Controller di dominio non funziona correttamente

Identificativo articolo: 837513 - Visualizza i prodotti a cui si riferisce l?articolo.
Traduzione automatica articoliAttenzione: Questo è un articolo tradotto in automatico.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando si esegue lo strumento DCDiag su un Microsoft Windows 2000-Server di base controller di dominio oppure su un controller di dominio basato su Windows Server 2003, si venga visualizzato il seguente messaggio di errore:
Diagnostica del controller di dominio
Eseguire l'installazione iniziale:
[DC1] Binding LDAP non riuscita con errore 31
Quando si esegue l'utilità REPADMIN /SHOWREPS localmente su un controller di dominio, è possibile che venga visualizzato uno dei seguenti messaggi di errore:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP errore 82 (errore locale).
L'ultimo tentativo di @ yyyy-mm-dd hh:mm.ss non è riuscito, il risultato 1753: non sono disponibili nel mapping degli endpoint di tipo Nessun endpoint.
L'ultimo tentativo di @ yyyy-mm-dd hh:mm.ss non è riuscito, il risultato 5: accesso negato.
Se si utilizza Active Directory Sites and Services per avviare la replica, è possibile che venga visualizzato un messaggio che indica che l'accesso è negato.

Quando si tenta di utilizzare risorse di rete dalla console di un controller di dominio interessato, tra cui risorse UNC (Universal Naming CONVENTION) o le unità di rete mappata viene potrebbe essere visualizzato il seguente messaggio di errore:
Nessun server di accesso disponibile (c000005e = "STATUS_NO_LOGON_SERVERS")
Se si avvia gli strumenti di amministrazione Active Directory dalla console di un controller di dominio interessato, inclusi siti e servizi e utenti e computer, si potrebbe essere visualizzato uno dei seguenti messaggi di errore:
Le informazioni di denominazione non possono essere disponibile perché: Impossibile contattare Nessuna autorità per l'autenticazione. Contattare l'amministratore di sistema per verificare che il dominio è configurato correttamente e che è correntemente in linea.
Le informazioni di denominazione non possono essere disponibile perché: target account name is incorrect. Contattare l'amministratore di sistema per verificare che il dominio è configurato correttamente e che è correntemente in linea.
L'autenticazione da altri controller di dominio di accesso client Microsoft Outlook connessi a Microsoft Exchange Server computer che utilizzano controller di dominio interessato per l'autenticazione venga richiesta credenziali di accesso, anche se non vi è corretta.

Lo Strumento Netdiag potrebbe visualizzare i seguenti messaggi di errore:
Elenco di controller di dominio test........... Non riuscita:
[AVVISO] Impossibile chiamare DsBind <servername>.<fqdn> (< indirizzo ip >). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Test di Kerberos........... Non riuscita:
[ERRORE IRREVERSIBILE] Kerberos non dispone di un ticket per krbtgt/<fqdn>.
[ERRORE IRREVERSIBILE] <hostname>Kerberos non dispone di un ticket per <nomehost>.
Test di LDAP........... Passato:
[AVVISO] Errore nella richiesta SPN registrazione su controller di dominio <hostname>\<fqdn>
Nel registro eventi di sistema del controller di dominio interessato, è possibile che venga registrato il seguente evento:

Tipo evento: errore
Origine evento: Gestione controllo servizi
ID evento: 7023
Descrizione: Il servizio di centro di distribuzione di chiave Kerberos è terminato con il seguente errore: la protezione account manager (SAM) o il server di autorità (LSA, Local Security Authority) di protezione locale non è in errato per eseguire l'operazione di protezione.

Torna all'inizio | Invia suggerimenti

Risoluzione

Sono disponibili diverse soluzioni per questi sintomi. Di seguito è un elenco dei metodi per provare. L'elenco è seguito da procedure per eseguire ciascun metodo. Finché non viene risolto il problema, provare a ciascun metodo. Articoli della Microsoft Knowledge Base che descrivono le correzioni meno comune per questi sintomi sono elencati più avanti.
  1. Metodo 1: Errori di correzione Domain Name System (DNS).
  2. Metodo 2: Sincronizzare l'ora dei computer.
  3. Metodo 3: Controllare i diritti utente di accesso al computer dalla rete .
  4. Metodo 4: Verificare che attributo userAccountControl del controller di dominio sia 532480.
  5. Metodo 5: Area di autenticazione Kerberos di correzione (verificare che il PolAcDmN chiave del Registro di sistema e la la chiave di registro PolPrDmN corrispondono).
  6. Metodo 6: Reimposta la password dell'account computer e quindi ottenere un nuovo ticket Kerberos.

