Etki alanı denetleyicisi düzgün çalışmıyor

Bu makale, etki alanı denetleyicisinin düzgün çalışmaması sorununa yönelik genel çözümler sağlar.

Şunlar için geçerlidir: Windows Server 2012 R2
Orijinal KB numarası: 837513

Belirtiler

Microsoft Windows 2000-Server tabanlı bir etki alanı denetleyicisinde veya Windows Server 2003 tabanlı bir etki alanı denetleyicisinde Dcdiag aracını çalıştırdığınızda, aşağıdaki hata iletisini alabilirsiniz:

DC Tanılaması
İlk kurulumu gerçekleştirme:
[DC1] LDAP bağlama 31 hatasıyla başarısız oldu

REPADMIN /SHOWREPS yardımcı programınıbir etki alanı denetleyicisinde yerel olarak çalıştırdığınızda, aşağıdaki hata iletilerinden birini alabilirsiniz:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP hatası 82 (Yerel Hata).

Son deneme @ yyyy-mm-dd hh:mm.ss başarısız oldu, sonuç 1753: Uç nokta eşleyicisinde başka kullanılabilir uç nokta yok.

Son deneme @ yyy-mm-dd hh:mm.ss başarısız oldu, sonuç 5: Erişim reddedildi.

Çoğaltmayı tetikleme amacıyla Active Directory Siteleri ve Hizmetleri'ni kullanıyorsanız erişimin reddedildiğini belirten bir ileti alabilirsiniz.

Etkilenen bir etki alanı denetleyicisinin konsolundan, Evrensel Adlandırma Kuralı (UNC) kaynakları veya eşlenmiş ağ sürücüleri de dahil olmak üzere ağ kaynaklarını kullanmaya çalıştığınızda, aşağıdaki hata iletisini alabilirsiniz:

Kullanılabilir oturum açma sunucusu yok (c000005e = "STATUS_NO_LOGON_SERVERS")

Etkilenen bir etki alanı denetleyicisinin konsolundan, Active Directory Siteleri ve Hizmetleri ve Active Directory Kullanıcıları ve Bilgisayarları dahil olmak üzere herhangi bir Active Directory yönetim aracı başlatırsanız aşağıdaki hata iletilerinden birini alabilirsiniz:

Adlandırma bilgileri bulunamıyor çünkü: Kimlik doğrulaması için hiçbir yetkiliyle bağlantı kurulamadı. Etki alanınızın düzgün yapılandırıldığını ve şu anda çevrimiçi olduğunu doğrulamak için sistem yöneticinize başvurun.

Adlandırma bilgileri bulunamıyor çünkü: Hedef hesap adı yanlış. Etki alanınızın düzgün yapılandırıldığını ve şu anda çevrimiçi olduğunu doğrulamak için sistem yöneticinize başvurun.

Kimlik doğrulaması için etkilenen etki alanı denetleyicilerini kullanan Microsoft Exchange Server bilgisayarlarına bağlanan Microsoft Outlook istemcilerinden, diğer etki alanı denetleyicilerinde başarılı oturum açma kimlik doğrulamaları olsa bile oturum açma kimlik bilgileri istenebilir.

Netdiag aracı, aşağıdaki hata iletilerini görüntüleyebilir:

DC listesi sınaması. . . . . . . . . . . : Başarısız oldu
[UYARI] DsBind <sunucu adına> çağrılamıyor.<fqdn> (<ip adresi>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos testi. . . . . . . . . . . : Başarısız oldu
[ÖNEMLİ] Kerberos'un krbtgt/<fqdn> için bir bileti yoktur.

[ÖNEMLİ] Kerberos'un ana bilgisayar adı> için <bir bileti yok.
LDAP testi. . . . . . . . . . . . . : Geçti
[UYARI] DC <ana bilgisayar adı><fqdn'sinde SPN kaydı sorgulanamadı>

Etkilenen etki alanı denetleyicisinin sistem olay günlüğüne aşağıdaki olay kaydedilebilir:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Çözüm

Bu belirtilerin birkaç çözümü vardır. Aşağıda denenebilecek yöntemler listelenmiştir. Listeyi, her yöntemin uygulama adımları izlemektedir. Sorun çözülene dek her yöntemi deneyin. Bu belirtiler için daha az yaygın olan çözümlerin anlatıldığı Microsoft Bilgi Bankası makaleleri daha sonra listelenmiştir.

1. Yöntem 1: Etki Alanı Adı Sistemi (DNS) hatalarını düzeltin.
2. Yöntem 2: Bilgisayarlar arasındaki zamanı eşitleyin.
3. Yöntem 3: Bu bilgisayara ağdan erişin kullanıcı haklarını denetleyin.
4. Yöntem 4: Etki alanı denetleyicisinin userAccountControl özniteliğinin 532480 olduğunu doğrulayın.
5. Yöntem 5: Kerberos bölgesini düzeltin (PolAcDmN kayıt defteri anahtarının ve PolPrDmN kayıt defteri anahtarının eşleştiğini onaylayın)
6. Yöntem 6: Makine hesabı parolasını sıfırlayın ve ardından yeni bir Kerberos bileti alın.

