Řadič domény nefunguje správně

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.

Projděte si také anglickou verzi článku:837513
Příznaky
Když spustíte nástroj Dcdiag v systému Microsoft Windows Řadiči domény se systémem 2000 server nebo v doméně se systémem Windows Server 2003 řadič, můžete obdržet následující chybovou zprávu:
Diagnóza DC
Provedení počátečního nastavení:
[DC1] Vazbu protokolu LDAP došlo k chybě 31
Když spustíte nástroj REPADMIN/SHOWREPS místně na řadič domény, můžete obdržet jednu z následujících chybových zpráv:
[D:\nt\private\ds\src\util\repadmin\repinfo.c 389] LDAP Chyba 82 (místní chyba).
Nezdařil se poslední pokus o @ hh:mm.ss rrrr mm-dd, výsledek 1753: z mapovač koncových bodů nejsou další koncové body.
Nezdařil se poslední pokus o @ hh:mm.ss rrrr mm-dd, výsledek 5: přístup byl odepřen.
Pokud použijete ke spuštění replikace a služby Active Directory, můžete obdržet zprávu, která označuje, že přístup byl odepřen.

Při pokusu použít síťové prostředky z konzoly řadiče domény, včetně Universal Naming Prostředky konvence UNC nebo namapované síťové jednotky, zobrazí následující chybová zpráva:
Není k dispozici žádné přihlašovací servery. (c000005e = "status_no_logon_servers")
Spustíte-li žádné aktivní Nástroje pro správu adresáře z konzoly ohroženého domény řadiče, včetně serverů služby Active Directory a služby a služby Active Directory Uživatelé a počítače, můžete obdržet jednu z následujících chybových zpráv:
Informace o názvu nemůže být nalezen, protože: Ne k ověření nelze kontaktovat úřad. Obraťte se na vašeho systému správce a ověřte, zda je správně nakonfigurován vaší domény a je aktuálně online.
Informace o názvu nelze umístěn, protože: název cílového účtu je chybný. Obraťte se na vašeho systému správce a ověřte, zda je správně nakonfigurován vaší domény a je aktuálně online.
Klienti aplikace Microsoft Outlook, které jsou připojeny k Microsoft Exchange Server počítače, které používají řadiče domény pro ověřování pravděpodobně vyzváni k přihlášení pověření, přestože je ověření úspěšné přihlášení z ostatních řadičů domény.

Na Nástroj Netdiag může zobrazit následující chybové zprávy:
DC seznam zkušebních........... : Selhalo
[UPOZORNĚNÍ] Nelze zavolat funkci DsBind <servername>.<fqdn> (<ip address="">). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]<b00></b00></ip></fqdn></servername>
Zkušební protokol Kerberos........... : Se nezdařilo.
[ZÁVAŽNÉ] Kerberos nemá lístek pro krbtgt /<fqdn>. <b00></b00></fqdn>
[ZÁVAŽNÉ] Kerberos nemá lístek pro <hostname>.<b00></b00></hostname>
LDAP test. . . . . . . . . . . . . : Předán
[UPOZORNĚNÍ] Se nezdařilo provést dotaz SPN registrace v řadiči domény <hostname>\<fqdn></fqdn></hostname>
Na může být zaznamenána následující událost v protokolu událostí systému příslušné domény Řadič:

Typ události: Chyba
Událost Zdroj: Správce řízení služeb
ID události: 7023
Popis: Službu Centrum distribuce klíčů modulu Kerberos byla ukončena s následující chybou: Správce zabezpečení účtů (SAM) nebo serveru místního zabezpečení úřad byl v chybném stavu provést zabezpečovací operaci.