Metodo 1: Correggere gli errori DNS

  1. Al prompt dei comandi, eseguire il comando di netdiag - v . Questo comando crea un file Netdiag.log nella cartella in cui è stato eseguito il comando.
  2. Prima di continuare, risolvere eventuali errori DNS nel file Netdiag.log. Lo strumento di Netdiag è negli strumenti di Windows 2000 Server supporto su CD di Windows 2000 Server o come un download. Per scaricare degli strumenti di supporto di Windows 2000 Server, il seguente sito Microsoft Web:
    http://www.microsoft.com/downloads/details.aspx?familyid=F08D28F3-B835-4847-B810-BB6539362473
    (http://www.microsoft.com/downloads/details.aspx?familyid=F08D28F3-B835-4847-B810-BB6539362473)
  3. Assicurarsi che il servizio DNS è configurato correttamente. Uno degli errori più comuni del DNS è fare il controller di dominio per un provider di servizi Internet (ISP) per il DNS anziché verso DNS a se stesso o al DNS un altro server che supporta gli aggiornamenti dinamici e i record SRV. Si consiglia di scegliere il controller di dominio stesso o un altro server DNS che supporta gli aggiornamenti dinamici e i record SRV. Si consiglia di impostare dei server di inoltro a dell'ISP per la risoluzione dei nomi su Internet.
Per ulteriori informazioni sulla configurazione di DNS per il servizio directory Active Directory, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
291382
(http://support.microsoft.com/kb/291382/ )
Domande frequenti su DNS di Windows 2000 e Windows Server 2003 DNS
237675
(http://support.microsoft.com/kb/237675/ )
Impostazione di Domain Name System per Active Directory
254680
(http://support.microsoft.com/kb/254680/ )
Pianificazione dello spazio dei nomi DNS
255248
(http://support.microsoft.com/kb/255248/ )
Come creare un dominio figlio in Active Directory e spazio dei nomi DNS al dominio figlio di delegato

Metodo 2: Sincronizzare l'ora dei computer

Verificare che l'ora correttamente sia sincronizzata tra i controller di dominio. Inoltre, verificare che l'ora correttamente sia sincronizzata tra i computer client e controller di dominio.

Per ulteriori informazioni su come configurare il servizio ora di Windows, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
258059
(http://support.microsoft.com/kb/258059/ )
Come sincronizzare l'ora in un computer basato su Windows 2000 in un dominio di Windows NT 4.0
216734
(http://support.microsoft.com/kb/216734/ )
Come configurare un server di riferimento ora autorevole in Windows 2000

Metodo 3: Controllare i diritti utente "Accedi al computer dalla rete"

Modificare il file Gpttmpl.inf per verificare che gli utenti appropriati sia l'utente di accesso al computer dalla rete a destra sul controller di dominio. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Modificare il file Gpttmpl.inf per il dominio predefinito criterio controller. Per impostazione predefinita, Default Domain Controllers Policy è in cui i diritti utente sono definiti per un controller di dominio. Per impostazione predefinita, il Gpttmpl.inf per Default Domain Controllers Policy è disponibile nella seguente cartella del file.

    Nota SYSVOL potrebbe essere in una posizione diversa, ma il percorso per il file Gpttmpl.inf sarà lo stesso.

    Per i controller di dominio di Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Per i controller di dominio di Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. A destra della voce SeNetworkLogonRight, aggiungere gli identificatori di protezione per gli amministratori, per gli utenti autenticati e per il gruppo Everyone. Vedere gli esempi seguenti.

    Per i controller di dominio di Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Per Windows 2000 Server controller di dominio:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Nota Amministratori (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0) e controller di organizzazione (S-1-5-9) è possibile utilizzare gli identificatori di protezione note che corrispondono in tutti i domini.
  3. Rimuovere le voci a destra della voce SeDenyNetworkLogonRight (Nega accesso al computer dalla rete) in base l'esempio riportato di seguito.

