untuk mencoba. Daftar ini diikuti oleh langkah-langkah untuk melakukan setiap metode. Mencoba setiap metode sampai masalah telah teratasi. Microsoft pengetahuan Dasar artikel yang menggambarkan perbaikan kurang umum untuk gejala-gejala ini terdaftar kemudian.
  1. Metode 1: Memperbaiki Domain Name System (DNS) kesalahan.
  2. Metode 2: Melakukan sinkronisasi waktu antara komputer.
  3. Metode 3: Periksa Mengakses komputer ini dari jaringan hak pengguna.
  4. Metode 4: Memverifikasi bahwa pengendali domain userAccountControl atribut adalah 532480.
  5. Metode 5: Memperbaiki bidang Kerberos (mengkonfirmasi bahwa PolAcDmN bukti kunci registri dan bukti kunci registri PolPrDmN sesuai).
  6. Metode 6: Reset sandi akun mesin, dan kemudian mendapatkan tiket Kerberos baru.

Metode 1: Memperbaiki kesalahan DNS

  1. Pada prompt perintah, jalankan perintah netdiag - v . Perintah ini membuat berkas Netdiag.log di map di mana perintah dijalankan.
  2. Menyelesaikan kesalahan DNS pada berkas Netdiag.log sebelum Anda melanjutkan.
  3. Pastikan bahwa DNS dikonfigurasi dengan benar. Salah satu yang paling kesalahan DNS yang umum adalah untuk menunjuk pengendali domain ke layanan Internet Provider (ISP) untuk DNS bukan menunjuk DNS untuk sendiri atau DNS lain server yang mendukung pembaruan dinamis dan SRV records. Kami merekomendasikan bahwa Anda titik pengendali domain sendiri atau server DNS lain yang mendukung pembaruan dinamis dan SRV records. Sebaiknya Anda mengatur forwarders untuk ISP untuk resolusi nama di Internet.
Untuk informasi lebih lanjut tentang konfigurasi DNS untuk layanan direktori Active Directory, klik nomor artikel berikut untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
291382Pertanyaan umum tentang Windows 2000 DNS dan Windows Server 2003 DNS
237675 Pengaturan DNS untuk direktori aktif
254680 DNS namespace perencanaan
255248 Cara membuat domain anak dalam Active Directory dan mendelegasikan namespace DNS untuk domain anak

Metode 2: Sinkronisasi waktu antara komputer

Memverifikasi bahwa waktu dengan benar disinkronisasi antara domain controller. Selain itu, memverifikasi bahwa waktu disinkronisasi dengan benar antara komputer klien dan pengendali domain.

Untuk informasi lebih lanjut tentang bagaimana mengkonfigurasi Windows waktu layanan, klik berikut artikel nomor untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
258059Bagaimana untuk melakukan sinkronisasi waktu pada komputer berbasis Windows 2000 di domain Windows NT 4.0
216734 Cara mengkonfigurasi otoritatif waktu server pada Windows 2000

Metode 3: Periksa hak pengguna "Akses komputer ini dari jaringan"

Memodifikasi file Gpttmpl.inf untuk mengkonfirmasi bahwa pengguna yang sesuai memiliki Mengakses komputer ini dari jaringan pengguna tepat di pengendali domain. Untuk melakukannya, ikuti langkah berikut:
  1. Memodifikasi Gpttmpl.inf file untuk Default Domain Kebijakan kontroler. secara asali, kebijakan pengendali domain Default adalah di mana hak pengguna yang ditetapkan untuk pengendali domain. secara asali, Gpttmpl.inf file untuk kebijakan pengendali domain Default terletak di berikut folder.

    Catatan SYSVOL mungkin berada di lokasi yang berbeda, tapi jalan untuk Gpttmpl.inf file akan sama.

    Untuk domain Windows Server 2003 controller:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Untuk pengontrol domain Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf</Domainname></Domainname>
  2. kanan-atas entri SeNetworkLogonRight, menambahkan Keamanan pengidentifikasi untuk administrator, untuk dikonfirmasi pengguna, dan untuk Semua orang. Lihat contoh berikut.

