контролер домену не працює належним чином

Номер статті: 837513
Машинний перекладКлацніть тут, щоб переглянути відмову від машинного перекладу матеріалів бази знань
Розгорнути все | Згорнути все

На цій сторінці

Ознаки

При запуску засобу Dcdiag на Microsoft Windows контролер домену на основі 2000 server або домену під керуванням Windows Server 2003 контролер, може з'явитися таке протокол IMAP про помилку:
DC діагностика
Виконання початкової інсталяції:
[DC1] LDAP bind не вдалося здійснити помилку 31
Коли ви запуску засобу REPADMIN /SHOWREPS локально на контролері домену, може з'явитися одне з таких повідомлень про помилку:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP Помилка 82 (локальна помилка).
Останній @ РРРР мм ДД hh:mm.ss вдалося, результат 1753: недоступні немає більше кінцеві точки від mapper кінцевої точки.
Останній @ РРРР мм ДД hh:mm.ss вдалося, результатом 5: немає доступу.
Якщо використовується Active Directory-сайты и застосунок-служба для показу реплікації, може з'явитися протокол IMAP, що вказує на те, що немає доступу.

Під Вільний час спроби сценарій виконання мережних ресурсів з консолі на несправному контролері домену, у тому числі універсальних іменування Ресурси конвенції (UNC) або мережних дисків, може з'явитися на таке протокол IMAP про помилку:
Немає доступних серверів (c000005e = "STATUS_NO_LOGON_SERVERS")
Якщо ви почнете будь-який активний Каталог адміністрування з консолі постраждалих домену контролер, у тому числі Active Directory-сайты і служб і служби служба Active Directory Користувачі і комп'ютери, може з'явитися одне з таких повідомлень про помилку:
Именах неможливо знайти, тому що: ні вдалося звернутися до органу сертифікації для автентифікації. Зверніться до системного до адміністратора, щоб переконатися, що ваш домен настроєно належним чином і зараз на сайті.
Іменування інформація не може бути розташований, тому що: Цільова ім'я облікового запису хибне. Зверніться до системного до адміністратора, щоб переконатися, що ваш домен настроєно належним чином і зараз на сайті.
Microsoft Outlook клієнтів, які підключено до Microsoft Exchange Server комп'ютерів, які використовують постраждалих контролери для перевірки автентичності може бути запропоновано ввести облікові дані для входу до системи, хоча існує успішного входу в систему автентифікації з інших контролерів домену.

На Засіб Netdiag може відобразити такі протокол IMAP про помилку:
ОКРУГ КОЛУМБІЯ список випробування побутове : Помилка
[ПОПЕРЕДЖЕННЯ] Не можна назвати DsBind для <servername>.<fqdn> (<ip address="">). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] </ip></fqdn></servername>
Випробування Kerberos. взаємовідношення : Не вдалося
[ФАТАЛЬНУ] Kerberos має квиток для krbtgt /<fqdn>. </fqdn>
[ФАТАЛЬНУ] Kerberos має квиток для <hostname>.<b00> </b00> </hostname>
LDAP test. . . . . . . . . . . . . : Передано
[ПОПЕРЕДЖЕННЯ] Не вдалося виконати запит SPN Реєстрація на DC <hostname>\<fqdn> </fqdn> </hostname>
На така подія може увійти в журналі системних подій постраждалих домену контролер:

Тип події: помилка
Події Джерело: Диспетчер керування
Код події: 7023
Опис: В Kerberos центр розподілення ключів обслуговування припинено через таку помилку: Диспетчер облікових записів безпеки (SAM) або локальної безпеки (LSA) повноваження сервер був неправильний стан для операції безпеки.

На початок | Надіслати відгук

Розв'язанн

Є кілька резолюції для цих симптомів. На Нижче наводиться перелік методів, щоб спробувати. Список слідують кроки виконання кожного методу. Спробуйте кожного методу, поки не усунуто. Microsoft Knowledge База статей, що описують менш загальні виправлення для цих симптомів перераховані пізніше.
  1. Спосіб 1: Виправити ім'я домену системи іменування (DNS) помилки.
  2. Метод 2: Синхронізації часу між комп'ютери.
  3. Спосіб 3: Перевірка в Доступ до цього комп'ютера від на глобальна мережа права.
  4. Метод 4: Переконайтеся, що контролер домену атрибут userAccountControl є 532480.
  5. Спосіб 5: Виправити Kerberos царство (підтвердити, що в PolAcDmN розділ реєстру та реєстру PolPrDmN матч).
  6. Метод 6: Скинути пароль облікового запису комп'ютера а потім отримати новий квиток Kerberos.

