網域控制站無法正確運作

文章翻譯 文章翻譯
文章編號: 837513
全部展開 | 全部摺疊

在此頁中

徵狀

當您在 Microsoft Windows 上執行 Dcdiag 工具2000 伺服器型的網域控制站上或 Windows Server 2003 網域控制站,您可能會收到下列錯誤訊息:
DC 診斷
執行初始安裝:
[] DC1LDAP 繫結失敗,錯誤碼 31
當您執行 REPADMIN 進行公用程式在本機網域控制站中,您可能收到下列錯誤訊息之一:
[389] D:\nt\private\ds\src\util\repadmin\repinfo.cLDAP錯誤 82 (本機錯誤)。
@ Yyyy 位公-dd hh:mm.ss 的上一次嘗試失敗,結果 1753年: 有可用的端點對應程式不再有端點。
@ Yyyy 位公-dd hh:mm.ss 的上一次嘗試失敗,結果 5: 存取被拒。
如果您使用 Active Directory 站台及服務來觸發複寫時,您可能會收到一則訊息,指出存取被拒。

當您嘗試使用網路資源在受影響的網域控制站的主控台,包括 [通用命名慣例 (UNC) 的資源或對應的網路磁碟機,您可能會收到下列的錯誤訊息:
沒有可用的登入伺服器(c000005e ="STATUS_NO_LOGON_SERVERS")
如果您啟動任何使用中目錄的受影響的網域主控台的系統管理工具控制站,包括 Active Directory 站台和服務,以及 Active Directory使用者及電腦,您可能會收到下列錯誤訊息之一:
找不到命名資訊,原因: 否無法連絡授權單位以進行驗證。請連絡您的系統若要確認您的網域設定正確,是系統管理員目前在線上。
無法命名資訊因為位於: 目標帳戶名稱不正確。請連絡您的系統若要確認您的網域設定正確,是系統管理員目前在線上。
若要連線的 Microsoft Outlook 用戶端使用受影響的網域控制站的 Microsoft Exchange Server 電腦驗證可能會提示輸入登入認證,雖然有強烈成功登入驗證來自其他網域控制站。

[Netdiag 工具可能會顯示下列錯誤訊息:
DC...........清單測試: 失敗
[警告]無法呼叫到的 DsBind<servername>.<fqdn> (<ip address="">).[ERROR_DOMAIN_CONTROLLER_NOT_FOUND] </ip></fqdn></servername>
Kerberos 測試。..........:失敗
[嚴重]Kerberos 沒有 krbtgt 的票證 /<fqdn>。 </fqdn>
[嚴重]Kerberos 與的票證沒有<hostname>。<b00> </b00> </hostname>
LDAPtest. . . . . . . . . . . . .: 傳遞
[警告]無法查詢 SPN在網域控制站的登錄<hostname>\<fqdn> </fqdn> </hostname>
[可能受到影響的網域的系統事件日誌中記錄下列事件控制站:

事件類型: 錯誤
事件來源: 服務控制管理員
事件識別碼: 7023
描述:Kerberos 金鑰發佈中心服務因下列錯誤而終止:安全性帳戶管理員 (SAM) 或區域安全授權 (LSA) 伺服器若要執行安全操作的錯誤狀態。

解決方案

有許多解決方案可以解決這些徵狀。[以下是一份可嘗試的方法。清單後面會接著執行步驟每一種方法。問題解決之前,請嘗試每種方法。微軟知識庫列出說明這些徵狀較不常見的修正程式的基本文件稍後。
  1. 方法 1: 修正網域名稱系統 (DNS) 錯誤。
  2. 方法 2: 同步處理之間的時間電腦。
  3. 方法 3: 檢查 存取從這台電腦網路 使用者權限。
  4. 方法 4: 確認網域控制站userAccountControl 屬性是 532480。
  5. 方法 5: 修正 Kerberos 領域 (確認已選取的 PolAcDmN登錄機碼和 PolPrDmN 登錄機碼相符)。
  6. 方法六: 重設其機器帳戶密碼,然後再取得新的 Kerbero 票證。

方法 1: 修正 DNS 錯誤

  1. 在命令提示字元執行netdiag v命令。這個命令會建立在資料夾中的 Netdiag.log 檔案命令所執行的位置。
  2. 在繼續前,請解決 Netdiag.log 檔案中的任何 DNS 錯誤。
  3. 請確定已正確設定 DNS。其中一項最常見的 DNS 錯誤,是指到 [網際網路服務的網域控制站而不是指 DNS 給自己或其他的 DNS 的提供者 (ISP) 的 DNS支援動態更新和 SRV 記錄的伺服器。我們建議您指向本身或支援的另一台 DNS 伺服器的網域控制站動態更新和 SRV 記錄。我們建議您設定為轉寄站在網際網路上的名稱解析的 ISP。
如需詳細資訊若需設定 DNS 的 Active Directory 目錄服務中,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文:
291382Windows 2000 DNS 及 Windows Server 2003 DNS 相關的常見問題集
237675 Active Directory 網域名稱系統設定
254680 DNS 名稱區規劃
255248 如何在 Active Directory 中建立子網域,並委派子網域的 DNS 命名空間

方法 2: 同步處理時間電腦之間

請確認網域之間會正確地同步時間控制站。此外,請確認已正確地同步處理時間介於用戶端電腦和網域控制站。

如需有關如何設定Windows Time] 服務,按一下下列文章編號,檢視文 「 Microsoft 知識庫 」 中的文件:
258059如何同步處理 Windows NT 4.0 網域中的 Windows 2000 電腦上的時間
216734 如何在 Windows 2000 中設定授權時間伺服器

方法 3: 檢查的 「 從網路存取這台電腦 」 使用者權限

限若要確認已選取適當的使用者有 從網路存取這台電腦 在 [使用者權限網域控制站。若要這麼做,請依照下列步驟執行:
  1. 限預設網域控制站原則 」。預設情況下,「 預設網域控制站原則是要在哪裡網域控制站,被定義使用者權限。根據預設,Gpttmpl.inf「 預設網域控制站原則的檔案位於下列資料夾。

    附註Sysvol 可能位於不同的位置,但路徑Gpttmpl.inf 檔案,就會相同。

    Windows Server 2003 網域控制站:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\WindowsNT\SecEdit\GptTmpl.inf

    Windows 2000 Server 網域控制站:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\WindowsNT\SecEdit\GptTmpl.inf</Domainname></Domainname>
  2. SeNetworkLogonRight 項目的右邊,新增安全性識別元的系統管理員、 已驗證的使用者以及每一個人。請參閱下列的範例。

    Windows Server 2003 網域控制站:

    SeNetworkLogonRight =*S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    視窗2000 Server 網域控制站:

    SeNetworkLogonRight =*S-1-5-11,*S-1-5-32-544,*S-1-1-0

    附註系統管理員 (S-1-5-32-544),已驗證的使用者 (S-1-5-11),每個人 (S-1-1-0),以及企業控制站 (S-1-5-9) 使用已知每個網域相同的安全性識別元。
  3. 移除右邊的任何項目SeDenyNetworkLogonRight 項目 (拒絕存取這台電腦從網路中) 來比對下列範例。

    SeDenyNetworkLogonRight =

    附註這個範例是相同的 Windows 2000 Server 和 Windows伺服器 2003。

    Windows 2000 Server 預設情況下,沒有任何項目SeDenyNetworkLogonRight 項目。預設情況下,Windows Server 2003 只有 [Support_隨機字串 在 [帳號SeDenyNetworkLogonRight 項目。(Support_隨機字串 帳戶使用遠端協助)。因為Support_隨機字串 使用不同的帳戶每個網域的安全性識別碼 (SID),並不容易一般使用者帳戶,只要看一下 SID 有所區別。您可能會要將 SID 複製到另一個文字檔,並移除從 SIDSeDenyNetworkLogonRight 項目。如此一來,您可以將它放回時完成疑難排解此問題。

    SeNetworkLogonRight 和SeDenyNetworkLogonRight 可以定義在任何原則。如果先前的步驟進行無法解決問題,請檢查在 Sysvol 的其他原則] 中的 Gpttmpl.inf 檔案如果,要確認該使用者的權限也正在該處並未加以定義。如果Gpttmpl.inf 檔案包含 SeNetworkLogonRight 或是沒有參考SeDenyNetworkLogonRight,那些設定未定義的原則,並在此外,原則不會導致這個問題。如果這些項目確實存在,請確定它們符合先前所列的預設網域控制站的設定值原則。

方法 4: 確認網域控制站的 userAccountControl 屬性是 532480

  1. 按一下 啟動按一下 執行,然後輸入 adsiedit.msc.
  2. 展開 網域 NC展開DC =網域然後展開OU = 的網域控制站.
  3. 受影響的網域控制站,以滑鼠右鍵按一下,然後按一下屬性.
  4. 在 Windows Server 2003 中,按一下以選取 顯示強制屬性 核取方塊, 顯示選用屬性 在 [上] 核取方塊 屬性編輯器 索引標籤。在Windows 2000 Server 中,按一下 兩者選取哪一個若要檢視的內容 方塊中。
  5. 在 [Windows Server 2003 中,按一下userAccountControl屬性 方塊中。在Windows 2000 Server 中,按一下 userAccountControl選取要檢視的屬性 方塊中。
  6. 如果值不是 532480,型別532480編輯屬性 方塊中按一下設定按一下 套用然後按一下[確定].
  7. 結束 [ADSI 編輯]。

方法 5: 修正 Kerberos 領域 (確認 PolAcDmN 登錄機碼和 PolPrDmN 登錄機碼相符項目)

附註這個方法是只適用於 Windows 2000伺服器。
重要這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄
  1. 啟動 [登錄編輯程式]。
  2. 在左窗格中,展開安全性.
  3. 在上 安全性 功能表中,按一下權限 若要授與完整的系統管理員本機群組控制項的安全性 hive 及其子容器和物件。
  4. 找出 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN索引鍵。
  5. 在右窗格的 「 登錄編輯程式中,按一下<No name="">: REG_NONE</No> 項目一次。
  6. 在上 檢視 功能表中,按一下 顯示二進位資料.在 格式 對話方塊中,區段按一下 位元組.
  7. 網域名稱會出現在右邊的字串[ 二進位資料 對話方塊。網域名稱等同於Kerberos 領域。
  8. 找出 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN登錄機碼。
  9. 在右窗格的 「 登錄編輯程式中,按兩下<No name="">: REG_NONE</No> 項目。
  10. 二進位編輯器 對話方塊中,貼上從 PolPrDmN 的值。(來自 PolPrDmN 的值會是 NetBIOS 網域名稱)。
  11. 重新啟動網域控制站。

方法六: 重設其機器帳戶密碼,然後再取得新的 Kerberos 票證

  1. 停止 Kerberos 金鑰發佈中心服務,然後再將 [啟動] 值設定為手動。
  2. 使用 Netdom 工具從 Windows 2000 伺服器支援工具或從 Windows Server 2003 支援工具,來重設網域控制站的電腦帳戶密碼:

    netdom resetpwd/server:另一個網域控制站/userd:domain\administrator /passwordd:系統管理員密碼

    請確定 netdom 命令會傳回成功完成。如果不存在,命令就無法運作。受影響的網域控制站所在 DC1,Contoso 的網域和 a使用網域控制站是 DC2 您從 DC1 的主控台上執行下列netdom命令:

    netdomresetpwd /server:DC2 /userd:contoso\administrator/passwordd:系統管理員密碼
  3. 重新啟動受影響的網域控制站。
  4. 啟動 Kerberos 金鑰發佈中心服務,以及然後將啟動設定為 自動.

如需有關這個問題,按一下下列文件編號,檢視在 Microsoft知識庫:
325322當您試著開啟 Exchange 系統管理員,出現 「 伺服器程式無法操作 」 錯誤訊息
284929 無法啟動 Active Directory 嵌入式管理單元。錯誤訊息,指出無法連絡任何授權單位,來進行驗證
257623 新的網域控制站的電腦名稱的 DNS 尾碼可能不符合網域名稱之後安裝升級到 Windows 2000 的 Windows NT 4.0 主要網域控制站
257346 「 使用從網路存取本電腦 」 使用者權限會導致不能運作的工具
316710 已停用的 Kerberos 金鑰發佈可防止 Exchange 服務啟動
329642 當您開啟 [Active Directory 的嵌入式管理單元和 Exchange 系統管理員的錯誤訊息
272686 Active Directory 使用者及電腦] 嵌入式管理單元開啟時,就會出現錯誤訊息
323542 無法啟動 [Active Directory 使用者和電腦] 工具,因為伺服器目前無法作業
329887 您不能與作用中的 「 目錄 」 MMC 嵌入式管理單元互動
325465 Windows 2000 網域控制站需要 SP3 (含) 以後,當使用 Windows Server 2003 系統管理工具
322267 移除的 Microsoft 網路用戶端會移除其他服務
297234 用戶端與伺服器之間存在的時間差異
247151 啟動 MMC 嵌入式管理單元時前, 版網域使用者可能會收到錯誤訊息
280833 無法指定 proxy 用戶端中的所有 DNS 區域通往 DNS 失敗,很難追蹤
322307 在您安裝 Windows 2000 的 Service Pack 2 (SP2) 之後,無法啟動 Exchange 服務] 或 [Active Directory 的嵌入式管理單元

屬性

文章編號: 837513 - 上次校閱: 2012年8月21日 - 版次: 1.0
關鍵字:?
kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:837513
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com