Controlador de domínio não está a funcionar correctamente

Quando executa a ferramenta Dcdiag num servidor do Microsoft Windows 2000 com o controlador de domínio ou num controlador de domínio baseado no Windows Server 2003, poderá receber a seguinte mensagem de erro: Quando executa o utilitário REPADMIN /SHOWREPS localmente num controlador de domínio, poderá receber uma das seguintes mensagens de erro: Se utilizar serviços e locais do Active Directory para accionar a replicação, poderá receber uma mensagem que indica que o acesso é negado.

Quando tenta utilizar recursos de rede da consola de um controlador de domínio afectado, incluindo recursos de convenção de nomenclatura universal (UNC, Universal Naming Convention) ou unidades de rede mapeada, poderá receber a seguinte mensagem de erro: Se iniciar as ferramentas administrativas do Active Directory a partir da consola de um controlador de domínio afectado, incluindo sites do Active Directory e serviços e utilizadores do Active Directory e computadores, poderá receber uma das seguintes mensagens de erro: Clientes do Microsoft Outlook que estão ligados a computadores com o Microsoft Exchange Server que estiverem a utilizar controladores de domínio afectado para autenticação poderão ser pedida credenciais de início de sessão, mesmo que seja efectuada com êxito de autenticação a partir de outros controladores de domínio iniciar sessão.

A Ferramenta Netdiag pode apresentar as seguintes mensagens de erro: O evento seguinte poderá ser registado no registo de eventos do sistema do controlador de domínio afectado:

Tipo de evento: erro
Origem do evento: Gestor de controlo de serviço
ID do evento: 7023
Descrição: O serviço de centro de distribuição de chaves Kerberos terminou com o seguinte erro: O Gestor de contas segurança (SAM, Security Accounts Manager) ou o servidor da autoridade (LSA) de segurança local estava no estado errado para efectuar a operação de segurança.

Existem várias resoluções para estes sintomas. Segue-se uma lista de métodos para tentar. A lista é seguida de passos para efectuar cada método. Experimente cada método até o problema for resolvido. Artigos da base de dados de conhecimento da Microsoft que descrevem correcções menos comuns para estes sintomas não listados mais tarde.

1. Método 1: Correcção (DNS) erros.
2. Método 2: Sincronizar a hora entre computadores.
3. Método 3: Verificar os direitos de utilizador de aceder a este computador a partir da rede .
4. Método 4: Verificar se o atributo de userAccountControl do controlador de domínio é 532480.
5. Método 5: Corrigir o realm de Kerberos (confirmar que o PolAcDmN chave de registo e a chave de registo PolPrDmN corresponder).
6. Método 6: Repor a palavra-passe da conta de computador e, em seguida, obter um novo Kerberos.

Método 1: Corrigir erros de DNS

1. Numa linha de comandos, execute o comando netdiag - v . Este comando cria um ficheiro Netdiag.log na pasta onde o comando foi executado.
2. Resolver erros DNS no ficheiro Netdiag.log antes de continuar. A ferramenta Netdiag consta 2000 Server ferramentas de suporte do Windows no CD-ROM do Windows 2000 Server ou como uma transferência. Para transferir ferramentas de suporte do Windows 2000 Server, visite o seguinte Web site da Microsoft:
   http://www.microsoft.com/downloads/details.aspx?familyid=F08D28F3-B835-4847-B810-BB6539362473

   (http://www.microsoft.com/downloads/details.aspx?familyid=F08D28F3-B835-4847-B810-BB6539362473)
3. Certifique-se que o DNS está configurado correctamente. Um dos mais comuns erros DNS é apontar o controlador de domínio a um fornecedor de serviços Internet (ISP) para o DNS em vez de apontar para DNS para si próprio ou ao DNS de outro servidor que suporte actualizações dinâmicas e os registos SRV. Recomendamos que apontar o controlador de domínio para si próprio ou para outro servidor de DNS que suporte actualizações dinâmicas e registos de SRV. Recomendamos que configure reencaminhadores para o ISP para resolução de nomes na Internet.

Para obter mais informações sobre como configurar DNS para o serviço de directório do Active Directory, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:

Método 2: Sincronizar a hora entre computadores

Certifique-se que a hora está correctamente sincronizada entre controladores de domínio. Além disso, certifique-se que a hora está correctamente sincronizada entre computadores clientes e controladores de domínio.

Para obter mais informações sobre como configurar o serviço Hora do Windows, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:

Método 3: Verificar os direitos de utilizador "Aceder a este computador a partir da rede"

Modificar o ficheiro GptTmpl.inf confirmar que os utilizadores adequados tem de utilizador a aceder a este computador a partir da rede para a direita no controlador de domínio. Para o fazer, siga estes passos:

1. Modificar o ficheiro GptTmpl.inf para o domínio predefinido política de controladores. Por predefinição, a política predefinida de controladores de domínio é onde os direitos de utilizador são definidos para um controlador de domínio. Por predefinição, o GptTmpl.inf ficheiros para a política predefinida de controladores de domínio está localizada na pasta seguinte.
   
   Nota Sysvol pode estar numa localização diferente, mas o caminho para o ficheiro GptTmpl.inf será o mesmo.
   
   Para controladores de domínio Windows Server 2003:
   
   C:\WINDOWS\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
   
   Para controladores de domínio Windows 2000 Server:
   
   C:\WINNT\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
2. À direita da entrada SeNetworkLogonRight, adicione os identificadores de segurança para administradores, para utilizadores autenticados e para o grupo Todos. Consulte os seguintes exemplos.
   
