Controlador de domínio não está a funcionar correctamente

Traduções de Artigos Traduções de Artigos
Artigo: 837513 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Quando executa a ferramenta Dcdiag num servidor do Microsoft Windows 2000 com o controlador de domínio ou num controlador de domínio baseado no Windows Server 2003, poderá receber a seguinte mensagem de erro:
Diagnóstico de DC
Executar o programa de configuração inicial:
[DC1] LDAP bind falhou com o erro 31
Quando executa o utilitário REPADMIN /SHOWREPS localmente num controlador de domínio, poderá receber uma das seguintes mensagens de erro:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP erro 82 (erro local).
Última tentativa @ aaaa-mm-dd hh:mm.ss falhou, resultado 1753: não estão disponíveis no mapeador de pontos nenhum ponto periférico mais.
Última tentativa @ aaaa-mm-dd hh:mm.ss falhou, resultado 5: acesso negado.
Se utilizar serviços e locais do Active Directory para accionar a replicação, poderá receber uma mensagem que indica que o acesso é negado.

Quando tenta utilizar recursos de rede da consola de um controlador de domínio afectado, incluindo recursos de convenção de nomenclatura universal (UNC, Universal Naming Convention) ou unidades de rede mapeada, poderá receber a seguinte mensagem de erro:
Não existem servidores de início de sessão disponíveis (c000005e = "STATUS_NO_LOGON_SERVERS")
Se iniciar as ferramentas administrativas do Active Directory a partir da consola de um controlador de domínio afectado, incluindo sites do Active Directory e serviços e utilizadores do Active Directory e computadores, poderá receber uma das seguintes mensagens de erro:
Não é possível localizar atribuição de nomes informações devido: sem autoridade pode ser contactada para autenticação. Contacte o administrador de sistema para verificar se o domínio está correctamente configurado e presentemente online.
Não é possível localizar atribuição de nomes informações devido: nome de conta de destino está incorrecto. Contacte o administrador de sistema para verificar se o domínio está correctamente configurado e presentemente online.
Clientes do Microsoft Outlook que estão ligados a computadores com o Microsoft Exchange Server que estiverem a utilizar controladores de domínio afectado para autenticação poderão ser pedida credenciais de início de sessão, mesmo que seja efectuada com êxito de autenticação a partir de outros controladores de domínio iniciar sessão.

A Ferramenta Netdiag pode apresentar as seguintes mensagens de erro:
Lista de DC teste........... : Falhou
[AVISO] Não é possível chamar DsBind para <servername>.<fqdn> (< endereço ip >). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Teste de Kerberos........... : Falhou
[FATAL] Kerberos não tem uma permissão para krbtgt/<fqdn>.
[FATAL] Kerberos não tem uma permissão para <hostname>.
Teste de LDAP............. : Passado
[AVISO] Não conseguiu consultar os SPN registo no controlador de domínio <hostname>\<fqdn>
O evento seguinte poderá ser registado no registo de eventos do sistema do controlador de domínio afectado:

Tipo de evento: erro
Origem do evento: Gestor de controlo de serviço
ID do evento: 7023
Descrição: O serviço de centro de distribuição de chaves Kerberos terminou com o seguinte erro: O Gestor de contas segurança (SAM, Security Accounts Manager) ou o servidor da autoridade (LSA) de segurança local estava no estado errado para efectuar a operação de segurança.

Resolução

Existem várias resoluções para estes sintomas. Segue-se uma lista de métodos para tentar. A lista é seguida de passos para efectuar cada método. Experimente cada método até o problema for resolvido. Artigos da base de dados de conhecimento da Microsoft que descrevem correcções menos comuns para estes sintomas não listados mais tarde.
  1. Método 1: Correcção (DNS) erros.
  2. Método 2: Sincronizar a hora entre computadores.
  3. Método 3: Verificar os direitos de utilizador de aceder a este computador a partir da rede .
  4. Método 4: Verificar se o atributo de userAccountControl do controlador de domínio é 532480.
  5. Método 5: Corrigir o realm de Kerberos (confirmar que o PolAcDmN chave de registo e a chave de registo PolPrDmN corresponder).
  6. Método 6: Repor a palavra-passe da conta de computador e, em seguida, obter um novo Kerberos.

