Etki alanı denetleyicisi düzgün çalışmıyor

Makale çevirileri Makale çevirileri
Makale numarası: 837513 - Bu makalenin geçerli olduğu ürünleri görün.
Önemli Bu makale, kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce, yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini nasıl geri yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986 Microsoft Windows kayıt defterinin açıklaması
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Microsoft Windows 2000 Server veya Windows Server 2003 tabanlı bir etki alanı denetleyicisi üzerinde Dcdiag aracını çalıştırdığınızda, aşağıdaki hata iletisini alabilirsiniz:
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31
REPADMIN /SHOWREPS yardımcı programını etki alanı denetleyicisi üzerinde yerel olarak çalıştırdığınızda, aşağıdaki hata iletisini alabilirsiniz:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).

Etkilenen bir etki alanı denetleyicisinin konsolundan Evrensel Adlandırma Kuralı (UNC) kaynakları veya eşleşen ağ sürücüleri dahil ağ kaynaklarını kullanmayı denediğinizde, aşağıdaki hata iletisini alabilirsiniz:
No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")
Etkilenen bir etki alanı denetleyicisinin konsolundan Active Directory Siteleri ve Hizmetleri ile Active Directory Kullanıcıları ve Bilgisayarları dahil herhangi bir Active Directory yönetim aracını başlatırsanız aşağıdaki hata iletilerinden birini alabilirsiniz:
Naming information cannot be located because: No authority could be contacted for authentication. Contact your system administrator to verify that your domain is properly configured and is currently online.
Naming information cannot be located because: Target account name is incorrect. Contact your system administrator to verify that your domain is properly configured and is currently online.
Kimlik doğrulaması için sorundan etkilenen etki alanı denetleyicilerini kullanan Microsoft Exchange Server bilgisayarlarına bağlı olan Microsoft Outlook istemcilerinden, diğer etki alanı denetleyicilerinden başarılı oturum kimliği doğrulaması gelse bile, oturum açma kimlik bilgileri istenebilir.

Netdiag aracı aşağıdaki hata iletilerini görüntüleyebilir:
DC list test . . . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to <sunucuadı>.<fqdn> (<ip adresi>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for krbtgt/<fqdn>.
[FATAL] Kerberos does not have a ticket for <anabilgisayaradı>.
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC <anabilgisayaradı>\<fqdn>


Etkilenen etki alanı denetleyicisinin sistem olay günlüğüne aşağıdaki olay kaydedilebilir:

Olay Türü: Hata
Olay Kaynağı: Hizmet Denetim Yöneticisi
Olay Kimliği: 7023
Açıklama: Kerberos Anahtar Dağıtım Merkezi hizmeti aşağıdaki hatayla sonlandı: Güvenlik hesabı yöneticisi (SAM) veya yerel güvenlik yetkilisi (LSA) sunucusu güvenlik işlemini uygulamak için hatalı konumdaydı.

Çözüm

Bu belirtilerin birkaç çözümü vardır. Aşağıda denenebilecek yöntemler listelenmiştir. Listeyi, her yöntemin uygulama adımları izlemektedir. Sorun çözülene dek her yöntemi deneyin. Bu belirtiler için daha az yaygın olan çözümlerin anlatıldığı Microsoft Bilgi Bankası makaleleri daha sonra listelenmiştir.
  1. Yöntem 1: Etki Alanı Ad Sistemi (DNS) hatalarını giderme.
  2. Yöntem 2: Bilgisayarlar arasında saati eşitleme.
  3. Yöntem 3: Bu bilgisayara ağ üzerinden eriş kullanıcı haklarını denetleme.
  4. Yöntem 4: Etki alanı denetleyicisinin userAccountControl özniteliğinin 532480 olduğunu doğrulama.
  5. Yöntem 5: Kerberos alanı sorunlarını giderme (PolAcDmN kayıt defteri anahtarı ile PolPrDmN kayıt defteri anahtarının eşleştiğini onaylama).
  6. Yöntem 6: Makine hesabı parolasını sıfırlama ve sonra yeni bir Kerberos anahtarı edinme.

Yöntem 1: DNS hatalarını giderme

  1. Komut isteminde netdiag -v komutunu çalıştırın. Bu komut, çalıştırıldığı klasör içinde bir Netdiag.log dosyası oluşturur.
  2. Devam etmeden önce, varsa Netdiag.log dosyasındaki hataları çözümleyin. Netdiag aracı Windows 2000 Server CD-ROM'u üzerindeki Windows 2000 Server Destek Araçları içindedir veya karşıdan da yüklenebilir. Windows 2000 Server Destek Araçları'nı karşıdan yüklemek için, aşağıdaki Microsoft Web sitesini ziyaret edin:
    http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx
  3. DNS'nin doğru yapılandırıldığından emin olun. En yaygın DNS hatalarından biri, DNS için etki alanı denetleyicisinin kendini işaret etmek yerine veya dinamik güncelleştirmeleri ve SRV kayıtlarını destekleyen başka bir DNS sunucusunu işaret etmek yerine, bir Internet Servis Sağlayıcısını (ISS) işaret etmesidir. Eki alanı denetleyicisinin kendini veya dinamik güncelleştirmeleri ve SRV kayıtlarını destekleyen başka bir DNS sunucusunu işaret etmesi önerilmektedir. Internet üzerinde ad çözümü için ISS'ye iletici kurmanız önerilmektedir.
Active Directory dizin hizmeti için DNS'yi yapılandırma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
291382 Windows 2000 DNS ve Windows Server 2003 DNS hakkında sık sorulan sorular
237675 Active Directory için Etki Alanı Ad Sistemini Kurmak
254680 DNS ad alanını planlama (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
255248 Active Directory'de bir alt etki alanı nasıl oluşturulur ve DNS ad alanına alt etki alanı nasıl temsilci atanır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Yöntem 2: Bilgisayarlar arasında saati eşitleme

Saatin etki alanı denetleyicileri arasında doğru eşitlendiğini doğrulayın. Ayrıca, istemci bilgisayarlarla etki alanı denetleyicileri arasında da saatin doğru eşitlendiğini doğrulayın.

Windows Saat hizmetini yapılandırmak hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
258059 Windows NT 4.0 etki alanındaki bir Windows 2000 tabanlı bilgisayarda saat nasıl eşitlenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
216734 Windows 2000'de yetkili saat sunucusu nasıl yapılandırılır

Yöntem 3: "Bu bilgisayara ağ üzerinden eriş" kullanıcı haklarını denetleme

Etki alanı denetleyicisinde doğru kullanıcıların Bu bilgisayara ağ üzerinden eriş kullanıcı hakkına sahip olduğunu onaylamak için, Gpttmpl.inf dosyasını değiştirin. Bunu yapmak için şu adımları izleyin:
  1. Varsayılan Etki Alanı Denetleyicileri İlkesi'nin Gpttmpl.inf dosyasını değiştirin. Varsayılan olarak, Varsayılan Etki Alanı Denetleyicileri İlkesi etki alanı denetleyicisi için kullanıcı haklarının tanımlandığı yerdir. Varsayılan olarak, Varsayılan Etki Alanı Denetleyicileri İlkesi'nin Gpttmpl.inf dosyası aşağıdaki klasörde bulunur.

    Not Sysvol farklı bir konumda olabilir ama Gpttmpl.inf dosyasının yolu aynı olacaktır.

    Windows Server 2003 etki alanı denetleyicileri için:

    C:\WINDOWS\Sysvol\Sysvol\<Etkialanıadı>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Windows 2000 Server etki alanı denetleyicileri için:

    C:\WINNT\Sysvol\Sysvol\<Etkialanıadı>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. SeNetworkLogonRight girdisinin sağına, Administrators (Yöneticiler), Authenticated Users (Kimliği Doğrulanmış Kullanıcılar) ve Everyone (Herkes) için güvenlik tanımlayıcıları ekleyin. Aşağıdaki örneklere bakın.

    Windows Server 2003 etki alanı denetleyicileri için:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Windows 2000 Server etki alanı denetleyicileri için:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Not Administrators (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0) ve Enterprise Controllers (S-1-5-9) her etki alanında aynı olan iyi bilinen güvenlik tanımlayıcılarını kullanırlar.
  3. Aşağıdaki örneğe benzeyecek şekilde, SeDenyNetworkLogonRight girdisinin sağındaki girdileri kaldırın (Bu bilgisayara ağdan erişimi engelle).

    SeDenyNetworkLogonRight =

    Not Örnek Windows 2000 Server ve Windows Server 2003 için aynıdır.

    Varsayılan olarak, Windows 2000 Server'ın SeDenyNetworkLogonRight girdisinde hiçbir girdisi yoktur. Varsayılan olarak, Windows Server 2003,'ün SeDenyNetworkLogonRight girdisinde yalnızca Support_rasgele dize hesabı vardır. (Support_rasgele dize hesabı Uzaktan Yardım tarafından kullanılır.) Support_rasgele dize hesabı her etki alanında farklı bir güvenlik tanımlayıcısı (SID) kullandığı için, bu hesap, tipik bir kullanıcı hesabından sadece SID'ye bakarak kolayca ayırt edilemez. SID'yi başka bir metin dosyasına kopyalayabilir ve ardından SeDenyNetworkLogonRight girdisinden SID'yi kaldırabilirsiniz. Bu yolla, sorunu gidermeyi tamamladığınızda onu geri koyabilirsiniz.

    SeNetworkLogonRight ve SeDenyNetworkLogonRight herhangi bir ilkede tanımlanabilir. Yukarıdaki adımlar sorunu çözmezse, kullanıcı haklarının da orada tanımlanmadığını doğrulamak için, Sysvol'deki diğer ilkelerde Gpttmpl.inf dosyasını denetleyin. Gpttmpl.inf dosyası SeNetworkLogonRight veya SeDenyNetworkLogonRight girdisine bir başvuru içermiyorsa, o ayarlar ilkede tanımlanmaz ve o ilke bu soruna neden olmuyor demektir. Bu girdiler varsa, Varsayılan Etki Alanı Denetleyicisi ilkesinin daha önce listelenen ayarlarıyla eşleştiğinden emin olun.

Yöntem 4: Etki alanı denetleyicisinin userAccountControl özniteliğinin 532480 olduğunu doğrulayın

  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın ve sonra adsiedit.msc yazın.
  2. SırasıylaDomain NC'yi, DC=etkialanı'nı ve OU=Domain Controllers'ı genişletin.
  3. Etkilenen etki alanı denetleyicisini sağ tıklatın ve sonra Özellikler'i tıklatın.
  4. Windows Server 2003'te, Attribute Editor (Öznitelik Düzenleyicisi) sekmesinde Show mandatory attributes (Zorunlu öznitelikleri göster) onay kutusunu ve Show optional attributes (İsteğe bağlı öznitelikleri göster) onay kutusunu tıklatıp seçin. Windows 2000 Server'da, Select which properties to view (Görüntülenecek özellikleri seçin) kutusunda Her ikisi'ni tıklatın.
  5. Windows Server 2003'te, Öznitelikler kutusunda userAccountControl'u tıklatın. Windows 2000 Server'da, Select a property to view (Görüntülenecek bir özellik seç) kutusunda userAccountControl'u tıklatın.
  6. Değer 532480 değilse, Öznitelik Düzenle kutusunda 532480 yazın, Ayarla'yı tıklatın, Uygula'yı tıklatın ve ardından Tamam'ı tıklatın.
  7. ADSI Düzenleme'den çıkın.

Yöntem 5: Kerberos alanı sorunlarını giderme (PolAcDmN kayıt defteri anahtarı ile PolPrDmN kayıt defteri anahtarının eşleştiğini onaylama)

Not Bu yöntem yalnızca Windows 2000 Server için geçerlidir.
Uyarı Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirecek ciddi sorunlarla karşılaşabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır.
  1. Kayıt Defteri Düzenleyicisi'ni başlatın.
  2. Sol bölmede, Güvenlik'i genişletin.
  3. Yöneticiler yerel grubuna, SECURITY kovanının ve onun alt kapsayıcı ve nesneleri için Tam Denetim izni vermek üzere Güvenlik menüsünde İzinler'i tıklatın.
  4. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN anahtarını bulun.
  5. Kayıt Defteri Düzenleyicisi'nin sağ bölmesinde, <No Name>:REG_NONE girdisini bir kez tıklatın.
  6. Görünüm menüsünde, İkili Veriyi Görüntüle'yi tıklatın. İletişim kutusunun Biçim bölümünde, Bayt'ı tıklatın.
  7. Etki alanı adı, İkili Veri iletişim kutusunun sağ tarafında bir dize olarak görüntülenir. Etki alanı adı Kerberos alanıyla aynıdır.
  8. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN kayıt defteri anahtarını bulun
  9. Kayıt Defteri Düzenleyicisi'nin sağ bölmesinde, <No Name>: REG_NONE girdisini çift tıklatın.
  10. Binary Editor (İkili Düzenleyicisi) iletişim kutusunda, PolPrDmN'den değeri yapıştırın. (PolPrDmN'den alınan değer NetBIOS etki alanı adı olur).
  11. Etki alanı denetleyicisini yeniden başlatın.

