O controlador de domínio não está funcionando corretamente

Traduções deste artigo Traduções deste artigo
ID do artigo: 837513 - Exibir os produtos aos quais esse artigo se aplica.
Importante Este artigo contém informações sobre como modificar o Registro. Antes de modificá-lo, faça um backup e verifique se você sabe como restaurá-lo caso ocorra algum problema. Para obter informações adicionais sobre como fazer backup, restaurar e editar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft.
256986 Descrição do Registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando você excuta a ferramenta Dcdiag em um controlador de domínio com base no Microsoft Windows 2000 ou no Windows Server 2003, a seguinte mensagem de erro pode ser exibida:
Diagnóstico DC
Executando instalação inicial:
Ligação [DC1] LDAP falhou com erro 31.
Quando executar o utilitário REPADMIN /SHOWREPS localmente em um controlador de domínio, a seguinte mensagem de erro pode ser exibida:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP erro 82 (Erro Local).

Ao tentar usar os recursos de rede a partir do console de um controlador de domínio afetado, incluindo os recursos da convenção universal de nomenclatura (UNC) ou unidades de rede mapeadas, a seguinte mensagem de erro pode ser exibida:
Nenhum servidor de logon disponível (c000005e = "STATUS_NO_LOGON_SERVERS")
Se você iniciar qualquer ferramenta administrativa do Active Directory a partir do console de um controlador de domínio afetado, incluindo sites e serviços, usuários e computadores do Active Directory, uma das seguintes mensagens de erro pode ser exibida:
Não foi possível localizar as informações de nomeação porque: Nenhuma autoridade pôde ser contatada para autenticação. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está online no momento.
Não foi possível localizar as informações de nomeação porque: O nome da conta de destino está incorreto. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está online no momento.
Os clientes Microsoft Outlook conectados a computadores com o Microsoft Exchange Server que usam controladores de domínio afetados por autenticação podem ser solicitados a fornecer as credenciais de logon, mesmo se a autenticação de logon a partir de outros controladores de domínio foi concluída com êxito.

A ferramenta Netdiag pode exibir as seguintes mensagens de erro:
Teste de lista DC. . . . . . . . . . . : Falhou
[AVISO] Não é possível chamar DsBind para <nome_do_servidor>.<fqdn> (<endereço ip>). [ERRO_CONTROLADOR_DE_DOMÍNIO_NÃO_ENCONTRADO]
Teste de Kerberos. . . . . . . . . . . : Falhou
[FATAL] Kerberos não tem um tíquete para krbtgt/<fqdn>.
[FATAL] Kerberos não tem um tíquete para <nome_do_host>.
Teste de LDAP. . . . . . . . . . . . . : Passou
[AVISO] Falha ao consultar registro SPN no DC <nome_do_host>\<fqdn>


O seguinte evento pode ser registrado no log de eventos do sistema do controlador de domínio afetado:

Tipo de evento: Erro
Origem do evento: Gerenciador de controle de serviços
Identificação do evento: 7023
Descrição: O serviço do Centro de Distribuição de Chaves Kerberos foi encerrado com o seguinte erro: O gerenciador de conta de segurança (SAM) ou o servidor de autoridade de segurança local (LSA) estava em estado inadequado para executar a operação de segurança.

Resolução

Há várias resoluções para esses sintomas. A seguir há uma lista de métodos que podem ser testados. A lista é seguida por etapas que devem ser executadas em cada método. Tente cada método até que o problema seja resolvido. Os artigos da Base de Dados de Conhecimento da Microsoft que descrevem correções menos comuns para esses sintomas são listados posteriormente.
  1. Método 1: Corrigir erros de DNS (Domain Name System).
  2. Método 2: Sincronizar a hora entre os computadores.
  3. Método 3: Verificar os direitos do usuário Acesso a este computador pela rede.
  4. Método 4: Verificar se o atributo userAccountControl do controlador de domínio é 532480.
  5. Método 5: Corrigir territórios Kerberos (confirmar se a chave de Registro PolAcDmN e a chave de Registro PolPrDmN coincidem).
  6. Método 6: Redefinir a senha da conta da máquina e obter um novo tíquete Kerberos.