Método 1: Corrigir erros de DNS

  1. Numa linha de comandos, execute o comando netdiag - v . Este comando cria um ficheiro Netdiag.log na pasta onde o comando foi executado.
  2. Resolver erros DNS no ficheiro Netdiag.log antes de continuar. A ferramenta Netdiag consta 2000 Server ferramentas de suporte do Windows no CD-ROM do Windows 2000 Server ou como uma transferência. Para transferir ferramentas de suporte do Windows 2000 Server, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/downloads/details.aspx?familyid=F08D28F3-B835-4847-B810-BB6539362473
  3. Certifique-se que o DNS está configurado correctamente. Um dos mais comuns erros DNS é apontar o controlador de domínio a um fornecedor de serviços Internet (ISP) para o DNS em vez de apontar para DNS para si próprio ou ao DNS de outro servidor que suporte actualizações dinâmicas e os registos SRV. Recomendamos que apontar o controlador de domínio para si próprio ou para outro servidor de DNS que suporte actualizações dinâmicas e registos de SRV. Recomendamos que configure reencaminhadores para o ISP para resolução de nomes na Internet.
Para obter mais informações sobre como configurar DNS para o serviço de directório do Active Directory, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
291382Perguntas mais frequentes sobre DNS do Windows 2000 DNS e do Windows Server 2003
237675Configurar o DNS para o Active Directory
254680Planeamento do espaço de nomes de DNS
255248Como criar um domínio subordinado no Active Directory e delegar o espaço de nomes de DNS para o domínio subordinado

Método 2: Sincronizar a hora entre computadores

Certifique-se que a hora está correctamente sincronizada entre controladores de domínio. Além disso, certifique-se que a hora está correctamente sincronizada entre computadores clientes e controladores de domínio.

Para obter mais informações sobre como configurar o serviço Hora do Windows, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
258059Como sincronizar a hora num computador com o Windows 2000 num domínio do Windows NT 4.0
216734Como configurar um servidor de hora com autoridade no Windows 2000

Método 3: Verificar os direitos de utilizador "Aceder a este computador a partir da rede"

Modificar o ficheiro GptTmpl.inf confirmar que os utilizadores adequados tem de utilizador a aceder a este computador a partir da rede para a direita no controlador de domínio. Para o fazer, siga estes passos:
  1. Modificar o ficheiro GptTmpl.inf para o domínio predefinido política de controladores. Por predefinição, a política predefinida de controladores de domínio é onde os direitos de utilizador são definidos para um controlador de domínio. Por predefinição, o GptTmpl.inf ficheiros para a política predefinida de controladores de domínio está localizada na pasta seguinte.

    Nota Sysvol pode estar numa localização diferente, mas o caminho para o ficheiro GptTmpl.inf será o mesmo.

    Para controladores de domínio Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Para controladores de domínio Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. À direita da entrada SeNetworkLogonRight, adicione os identificadores de segurança para administradores, para utilizadores autenticados e para o grupo Todos. Consulte os seguintes exemplos.

    Para controladores de domínio Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Para o Windows 2000 Server controladores:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Nota Os administradores (S-1-5-32-544), utilizadores autenticados (S-1-5-11), todos (S-1-1-0) e controladores de empresa (S-1-5-9) utilizar identificadores de segurança conhecidos que se repetem em cada domínio.
  3. Remova as entradas à direita da entrada SeDenyNetworkLogonRight (negar acesso a este computador a partir da rede) para corresponder ao exemplo que se segue.

    SeDenyNetworkLogonRight =

    Nota O exemplo é o mesmo para o Windows 2000 Server e para o Windows Server 2003.

    Por predefinição, Windows 2000 Server tem não entradas na entrada SeDenyNetworkLogonRight. Por predefinição, o Windows Server 2003 tem apenas a conta de random string Support_ na entrada SeDenyNetworkLogonRight. (A conta de random string Support_ é utilizada pela Assistência remota.) Uma vez que a conta de random string Support_ utiliza um identificador de segurança diferente (SID) em cada domínio, a conta não é facilmente distinguível a partir de uma conta de utilizador normal apenas observando o SID. Poderá copiar o SID para outro ficheiro de texto e, em seguida, remova o SID a entrada SeDenyNetworkLogonRight. Dessa forma, pode colocá-lo novamente quando acabar de resolver o problema.

    SeNetworkLogonRight e SeDenyNetworkLogonRight podem ser definida em qualquer política. Se os passos anteriores não resolverem o problema, verifique o ficheiro GptTmpl.inf nas outras políticas de SYSVOL para confirmar que os direitos de utilizador não são também ser definidos. Se um ficheiro GptTmpl.inf não contiver nenhuma referência SeNetworkLogonRight ou SeDenyNetworkLogonRight, essas definições não estão definidas na política e essa política não está a causar este problema. Se existem movimentos, certifique-se que os ficheiros correspondem as definições listadas anteriormente para o controlador de domínio predefinido política.