Yöntem 1: DNS hatalarını düzeltme

1. Komut isteminde netdiag -v komutunu çalıştırın. Bu komut, çalıştırıldığı klasör içinde bir Netdiag.log dosyası oluşturur.
2. Devam etmeden önce Netdiag.log dosyasındaki DNS hatalarını çözün. Netdiag aracı, Windows 2000 Server CD-ROM'u üzerindeki Windows 2000 Server Destek Araçları içindedir veya indirilebilir.
3. DNS'nin doğru yapılandırıldığından emin olun. En yaygın DNS hatalarından biri, DNS'nin kendisini işaret etmek veya dinamik güncelleştirmeleri ve SRV kayıtlarını destekleyen başka bir DNS sunucusunu işaret etmek yerine, etki alanı denetleyicisinin DNS için bir Internet Servis Sağlayıcısını (ISS) işaret etmesidir. Etki alanı denetleyicisini kendisine veya dinamik güncelleştirmeleri ve SRV kayıtlarını destekleyen başka bir DNS sunucusuna yönlendirmenizi öneririz. İnternet'te ad çözümlemesi için ISS'ye ileticiler ayarlamanızı öneririz.

Active Directory dizin hizmeti için DNS'yi yapılandırma hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarına tıklayın:
254680 DNS ad alanı planlaması

Yöntem 2: Bilgisayarlar arasındaki zamanı eşitleme

Etki alanı denetleyicileri arasında zamanın doğru eşitlendiğini doğrulayın. Ayrıca, istemci bilgisayarlar ve etki alanı denetleyicileri arasında zamanın doğru eşitlendiğini doğrulayın.

Yöntem 3: "Bu bilgisayara ağdan erişin" kullanıcı haklarını denetleyin

Etki alanı denetleyicisinde doğru kullanıcıların Bu bilgisayara ağdan erişin kullanıcı hakkına sahip olduğunu onaylamak için Gpttmpl.inf dosyasını değiştirin. Bunu yapmak için şu adımları uygulayın:

1. Varsayılan Etki Alanı Denetleyicileri İlkesi için Gpttmpl.inf dosyasını değiştirin. Varsayılan olarak, Varsayılan Etki Alanı Denetleyicileri İlkesi, bir etki alanı denetleyicisi için kullanıcı haklarının tanımlandığı yerdir. Varsayılan olarak, Varsayılan Etki Alanı Denetleyicileri İlkesi için Gpttmpl.inf dosyası aşağıdaki klasörde bulunur.

   Not

   Sysvol farklı bir konumda olabilir, ancak Gpttmpl.inf dosyasının yolu aynı olacaktır.

   Windows Server 2003 etki alanı denetleyicileri için:

   C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

   Windows 2000 Server etki alanı denetleyicileri için:

   C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

2. SeNetworkLogonRight girişinin sağına Yöneticiler, Kimliği Doğrulanmış Kullanıcılar ve Herkes için güvenlik tanımlayıcılarını ekleyin. Aşağıdaki örnekleri inceleyin.

   Windows Server 2003 etki alanı denetleyicileri için:

   SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

   Windows 2000 Server etki alanı denetleyicileri için:

   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

   Not

   Yöneticiler (S-1-5-32-544), Kimliği Doğrulanmış Kullanıcılar (S-1-5-11), Herkes (S-1-1-0) ve Enterprise Denetleyicileri (S-1-5-9), her etki alanında aynı olan iyi bilinen güvenlik tanımlayıcıları kullanır.

3. Aşağıdaki örnekle eşleşecek şekilde SeDenyNetworkLogonRight girişinin sağındaki girdileri kaldırın (Ağdan bu bilgisayara erişimi engelleyin).

   SeDenyNetworkLogonRight =

   Not

   Örnek, Windows 2000 Server ve Windows Server 2003 için aynıdır.

   Varsayılan olarak, Windows 2000 Server'da SeDenyNetworkLogonRight girdisi yoktur. Varsayılan olarak, Windows Server 2003'te SeDenyNetworkLogonRight girdisinde yalnızca Support_random dize hesabı vardır. (Support_random dizesi hesabı Uzaktan Yardım tarafından kullanılır.) Support_random dizesi hesabı her etki alanında farklı bir güvenlik tanımlayıcısı (SID) kullandığından, hesap yalnızca SID'ye bakılarak tipik bir kullanıcı hesabından kolayca ayırt edilemez. SID'yi başka bir metin dosyasına kopyalamak ve ardından SID'yi SeDenyNetworkLogonRight girdisinden kaldırmak isteyebilirsiniz. Bu şekilde, sorunu gidermeyi bitirdiğinizde geri koyabilirsiniz.

   SeNetworkLogonRight ve SeDenyNetworkLogonRight herhangi bir ilkede tanımlanabilir. Önceki adımlar sorunu çözmezse kullanıcı haklarının da burada tanımlanmadığını onaylamak için Sysvol'de yer alan diğer ilkelerdeki Gpttmpl.inf dosyasını denetleyin. Gpttmpl.inf dosyası SeNetworkLogonRight veya SeDenyNetworkLogonRight başvurusu içermiyorsa bu ayarlar ilkede tanımlanmaz ve bu ilke bu soruna neden olmaz. Bu girdiler varsa Varsayılan Etki Alanı Denetleyicisi ilkesi için daha önce listelenen ayarlarla eşleştiğinden emin olun.

Yöntem 4: Etki alanı denetleyicisinin userAccountControl özniteliğinin 532480 olduğunu doğrulayın

1. Başlat'a tıklayın, Çalıştır'a tıklayın ve ardından adsiedit.msc yazın.
2. Etki Alanı NC'yi genişletin, DC=etki alanını genişletin ve ardından OU=Etki Alanı Denetleyicileri'ni genişletin.
3. Etkilenen etki alanı denetleyicisine sağ tıklayın ve ardından Özellikler'e tıklayın.
4. Windows Server 2003'te, Öznitelik Düzenleyicisi sekmesinde Zorunlu öznitelikleri göster onay kutusunu ve İsteğe bağlı öznitelikleri göster onay kutusunu tıklayarak seçin. Windows 2000 Server'da, Hangi özelliklerin görüntüleyebileceğinizi seçin kutusunda Her İkisi'ne tıklayın.
5. Windows Server 2003'te Öznitelikler kutusunda userAccountControl'e tıklayın. Windows 2000 Server'da, Görüntülemek için özellik seçin kutusunda userAccountControl'e tıklayın.
6. Değer 532480 değilse Özniteliği Düzenle kutusuna 532480 yazın, Ayarla'ya tıklayın, Uygula'ya ve ardından Tamam'a tıklayın.
7. ADSI Düzenleme'yi iptal edin.

Yöntem 5: Kerberos bölgesini düzeltin (PolAcDmN kayıt defteri anahtarının ve PolPrDmN kayıt defteri anahtarının eşleştiğini onaylayın)

1. Kayıt Defteri Düzenleyicisi'ni başlatın.
2. Sol bölmede, Güvenlik'i genişletin.
3. Güvenlik menüsünde İzinler'e tıklayarak SECURITY kovanı ve alt kapsayıcıları ve nesneleri üzerinde Yöneticiler yerel grubuna Tam Denetim verin.
4. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN adlı anahtarı bulun.
5. Kayıt Defteri Düzenleyici sağ bölmesinde Ad> Yok: REG_NONE girdisine bir kez tıklayın<.
6. Görünüm menüsünde, İkili Veriyi Görüntüle'ye tıklayın. İletişim kutusunun Biçim bölümünde Bayt'a tıklayın.
7. Etki alanı adı, İkili Veri iletişim kutusunun sağ tarafında bir dize olarak görünür. Etki alanı adı Kerberos bölgesiyle aynıdır.
8. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN kayıt defteri anahtarını bulun.
9. Kayıt Defteri Düzenleyici sağ bölmesinde Ad> Yok: REG_NONE girdisine< çift tıklayın.
10. İkili Düzenleyici iletişim kutusunda, PolPrDmN'deki değeri yapıştırın. (PolPrDmN'deki değer NetBIOS etki alanı adı olacaktır).
11. Etki alanı denetleyicisini yeniden başlatın.

Yöntem 6: Makine hesabı parolasını sıfırlama ve ardından yeni bir Kerberos bileti alma

1. Kerberos Anahtar Dağıtım Merkezi hizmetini durdurun ve başlangıç değerini El ile olarak ayarlayın.

2. Etki alanı denetleyicisinin makine hesabı parolasını sıfırlamak için Windows 2000 Server Destek Araçları'ndan veya Windows Server 2003 Destek Araçları'ndan Netdom aracını kullanın:

   netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>  
   

   Komutun netdom başarıyla tamamlandı olarak döndürüldüğünden emin olun. Değilse komut çalışmadı. Etkilenen etki alanı denetleyicisinin DC1 ve çalışan bir etki alanı denetleyicisinin DC2 olduğu Contoso etki alanı için, DC1 konsolundan aşağıdaki netdom komutu çalıştırırsınız:

   netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
   

3. Etki alanı denetleyicisini yeniden başlatın.

4. Kerberos Anahtar Dağıtım Merkezi hizmetini başlatın ve başlangıç ayarını Otomatik olarak ayarlayın.

Bu konu hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:
323542 Sunucu çalışmadığından Active Directory Kullanıcıları ve Bilgisayarları aracını başlatamazsınız