    SeDenyNetworkLogonRight =

    Nota Nell'esempio corrisponde a quello per Windows 2000 Server e per Windows Server 2003.

    Per impostazione predefinita, Windows 2000 Server non dispone di alcuna voce nella voce SeDenyNetworkLogonRight. In base all'impostazione predefinita, in Windows Server 2003 sono disponibili solo l'account di random string Support_ nella voce SeDenyNetworkLogonRight. (Tramite Assistenza remota viene utilizzato l'account di random string Support_). Poiché l'account di random string Support_ utilizza un identificatore di protezione (SID) in ogni dominio, l'account è facilmente distinguibile da un account utente tipico non solo osservando il SID. È possibile che si desidera copiare il SID in un altro file di testo e quindi rimuovere il SID dalla voce SeDenyNetworkLogonRight. In questo modo, è possibile includerlo nuovamente al termine della risoluzione del problema.

    SeNetworkLogonRight e SeDenyNetworkLogonRight possono essere definiti in tutti i criteri. Se la procedura precedente non risolve il problema, controllare il file di Gpttmpl.inf in altri criteri in SYSVOL per confermare che i diritti utente non anche da definizione non esiste. Se un file Gpttmpl.inf non contiene alcun riferimento per SeNetworkLogonRight o SeDenyNetworkLogonRight, tali impostazioni non definite nel criterio e tale criterio non causa il problema. Se sono presenti le voci, assicurarsi che corrispondano a quelle elencate in precedenza per il controller di dominio predefinito criterio.

Metodo 4: Verificare che attributo userAccountControl del controller di dominio sia 532480

  1. Fare clic su Start , scegliere Esegui e digitare adsiedit.msc .
  2. Espandere il Contesto dei nomi del dominio , DC = domain, quindi espandere OU = Domain Controllers .
  3. Fare clic con il pulsante destro del mouse sul controller di dominio interessato e scegliere Proprietà .
  4. Nella Windows Server 2003, fare clic per selezionare la casella di controllo Mostra attributi obbligatori e la casella di controllo Visualizza attributi facoltativi nella scheda Editor attributi . Fare clic in Windows 2000 Server, su entrambi nella casella Selezionare le proprietà da visualizzare .
  5. Nella Windows Server 2003, fare clic su userAccountControl nella casella attributi . Nella finestra di Windows 2000 Server, fare clic su userAccountControl nella casella Selezionare una proprietà da visualizzare .
  6. Se il valore è non 532480, tipo 532480 nella casella Edit Attribute , fare clic su Imposta , fare clic su Applica e quindi fare clic su OK .
  7. Chiudere ADSI Edit.

Metodo 5: Area di autenticazione Kerberos di correzione (verificare che la chiave del Registro di sistema di PolAcDmN e il Registro di sistema PolPrDmN chiave corrispondenza)

Nota Questo metodo è valido solo per Windows 2000 Server.
importante Questa sezione, metodo o l'attività sono contenute procedure viene illustrato come modificare il Registro di sistema. Tuttavia, possono causare seri problemi se si modifica il Registro di sistema in modo errato. Pertanto, assicurarsi che questa procedura con attenzione. Per maggiore protezione, è eseguire il backup del Registro di sistema prima di modificarlo. È quindi possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
322756
(http://support.microsoft.com/kb/322756/ )
Come eseguire il backup e il ripristino del Registro di sistema in Windows
  1. Avviare l'editor del Registro di sistema.
  2. Nel riquadro di sinistra, espandere protezione .
  3. Nel menu protezione , fare clic su autorizzazioni per concedere al gruppo locale Administrators controllo completo per l'hive SECURITY e contenitori figlio e gli oggetti.
  4. Individuare il HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN chiave.
  5. Nel riquadro destro dell'editor del registro, fare clic sul < Nessun Nome >: REG_NONE voce una sola volta.
  6. Scegliere dal menu Visualizza , Visualizza dati binari . Nella sezione formato della finestra di dialogo, fare clic su byte .
  7. Il nome di dominio viene visualizzato come stringa sul lato destro della finestra di dialogo Dati binari . Il nome di dominio è corrisponde all'area di autenticazione Kerberos.
  8. Individuare il HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN chiave del Registro di sistema.
  9. Nel riquadro di destra dell'editor del registro fare doppio clic il < Nessun Nome >: REG_NONE voce.
  10. Nella finestra di dialogo Editor binario , incollare il valore da PolPrDmN. (Il valore da PolPrDmN è il nome di dominio NetBIOS).
  11. Riavviare il controller di dominio.

