域控制器工作不正常

文章翻译 文章翻译
文章编号: 837513
展开全部 | 关闭全部

本文内容

症状

当您在 Microsoft Windows 上运行 Dcdiag 工具2000 服务器基于的域控制器或基于 Windows Server 2003 的域控制器,您可能会收到以下错误消息:
DC 诊断
执行初始安装:
[] DC1LDAP 绑定失败,错误 31
当您运行 REPADMIN /SHOWREPS 实用程序本地在域控制器上,您可能会收到以下错误消息之一:
[D:\nt\private\ds\src\util\repadmin\repinfo.c,389]LDAP82 (本地错误) 时出错。
@ Yyyy-月-日 hh:mm.ss 的最后一次尝试失败,结果 1753年: 没有可从终结点映射程序的多个端点。
@ Yyyy-月-日 hh:mm.ss 的最后一次尝试失败,结果将为 5: 访问被拒绝。
如果您使用 活动目录(AD) 站点和服务来触发复制时,您可能会收到一条消息,指示访问被拒绝。

当您尝试使用网络资源从受影响的域控制器的控制台,其中包括通用命名约定 (UNC) 资源或映射的网络驱动器),您可能会收到下面的错误消息:
没有可用的登录服务器(c000005e ="STATUS_NO_LOGON_SERVERS")
如果您启动任何活动从受影响的域的控制台目录管理工具控制器,包括 活动目录(AD) 站点和服务以及 Active Directory用户和计算机,您可能会收到以下错误消息之一:
命名信息不能找到,因为: 否颁发机构无法进行身份验证。请联系您的系统管理员联系,以验证您的域配置正确以及当前联机。
命名信息不能为由于位于: 目标帐户名称不正确。请联系您的系统管理员联系,以验证您的域配置正确以及当前联机。
Microsoft Outlook 客户端连接到Microsoft Exchange Server 使用计算机的受影响的域控制器身份验证可能会提示您输入登录凭据,即使没有从其他域控制器的成功登录身份验证。

"工具可能会显示以下错误消息:
DC...........列表测试: 失败
[警告]不能调用到之后<servername>.<fqdn> (<ip address="">).[ERROR_DOMAIN_CONTROLLER_NOT_FOUND] </ip></fqdn></servername>
Kerberos 测试。..........:失败
[致命]Kerberos 没有一个票证 krbtgt /<fqdn>。 </fqdn>
[致命]Kerberos 没有一个票证<hostname>。<b00> </b00> </hostname>
LDAPtest. . . . . . . . . . . . .: 传递
[警告]无法查询 SPN注册 DC 上的<hostname>\<fqdn> </fqdn> </hostname>
"受影响的域的系统事件日志中可能记录以下事件控制器:

事件类型: 错误
事件来源: 服务控制管理器
事件 ID: 7023
说明:Kerberos 密钥分发中心服务因以下错误:安全帐户管理器 (SAM) 或本地安全机构 (LSA) 服务器在执行安全操作的错误状态。

解决方案

有几个解决方法,这些症状。"下面是尝试的方法的列表。列表后跟要执行的步骤每个方法。请尝试每种方法,直到问题得到解决。Microsoft 知识列出描述这些症状不太常见的修补程序的文章更高版本。
  1. 方法 1: 修补程序域名系统 (DNS) 错误。
  2. 方法 2: 同步之间的时间计算机。
  3. 方法 3: 检查 从访问此计算机网络 用户权限。
  4. 方法 4: 验证的域控制器532480 userAccountControl 属性。
  5. 方法 5: 修复 Kerberos 领域 (确认 PolAcDmN注册表项和 PolPrDmN 注册表项匹配)。
  6. 方法 6: 重置计算机帐户密码,然后获取新的 Kerberos 票证。

方法 1: 解决 DNS 错误

  1. 在命令提示符下运行netdiag-v命令。此命令创建的文件夹中的 Netdiag.log 文件已运行该命令。
  2. 在继续之前,请解决 Netdiag.log 文件中的任何 DNS 错误。
  3. 请确保正确配置了 DNS。其中一个最大常见的 DNS 错误是指向互联网服务的域控制器而不是指向 DNS 到自身或另一台 DNS 的 DNS 提供商 (ISP)支持动态更新和 SRV 记录的服务器。我们建议您指向域控制器自身或另一台 DNS 服务器支持动态更新和 SRV 记录。我们建议您设置的转发器在 Internet 上的名称解析的 ISP。
有关详细信息有关配置 DNS 活动目录(AD) 目录服务,请单击下面的文章编号,查看 Microsoft 知识库中相应的文章:
291382有关 Windows 2000 DNS 和 Windows 服务器 2003 DNS 常见问题
237675 对于 活动目录(AD) 设置 $ 域名系统
254680 DNS 名称空间规划
255248 如何在活动目录中创建一个子域,并委派给该子域的 DNS 命名空间

方法 2: 同步时间计算机之间

验证域之间正确同步时间控制器。另外,验证时间正确同步客户端计算机之间的域控制器。

有关如何配置详细信息Windows 时间服务,单击下列文章编号,以查看Microsoft 知识库中相应的文章:
258059如何同步 Windows NT 4.0 域中的基于 Windows 2000 的计算机上的时间
216734 如何在 Windows 2000 中配置权威时间服务器

方法 3: 检查"从网络访问此计算机"用户权限

修改相应的用户的替代 Gpttmpl.inf 文件,以确认有 从网络访问此计算机 上的用户权限域控制器中。请执行以下步骤:
  1. 修改默认域替代 Gpttmpl.inf 文件控制器的策略。默认情况下,默认域控制器策略是位置为域控制器定义用户权限。默认情况下替代 Gpttmpl.inf默认域控制器策略的文件位于以下文件夹。

    注意Sysvol 可能在不同的位置,但为路径替代 Gpttmpl.inf 文件将是相同的。

    Windows Server 2003 域控制器:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\WindowsNT\SecEdit\GptTmpl.inf

    对于 Windows 2000 Server 域控制器:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\WindowsNT\SecEdit\GptTmpl.inf</Domainname></Domainname>
  2. SeNetworkLogonRight 项的右侧添加管理员、 经过验证的用户,以及有关的安全标识符每个人。请参阅下面的示例。

    Windows Server 2003 域控制器:

    SeNetworkLogonRight =*S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    对于 Windows2000 Server 域控制器:

    SeNetworkLogonRight =*S-1-5-11,*S-1-5-32-544,*S-1-1-0

    注意管理员 (S-1-5-32-544),经过身份验证的用户 (S-1-5-11),使用已知的所有人 (S-1-1-0),和企业控制器 (S-1-5-9)在每个域中相同的安全标识符。
  3. 删除右侧的任何条目SeDenyNetworkLogonRight 条目 (拒绝访问此计算机从网络上) 以匹配以下示例。

    SeDenyNetworkLogonRight =

    注意该示例是相同的 Windows 2000 server 和 WindowsServer 2003。

    默认情况下 Windows 2000 服务器没有任何项SeDenyNetworkLogonRight 项。默认情况下 Windows Server 2003 仅具有分配随机字符串 在帐户SeDenyNetworkLogonRight 项。(分配随机字符串 帐户使用远程协助)。因为分配随机字符串 使用不同的帐户每个域中的安全标识符 (SID),该帐户不是很容易地与典型的用户帐户的 SID 相区别。您可能要将 SID 复制到另一个文本文件,然后删除从 SIDSeDenyNetworkLogonRight 项。这种方式,您可以将它们放回您何时已完成的问题进行故障排除。

    SeNetworkLogonRight 和SeDenyNetworkLogonRight 可在任何策略中定义。如果前面的步骤执行操作解决此问题,请检查在 Sysvol 中的其它策略替代 Gpttmpl.inf 文件要确认的用户权限不也正在定义的存在。如果替代 Gpttmpl.inf 文件包含到 SeNetworkLogonRight 或没有引用SeDenyNetworkLogonRight,这些设置,该策略中未定义策略未导致此问题。如果这些项确实存在,请确保匹配前面列出的默认域控制器的设置策略。