Спосіб 1: Виправити помилки DNS

  1. У командному рядку запустіть команду netdiag - v . Ця команда створює файл Netdiag.log у папці де було виконати команду.
  2. Вирішити будь-які DNS помилки у файлі Netdiag.log, перш ніж продовжити.
  3. Переконайтеся, що DNS настроєно правильно. Одним з найбільш типові помилки DNS, щоб вказати контролера домену до служби Інтернету Провайдер (ISP) для DNS замість вказуючи DNS до себе або до іншого DNS сервер, що підтримує динамічних оновлень і записів SRV. Радимо, що ви Виберіть контролер домену до себе або до іншого DNS-сервера, який підтримує динамічне оновлення та записів SRV. Ми рекомендуємо настроїти пересилання на на ISP для визначення імен в Інтернеті.
Для отримання додаткової інформації про настроювання DNS для служби каталогів служба Active Directory, натисніть на такі номери статей у базі знань Microsoft Knowledge Base:
291382
(http://support.microsoft.com/kb/291382/ )
Часті питання про Windows 2000 DNS та Windows Server 2003 DNS
237675
(http://support.microsoft.com/kb/237675/ )
Налаштування доменна система іменування для служба Active Directory
254680
(http://support.microsoft.com/kb/254680/ )
Планування простору імен DNS
255248
(http://support.microsoft.com/kb/255248/ )
Як створити дочірній домен в служба Active Directory та делегувати у просторі імен DNS, щоб дочірній домен

Метод 2: Синхронізації часу між комп'ютерами

Переконайтеся, що Вільний час правильно синхронізуються між домену контролери. Крім того, переконайтеся, що Вільний час правильно синхронізуються між клієнтськими комп'ютерами і контролерів домену.

Для отримання додаткових відомостей про настроювання Служба часу Windows, клацніть наступні статті номер в статті в базі знань Microsoft Knowledge Base:
258059
(http://support.microsoft.com/kb/258059/ )
Спосіб синхронізації часу на комп'ютері під керуванням Windows 2000 в домені Windows NT 4.0
216734
(http://support.microsoft.com/kb/216734/ )
Налаштування основного сервера часу у Windows 2000

Спосіб 3: Перевірте права "Доступ до цього комп'ютера від мережі"

Змінити файл Gpttmpl.inf, щоб підтвердити, що відповідні користувачів мати на Доступ до цього комп'ютера від мережі право на контролер домену. Для цього виконайте такі дії:
  1. Змінити файл Gpttmpl.inf для домену за промовчанням Політики контролерів. За промовчанням за промовчанням відповідної політики контролерів домену, де права визначаються для контролера домену. за промовчанням, на Gpttmpl.inf файл для політики контролерів домену за промовчанням міститься в нижче папки.

    Примітка Sysvol може бути в іншому місці, але шлях до Gpttmpl.INF файл буде те ж саме.

    Для домену Windows Server 2003 контролери:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Для контролерів домену Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf</Domainname></Domainname>
  2. Справа SeNetworkLogonRight запис А, додати до Ідентифікатори безпеки для адміністраторів, автентифікованим користувачам і Кожен. Перегляньте наведені нижче приклади.

    Для домену Windows Server 2003 контролери:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Для Windows 2000 Server контролерів домену:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Примітка Адміністратори (S-1-5-32-544), Автентифіковані користувачі (S-1-5-11), Кожен (S-1-1-0) і підприємство контролери (S-1-5-9) за допомогою відомих Ідентифікатори безпеки, що ті ж, у кожному домені.
  3. Видалити будь-які запис А бізнес-партнера, праворуч від наSeDenyNetworkLogonRight запис А (заборонити доступ до цього комп'ютера від мережі) для відповідності наступне приклад.

    SeDenyNetworkLogonRight =

    Примітка Приклад так само для Windows 2000 Server та для Windows Сервер 2003.