Yöntem 6: Makine hesap parolasını sıfırlayın ve ardından yeni bir Kerberos anahtarı edinin.

  1. Kerberos Anahtar Dağıtım Merkezi hizmetini durdurun ve ardından başlangıç değerini El İle olarak ayarlayın.
  2. Etki alanı denetleyicisinin makine hesap parolasını sıfırlamak için Windows 2000 Server Destek Araçları'ndan veya Windows Server 2003 Destek Araçları'ndan Netdom aracını kullanın:

    netdom resetpwd /server:başka bir etki alanı denetleyicisi /userd:domain\administrator /passwordd:yönetici parolası

    Netdom komutunun başarıyla tamamlandı olarak döndürüldüğünden emin olun. Böyle döndürülmezse, komut çalışmamış demektir. Etkilenen etki alanı denetleyicisinin DC1 ve çalışan etki alanı denetleyicisinin DC2 olduğu Contoso etki alanı için aşağıdaki netdom komutunu DC1 konsolundan çalıştırırsınız:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:yönetici parolası
  3. Etkilenen etki alanı denetleyicisini yeniden başlatın.
  4. Kerberos Anahtar Dağıtım Merkezi hizmetini başlatın ve ardından başlangıç ayarını Otomatik olarak ayarlayın.

Bu sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın: (Aşağıdaki liste, bir kısmı veya tamamı İngilizce olan içeriğe işaret eden bağlantılar içerebilir.)
325322 Exchange Sistem Yöneticisi'ni açmayı denediğinizde "Sunucu çalışmıyor" hata iletisi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
284929 Active Directory ek bileşenleri başlatılamıyor; hata iletisi kimlik doğrulaması için hiçbir yetkiliye başvurulamadığını belirtiyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
257623 Windows NT 4.0 Birincil etki alanı denetleyicisini Windows 2000'e yükselttikten sonra, yeni bir etki alanı denetleyicisinin bilgisayar adının DNS soneki etki alanının adıyla eşleşmeyebilir
257346 "Bu Bilgisayara Ağdan Eriş" kullanıcı hakkı araçların çalışmamasına neden oluyor(Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
316710 Devre dışı bırakılan Kerberos anahtar dağıtımı Exchange hizmetlerinin başlatılmasına engel oluyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
329642 Active Directory ek bileşenlerini ve Exchange Sistem Yöneticisi'ni açtığınızda hata iletileri(Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
272686 Active Directory Kullanıcıları ve Bilgisayarları ek bileşeni açıldığında hata iletileriyle karşılaşılıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
323542 Sunucu çalışmadığı için Active Directory Kullanıcıları ve Bilgisayarları aracını başlatamıyorsunuz (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
329887 Active Directory MMC ek bileşenleriyle etkileşim kuramıyorsunuz (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
325465 Windows 2000 etki alanı denetleyicileri, Windows Server 2003 yönetimsel araçlarını kullanırken SP3 veya sonrasını gerektiriyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
322267 Microsoft Ağları İçin İstemci'yi kaldırmak diğer hizmetleri kaldırıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
297234 İstemci ve sunucu arasında saat farkı var (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
247151 Alt düzey etki alanı kullanıcıları MMC ek bileşenlerini başlatırken bir hata iletisi alabilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
280833 Proxy istemcisinde tüm DNS bölgelerini belirtmede başarısız olmak, izlenmesi güç DNS hatalarına neden oluyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)
322307 Windows 2000 için Service Pack 2'yi (SP2) yükledikten sonra Exchange Hizmetleri veya Active Directory ek bileşenleri başlatılamıyor (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

Özellikler

Makale numarası: 837513 - Last Review: 2 Şubat 2007 Cuma - Gözden geçirme: 1.6
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
Anahtar Kelimeler: 
kberrmsg kbtshoot kbactivedirectory kbactivedirectoryrepl kbevent KB837513

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com