    Untuk domain Windows Server 2003 controller:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Untuk Windows pengendali domain 2000 server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Catatan Administrator (S-1-5-32-544), dikonfirmasi pengguna (S-1-5-11), Semua orang (S-1-1-0), dan perusahaan controller (S-1-5-9) menggunakan terkenal Keamanan pengidentifikasi yang sama di setiap domain.
  3. Menghapus entri di sebelah kanan-atasSeDenyNetworkLogonRight entri (Deny akses ke komputer ini dari jaringan) untuk mencocokkan berikut contoh.

    SeDenyNetworkLogonRight =

    Catatan Contoh adalah sama untuk Windows 2000 Server dan untuk Windows Server 2003.

    secara asali, Windows 2000 Server telah tidak ada entri SeDenyNetworkLogonRight entri. secara asali, Windows Server 2003 telah hanya Support_string acak dalam SeDenyNetworkLogonRight entri. (Support_acak string rekening ini digunakan oleh bantuan jauh.) Karena Support_string acak account menggunakan yang berbeda pengidentifikasi keamanan (SID) dalam setiap domain, account adalah tidak mudah dibedakan dari account pengguna biasa hanya dengan melihat SID. Anda dapat ingin menyalin SID ke file teks yang lain, dan kemudian menghapus SID dari SeDenyNetworkLogonRight entri. Dengan cara itu, Anda dapat memasukkannya kembali ketika Anda selesai pemecahan masalah.

    SeNetworkLogonRight dan SeDenyNetworkLogonRight dapat didefinisikan dalam kebijakan. Jika langkah-langkah sebelumnya tidak mengatasi masalah, periksa berkas Gpttmpl.inf di kebijakan lainnya di Sysvol untuk mengkonfirmasi bahwa hak pengguna yang tidak juga didefinisikan terdapat. Jika Gpttmpl.inf file berisi tidak ada referensi untuk SeNetworkLogonRight atau SeDenyNetworkLogonRight, pengaturan tersebut tidak didefinisikan dalam kebijakan dan yang kebijakan tidak menyebabkan masalah ini. Jika entri tersebut ada, memastikan bahwa mereka sesuai dengan pengaturan yang terdaftar sebelumnya untuk pengendali domain Default kebijakan.

Metode 4: Pastikan bahwa pengendali domain userAccountControl atribut 532480

  1. Klik Mulai, klik Menjalankan, kemudian ketik Adsiedit.MSC.
  2. Memperluas Domain NC, memperluasDC =domain, dan kemudian memperluasOU = pengendali domain.
  3. Klik kanan-atas pengendali domain yang terkena dampak, dan kemudian klikProperti.
  4. Pada Windows Server 2003, klik untuk memilih Tampilkan wajib atribut kotak centang dan Tampilkan opsional atribut kotak centang pada Editor atribut tab. Dalam Windows 2000 Server, klik Keduanya dalam Pilih yang properti untuk melihat kotak.
  5. Pada Windows Server 2003, klikuserAccountControl dalam Atribut kotak. Dalam Windows 2000 Server, klik userAccountControl dalamPilih properti untuk melihat kotak.
  6. Jika nilai tidak 532480, ketik532480 dalam Mengedit atribut kotak, klikSet, klik Menerapkan, lalu klikOke.
  7. Berhenti ADSI Edit.

