Řadič domény nefunguje správně

Příznaky

Při spuštění nástroj Dcdiag na Microsoft Windows 2000 Server založené na řadiči domény nebo v řadiči domény se systémem Windows Server 2003, můžete obdržet následující chybovou zprávu:
Diagnóza DC
Provádění počáteční instalace:
[DC1] Bind protokolu LDAP se nezdařilo s chybou 31
Při spuštění nástroj REPADMIN/SHOWREPS místně na řadiči domény, můžete obdržet jednu z následujících chybových zpráv:
[D:\nt\private\ds\src\util\repadmin\repinfo.c 389] Chyba LDAP 82 (místní chyba).
Se nezdařilo poslední pokus o @ hh:mm.ss rrrr mm-dd, výsledek 1753: z mapovače koncových bodů nejsou další koncové body.
Se nezdařilo poslední pokus o @ hh:mm.ss rrrr mm-dd, výsledek 5: přístup byl odepřen.



Pokud použijete ke spuštění replikace Active Directory sítě a služby, můžete obdržet zprávu, která označuje, že přístup byl odepřen.


Při pokusu použít síťové prostředky z konzoly řadičů domény, včetně zdroje Universal Naming Convention (UNC) nebo namapované síťové jednotky, může se zobrazit následující chybová zpráva:
K dispozici žádné přihlašovací servery (c000005e = "STATUS_NO_LOGON_SERVERS")
Pokud spustíte všechny nástroje pro správu služby Active Directory z konzoly řadičů domény, včetně serverů služby Active Directory a služby Active Directory Users a počítačů, můžete obdržet jednu z následujících chybových zpráv:
Informace o názvu nemůže být nalezen, protože: žádný orgán nelze kontaktovat pro ověřování. Obraťte se na vašeho správce systému ověřte, že vaší domény správně nakonfigurován a je aktuálně online.
Informace o názvu nemůže být nalezen, protože: název cílového účtu je nesprávná. Obraťte se na vašeho správce systému ověřte, že vaší domény správně nakonfigurován a je aktuálně online.
Aplikace Microsoft Outlook klienti, kteří jsou připojeni k serveru Microsoft Exchange Server počítačů, které používají řadiče domény pro ověřování pravděpodobně vyzváni k pověření pro přihlášení, přestože je ověřování úspěšné přihlášení z ostatních řadičů domény.

Nástroj Netdiag může zobrazit následující chybové zprávy:
Selhal test........... : Se nezdařilo
[UPOZORNĚNÍ] Nelze volat funkci DsBind < název_serveru >. < fqdn > (< adresa >). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Zkušební protokol Kerberos........... : Se nezdařilo
[ZÁVAŽNÉ] Kerberos nemá lístek pro krbtgt / < fqdn >.

[ZÁVAŽNÉ] Kerberos nemá lístek pro < hostname >.
LDAP test............. : Předán
[UPOZORNĚNÍ] Se nepodařilo dotaz SPN registrace v řadiči domény < hostname > \ < fqdn >
Následující událost může být zaznamenána v protokolu systémových událostí řadiče domény obsahující tuto chybu:

Řešení

Existuje několik řešení pro tyto příznaky. Následuje seznam metod, které chcete vyzkoušet. V seznamu je uveden postup provedení každé metody. Jednotlivé metody vždy vyzkoušejte, dokud je problém vyřešen. Články znalostní báze Microsoft Knowledge Base, které popisují méně běžné opravy tyto příznaky jsou uvedeny dále.
  1. Metoda 1: Oprava systému jména domény (DNS) chyby.
  2. Metoda 2: Synchronizace času mezi počítači.
  3. Metoda 3: Zkontrolujte uživatelská práva přistupovat k tomuto počítači ze sítě .
  4. Metoda 4: Ověřte, zda řadič domény userAccountControl atributu 532480.
  5. Metoda 5: Oprava sféry protokolu Kerberos (potvrdit, že klíč registru PolAcDmN a PolPrDmN registru klíč shoda).
  6. Metoda 6: Obnovení hesla účtu počítače a získat nový lístek protokolu Kerberos.

Metoda 1: Oprava chyby DNS

  1. Na příkazovém řádku spusťte příkaz netdiag - v . Tento příkaz vytvoří soubor Netdiag.log ve složce, ve kterém byl příkaz spuštěn.
  2. Vyřešte všechny chyby DNS v souboru Netdiag.log, dříve než budete pokračovat. Nástroj Netdiag je systému Windows 2000 Server nástrojů pro podporu na disku CD-ROM systému Windows 2000 Server nebo jako soubor ke stažení. Chcete-li stáhnout nástroje podpory systému Windows 2000 Server, naleznete na následujícím webu společnosti Microsoft:
  3. Ujistěte se, že je služba DNS správně nakonfigurována. Jedním z nejběžnější chyby DNS je řadič domény k Internetu poskytovatele služeb (ISP) DNS odkazovat namísto ukázání DNS sám na sebe nebo na jiný server DNS, který podporuje dynamické aktualizace a záznamy SRV. Doporučujeme vám přejděte na řadič domény, samotné nebo na jiný server DNS, který podporuje dynamické aktualizace a záznamy SRV. Doporučujeme nastavit předávání k poskytovateli služeb Internetu pro překlad názvů v síti Internet.
Další informace o konfiguraci služby DNS pro adresářové služby Active Directory získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
291382 nejčastější dotazy týkající se služby DNS systému Windows 2000 a Windows Server 2003 DNS

237675 nastavení DNS pro službu Active Directory

Plánování oboru názvů DNS 254680

Jak 255248 vytvoření podřízené domény ve službě Active Directory a delegování oboru názvů DNS na podřízenou doménu

Metoda 2: Synchronizace času mezi počítači

Ověřte, že je čas správně synchronizován mezi řadiči domény. Dále ověřte, že je čas správně synchronizován mezi klientských počítačů a řadičů domény.

Další informace o tom, jak konfigurovat službu Systémový čas systému Windows, získáte v následujícím článcích znalostní báze Microsoft Knowledge Base:
258059 jak synchronizovat čas v počítači se systémem Windows 2000 v doméně systému Windows NT 4.0

Metoda 3: Zkontrolujte uživatelská práva "Přistupovat k tomuto počítači ze sítě"

Upravte soubor Gpttmpl.inf potvrdit, že mají příslušným uživatelům přistupovat k tomuto počítači ze sítě uživatelské právo na řadiče domény. Chcete-li to provést, postupujte takto:
  1. Upravte soubor Gpttmpl.inf pro výchozí zásady řadičů domény. Výchozí zásada řadičů domény je ve výchozím nastavení kde uživatelská práva jsou definována pro řadič domény. Soubor Gpttmpl.inf pro výchozí zásady řadičů domény je ve výchozím nastavení umístěny v následující složce.

    Poznámka: SYSVOL, může být v jiném umístění, ale cestu k souboru Gpttmpl.inf bude stejná.

    Pro řadiče domény Windows Server 2003:


    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    U řadičů domény se systémem Windows 2000 Server:


    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. Doprava SeNetworkLogonRight položky přidáte identifikátory zabezpečení pro správce, Authenticated Users a pro všechny uživatele. Viz následující příklady.

    Pro řadiče domény Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    U řadičů domény se systémem Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Poznámka: Správci (S-1-5-32-544), Authenticated Users (S-1-5-11), všechny (S-1-1-0) a Enterprise Controllers (S-1-5-9) pomocí známých identifikátorů zabezpečení, které jsou stejné v každé doméně.
  3. Odeberte všechny položky v pravé části
    Položka SeDenyNetworkLogonRight (Odepřít přístup k tomuto počítači ze sítě) tak, aby odpovídala následující příklad.

    SeDenyNetworkLogonRight =

    Poznámka: V příkladu je stejná pro systém Windows 2000 Server a Windows Server 2003.

    Ve výchozím nastavení systém Windows 2000 Server má žádné položky v položka SeDenyNetworkLogonRight. Ve výchozím nastavení Windows Server 2003 má pouze účet Support_náhodný řetězec v položka SeDenyNetworkLogonRight. (Pomocí funkce Vzdálená pomoc je použit účetnáhodný řetězec Support_.) Protože Support_náhodný řetězec účet používá jinou zabezpečovací identifikátor (SID) v každé doméně, účet není snadno odlišitelný od typický uživatelský účet pouze pohledem na identifikátor SID. Můžete chtít kopírovat identifikátor SID do jiného textového souboru a potom odeberte SID z položka SeDenyNetworkLogonRight. Tímto způsobem, můžete ji umístit zpět po dokončení řešení potíží.

    SeNetworkLogonRight a SeDenyNetworkLogonRight lze definovat v žádné zásady. Pokud předchozí kroky problém nevyřeší, zkontrolujte soubor Gpttmpl.inf do ostatních politik v Sysvol potvrďte, že uživatelská práva nejsou také je definováno tam. Pokud soubor Gpttmpl.inf obsahuje odkaz k SeNetworkLogonRight nebo SeDenyNetworkLogonRight, tato nastavení nejsou definovány v zásady a politiky, není příčinou tohoto problému. Pokud tyto položky existují, ujistěte se, zda soubory odpovídají výše uvedené zásady řadiče domény výchozí nastavení.

Metoda 4: Ověřte, zda řadič domény userAccountControl atributu 532480

  1. Klepněte na tlačítko Start, klepněte na příkaz Spustita zadejte příkaz adsiedit.msc.
  2. Rozbalte Domain NC, rozbalte položku
    DC =doménaa potom rozbalte položku
    OU = Řadiče domény.
  3. Klepněte pravým tlačítkem myši na řadič domény a potom klepněte na tlačítko
    Vlastnosti.
  4. V systému Windows Server 2003 klepnutím vyberte Zobrazit povinné atributy zaškrtávací políčko a Zobrazit volitelné atributy zaškrtávací políčko na kartě Editor atributů . V systému Windows 2000 Server klepněte na tlačítko obě v seznamu Vyberte vlastnosti, které chcete zobrazit .
  5. V systému Windows Server 2003 klepněte na tlačítko
    v poli atributy položky userAccountControl . V systému Windows 2000 Server, klepněte na tlačítko userAccountControl v
    Vyberte vlastnost k zobrazení pole.
  6. Pokud hodnota není 532480, zadejte
    532480 v poli Upravit atribut , klepněte na tlačítko
    Nastavit, klepněte na tlačítko použíta potom klepněte na tlačítko
    OK.
  7. Ukončete nástroj ADSI Edit.

Metoda 5: Oprava sféry protokolu Kerberos (potvrdit, že klíč registru PolAcDmN a PolPrDmN registru klíč shoda)

Poznámka: Tato metoda je platné pouze pro systém Windows 2000 Server.
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows
  1. Spusťte Editor registru.
  2. V levém podokně rozbalte položku
    Zabezpečení.
  3. V nabídce zabezpečení klepněte na tlačítko
    Oprávnění udělit místní skupiny Administrators Úplné řízení zabezpečení podregistr a jeho podřízených kontejnerů a objektů.
  4. Vyhledejte klíč HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. V pravém podokně Editoru registru klepněte
    < název č >: REG_NONE položky jednou.
  6. V nabídce Zobrazit klepněte na tlačítko Zobrazit binární Data. V části Formát v dialogovém okně klepněte na tlačítko bajt.
  7. Název domény se zobrazí jako řetězec v pravé části dialogovém okně Binární Data . Název domény je stejný jako sféry protokolu Kerberos.
  8. Vyhledejte klíč registru HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. V pravém podokně Editoru registru poklepejte
    < název č >: REG_NONE položka.
  10. V dialogovém okně Binární Editor vložte hodnotu z PolPrDmN. (Hodnota z PolPrDmN bude název domény NetBIOS).
  11. Restartujte řadič domény.

Metoda 6: Obnovení hesla účtu počítače a získat nový lístek protokolu Kerberos

  1. Zastavte službu Centrum distribuce klíčů modulu Kerberos a nastavte hodnotu spouštění na ruční.
  2. Obnovení hesla účtu počítače řadiče domény pomocí nástroje Netdom z nástrojů podpory systému Windows 2000 Server nebo z nástrojů podpory systému Windows Server 2003:

    netdom resetpwd/server:jiný řadič domény/userd:domain\administrator/passwordd:heslo správce

    Ujistěte se, že příkaz netdom je vrácena, protože byla úspěšně dokončena. Pokud se neshodují, příkaz nefunguje. Domény Contoso, kde je řadič domény DC1, a je řadič domény pracovní DC2, spusťte následující netdom příkaz z konzoly DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator/passwordd:heslo správce
  3. Restartujte řadič domény.
  4. Spusťte službu Centrum distribuce klíčů modulu Kerberos a nastavte nastavení spouštění na Automatické.

Další informace o tomto problému klepněte na následující čísla článku zobrazení v článcích znalostní báze Microsoft Knowledge Base:
325322 "server není funkční" chybová zpráva při pokusu o otevření správce Exchange System Manager

284929 nelze spustit modul snap in služby Active Directory; Zobrazí se chybová zpráva, že nelze kontaktovat žádný úřad pro ověřování

257623 přípona DNS názvu počítače nového řadiče domény nemusí shodovat s názvem domény po instalaci upgradu systému Windows NT 4.0 primární řadič domény systému Windows 2000

257346 "Access tento počítač z the síť" user doprava způsobuje nástroje není pro práci

316710 distribuce klíčů Kerberos zakázáno neumožňuje spuštění služeb serveru Exchange

329642 chybové zprávy při otevření moduly snap in služby Active Directory a Exchange System Manager

272686 objeví chybové zprávy při otevření modulu snap-in Active Directory Users and Computers

323542 nelze spustit nástroj Active Directory Users and Computers protože server není funkční

329887 nemůžete interaktivně pracovat s moduly snap in MMC služby Active Directory

325465 vyžadují řadiče domény se systémem Windows 2000 SP3 nebo vyšší při použití nástrojů pro správu systému Windows Server 2003

322267 odebrání klienta pro Microsoft Networks odebere další služby

297234 existuje časový rozdíl mezi klientem a serverem

247151 uživatelé domény nižší úrovně může zobrazit chybová zpráva, při spuštění modulu snap in konzoly MMC

280833 selhání určit všechny zóny DNS proxy klienta vede k selhání DNS, které je obtížné sledovat

322307 nelze spustit moduly snap in služby serveru Exchange nebo Active Directory po instalaci aktualizací Service Pack 2 (SP2) pro systém Windows 2000

Vlastnosti

ID článku: 837513 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor