Контроллер домена работает неправильно

Переводы статьи Переводы статьи
Код статьи: 837513 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

После запуска средства Dcdiag на контроллере домена под управлением Windows 2000 Server или Windows Server 2003 появляется следующее сообщение об ошибке.
Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31
Если запустить служебную программу REPADMIN /SHOWREPS на контроллере домена в локальном режиме, может появиться одно из следующих сообщений об ошибке:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.
При активации репликации с помощью оснастки "Active Directory — сайты и службы Active Directory", может появиться сообщение об отказе в доступе.

При попытке получить с консоли контроллера домена доступ к сетевым ресурсам, включая ресурсы в формате UNC и сопоставленные сетевые диски, может появиться следующее сообщение об ошибке:
Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")
После запуска с консоли контроллера домена одного из средств администрирования Active Directory, включая оснастки "Active Directory — сайты и службы" и "Active Directory — пользователи и компьютеры", может появиться одно из следующих сообщений об ошибках:
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.

Средство Netdiag может отобразить следующие сообщения об ошибках:
DC list test . . . . . . . . . . . : Сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для <имя_сервера>.<полное_доменное_имя> (<IP-адрес>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Сбой
[FATAL] Kerberos does not have a ticket for krbtgt/<полное_доменное_имя>.
[FATAL] Kerberos does not have a ticket for <имя_узла>.
LDAP test. . . . . . . . . . . . . : Успешно
[ПРЕДУПРЕЖДЕНИЕ] Failed to query SPN registration on DC <имя_узла>\<полное_доменное_имя>
В журнале системных событий на контроллере домена может быть зарегистрировано следующее событие:

Тип события: Ошибка
Источник события: Диспетчер служб
ИД события: 7023
Описание: Служба "Центр распространения ключей Kerberos" завершена из-за ошибки: Диспетчер защиты (SAM) или локальный сервер (LSA) не смог выполнить требуемую операцию.

Решение

Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.
  1. Способ 1. Исправление ошибок в службе доменных имен (DNS).
  2. Способ 2. Синхронизация времени компьютеров.
  3. Способ 3. Проверка наличия права Доступ к компьютеру из сети.
  4. Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.
  5. Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).
  6. Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.

Способ 1. Исправление ошибок в DNS

  1. Введите в командной строке команду netdiag -v. В папке, в которой был выполнен запуск, эта команда создает файл Netdiag.log.
  2. Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:
    http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке)
  3. Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:
291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003
237675 Настройка службы доменных имен (DNS) для Active Directory
254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Способ 2. Синхронизация времени компьютеров

Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.

Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:
258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0
216734 Настройка основного сервера времени в Windows 2000

Способ 3. Проверка наличия права "Доступ к компьютеру из сети"

Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.
  1. Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.

    Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.

    Контроллеры домена под управлением Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<имя_домена>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Контроллеры домена под управлением Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<имя_домена>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп "Администраторы", "Прошедшие проверку" и "Все". См. перечисленные ниже примеры.

    Контроллеры домена под управлением Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Контроллеры домена под управлением Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Примечание. Группы "Администраторы" (S-1-5-32-544), "Прошедшие проверку" (S-1-5-11), "Все" (S-1-1-0) и "Контроллеры предприятия" (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.
  3. Удалите все данные справа от записи SeDenyNetworkLogonRight ("Отказ в доступе к компьютеру из сети"). См. следующий пример:

    SeDenyNetworkLogonRight =

    Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.

    По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Так как учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).

    Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.

Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена

  1. В меню Пуск выберите команду Выполнить и введите adsiedit.msc.
  2. Разверните узлы Domain NC, DC=domain и OU=Domain Controllers.
  3. Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.
  4. На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.
  5. На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.
  6. Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.
  7. Закройте редактор ADSI.

Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)

Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.
  1. Откройте редактор реестра.
  2. На левой панели разверните узел Security.
  3. В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе "Administrators" полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.
  4. Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. На правой панели редактора реестра один раз щелкните запись <Без имени>: REG_NONE.
  6. В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.
  7. В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
  8. Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. На правой панели двойным щелчком выберите <Без имени>: REG_NONE.
  10. В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)
  11. Перезагрузите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

  1. Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска "Вручную".
  2. С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:

    netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора

    Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае это означает, что команда не привела к ожидаемым результатам). Для домена Contoso, в котором контроллер домена, подверженный ошибкам, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо выполнить команду netdom следующего вида:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора
  3. Перезагрузите контроллер домена, подверженный ошибкам.
  4. Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.

Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:
325322 При попытке открыть диспетчер Exchange появляется сообщение об ошибке "Сервер неработоспособен" (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
284929 Не удается запустить оснастки Active Directory: появляется сообщение об ошибке "Невозможно обратиться за проверкой подлинности в орган сертификации" (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена
257346 После отмены права "Доступ к компьютеру из сети" перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos
329642 При открытии оснасток Active Directory и диспетчера Exchange появляются сообщения об ошибках (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
272686 После открытия оснастки "Active Directory — пользователи и компьютеры" появляются сообщения об ошибке (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
323542 Не удается запустить оснастку "Active Directory — пользователи и компьютеры", так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
247151 При запуске оснастки из состава консоли управления пользователи домена нижнего уровня могут получать сообщение об ошибке (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Свойства

Код статьи: 837513 - Последний отзыв: 11 декабря 2007 г. - Revision: 2.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com