Método 1: Corrigir os erros de DNS

  1. No prompt de comando, execute o comando netdiag -v. Esse comando cria um arquivo Netdiag.log na pasta onde o comando foi executado.
  2. Soluciona quaisquer erros de DNS no arquivo Netdiag.log antes de continuar. A ferramenta Netdiag está nas Ferramentas de suporte do Windows 2000 Server no CD-ROM do Windows 2000 Server ou como um download. Para baixar as Ferramentas de suporte do Windows 2000, visite o seguinte site da Microsoft:
    http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx
  3. Verifique se o DNS está configurado corretamente. Um dos erros de DNS mais comuns é apontar os controladores de domínio para um provedor de serviços de Internet (ISP) para DNS em vez de apontar o DNS para ele mesmo ou para outro servidor DNS que suporte atualizações dinâmicas e Registros SRV. Recomendamos que você aponte o controlador de domínio para ele mesmo ou para outro servidor DNS que suporte atualizações dinâmicas e Registros SRV. Recomendamos que configure encaminhadores para o ISP devido à resolução de nomes na Internet.
Para obter informações adicionais sobre a configuração DNS para o serviço de diretório do Active Directory, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
291382 Perguntas freqüentes sobre Windows 2000 DNS e Windows Server 2003 DNS
237675 Configurando o DNS para o Active Directory
254680 Planejamento de espaço para nome DNS
255248 Como criar um domínio filho no Active Directory e delegar o espaço para nome DNS ao domínio filho

Método 2: Sincronizar a hora entre os computadores

Verifique se a hora está corretamente sincronizada entre os controladores de domínio. Além disso, verifique se a hora está corretamente sincronizada entre os computadores cliente e os controladores de domínio.

Para obter informações adicionais sobre como configurar o Serviço de tempo do Windows, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
258059 Como sincronizar data e hora em um computador baseado no Windows 2000 num domínio do Windows NT 4.0
216734 Como configurar um Servidor de horário autoritativo no Windows 2000

Método 3: Verifique os direito do usuário "Acesso a esse computador pela rede"

Modifique o arquivo Gpttmpl.inf para confirmar que os usuários apropriados têm o direito do usuário Acesso a esse computador pela rede no controlador de domínio. Para fazer isso, execute estas etapas:
  1. Modifique o arquivo Gpttmpl.inf para a Diretiva dos controladores de domínio padrão. Por padrão, a Diretiva dos controladores de domínio padrão é onde os direitos do usuário são definidos para um controlador de domínio. Por padrão, o arquivo Gpttmpl.inf para a Diretiva dos controladores de domínio padrão está localizado na seguinte pasta.

    Observação O Sysvol pode estar em um local diferente, mas o caminho para o arquivo Gpttmpl.inf será o mesmo.

    Para controladores de domínio do Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<nome_do_domínio>\Diretivas\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Para controladores de domínio do Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Nome_do_domínio>\Diretivas\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. À direita da entrada SeNetworkLogonRight, adicione os identificadores de segurança para os Administradores, os Usuários autenticados e para Todos. Consulte os seguintes exemplos.

    Para controladores de domínio do Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Para controladores de domínio do Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Observação Administradores (S-1-5-32-544), Usuários autenticados (S-1-5-11), Todos (S-1-1-0) e Controladores de empresa (S-1-5-9) usam identificadores de segurança bem conhecidos que são os mesmos em todos os domínios.
  3. Remova quaisquer entradas à direita da entrada SeDenyNetworkLogonRight (Negar acesso a este computador pela rede) para coincidir com o seguinte exemplo.

    SeDenyNetworkLogonRight =

    Observação O exemplo é o mesmo para o Windows 2000 Server e para o Windows Server 2003.

    Por padrão, o Windows 2000 Server não tem entradas na entrada SeDenyNetworkLogonRight. Por padrão, o Windows Server 2003 tem apenas a conta Suporte_seqüência aleatória na entrada SeDenyNetworkLogonRight. (A conta Suporte_seqüência aleatória é usada pela Assistência remota.) Porque a conta Suporte_seqüência aleatória usa um identificador de segurança (SID) diferente em cada domínio, a conta não é facilmente diferenciada de uma conta de usuário típica apenas olhando-se para o SID. Você pode desejar copiar o SID para outro arquivo de texto e remover o SID da entrada SeDenyNetworkLogonRight. Dessa forma, você pode recolocá-lo de volta quando tiver terminado de resolver o problema.

    SeNetworkLogonRight e SeDenyNetworkLogonRight podem ser definidos em qualquer diretiva. Se as etapas anteriores não resolverem o problema, verifique o arquivo Gpttmpl.inf em outras diretivas em Sysvol para confirmar se os direitos do usuário também não estão sendo definidos lá. Se um arquivo Gpttmpl.inf não tem referência a SeNetworkLogonRight ou SeDenyNetworkLogonRight, estas configurações não estão definidas na diretiva e essa diretiva não está causando esse problema. Se essas entradas existirem de fato, verifique se elas coincidem com as configurações listadas anteriormente para a diretiva do Controlador de domínio padrão.

Método 4: Verificar se o atributo userAccountControl do controlador de domínio é 532480

  1. Clique em Iniciar, clique em Executar e digite adsiedit.msc.
  2. Expanda Domínio NC, expanda DC=domínio e expanda OU=Controladores de domínio.
  3. Clique com o botão direito do mouse no controlador de domínio afetado e clique em Propriedades.
  4. No Windows Server 2003, clique para selecionar a caixa Mostrar atributos obrigatórios e a caixa de seleção Mostrar atributos opcionais na guia Editor de atributos. No Windows 2000 Server, clique em Ambos na caixa Selecione propriedades para exibir.
  5. No Windows Server 2003, clique em userAccountControl na caixa Atributos. No Windows 2000 Server, clique em userAccountControl na caixa Selecione propriedades para exibir.
  6. Se o valor não for 532480, digite 532480 na caixa Editar atributo, clique em Definir, clique em Aplicar e então clique em OK.
  7. Feche o ADSI Edit.

Método 5: Corrija os territórios Kerberos (confirmar se a chave de Registro PolAcDmN e a chave de Registro PolPrDmN coincidem)

Observação Esse método é válido somente para o Windows 2000 Server.
Aviso O uso incorreto do Editor do Registro pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.
  1. Inicie o Editor do Registro.
  2. No painel esquerdo, expanda Segurança.
  3. No menu Segurança, clique em Permissões para conceder ao grupo local de administradores Controle total da seção SEGURANÇA e seus recipientes e objetos filhos.
  4. Localize a chave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. No painel direito do Editor do Registro, clique em <Sem nome>: REG_NONE insira uma hora.
  6. No menu Exibir, clique em Exibir dados binários. Na seção Formato da caixa de diálogo, clique em Byte.
  7. O nome do domínio aparece como uma seqüência no lado direito da caixa de diálogo Dados binários. O nome do domínio é o mesmo dos territórios Kerberos.
  8. Localize a chave de Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. No painel direito do Editor do Registro, clique duas vezes em <Sem nome>: entrada REG_NONE.
  10. Na caixa de diálogo Editor binário, cole o valor de PolPrDmN. (O valor de PolPrDmN será o nome de domínio NetBIOS).
  11. Reinicie o controlador de domínio.

Método 6: Redefinir a senha da conta da máquina e então obter um novo tíquete Kerberos.

  1. Interrompa os serviços do Centro de distribuição de chaves Kerberos e então configure o valor de inicialização para Manual.
  2. Use a ferramenta Netdom das Ferramentas de suporte do Windows 2000 ou das Ferramentas de suporte do Windows Server 2003 para redefinir a senha da conta da máquina do controlador de domínio:

    netdom resetpwd /server:outro controlador de domínio /usuáriod:domínio\administrador /senhad:senha do administrador

    Verifique se o comando netdom é retornado com êxito. Se não, o comando não funcionou. Para o domínio Contoso, onde o controlador de domínio afetado é DC1, e um controlador de domínio operacional é DC2, você executa o seguinte comando netdom a partir do console de DC1:

    netdom resetpwd /servidor:DC2 /usuáriod:contoso\administrador /senhad:senha do administrador
  3. Reinicie o controlador de domínio afetado.
  4. Inicie os serviços do Centro de distribuição de chaves Kerberos e então configure o valor de inicialização para Automático.

Para obter informações adicionais sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
325322 A mensagem de erro "O servidor não está operacional" é exibida tentar abrir o Exchange System Manager
284929 Não foi possível iniciar os snap-ins do Active Directory. A mensagem de erro informa que nenhuma autoridade pôde ser encontrada para autenticação
257623 O sufixo DNS do nome do computador de um novo controlador de domínio pode não coincidir com o nome do domínio depois de instalar a atualização de um controlador de domínio primário do Windows NT 4.0 para Windows 2000
257346 O direito do usuário "Acesso a este computador pela rede" impede o funcionamento das ferramentas
316710 A distribuição de chaves Kerberos desativada impede o início dos serviços do Exchange
329642 Mensagens de erro quando você abre os snap-ins do Active Directory e o Exchange System Manager
272686 Ocorrem mensagens de erro quando o snap-in dos usuários e dos computadores do Active Directory está aberto
323542 Não foi possível iniciar a ferramenta dos usuários e dos computadores do Active Directory porque o servidor não está operacional
329887 Não foi possível interagir com os snap-ins MMC do Active Directory
325465 Controladores de domínio do Windows 2000 exigem o SP3 ou posteriores ao usar as ferramentas administrativas do Windows Server 2003
322267 A remoção de cliente para redes Microsoft remove outros serviços
297234 Existe diferença de hora entre o cliente e o servidor
247151 Os usuários de domínio de nível inferior podem receber uma mensagem de erro quando iniciam os snap-ins MMC
280833 Erro ao especificar todas as zonas DNS no cliente de proxy causa falhas de DNS difíceis de localizar
322307 Não é possível iniciar os serviços do Exchange ou os snap-ins do Active Directory depois de instalar o Service Pack 2 (SP2) para o Windows 2000

Propriedades

ID do artigo: 837513 - Última revisão: sexta-feira, 2 de fevereiro de 2007 - Revisão: 1.6
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Palavras-chave: 
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com