    за промовчанням, Windows 2000 Server має не записів регіоні запис А SeDenyNetworkLogonRight. За промовчанням Windows Server 2003 містить лише на Support_випадковий рядок рахунок у регіоні запис А SeDenyNetworkLogonRight. (Support_Випадкові рядок обліковий запис А комп'ютера використовується Віддалений спеціальна можливість.) Тому що на Support_випадковий рядок облікового запису використовує інший ідентифікатор безпеки (SID) у кожного домену, обліковий запис А комп'ютера не є легко відрізняється від звичайного облікового просто, дивлячись на SID. Ви можете Щоб скопіювати на SID на інший текстовий файл а потім видалити SID від на запис А SeDenyNetworkLogonRight. Таким чином, ви можете покласти його назад, коли ви закінчив усунення несправностей проблема.

    SeNetworkLogonRight і SeDenyNetworkLogonRight може бути визначена в будь-якої політики. Якщо попередні кроки зробити усуває проблему, перевірте інші політики в Sysvol, файл Gpttmpl.inf Щоб підтвердити, що права не також бути визначено там. Якщо на Gpttmpl.INF файл містить немає посилання, щоб SeNetworkLogonRight або SeDenyNetworkLogonRight, ці настройки не визначено у політику і що політика не є причиною цієї проблеми. Якщо існують тих записів, переконайтеся, що вони збігаються з параметрами, перераховані вище для контролера домену за промовчанням політики.

Метод 4: Переконайтеся, що контролер домену userAccountControl атрибут 532480

  1. Натисніть кнопку Почати, натисніть кнопку Запустити, і введіть команду adsiedit. msc.
  2. деталізувати NC домену, розширитиDC =домена потім розширитиНу = контролери домену.
  3. Клацніть правою кнопкою миші на несправному контролері домену і натисніть кнопкуВластивості.
  4. У Windows Server 2003, клацніть, щоб вибрати з Показати Обов'язкові атрибути прапорець і на Показати додаткові атрибути прапорець на на Атрибут редактор Вкладка. У Windows 2000 Server, натисніть кнопку Обидва у регіоні Виберіть, які Щоб переглянути властивості поле.
  5. У Windows Server 2003 виберітьuserAccountControl у регіоні Атрибути поле. У Windows 2000 Server, натисніть кнопку userAccountControl у регіоніУстановіть властивості для перегляду поле.
  6. Якщо значення не є 532480, введіть532480 у регіоні Редагування атрибута ВиберітьВстановити, натисніть кнопку Застосуватиа потім натисніть кнопкуГаразд.
  7. Закрийте редагування ADSI.

Спосіб 5: Виправити Kerberos царство (підтвердити, що PolAcDmN реєстру та реєстру PolPrDmN Ключові матчу)

Примітка Цей метод діє лише для Windows 2000 Сервер.
Важливі Цей розділ, спосіб або завдання містять кроки, які говорять вам, як змінити реєстр. Однак, серйозні проблеми можуть виникнути, якщо неправильна зміна реєстру. Тому переконайтеся, що ви виконаєте наступні інтерактивні елементи ретельно. Для додаткового захисту архівувати реєстру перед внесенням. Потім ви можете відновити реєстр у разі виникнення проблеми. Щоб отримати додаткові відомості про архівувати та відновлення реєстру клацніть номер статті в базі знань Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Як створити архівувати та відновити реєстр у Windows
  1. Запустіть редактор реєстру.
  2. У лівій області вікна розгорнітьБезпеки.
  3. На що Безпеки меню, натиснітьДозволи Щоб надати місцевих групі адміністраторів повний Керування кущ безпеки і її дитина контейнерів і об'єктів.
  4. Знайдіть на HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN ключ.
  5. У правій області редактора реєстру клацніть на<No name="">: REG_NONE</No> запис А один раз.
  6. На що подання елементів меню, натисніть Дисплей Двійкові дані. У регіоні Формат розділ Запускач діалогових вікон, натисніть кнопку Байт.
  7. ім'я домену, що відображається як рядок у правій частині на Двійкові дані діалогове вікно. ім'я домену, таке ж, як на Царство Kerberos.
  8. Знайдіть на HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN розділ реєстру.
  9. У правій області редактора реєстру клацніть двічі клацніть на<No name="">: REG_NONE</No> запис А.
  10. У регіоні Редактор двійкових Запускач діалогових вікон Вставлення в значення з PolPrDmN. (Значення з PolPrDmN буде домену NetBIOS ім'я).
  11. Перезавантажте контролер домену.