Metode 5: Memperbaiki bidang Kerberos (mengkonfirmasi bahwa bukti kunci registri PolAcDmN dan PolPrDmN registri bukti kunci pertandingan)

Catatan Metode ini hanya berlaku untuk Windows 2000 Server.
Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri apabila ada masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows
  1. Mulai Peninjau Suntingan Registri.
  2. Dalam pane kiri, memperluasKeamanan.
  3. Pada Keamanan menu, klikIzin untuk memberikan administrator lokal kelompok penuh Kontrol keamanan sarang dan anak wadah dan objek.
  4. Cari HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN bukti kunci.
  5. Di sisi kanan-atas dari Peninjau Suntingan Registri, klik<No name="">: REG_NONE</No> Catatan satu kali.
  6. Pada Lihat menu, klik Tampilan Data biner. Dalam Format bagian dari kotak dialog, Klik Byte.
  7. Nama domain muncul sebagai string di sisi kanan-atas The Data biner kotak dialog. Nama domain adalah sama dengan Kerberos alam.
  8. Cari HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN bukti kunci registri.
  9. Di sisi kanan-atas dari Peninjau Suntingan Registri, klik ganda<No name="">: REG_NONE</No> entri.
  10. Dalam Ganda Editor kotak dialog, pasta nilai dari PolPrDmN. (Nilai dari PolPrDmN akan menjadi NetBIOS domain nama).
  11. Restart pengendali domain.

Metode 6: Reset sandi akun mesin, dan kemudian mendapatkan tiket Kerberos baru

  1. Menghentikan layanan Kerberos pusat distribusi bukti kunci, dan kemudian mengatur nilai startup manual.
  2. Menggunakan alat Netdom dari Windows 2000 Server dukungan Alat atau dari alat dukungan Windows Server 2003 untuk me-reset domain sandi account controller mesin:

    netdom resetpwd /Server:pengendali domain lain/userd:domain\administrator /passwordd:administrator sandi

    Pastikan perintah netdom dikembalikan seperti selesai dengan sukses. Jika tidak, perintah tidak bekerja. Untuk domain Contoso, di mana pengendali domain yang terkena adalah DC1, dan bekerja pengendali domain adalah DC2, Anda menjalankan perintah netdom berikut dari konsol DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:administrator sandi
  3. Restart pengendali domain yang terkena dampak.
  4. Memulai layanan pusat distribusi bukti kunci Kerberos, dan kemudian menetapkan pengaturan startup Otomatis.

Untuk informasi lebih lanjut tentang masalah ini, klik nomor artikel berikut ini untuk melihat artikel di Microsoft Basis Pengetahuan:
325322"Server tidak operasional" pesan galat ketika Anda mencoba untuk membuka Pengelola Sistem Exchange
284929 Tidak dapat memulai Active Directory snap-in; pesan galat menyatakan bahwa otoritas tidak dapat dihubungi untuk otentikasi
257623 Akhiran DNS nama komputer pengendali domain baru mungkin tidak sesuai dengan nama domain setelah Anda menginstal upgrade pengontrol domain Windows NT 4.0 utama untuk Windows 2000
257346 "Akses komputer ini dari jaringan" pengguna benar menyebabkan alat untuk tidak bekerja
316710 Cacat Kerberos distribusi bukti kunci mencegah Exchange layanan mulai
329642 Pesan galat ketika Anda membuka snap-in direktori aktif dan Pengelola Sistem Exchange
272686 Pesan galat muncul saat direktori pengguna dan komputer Active snap-in dibuka
323542 Anda tidak dapat menjalankan alat direktori pengguna dan komputer Active karena server tidak operasional
329887 Anda tidak dapat berinteraksi dengan snap-in MMC direktori aktif
325465 Memerlukan pengontrol domain Windows 2000 SP3 atau kemudian ketika menggunakan alat administrasi Windows Server 2003
322267 Menghapus klien jaringan Microsoft menghapus layanan lainnya
297234 Ada perbedaan waktu antara klien dan server
247151 Domain tingkat bawah pengguna akan menerima pesan galat ketika mulai snap-in MMC
280833 Kegagalan untuk menentukan semua DNS Zone di klien proxy mengarah ke DNS kegagalan yang sulit untuk melacak
322307 Tidak dapat memulai layanan Exchange atau Active Directory snap-in Setelah Anda menginstal Service Pack 2 (SP2) untuk Windows 2000

Properti

ID Artikel: 837513 - Kajian Terakhir: 21 Agustus 2012 - Revisi: 1.0
Kata kunci: 
kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini: 837513

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com