Etki alaný denetleyicisi düzgün çalýþmýyor

Microsoft Windows 2000 Server veya Windows Server 2003 tabanlý bir etki alaný denetleyicisi üzerinde Dcdiag aracýný çalýþtýrdýðýnýzda, aþaðýdaki hata iletisini alabilirsiniz: REPADMIN /SHOWREPS yardýmcý programýný etki alaný denetleyicisi üzerinde yerel olarak çalýþtýrdýðýnýzda, aþaðýdaki hata iletisini alabilirsiniz:
Etkilenen bir etki alaný denetleyicisinin konsolundan Evrensel Adlandýrma Kuralý (UNC) kaynaklarý veya eþleþen að sürücüleri dahil að kaynaklarýný kullanmayý denediðinizde, aþaðýdaki hata iletisini alabilirsiniz: Etkilenen bir etki alaný denetleyicisinin konsolundan Active Directory Siteleri ve Hizmetleri ile Active Directory Kullanýcýlarý ve Bilgisayarlarý dahil herhangi bir Active Directory yönetim aracýný baþlatýrsanýz aþaðýdaki hata iletilerinden birini alabilirsiniz: Kimlik doðrulamasý için sorundan etkilenen etki alaný denetleyicilerini kullanan Microsoft Exchange Server bilgisayarlarýna baðlý olan Microsoft Outlook istemcilerinden, diðer etki alaný denetleyicilerinden baþarýlý oturum kimliði doðrulamasý gelse bile, oturum açma kimlik bilgileri istenebilir.

Netdiag aracý aþaðýdaki hata iletilerini görüntüleyebilir:

Etkilenen etki alaný denetleyicisinin sistem olay günlüðüne aþaðýdaki olay kaydedilebilir:

Olay Türü: Hata
Olay Kaynaðý: Hizmet Denetim Yöneticisi
Olay Kimliði: 7023
Açýklama: Kerberos Anahtar Daðýtým Merkezi hizmeti aþaðýdaki hatayla sonlandý: Güvenlik hesabý yöneticisi (SAM) veya yerel güvenlik yetkilisi (LSA) sunucusu güvenlik iþlemini uygulamak için hatalý konumdaydý.

Bu belirtilerin birkaç çözümü vardýr. Aþaðýda denenebilecek yöntemler listelenmiþtir. Listeyi, her yöntemin uygulama adýmlarý izlemektedir. Sorun çözülene dek her yöntemi deneyin. Bu belirtiler için daha az yaygýn olan çözümlerin anlatýldýðý Microsoft Bilgi Bankasý makaleleri daha sonra listelenmiþtir.

1. Yöntem 1: Etki Alaný Ad Sistemi (DNS) hatalarýný giderme.
2. Yöntem 2: Bilgisayarlar arasýnda saati eþitleme.
3. Yöntem 3: Bu bilgisayara að üzerinden eriþ kullanýcý haklarýný denetleme.
4. Yöntem 4: Etki alaný denetleyicisinin userAccountControl özniteliðinin 532480 olduðunu doðrulama.
5. Yöntem 5: Kerberos alaný sorunlarýný giderme (PolAcDmN kayýt defteri anahtarý ile PolPrDmN kayýt defteri anahtarýnýn eþleþtiðini onaylama).
6. Yöntem 6: Makine hesabý parolasýný sýfýrlama ve sonra yeni bir Kerberos anahtarý edinme.

Yöntem 1: DNS hatalarýný giderme

1. Komut isteminde netdiag -v komutunu çalýþtýrýn. Bu komut, çalýþtýrýldýðý klasör içinde bir Netdiag.log dosyasý oluþturur.
2. Devam etmeden önce, varsa Netdiag.log dosyasýndaki hatalarý çözümleyin. Netdiag aracý Windows 2000 Server CD-ROM'u üzerindeki Windows 2000 Server Destek Araçlarý içindedir veya karþýdan da yüklenebilir. Windows 2000 Server Destek Araçlarý'ný karþýdan yüklemek için, aþaðýdaki Microsoft Web sitesini ziyaret edin:
   http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx (http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx)
3. DNS'nin doðru yapýlandýrýldýðýndan emin olun. En yaygýn DNS hatalarýndan biri, DNS için etki alaný denetleyicisinin kendini iþaret etmek yerine veya dinamik güncelleþtirmeleri ve SRV kayýtlarýný destekleyen baþka bir DNS sunucusunu iþaret etmek yerine, bir Internet Servis Saðlayýcýsýný (ISS) iþaret etmesidir. Eki alaný denetleyicisinin kendini veya dinamik güncelleþtirmeleri ve SRV kayýtlarýný destekleyen baþka bir DNS sunucusunu iþaret etmesi önerilmektedir. Internet üzerinde ad çözümü için ISS'ye iletici kurmanýz önerilmektedir.