Método 4: Verificar se o atributo de userAccountControl do controlador de domínio é 532480

  1. Clique em Iniciar , clique em Executar e, em seguida, escreva adsiedit.msc .
  2. Expanda Domain NC , expanda DC = domain e, em seguida, expanda OU = controladores de domínio .
  3. Clique com o botão direito do rato no controlador de domínio afectado e, em seguida, clique em Propriedades .
  4. No Windows Server 2003, clique para seleccionar a caixa de verificação Mostrar atributos obrigatórios e a caixa de verificação Mostrar atributos opcionais no separador ' Editor de atributos . No Windows 2000 Server, clique em ambos na caixa Select which properties to view .
  5. No Windows Server 2003, clique em userAccountControl na caixa atributos . No Windows 2000 Server, clique em userAccountControl na caixa Select a property to view .
  6. Se o valor não 532480, tipo 532480 na caixa Editar atributo , clique em Definir , clique em Aplicar e, em seguida, clique em OK .
  7. Saia de Editar ADSI.

Método 5: Corrigir o realm de Kerberos (confirme que a chave de registo PolAcDmN e o registo PolPrDmN chave correspondência)

Nota Este método é válido apenas para o Windows 2000 Server.
importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
  1. Inicie o Editor de registo.
  2. No painel da esquerda, expanda segurança .
  3. No menu segurança , clique em permissões para conceder o grupo local Administradores Controlo total do ramo SECURITY, a contentores subordinados e objectos.
  4. Localize o HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN chave.
  5. No painel da direita do Editor de registo, clique em < Sem Nome >: REG_NONE entrada uma vez.
  6. No menu Ver , clique em Mostrar dados binários . Na secção formato da caixa de diálogo, clique em bytes .
  7. O nome de domínio é apresentado como uma cadeia no lado direito da caixa de diálogo Dados binários . O nome de domínio é o mesmo como o realm de Kerberos.
  8. Localize o HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN chave de registo.
  9. No painel da direita do Editor de registo, faça duplo clique < Sem Nome >: REG_NONE entrada.
  10. Na caixa de diálogo Editor binário , cole o valor de PolPrDmN. (O valor de PolPrDmN será o nome de domínio de NetBIOS).
  11. Reinicie o controlador de domínio.

Método 6: Repor a palavra-passe da conta de computador e, em seguida, obter um novo Kerberos

  1. Pare o serviço Centro de distribuição de chaves Kerberos e, em seguida, defina o valor de arranque como manual.
  2. Utilize a ferramenta Netdom, a partir de ferramentas de suporte do Windows 2000 Server ou de ferramentas de suporte do Windows Server 2003 para repor a palavra-passe conta de computador do controlador de domínio:

    netdom resetpwd/Server: another domain controller /userd:domain\administrator /passwordd: administrator password

    Certifique-se de que o comando netdom é devolvido como concluída com êxito. Se não estiver, o comando não funcionar. Para o domínio Contoso, onde o controlador de domínio afectado é DC1 e um controlador de domínio de trabalho é DC2, executar o comando netdom seguinte a partir da consola do DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: administrator password
  3. Reinicie o controlador de domínio afectado.
  4. Inicie o serviço Centro de distribuição de chaves Kerberos e, em seguida, definir a definição de arranque como automático .

Para obter mais informações sobre este problema, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
325322Mensagem de erro "o servidor não está operacional" quando tenta para abrir o Exchange System Manager
284929Não é possível iniciar o snap-ins do Active Directory; mensagem de erro indica que existe autoridade pôde ser contactada para autenticação
257623O sufixo DNS do nome do novo controlador de domínio pode não coincidir com o nome do domínio depois de instalar a actualização um controlador de domínio principal do Windows NT 4.0 para Windows 2000
257346Direito de utilizador "Acesso neste computador a partir da rede" faz com que ferramentas não para trabalhar
316710Distribuição de chaves Kerberos desactivada impede que os serviços do Exchange iniciem
329642Mensagens de erro quando abrir o snap-ins do Active Directory e Exchange System Manager
272686Mensagens de erro ocorrem quando o snap-in computadores e utilizadores do Active Directory é aberto
323542Não pode iniciar a ferramenta computadores e utilizadores do Active Directory porque o servidor não está operacional
329887Não pode interagir com o snap-ins do Active Directory da MMC
325465Controladores de domínio do Windows 2000 requerem SP3 ou posterior quando utiliza ferramentas de administração do Windows Server 2003
322267A remoção de cliente para redes Microsoft remove outros serviços
297234Existe diferença horária entre o cliente e o servidor
247151Os utilizadores do domínio de nível baixo poderão receber uma mensagem de erro ao iniciar o snap-ins da MMC
280833Se não conseguir especificar todas as zonas DNS no cliente proxy clientes em potencial para falhas DNS que são difíceis de controlar
322307Não é possível iniciar o snap-ins do Active Directory ou de serviços do Exchange depois de instalar Service Pack 2 (SP2) para o Windows 2000

Propriedades

Artigo: 837513 - Última revisão: 25 de abril de 2007 - Revisão: 2.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kbmt kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg KB837513 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 837513

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com