   Para controladores de domínio Windows Server 2003:
   
   SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
   
   Para o Windows 2000 Server controladores:
   
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   
   Nota Os administradores (S-1-5-32-544), utilizadores autenticados (S-1-5-11), todos (S-1-1-0) e controladores de empresa (S-1-5-9) utilizar identificadores de segurança conhecidos que se repetem em cada domínio.
3. Remova as entradas à direita da entrada SeDenyNetworkLogonRight (negar acesso a este computador a partir da rede) para corresponder ao exemplo que se segue.
   
   SeDenyNetworkLogonRight =
   
   Nota O exemplo é o mesmo para o Windows 2000 Server e para o Windows Server 2003.
   
   Por predefinição, Windows 2000 Server tem não entradas na entrada SeDenyNetworkLogonRight. Por predefinição, o Windows Server 2003 tem apenas a conta de random string Support_ na entrada SeDenyNetworkLogonRight. (A conta de random string Support_ é utilizada pela Assistência remota.) Uma vez que a conta de random string Support_ utiliza um identificador de segurança diferente (SID) em cada domínio, a conta não é facilmente distinguível a partir de uma conta de utilizador normal apenas observando o SID. Poderá copiar o SID para outro ficheiro de texto e, em seguida, remova o SID a entrada SeDenyNetworkLogonRight. Dessa forma, pode colocá-lo novamente quando acabar de resolver o problema.
   
   SeNetworkLogonRight e SeDenyNetworkLogonRight podem ser definida em qualquer política. Se os passos anteriores não resolverem o problema, verifique o ficheiro GptTmpl.inf nas outras políticas de SYSVOL para confirmar que os direitos de utilizador não são também ser definidos. Se um ficheiro GptTmpl.inf não contiver nenhuma referência SeNetworkLogonRight ou SeDenyNetworkLogonRight, essas definições não estão definidas na política e essa política não está a causar este problema. Se existem movimentos, certifique-se que os ficheiros correspondem as definições listadas anteriormente para o controlador de domínio predefinido política.

Método 4: Verificar se o atributo de userAccountControl do controlador de domínio é 532480

1. Clique em Iniciar , clique em Executar e, em seguida, escreva adsiedit.msc .
2. Expanda Domain NC , expanda DC = domain e, em seguida, expanda OU = controladores de domínio .
3. Clique com o botão direito do rato no controlador de domínio afectado e, em seguida, clique em Propriedades .
4. No Windows Server 2003, clique para seleccionar a caixa de verificação Mostrar atributos obrigatórios e a caixa de verificação Mostrar atributos opcionais no separador ' Editor de atributos . No Windows 2000 Server, clique em ambos na caixa Select which properties to view .
5. No Windows Server 2003, clique em userAccountControl na caixa atributos . No Windows 2000 Server, clique em userAccountControl na caixa Select a property to view .
6. Se o valor não 532480, tipo 532480 na caixa Editar atributo , clique em Definir , clique em Aplicar e, em seguida, clique em OK .
7. Saia de Editar ADSI.

Método 5: Corrigir o realm de Kerberos (confirme que a chave de registo PolAcDmN e o registo PolPrDmN chave correspondência)

Nota Este método é válido apenas para o Windows 2000 Server.
importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

1. Inicie o Editor de registo.
2. No painel da esquerda, expanda segurança .
3. No menu segurança , clique em permissões para conceder o grupo local Administradores Controlo total do ramo SECURITY, a contentores subordinados e objectos.
4. Localize o HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN chave.
5. No painel da direita do Editor de registo, clique em < Sem Nome >: REG_NONE entrada uma vez.
6. No menu Ver , clique em Mostrar dados binários . Na secção formato da caixa de diálogo, clique em bytes .
7. O nome de domínio é apresentado como uma cadeia no lado direito da caixa de diálogo Dados binários . O nome de domínio é o mesmo como o realm de Kerberos.
8. Localize o HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN chave de registo.
9. No painel da direita do Editor de registo, faça duplo clique < Sem Nome >: REG_NONE entrada.
10. Na caixa de diálogo Editor binário , cole o valor de PolPrDmN. (O valor de PolPrDmN será o nome de domínio de NetBIOS).
11. Reinicie o controlador de domínio.

Método 6: Repor a palavra-passe da conta de computador e, em seguida, obter um novo Kerberos

1. Pare o serviço Centro de distribuição de chaves Kerberos e, em seguida, defina o valor de arranque como manual.
2. Utilize a ferramenta Netdom, a partir de ferramentas de suporte do Windows 2000 Server ou de ferramentas de suporte do Windows Server 2003 para repor a palavra-passe conta de computador do controlador de domínio:
   
   netdom resetpwd/Server: another domain controller /userd:domain\administrator /passwordd: administrator password
   
   Certifique-se de que o comando netdom é devolvido como concluída com êxito. Se não estiver, o comando não funcionar. Para o domínio Contoso, onde o controlador de domínio afectado é DC1 e um controlador de domínio de trabalho é DC2, executar o comando netdom seguinte a partir da consola do DC1:
   
   netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: administrator password
3. Reinicie o controlador de domínio afectado.
4. Inicie o serviço Centro de distribuição de chaves Kerberos e, em seguida, definir a definição de arranque como automático .

Para obter mais informações sobre este problema, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft: