Il controller di dominio non funziona correttamente

  • Articolo

Questo articolo fornisce soluzioni comuni al problema in cui il controller di dominio non funziona correttamente.

Si applica a: Windows Server 2012 R2
Numero della Knowledge Base originale: 837513

Sintomi

Quando si esegue lo strumento DCDIAG in un controller di dominio basato su Microsoft Windows 2000 Server oppure basato su Windows Server 2003, è possibile che venga visualizzato il messaggio di errore seguente:

Diagnosi del controller di dominio
Esecuzione della configurazione iniziale:
[DC1] Binding LDAP non riuscito con errore 31

Quando si esegue l'utilità REPADMIN /SHOWREPS localmente su un controller di dominio, è possibile che venga visualizzato uno dei seguenti messaggi di errore:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Errore LDAP 82 (errore locale).

Ultimo tentativo @ gg-mm-aa hh:mm.ss non riuscito, risultato 1753: non sono più disponibili endpoint dall'Agente mapping endpoint.

Ultimo tentativo @ gg-mm-aa hh:mm.ss non riuscito, risultato 5: Accesso negato.

Se si utilizzano siti e servizi di Active Directory per attivare la replica, è possibile che venga visualizzato un messaggio che indica che l'accesso è negato.

Quando si tenta di utilizzare le risorse di rete dalla console di un controller di dominio interessato, incluse le risorse UNC (Universal Naming Convention) o le unità di rete mappate, è possibile che venga visualizzato il messaggio di errore seguente:

Nessun server di accesso disponibile (c000005e = "STATUS_NO_LOGON_SERVERS")

Se si avviano strumenti di amministrazione di Active Directory dalla console di un controller di dominio interessato, inclusi siti e servizi di Active Directory e Utenti e computer di Active Directory, è possibile che venga visualizzato uno dei messaggi di errore seguenti:

Impossibile individuare le informazioni di denominazione perché: non è stato possibile contattare alcuna autorità per l'autenticazione. Contattare l'amministratore di sistema per verificare che il dominio sia configurato correttamente e sia attualmente online.

Impossibile individuare le informazioni di denominazione perché: il nome dell'account di destinazione non è corretto. Contattare l'amministratore di sistema per verificare che il dominio sia configurato correttamente e sia attualmente online.

Ai clienti Microsoft Outlook connessi a computer Microsoft Exchange Server che utilizzano controller di dominio interessati per l'autenticazione potrebbero essere richieste le credenziali di accesso, anche se l'autenticazione di accesso da altri controller di dominio è riuscita.

Lo strumento Netdiag può visualizzare i messaggi di errore seguenti:

Test dell'elenco di controller di dominio. . . . . . . . . . . : non riuscito
[AVVISO] Impossibile chiamare DsBind su <servername>.<fqdn> (<indirizzo IP>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Test Kerberos. . . . . . . . . . . : non riuscito
[FATAL] Kerberos non ha un ticket per krbtgt/<fqdn>.

[Irreversibile] Kerberos non dispone di un ticket per <hostname>.
Test LDAP. . . . . . . . . . . . . : riuscito
[AVVISO] Impossibile eseguire la query di registrazione SPN su DC <hostname><fqdn>.

L'evento seguente può essere registrato nel registro eventi di sistema del controller di dominio interessato:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Risoluzione

Ci sono diverse risoluzioni per questi sintomi. Di seguito è riportato un elenco di metodi da provare. L'elenco è seguito dalle procedure per eseguire ogni metodo. Provare ogni metodo fino a quando il problema non viene risolto. Gli articoli della Microsoft Knowledge Base che descrivono correzioni meno comuni per questi sintomi sono elencati più avanti.

  1. Metodo 1: correggere gli errori DNS (Domain Name System).
  2. Metodo 2: sincronizzare l'ora tra i computer.
  3. Metodo 3: verificare i dritti Accedi a questo computer dalla rete dell'utente.
  4. Metodo 4: verificare che l'attributo userAccountControl del controller di dominio sia 532480.
  5. Metodo 5: correggere l'area di autenticazione Kerberos (verificare che la chiave del Registro di sistema PolAcDmN e la chiave del Registro di sistema PolPrDmN corrispondano).
  6. Metodo 6: reimpostare la password dell'account computer e quindi ottenere un nuovo ticket Kerberos.

Metodo 1: correggere gli errori DNS

  1. Al prompt dei comandi eseguire il comando netdiag -v. Questo comando crea un file Netdiag.log nella cartella in cui è stato eseguito.
  2. Risolvere eventuali errori DNS nel file Netdiag.log prima di continuare. Lo strumento Netdiag si trova nella Windows 2000 Server Support Tools nel CD-ROM Windows 2000 Server oppure è disponibile per il download.
  3. Verificare che il DNS sia configurato correttamente. Uno degli errori DNS più comuni consiste nel rivolgere il controller di dominio a un provider di servizi Internet (ISP) per DNS anziché verso se stesso o a un altro server DNS che supporta gli aggiornamenti dinamici e i record SRV. È consigliabile rivolgere il controller di dominio a se stesso o a un altro server DNS che supporta gli aggiornamenti dinamici e i record SRV. È consigliabile configurare i server d'inoltro nell'ISP per la risoluzione dei nomi in Internet.

Per ulteriori informazioni sulla configurazione di DNS per Active Directory, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
254680: pianificazione dello spazio dei nomi DNS

Metodo 2: sincronizzare l'ora tra i computer

Verificare che l'ora sia sincronizzata correttamente tra i controller di dominio. Verificare inoltre che l'ora sia sincronizzata correttamente tra i computer client e i controller di dominio.

Metodo 3: verificare i diritti "Accedi a questo computer dalla rete" dell'utente

Modificare il file Gpttmpl.inf per verificare che gli utenti appropriati dispongano del diritto Accedi al computer dalla rete nel controller di dominio. A tal fine, attenersi alla seguente procedura:

  1. Modificare il file Gpttmpl.inf per il criterio Controller di dominio predefiniti. Per impostazione predefinita, il criterio Controller di dominio predefiniti è la posizione in cui vengono definiti i diritti utente per un controller di dominio. Per impostazione predefinita, il file Gpttmpl.inf per il criterio Controller di dominio predefiniti si trova nella cartella seguente.

    Nota

    Sysvol può trovarsi in un percorso diverso, ma il percorso per il file Gpttmpl.inf sarà lo stesso.

    Per i controller di dominio di Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<nomedominio>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Per i controller di dominio di Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<nomedominio>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. A destra della voce SeNetworkLogonRight aggiungere gli identificatori di protezione per Administrators, per Authenticated Users e per Everyone. Vedere gli esempi seguenti.

    Per i controller di dominio di Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Per i controller di dominio di Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Nota

    Il gruppo Administrators (S-1-5-32-544), il gruppo Authenticated Users (S-1-5-11), il gruppo Everyone (S-1-1-0) e i controller Enterprise (S-1-5-9) utilizzano identificatori di protezione noti che sono gli stessi in ogni dominio.

  3. Rimuovere tutte le voci a destra della voce SeDenyNetworkLogonRight (Nega accesso al computer dalla rete) in modo che corrispondano all'esempio seguente.

    SeDenyNetworkLogonRight =

    Nota

    L'esempio è lo stesso per Windows 2000 Server e per Windows Server 2003.

    Per impostazione predefinita, Windows 2000 Server non include voci nella voce SeDenyNetworkLogonRight. Per impostazione predefinita, Windows Server 2003 ha solo l'account stringa Support_random nella voce SeDenyNetworkLogonRight. L'account stringa Support_random viene utilizzato da Assistenza remota. Poiché l'account stringa Support_random utilizza un SID (Security Identifier) diverso in ogni dominio, l'account non è facilmente distinguibile da un account utente tipico semplicemente esaminando il SID. È possibile copiare il SID in un altro file di testo e quindi rimuovere il SID dalla voce SeDenyNetworkLogonRight. In questo modo, è possibile metterlo nuovamente al termine della risoluzione del problema.

    Le stringhe SeNetworkLogonRight e SeDenyNetworkLogonRight possono essere definite in qualsiasi criterio. Se i passaggi precedenti non consentono di risolvere il problema, controllare il file Gpttmpl.inf in altri criteri in Sysvol per verificare che anche i diritti utente non siano definiti in tale area. Se un file Gpttmpl.inf non contiene riferimenti a SeNetworkLogonRight oppure a SeDenyNetworkLogonRight, tali impostazioni non sono definite nei criteri e tale criterio non sta causando questo problema. Se tali voci esistono, assicurarsi che corrispondano alle impostazioni elencate in precedenza per il criterio Controller di dominio predefinito.

Metodo 4: verificare che l'attributo userAccountControl del controller di dominio sia 532480

  1. Fare clic su Start, fare clic su Esegui e digitare adsiedit.msc.
  2. Espandere Domain NC, DC=domain e quindi OU=Domain Controllers.
  3. Fare clic con il pulsante destro del mouse sul controller di dominio interessato e selezionare Proprietà.
  4. In Windows Server 2003, fare clic per selezionare la casella di controllo Visualizza attributi obbligatori e la casella di controllo Visualizza attributi facoltativi nella scheda Editor attributi. In Windows 2000 Server fare clic su Entrambi nella casella Selezionare le proprietà da visualizzare.
  5. In Windows Server 2003 fare clic su userAccountControl nella casella Attributi. In Windows 2000 Server fare clic su userAccountControl nella casella Selezionare una proprietà da visualizzare.
  6. Se il valore non è 532480, digitare 532480 nella casella Modifica attributo, fare clic su Imposta, su Applica e quindi su OK.
  7. Chiudere Modifica ADSI.

Metodo 5: correggere l'area di autenticazione Kerberos (verificare che la chiave del Registro di sistema PolAcDmN e la chiave del Registro di sistema PolPrDmN corrispondano)

Nota

Questo metodo è valido solo per Windows 2000 Server.

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni sull'esecuzione del backup e del ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

  1. Avviare l'editor del Registro di sistema.
  2. Nel riquadro a sinistra, espandere Sicurezza.
  3. Nel menu Sicurezza, fare clic su Autorizzazioni per concedere al gruppo locale Administrators il controllo completo dell'hive SECURITY e dei relativi contenitori e oggetti figlio.
  4. Individuare la chiave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. Nel riquadro di destra dell'Editor del Registro di sistema, fai clic una volta sulla voce <Nessun nome>: REG_NONE.
  6. Nel menu Visualizza, fare clic su Visualizza dati binari. Nella sezione Formato della finestra di dialogo, fare clic su Byte.
  7. Il nome di dominio viene visualizzato come stringa nel lato destro della finestra di dialogo Dati binari. Il nome di dominio è lo stesso dell'area di autenticazione Kerberos.
  8. Individuare la chiave del Registro di sistema HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. Nel riquadro di destra dell'Editor del Registro di sistema, fare doppio clic sulla voce <Nessun nome>: REG_NONE.
  10. Nella finestra di dialogo Editor binario, incollare il valore da PolPrDmN. (Il valore da PolPrDmN sarà il nome di dominio NetBIOS).
  11. Riavviare il controller di dominio.

Metodo 6: reimpostare la password dell'account computer e quindi ottenere un nuovo ticket Kerberos

  1. Arrestare il servizio Centro distribuzione chiavi Kerberos e quindi impostare il valore di avvio su Manuale.

  2. Utilizzare lo strumento Netdom da Windows 2000 Server Support Tools, oppure dagli strumenti di supporto di Windows Server 2003, per reimpostare la password dell'account computer del controller di dominio:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    Assicurarsi che il comando netdom venga restituito come completato correttamente. In caso contrario, il comando non ha funzionato. Per il dominio Contoso, in cui il controller di dominio interessato è DC1 e un controller di dominio funzionante è DC2, dalla console DC1eseguire il comando seguente netdom:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  3. Riavviare il controller di dominio interessato.

  4. Avviare il servizio Centro distribuzione chiavi Kerberos e quindi impostare l'impostazione di avvio su Automatico.

Per maggiori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
323542 Non è possibile avviare lo strumento Utenti e computer di Active Directory perché il server non è operativo