方法 4: 验证域控制器的 userAccountControl 属性是 532480

  1. 单击 开始单击 运行,然后键入 adsiedit.msc.
  2. 展开 域 NC展开DC =然后展开OU = 域控制器.
  3. 受影响的域控制器中,用鼠标右键单击,然后单击属性.
  4. 在 Windows Server 2003 中,单击以选中 显示必选属性 复选框和 显示可选属性 上的复选框 属性编辑器 选项卡。在中Windows 2000 服务器上,单击 这两 在中 选择哪个选项卡要查看属性 框中。
  5. 在 Windows Server 2003 中,单击userAccountControl 在中 属性 框中。在中Windows 2000 服务器上,单击 userAccountControl 在中选择要查看的属性 框中。
  6. 如果值不为 532480,键入532480 在中 编辑属性 框中单击设置单击 应用然后单击确定.
  7. 退出 ADSI 编辑。

方法 5: 修复 Kerberos 领域 (确认 PolAcDmN 注册表项和 PolPrDmN 注册表键匹配)

注意此方法是仅适用于 Windows 2000服务器。
重要此部分、 方法或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保仔细遵循这些步骤。为增加保护,备份注册表之前对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756 如何备份和还原在 Windows 注册表
  1. 启动注册表编辑器。
  2. 在左窗格中,展开安全.
  3. 在上 安全 菜单中,单击权限 若要授予完全的管理员本地组安全配置单元及其子容器和对象的控件。
  4. 找到 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN键。
  5. 在右窗格的注册表编辑器中,单击<No name="">: 之前提供</No> 输入一次。
  6. 在上 视图 菜单中,单击 显示二进制数据.在中 格式 对话框中,部分单击 字节.
  7. 域名作为一个字符串,在右侧显示" 二进制数据 对话框。域名是否相同Kerberos 领域。
  8. 找到 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN注册表项。
  9. 在右窗格的注册表编辑器中,双击<No name="">: 之前提供</No> 条目。
  10. 在中 二进制编辑器 对话框中,粘贴从 PolPrDmN 的值。(来自 PolPrDmN 的值将 NetBIOS 域名称)。
  11. 重新启动域控制器。

方法 6: 重置计算机帐户密码,并获得新的 Kerberos 票证

  1. 停止 Kerberos 密钥分发中心服务,然后设置为手动启动值。
  2. 使用 Netdom 工具从 Windows 2000 服务器支持工具或从 Windows Server 2003 支持工具来重置域控制器的计算机帐户密码:

    netdom resetpwd/ 服务器:另一个域控制器/userd:domain\administrator /passwordd:管理员密码

    请确保 netdom 命令为已成功完成,则返回。如果不是这样,该命令无法正常工作。为域 Contoso,其中受影响的域控制器是 DC1,和使用域控制器是 DC2,您从 DC1 的控制台运行以下netdom命令:

    netdomresetpwd /server:DC2 /userd:contoso\administrator/passwordd:管理员密码
  3. 重新启动受影响的域控制器。
  4. 开始 Kerberos 密钥分发中心服务,和然后将启动设置为 自动.

此问题,有关详细信息单击下面的文章编号,以查看 Microsoft 中的文章知识文库:
325322当您尝试打开 Exchange 系统管理器"服务器不是操作的"错误消息
284929 无法启动 活动目录(AD) 管理单元 ;错误消息指出未经授权无法进行身份验证
257623 新的域控制器的计算机名称的 DNS 后缀可能不匹配的域的名称后安装升级到 Windows 2000 Windows NT 4.0 主域控制器
257346 "从网络访问此计算机"用户权限导致有些工具无法工作
316710 已禁用的 Kerberos 密钥分发将防止 Exchange 服务启动
329642 打开 活动目录(AD) 管理单元和 Exchange 系统管理器时出现错误消息
272686 活动目录(AD) 用户和计算机管理单元中打开时,会出现错误信息
323542 无法启动 活动目录(AD) 用户和计算机工具,因为服务器不工作
329887 不能使用活动目录 MMC 管理单元进行交互
325465 Windows 2000 域控制器需要 SP3 或更高版本,当使用 Windows Server 2003 管理工具
322267 Microsoft 网络客户端删除其他服务
297234 客户端和服务器之间存在时间差异
247151 开始 mmc 管理单元时,级别较低的域用户可能会收到一条错误消息
280833 若要指定在代理客户端的所有 DNS 区域的故障将导致难以跟踪的 DNS 故障
322307 在安装 Windows 2000 Service Pack 2 (SP2) 后,无法启动 Exchange 服务或 活动目录(AD) 管理单元

属性

文章编号: 837513 - 最后修改: 2012年8月21日 - 修订: 1.0
关键字:?
kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 837513
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com