Metodo 6: Reimposta la password dell'account computer e quindi ottenere un nuovo ticket Kerberos

  1. Arrestare il servizio Centro distribuzione chiave Kerberos e impostarne il valore di avvio su manuale.
  2. Per reimpostare password di account computer del controller di dominio, utilizzare lo strumento Netdom da strumenti di supporto di Windows 2000 Server o da strumenti di supporto di Windows Server 2003:

    netdom resetpwd /server: / passwordd /userd:domain\administrator di another domain controller: administrator password

    Assicurarsi che il comando netdom viene restituito come completata. Se non è attivato, il comando non ha funzionato. Per il dominio Contoso, in cui il controller di dominio interessato è DC1 e un domain controller funzionante è DC2, è possibile eseguire il seguente comando di netdom dalla console del DC1:

    /passwordd /userd:contoso\administrator di netdom resetpwd /server:DC2: administrator password
  3. Riavviare il controller di dominio interessato.
  4. Avviare il servizio Centro distribuzione chiave Kerberos e impostarne l'impostazione di avvio su automatico .

Per ulteriori informazioni su questo problema, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
325322
(http://support.microsoft.com/kb/325322/ )
Messaggio di errore "il server non operativo" quando si tenta di aprire il gestore di sistema di Exchange
284929
(http://support.microsoft.com/kb/284929/ )
Impossibile avviare gli snap-in di Active Directory; il messaggio di errore specifica che è impossibile contattare un'autorità per l'autenticazione
257623
(http://support.microsoft.com/kb/257623/ )
Il suffisso DNS del nome computer di un nuovo controller di dominio potrebbe non corrispondere al nome del dominio dopo l'installazione di aggiornamento un controller di dominio primario di Windows NT 4.0 a Windows 2000
257346
(http://support.microsoft.com/kb/257346/ )
Diritto di "Accesso questo computer dalla rete" fa sì che gli strumenti non per utilizzare
316710
(http://support.microsoft.com/kb/316710/ )
Disattivato distribuzione chiave Kerberos impedisce l'avvio di Exchange dei servizi
329642
(http://support.microsoft.com/kb/329642/ )
Messaggi di errore quando si apre gli snap-in di Active Directory e il gestore di sistema
272686
(http://support.microsoft.com/kb/272686/ )
Messaggi di errore visualizzati all'apertura dello snap-in utenti e computer
323542
(http://support.microsoft.com/kb/323542/ )
Non puoi avviare lo strumento utenti e computer perché il server non operativo
329887
(http://support.microsoft.com/kb/329887/ )
Non è possibile interagire con gli snap-in di MMC di Active Directory
325465
(http://support.microsoft.com/kb/325465/ )
I controller di dominio Windows 2000 richiedono SP3 o versione successiva per utilizzare gli strumenti di amministrazione di Windows Server 2003
322267
(http://support.microsoft.com/kb/322267/ )
Client per reti Microsoft altri servizi rimuove a ricerca per indicizzazione
297234
(http://support.microsoft.com/kb/297234/ )
Esiste una differenza di tempo tra il client e il server
247151
(http://support.microsoft.com/kb/247151/ )
Utenti del dominio a livello potrebbe essere visualizzato un messaggio all'avvio di snap-in di MMC
280833
(http://support.microsoft.com/kb/280833/ )
Tentativo di specificare tutte le zone DNS in client proxy conduce a errori DNS che sono difficili da rilevare
322307
(http://support.microsoft.com/kb/322307/ )
Impossibile avviare la snap-in servizi di Exchange o Active Directory dopo l'installazione Service Pack 2 (SP2) per Windows 2000
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 837513 - Ultima modifica: mercoledì 25 aprile 2007 - Revisione: 2.3
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Chiavi: 
kbmt kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg KB837513 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 837513
(http://support.microsoft.com/kb/837513/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio