وحدة تحكم المجال لا يعمل بشكل صحيح

ينطبق على: Windows Servers

الأعراض


عند تشغيل الأداة Dcdiag على ملقم Microsoft Windows 2000 على أساس وحدة التحكم بالمجال أو على وحدة تحكم مجال المستندة إلى Windows Server 2003، قد تتلقى رسالة الخطأ التالية:
DC إجراء تشخيص الإعداد الأولى: [DC1] فشل ربط LDAP مع الخطأ 31
عند تشغيل الأداة المساعدة REPADMIN/SHOWREPS محلياً على وحدة تحكم مجال، قد تتلقى إحدى رسائل الخطأ التالية:
[D:\nt\private\ds\src\util\repadmin\repinfo.c، 389] خطأ LDAP 82 (خطأ محلي).
فشلت آخر محاولة @ hh:mm.ss شهر-سنة، نتيجة 1753: توجد لم نقاط نهاية أخرى متوفرة من معين نقاط النهاية.
فشلت آخر محاولة @ hh:mm.ss شهر-سنة، نتيجة 5: تم رفض الوصول.
إذا كنت تستخدم مواقع Active Directory وخدمات لتشغل النسخ المتماثل، قد تتلقى رسالة تشير إلى أنه تم رفض الوصول. عند محاولة استخدام موارد الشبكة من وحدة التحكم الخاصة بوحدة تحكم المجال المتأثرة، بما في ذلك الموارد اصطلاح التسمية العالمي (UNC) أو محركات أقراص الشبكة المعينة، قد تتلقى رسالة الخطأ التالية:
ملقمات تسجيل دخول متوفرة (c000005e = "STATUS_NO_LOGON_SERVERS")
إذا قمت بتشغيل أي أدوات إدارية "Active Directory" من وحدة التحكم الخاصة بوحدة تحكم المجال المتأثرة، بما في ذلك مواقع Active Directory وخدمات ومستخدمي Active Directory وأجهزة الكمبيوتر، قد تتلقى إحدى رسائل الخطأ التالية:
لا يمكن تحديد موقع معلومات التسمية لأن: تعذر الاتصال لا يوجد تخويل للمصادقة. اتصل بمسؤول النظام للتحقق من أن المجال الخاص بك تم تكوينه بشكل صحيح وأنه قيد الاتصال حاليا.
لا يمكن تحديد موقع معلومات التسمية لأن: اسم الحساب الهدف غير صحيح. اتصل بمسؤول النظام للتحقق من أن المجال الخاص بك تم تكوينه بشكل صحيح وأنه قيد الاتصال حاليا.
عملاء Microsoft Outlook الاتصال بأجهزة كمبيوتر Microsoft Exchange Server التي تستخدم وحدات تحكم المجال المتأثرة للمصادقة قد تطالب ببيانات اعتماد تسجيل الدخول، على الرغم من أن هناك مصادقة تسجيل دخول ناجح من مجال آخر وحدات تحكم. قد تعرض الأداة Netdiag رسائل الخطأ التالية:
اختبار قائمة DC الرياضة : لا يمكن [تحذير] فشل استدعاء دسبيند إلى < اسم الخادم >. < fqdn > (< عنوان ip >). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] اختبار Kerberos... : لم يكن Kerberos [خطأ جسيم] فشل تذكرة ل krbtgt/< fqdn >. [فادح] لم تذكرة < اسم المضيف > Kerberos. اختبار LDAP. موديلات : تمرير فشل [تحذير] لتسجيل SPN الاستعلام على DC < اسم المضيف > \ < fqdn >
قد يتم تسجيل الحدث التالي في سجل أحداث النظام لوحدة تحكم المجال المتأثرة:

الحل


توجد عدة حلول لهذه الأعراض. التالي قائمة من الأساليب للمحاولة. ويلي القائمة الخطوات اللازمة لتنفيذ كل أسلوب. حاول كل أسلوب حتى يتم حل المشكلة. يتم سرد مقالات "قاعدة معارف Microsoft" التي تصف إصلاحات أقل شيوعاً لهذه الأعراض لاحقاً.
  1. الطريقة الأولى: إصلاح نظام اسم المجال (DNS) أخطاء.
  2. الطريقة الثانية: مزامنة الوقت بين أجهزة الكمبيوتر.
  3. الطريقة الثالثة: تحقق من حقوق المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال .
  4. الأسلوب 4: التحقق من سمة وحدة تحكم المجال userAccountControl 532480.
  5. الطريقة الخامسة: إصلاح نطاق Kerberos (تأكد من أن مفتاح التسجيل بولاكدمن والتسجيل بولبردمن مفتاح مطابقة).
  6. الطريقة السادسة: إعادة تعيين كلمة مرور حساب الجهاز ومن ثم الحصول على تذكرة Kerberos جديد.

الطريقة الأولى: إصلاح أخطاء DNS

  1. في موجه الأوامر، قم بتشغيل الأمر netdiag v . يقوم هذا الأمر بإنشاء ملف Netdiag.log في المجلد حيث تم تشغيل الأمر.
  2. حل أخطاء DNS في ملف Netdiag.log قبل المتابعة. الأداة Netdiag في Windows 2000 Server أدوات الدعم على القرص المضغوط Windows 2000 Server أو للتنزيل. لتنزيل أدوات دعم Windows 2000 Server، قم بزيارة موقع Microsoft التالي على الويب:
  3. تأكد من صحة تكوين DNS. أحد أكثر الأخطاء DNS هو الإشارة إلى موفر خدمة إنترنت (ISP) وحدة التحكم بالمجال ل DNS بدلاً من الإشارة DNS إلى نفسه أو إلى ملقم DNS آخر يدعم التحديثات الحيوية وسجلات SRV. من المستحسن أن تشير وحدة التحكم بالمجال إلى نفسها أو إلى ملقم DNS آخر يدعم التحديثات الحيوية وسجلات SRV. نوصي بإعداد معيدي التوجيه ب ISP لتحليل الاسم على شبكة الإنترنت.
لمزيد من المعلومات حول تكوين DNS لخدمة دليل "Active Directory"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
291382 الأسئلة المتداولة حول Windows 2000 DNS و Windows Server 2003 DNS
237675 إعداد "نظام أسماء المجالات" ل "Active Directory"
تخطيط مساحة اسم DNS 254680
255248 كيفية إنشاء مجال تابع في "Active Directory" ويفوض مساحة اسم DNS لمجال تابع

الطريقة الثانية: مزامنة الوقت بين أجهزة الكمبيوتر

تحقق من أن تتم مزامنة الوقت بشكل صحيح بين وحدات التحكم بالمجال. بالإضافة إلى ذلك، تحقق من أن تتم مزامنة الوقت بشكل صحيح بين وحدات التحكم بالمجال وأجهزة الكمبيوتر العميلة. لمزيد من المعلومات حول كيفية تكوين خدمة الوقت في Windows، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
258059 كيفية مزامنة الوقت على كمبيوتر يستند إلى نظام التشغيل Windows 2000 في مجال Windows NT 4.0
كيفية تكوين ملقم توقيت موثوق في نظام التشغيل Windows 2000 216734

الطريقة الثالثة: تحقق من حقوق المستخدم "الوصول إلى هذا الكمبيوتر من شبكة الاتصال"