Метод 6: Скинути пароль облікового запису комп'ютера а потім отримати новий квиток Kerberos

  1. Зупинити Kerberos центр розподілення ключів обслуговування а потім значення запуску вручну.
  2. За допомогою інструмента "Netdom", з Windows 2000 Server підтримки Інструменти або з Windows Server 2003 базова підтримка скинути домену пароль облікового запису контролера машини:

    netdom resetpwd / сервер:інший контролер домену/userd:domain\administrator /passwordd:Адміністратор пароль

    Переконайтеся, що команда "netdom" повертається як успішно завершено. Якщо це не так, команда не працює. Для домену Contoso, де постраждалі контролер-DC1, і на Робота контролер домену є DC2, ви виконайте netdom команду з консолі DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:Адміністратор пароль
  3. Перезавантажте контролер домену постраждалих.
  4. Запустити службу Kerberos центр розподілення ключів і потім виберіть налаштування запуску Автоматичне.

Для отримання додаткових відомостей про цю проблему, Клацніть наступні номери для перегляду статей у Microsoft База знань:
325322
(http://support.microsoft.com/kb/325322/ )
"Сервер не є оперативних" протокол IMAP про помилку при спробі відкрити Системний диспетчер Exchange
284929
(http://support.microsoft.com/kb/284929/ )
Не вдалося запустити служба Active Directory оснастки; протокол IMAP про помилку заявляє, що не вдалося звернутися до органу сертифікації для автентифікації
257623
(http://support.microsoft.com/kb/257623/ )
DNS-суфікс імені комп'ютера нового контролера домену може не відповідати імені домену після інсталяції скинути параметри Windows NT 4.0 головний контролер домену Windows 2000
257346
(http://support.microsoft.com/kb/257346/ )
"Доступ до цього комп'ютера від мережі" користувач права викликає інструменти не працюють
316710
(http://support.microsoft.com/kb/316710/ )
Інваліди Kerberos ключових розподіл запобігає служб Exchange починаючи
329642
(http://support.microsoft.com/kb/329642/ )
протокол IMAP про помилку під Вільний час відкриття служба Active Directory оснастки та Системний диспетчер Exchange
272686
(http://support.microsoft.com/kb/272686/ )
протокол IMAP про помилки виникають зміненого служба Active Directory - користувачі й комп'ютери оснастки
323542
(http://support.microsoft.com/kb/323542/ )
Не вдається запустити інструмент служба Active Directory – користувачі й комп'ютери», оскільки сервер не оперативних
329887
(http://support.microsoft.com/kb/329887/ )
Ви не можете взаємодіяти з оснастки MMC для служба Active Directory
325465
(http://support.microsoft.com/kb/325465/ )
Контролери домену Windows 2000 потребує SP3 або пізнішої версії, при використанні інструментів адміністрування Windows Server 2003
322267
(http://support.microsoft.com/kb/322267/ )
Видалення клієнта для мереж Microsoft видаляє інші застосунок-служба
297234
(http://support.microsoft.com/kb/297234/ )
Існує різниця в часі між клієнтом і сервером
247151
(http://support.microsoft.com/kb/247151/ )
Користувачів домену нижнього рівня може з'явитися протокол IMAP про помилку під Вільний час запуску оснастки MMC
280833
(http://support.microsoft.com/kb/280833/ )
Нездатність вказати всі зони DNS в проксі-клієнтом призводить до невдач DNS, які складно відстежити
322307
(http://support.microsoft.com/kb/322307/ )
Не вдалося запустити служби Exchange або служба Active Directory оснастки, після інсталяції пакет оновлень 2 (SP2) для Windows 2000
На початок | Надіслати відгук

Властивості

Номер статті: 837513 - Востаннє переглянуто: 21 серпня 2012 р. - Редакція: 1.0
Ключові слова: 
kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 837513
(http://support.microsoft.com/kb/837513/en-us/ )
На початок | Надіслати відгук

Надіслати відгук

 
На початокНа початок