Active Directory dizin hizmeti için DNS'yi yapýlandýrma hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn:

Yöntem 2: Bilgisayarlar arasýnda saati eþitleme

Saatin etki alaný denetleyicileri arasýnda doðru eþitlendiðini doðrulayýn. Ayrýca, istemci bilgisayarlarla etki alaný denetleyicileri arasýnda da saatin doðru eþitlendiðini doðrulayýn.

Windows Saat hizmetini yapýlandýrmak hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn:

Yöntem 3: "Bu bilgisayara að üzerinden eriþ" kullanýcý haklarýný denetleme

Etki alaný denetleyicisinde doðru kullanýcýlarýn Bu bilgisayara að üzerinden eriþ kullanýcý hakkýna sahip olduðunu onaylamak için, Gpttmpl.inf dosyasýný deðiþtirin. Bunu yapmak için þu adýmlarý izleyin:

1. Varsayýlan Etki Alaný Denetleyicileri Ýlkesi'nin Gpttmpl.inf dosyasýný deðiþtirin. Varsayýlan olarak, Varsayýlan Etki Alaný Denetleyicileri Ýlkesi etki alaný denetleyicisi için kullanýcý haklarýnýn tanýmlandýðý yerdir. Varsayýlan olarak, Varsayýlan Etki Alaný Denetleyicileri Ýlkesi'nin Gpttmpl.inf dosyasý aþaðýdaki klasörde bulunur.
   
   Not Sysvol farklý bir konumda olabilir ama Gpttmpl.inf dosyasýnýn yolu ayný olacaktýr.
   
   Windows Server 2003 etki alaný denetleyicileri için:
   
   C:\WINDOWS\Sysvol\Sysvol\<Etkialanýadý>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
   
   Windows 2000 Server etki alaný denetleyicileri için:
   
   C:\WINNT\Sysvol\Sysvol\<Etkialanýadý>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
2. SeNetworkLogonRight girdisinin saðýna, Administrators (Yöneticiler), Authenticated Users (Kimliði Doðrulanmýþ Kullanýcýlar) ve Everyone (Herkes) için güvenlik tanýmlayýcýlarý ekleyin. Aþaðýdaki örneklere bakýn.
   
   Windows Server 2003 etki alaný denetleyicileri için:
   
   SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
   
   Windows 2000 Server etki alaný denetleyicileri için:
   
   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
   
   Not Administrators (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0) ve Enterprise Controllers (S-1-5-9) her etki alanýnda ayný olan iyi bilinen güvenlik tanýmlayýcýlarýný kullanýrlar.
3. Aþaðýdaki örneðe benzeyecek þekilde, SeDenyNetworkLogonRight girdisinin saðýndaki girdileri kaldýrýn (Bu bilgisayara aðdan eriþimi engelle).
   
   SeDenyNetworkLogonRight =
   
   Not Örnek Windows 2000 Server ve Windows Server 2003 için aynýdýr.
   
   Varsayýlan olarak, Windows 2000 Server'ýn SeDenyNetworkLogonRight girdisinde hiçbir girdisi yoktur. Varsayýlan olarak, Windows Server 2003,'ün SeDenyNetworkLogonRight girdisinde yalnýzca Support_rasgele dize hesabý vardýr. (Support_rasgele dize hesabý Uzaktan Yardým tarafýndan kullanýlýr.) Support_rasgele dize hesabý her etki alanýnda farklý bir güvenlik tanýmlayýcýsý (SID) kullandýðý için, bu hesap, tipik bir kullanýcý hesabýndan sadece SID'ye bakarak kolayca ayýrt edilemez. SID'yi baþka bir metin dosyasýna kopyalayabilir ve ardýndan SeDenyNetworkLogonRight girdisinden SID'yi kaldýrabilirsiniz. Bu yolla, sorunu gidermeyi tamamladýðýnýzda onu geri koyabilirsiniz.
   
   SeNetworkLogonRight ve SeDenyNetworkLogonRight herhangi bir ilkede tanýmlanabilir. Yukarýdaki adýmlar sorunu çözmezse, kullanýcý haklarýnýn da orada tanýmlanmadýðýný doðrulamak için, Sysvol'deki diðer ilkelerde Gpttmpl.inf dosyasýný denetleyin. Gpttmpl.inf dosyasý SeNetworkLogonRight veya SeDenyNetworkLogonRight girdisine bir baþvuru içermiyorsa, o ayarlar ilkede tanýmlanmaz ve o ilke bu soruna neden olmuyor demektir. Bu girdiler varsa, Varsayýlan Etki Alaný Denetleyicisi ilkesinin daha önce listelenen ayarlarýyla eþleþtiðinden emin olun.

Yöntem 4: Etki alaný denetleyicisinin userAccountControl özniteliðinin 532480 olduðunu doðrulayýn

1. Baþlat'ý týklatýn, Çalýþtýr'ý týklatýn ve sonra adsiedit.msc yazýn.
2. SýrasýylaDomain NC'yi, DC=etkialaný'ný ve OU=Domain Controllers'ý geniþletin.
3. Etkilenen etki alaný denetleyicisini sað týklatýn ve sonra Özellikler'i týklatýn.
4. Windows Server 2003'te, Attribute Editor (Öznitelik Düzenleyicisi) sekmesinde Show mandatory attributes (Zorunlu öznitelikleri göster) onay kutusunu ve Show optional attributes (Ýsteðe baðlý öznitelikleri göster) onay kutusunu týklatýp seçin. Windows 2000 Server'da, Select which properties to view (Görüntülenecek özellikleri seçin) kutusunda Her ikisi'ni týklatýn.
5. Windows Server 2003'te, Öznitelikler kutusunda userAccountControl'u týklatýn. Windows 2000 Server'da, Select a property to view (Görüntülenecek bir özellik seç) kutusunda userAccountControl'u týklatýn.
6. Deðer 532480 deðilse, Öznitelik Düzenle kutusunda 532480 yazýn, Ayarla'yý týklatýn, Uygula'yý týklatýn ve ardýndan Tamam'ý týklatýn.
7. ADSI Düzenleme'den çýkýn.

Yöntem 5: Kerberos alaný sorunlarýný giderme (PolAcDmN kayýt defteri anahtarý ile PolPrDmN kayýt defteri anahtarýnýn eþleþtiðini onaylama)

Not Bu yöntem yalnýzca Windows 2000 Server için geçerlidir.
Uyarý Kayýt Defteri Düzenleyicisi'ni yanlýþ kullanýrsanýz, iþletim sisteminizi yeniden yüklemenizi gerektirecek ciddi sorunlarla karþýlaþabilirsiniz. Microsoft, Kayýt Defteri Düzenleyicisi'nin yanlýþ kullanýmý sonucunda ortaya çýkan sorunlarý çözebileceðiniz konusunda garanti vermez. Kayýt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluðunuzdadýr.

1. Kayýt Defteri Düzenleyicisi'ni baþlatýn.
2. Sol bölmede, Güvenlik'i geniþletin.
3. Yöneticiler yerel grubuna, SECURITY kovanýnýn ve onun alt kapsayýcý ve nesneleri için Tam Denetim izni vermek üzere Güvenlik menüsünde Ýzinler'i týklatýn.
4. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN anahtarýný bulun.
5. Kayýt Defteri Düzenleyicisi'nin sað bölmesinde, <No Name>:REG_NONE girdisini bir kez týklatýn.
6. Görünüm menüsünde, Ýkili Veriyi Görüntüle'yi týklatýn. Ýletiþim kutusunun Biçim bölümünde, Bayt'ý týklatýn.
7. Etki alaný adý, Ýkili Veri iletiþim kutusunun sað tarafýnda bir dize olarak görüntülenir. Etki alaný adý Kerberos alanýyla aynýdýr.
8. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN kayýt defteri anahtarýný bulun
9. Kayýt Defteri Düzenleyicisi'nin sað bölmesinde, <No Name>: REG_NONE girdisini çift týklatýn.
10. Binary Editor (Ýkili Düzenleyicisi) iletiþim kutusunda, PolPrDmN'den deðeri yapýþtýrýn. (PolPrDmN'den alýnan deðer NetBIOS etki alaný adý olur).
11. Etki alaný denetleyicisini yeniden baþlatýn.

Yöntem 6: Makine hesap parolasýný sýfýrlayýn ve ardýndan yeni bir Kerberos anahtarý edinin.

1. Kerberos Anahtar Daðýtým Merkezi hizmetini durdurun ve ardýndan baþlangýç deðerini El Ýle olarak ayarlayýn.
2. Etki alaný denetleyicisinin makine hesap parolasýný sýfýrlamak için Windows 2000 Server Destek Araçlarý'ndan veya Windows Server 2003 Destek Araçlarý'ndan Netdom aracýný kullanýn:
   
   netdom resetpwd /server:baþka bir etki alaný denetleyicisi /userd:domain\administrator /passwordd:yönetici parolasý
   
   Netdom komutunun baþarýyla tamamlandý olarak döndürüldüðünden emin olun. Böyle döndürülmezse, komut çalýþmamýþ demektir. Etkilenen etki alaný denetleyicisinin DC1 ve çalýþan etki alaný denetleyicisinin DC2 olduðu Contoso etki alaný için aþaðýdaki netdom komutunu DC1 konsolundan çalýþtýrýrsýnýz:
   
   netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:yönetici parolasý
3. Etkilenen etki alaný denetleyicisini yeniden baþlatýn.
4. Kerberos Anahtar Daðýtým Merkezi hizmetini baþlatýn ve ardýndan baþlangýç ayarýný Otomatik olarak ayarlayýn.

Bu sorun hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn: (Aþaðýdaki liste, bir kýsmý veya tamamý Ýngilizce olan içeriðe iþaret eden baðlantýlar içerebilir.)