قم بتعديل الملف Gpttmpl.inf لتأكيد المستخدمين المناسبين أن المستخدم الوصول إلى هذا الكمبيوتر من شبكة الاتصال على وحدة تحكم المجال. للقيام بذلك، اتبع الخطوات التالية:
  1. تعديل الملف Gpttmpl.inf "نهج وحدات التحكم بالمجال الافتراضي". بشكل افتراضي، "النهج الافتراضي لوحدات التحكم بالمجال" التي تم تعريف حقوق المستخدم لوحدة تحكم مجال. بشكل افتراضي، يوجد الملف Gpttmpl.inf "النهج الافتراضي لوحدات التحكم بالمجال" في المجلد التالي. ملاحظة: قد تكون Sysvol في موقع آخر، ولكن سيكون نفس المسار للملف Gpttmpl.inf. ل \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.infFor وحدات التحكم: C:\WINDOWS\Sysvol\Sysvol\ < اسم > المجال مجال Windows Server 2003 وحدات تحكم المجال من Windows 2000 Server: C:\WINNT\ \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf Sysvol\Sysvol\ < اسم المجال >
  2. الحق في دخول سينيتووركلوجونرايت، إضافة معرفات الأمان للمسؤولين "المستخدمين المعتمدين" والجميع. راجع الأمثلة التالية. لوحدات التحكم بالمجال Windows Server 2003:سينيتووركلوجونرايت = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0وحدات تحكم المجال ل Windows 2000 Server:سينيتووركلوجونرايت = *S-1-5-11,*S-1-5-32-544,*S-1-1-0ملاحظة المسؤولين (S-1-5-32-544) Authenticated Users (S/1-5-11)، والجميع (S-1-1-0) ووحدات التحكم بالمؤسسة (S-1-5-9) استخدام معرفات الأمان المعروفة هي نفسها في كل مجال.
  3. إزالة أية إدخالات للحق في دخولسيدينينيتووركلوجونرايت (رفض الوصول إلى هذا الكمبيوتر من شبكة الاتصال) ليطابق المثال التالي. سيدينينيتووركلوجونرايت =ملاحظة المثال هو نفسه ل Windows 2000 Server و Windows Server الافتراضي 2003.By، Windows 2000 Server لا تحتوي على إدخالات في إدخال سيدينينيتووركلوجونرايت. يمتلك Windows Server 2003 بشكل افتراضي، حسابسلسلة عشوائية Support_ في إدخال سيدينينيتووركلوجونرايت. (يتم استخدام حسابسلسلة عشوائية Support_ بالمساعدة عن بعد). نظراً لاستخدام حسابسلسلة عشوائية Support_ معرف أمان مختلفة (SID) في كل مجال، الحساب غير يسهل تمييزها عن حساب مستخدم نموذجي بمجرد النظر إلى معرف الأمان. قد تحتاج إلى نسخ SID إلى ملف نصي آخر، ثم قم بإزالة معرف الأمان SID من إدخال سيدينينيتووركلوجونرايت. وبهذه الطريقة، يمكنك وضعه مرة أخرى عند الانتهاء من استكشاف الأخطاء وإصلاحها. يمكن تعريف سينيتووركلوجونرايت وسيدينينيتووركلوجونرايت في أي نهج. إذا لم يتم تحليل الخطوات السابقة المشكلة، تحقق من الملف Gpttmpl.inf في السياسات الأخرى في Sysvol للتأكد من أن حقوق المستخدم لا كما يتم تحديد وجود. إذا تضمن ملف Gpttmpl.inf أية إشارة إلى سينيتووركلوجونرايت إلى سيدينينيتووركلوجونرايت، لم يتم تحديد هذه الإعدادات في النهج وتلك السياسة لا يسبب هذه المشكلة. إذا كانت هذه الإدخالات موجودة، تأكد من أنها تطابق الإعدادات المذكورة سابقا لنهج "وحدة التحكم بالمجال الافتراضي".

الطريقة الرابعة: تحقق من أن سمة وحدة تحكم المجال userAccountControl 532480

  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب adsiedit.msc.
  2. قم بتوسيع مجال NC، قم بتوسيعDC =المجال، ثم قم بتوسيعOU = "وحدات التحكم بالمجال".
  3. انقر نقراً مزدوجاً فوق وحدة تحكم المجال المتأثرة ومن ثم انقر فوقخصائص.
  4. في Windows Server 2003، انقر لتحديد خانة الاختيار إظهار سمات إلزامي وخانة الاختيار إظهار السمات الاختيارية في علامة التبويب "محرر" السمة " . في Windows 2000 Server، انقر فوق كل من مربع تحديد الخصائص التي سيتم عرضها .
  5. في Windows Server 2003، انقر فوقتحكم بحساب مستخدم في مربع سمات . في Windows 2000 Server، انقر فوق تحكم بحساب مستخدم في مربعتحديد خاصية للعرض .
  6. إذا كانت القيمة غير 532480، نوع532480 في مربع تحرير السمة ، انقر فوقتعيين، انقر فوق تطبيق، وثم انقر فوقموافق.
  7. إنهاء تحرير ADSI.

الطريقة الخامسة: إصلاح نطاق Kerberos (تأكد من أن مفتاح التسجيل بولاكدمن والتسجيل بولبردمن مفتاح مطابقة)

ملاحظة: هذا الأسلوب صالحة فقط من أجل Windows 2000 Server. هام هذا المقطع أو أسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
  1. ابدأ تشغيل "محرر السجل".
  2. في الجزء الأيمن، قم بتوسيعالأمان.
  3. في القائمة أمان ، انقر فوقأذونات لمنح المجموعة المحلية Administrators "التحكم الكامل" لخلية الأمن والحاويات الفرعية والكائنات.
  4. حدد موقع المفتاح HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. في الجزء الأيسر من محرر التسجيل، انقر فوق< "اسم بلا" >: REG_NONE إدخال مرة واحدة.
  6. من القائمة عرض ، انقر فوق عرض البيانات الثنائية. في المقطع تنسيق في مربع الحوار، انقر فوق بايت.
  7. يظهر اسم المجال كسلسلة في الجانب الأيمن من مربع الحوار البيانات الثنائية . اسم المجال هو نفس نطاق Kerberos.
  8. حدد موقع مفتاح التسجيل HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. في الجزء الأيسر من محرر التسجيل، انقر نقراً مزدوجاً فوق< "اسم بلا" >: REG_NONE الإدخال.
  10. في مربع الحوار محرر البيانات الثنائية ، قم بلصق القيمة من بولبردمن. (ستكون القيمة من بولبردمن اسم مجال NetBIOS).
  11. إعادة تشغيل وحدة تحكم المجال.

الطريقة السادسة: إعادة تعيين كلمة مرور حساب الجهاز ومن ثم الحصول على تذكرة Kerberos جديد

  1. قم بإيقاف خدمة مركز توزيع مفتاح Kerberos ثم قم بتعيين قيمة بدء التشغيل إلى يدوي.
  2. استخدم الأداة Netdom من أدوات دعم Windows 2000 Server أو من أدوات دعم Windows Server 2003 لإعادة تعيين كلمة مرور حساب الجهاز وحدة تحكم المجال: netdom resetpwd/server:/userd:domain\وحدة تحكم مجال أخرى /passwordd المسؤول:كلمة مرور المسؤولالتأكد من أن يتم إرجاع الأمر الأسماء بنجاح. إذا لم يكن الأمر يعمل. لمجال التعمير، حيث وحدة تحكم المجال المتأثرة DC1، وهو وحدة تحكم مجال عمل DC2، تشغيل الأمر الأسماء التالية من وحدة تحكم DC1:/passwordd/userd:contoso\administrator/server:DC2 ريسيتبود netdom : كلمة مرور المسؤول
  3. إعادة تشغيل وحدة تحكم المجال المتأثرة.
  4. بدء تشغيل خدمة مركز توزيع مفتاح Kerberos ثم قم بتعيين إعداد بدء تشغيل تلقائي.
لمزيد من المعلومات حول هذه المشكلة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
ظهور رسالة الخطأ "الخادم غير التشغيلية" عند محاولة فتح Exchange System Manager 325322
284929 لا يمكن بدء تشغيل "خدمة active Directory" الإضافية؛ تشير رسالة الخطأ التي يمكن الاتصال أي سلطة للمصادقة
257623 لاحقة DNS لاسم الكمبيوتر وحدة تحكم مجال جديدة قد لا تطابق اسم المجال بعد تثبيت ترقية وحدة تحكم مجال Windows NT 4.0 الأساسي لنظام التشغيل Windows 2000
أدوات للعمل لا يؤدي حق المستخدم "الوصول إلى هذا الكمبيوتر من شبكة الاتصال" 257346
316710 توزيع مفتاح Kerberos ذوي يمنع تبادل خدمات بدء التشغيل
ظهور رسائل خطأ 329642 عند فتح الأداة الإضافية Active Directory وإدارة نظام Exchange
تظهر رسائل خطأ 272686 عند فتح الأداة الإضافية مستخدمي Active Directory وأجهزة الكمبيوتر
323542 لا يمكن بدء تشغيل أداة مستخدمي Active Directory وأجهزة الكمبيوتر لأن الخادم غير جاهز
329887 لا يمكنه التفاعل مع الأدوات الإضافية MMC Active Directory
325465 وحدات تحكم المجال Windows 2000 تتطلب حزمة الخدمة SP3 أو إصدار أحدث عند استخدام أدوات الإدارة في Windows Server 2003
322267 "إزالة عميل" شبكات اتصال Microsoft إزالة خدمات أخرى
يوجد اختلاف في الوقت 297234 بين العميل والخادم
247151 مستخدمي المجال المستوى الأدنى قد تتلقى رسالة خطأ عند بدء تشغيل الأداة الإضافية MMC
يؤدي عدم تحديد كافة مناطق DNS في عميل وكيل 280833 إلى فشل DNS التي يصعب تعقبها
322307 لا يمكن بدء تشغيل خدمات Exchange أو Active Directory الإضافية بعد تثبيت Service Pack 2 (SP2) لنظام التشغيل Windows 2000