Řešení
Existuje několik řešení pro tyto příznaky. Na Následuje seznam metod, zkuste. Seznam je uveden postup provedení Každá metoda. Každá metoda opakujte, dokud nebude problém vyřešen. Microsoft Knowledge Základní články, které popisují méně běžné opravy pro tyto příznaky jsou uvedeny. později.
 1. Metoda 1: Oprava konzoly DNS (Domain Name System) chyby.
 2. Metoda 2: Synchronizujte čas mezi počítače.
 3. Metoda 3: Kontrola Přístup k tomuto počítači z sítě uživatelská práva.
 4. Metoda 4: Ověřte, zda řadič domény atribut userAccountControl je 532480.
 5. Metoda 5: Oprava sféry protokolu Kerberos (potvrdit, že PolAcDmN klíč registru a klíče registru PolPrDmN odpovídat).
 6. Metoda 6: Obnovení hesla účtu počítače a poté Získejte nový lístek protokolu Kerberos.

Metoda 1: Oprava chyby DNS

 1. Na příkazovém řádku spusťte Netdiag - v příkaz. Tento příkaz vytvoří soubor Netdiag.log ve složce Pokud byl příkaz Spustit.
 2. Vyřešte všechny chyby DNS v souboru Netdiag.log před pokračujte. Nástroj Netdiag je v nástrojích podpory systému Windows 2000 Server na Disk CD-ROM systému Windows 2000 Server nebo ke stažení. Ke stažení v systému Windows 2000 Nástroje pro podporu serveru, navštivte následující Web společnosti Microsoft:
 3. Ujistěte se, že je služba DNS konfigurována správně. Jedním z nejčastěji je obvyklé chyby DNS řadiče domény v bodě služby sítě Internet Poskytovatel služby DNS namísto ukázání DNS sám na sebe, nebo na jiný server DNS Server, který podporuje dynamické aktualizace a záznamy SRV. Doporučujeme vám přejděte na příkaz řadiče domény samotné nebo na jiný server DNS, který podporuje záznamy SRV a dynamické aktualizace. Doporučujeme nastavit serverům pro předávání Poskytovatel služeb Internetu pro překlad názvů v síti Internet.
Další informace o konfiguraci služby DNS pro adresářové služby Active Directory, klepněte naleznete v následujících článcích báze Microsoft Knowledge Base:
291382Často kladené dotazy týkající se služby DNS systému Windows 2000 a Windows Server 2003 DNS
237675 Nastavení DNS pro službu Active Directory
254680 Plánování oboru názvů DNS
255248 Vytvoření podřízené domény ve službě Active Directory a delegování oboru názvů DNS na podřízenou doménu

Metoda 2: Synchronizace časumezi počítači

Ověřte, že je čas správně synchronizovány mezi doménami řadiče. Dále ověřte, že čas správně synchronizován mezi klientskými počítači a řadiče domény.

Další informace o konfiguraci Služba Systémový čas, klepněte na následující článek znalostní báze články znalostní báze Microsoft Knowledge Base:
258059Synchronizace času v počítači se systémem Windows 2000 v doméně systému Windows NT 4.0
216734 Postup při konfiguraci autoritativního časového serveru v systému Windows 2000

Metoda 3: Zkontrolujte uživatelská práva "Přístup K tomuto počítači ze sítě"

Upravte soubor Gpttmpl.inf potvrdit, že příslušným uživatelům mít Přístup k tomuto počítači ze sítě uživatelské právo na řadič domény. Chcete-li to provést, postupujte takto:
 1. Upravte soubor Gpttmpl.inf pro výchozí doménu Zásada řadičů. Výchozí zásada řadičů domény je ve výchozím umístění uživatelská práva jsou definována pro řadič domény. Ve výchozím nastavení Gpttmpl.inf pro výchozí zásady řadičů domény je umístěn v následující složka.

  Poznámka: SYSVOL, může být v jiném umístění, ale cestu pro Soubor GptTmpl.inf bude stejná.

  Pro domény systému Windows Server 2003 řadiče:

  C:\WINDOWS\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf</domainname>

  U řadičů domény se systémem Windows 2000 Server:

  C:\WINNT\Sysvol\Sysvol\<domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf</domainname>
 2. Doprava SeNetworkLogonRight položky, přidat identifikátory zabezpečení pro správce, Authenticated Users a Všichni uživatelé. Příklady.

  Pro domény systému Windows Server 2003 řadiče:

  SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

  Pro systém Windows Řadiče domény pro server 2000:

  SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

  Poznámka: Správci (S-1-5-32-544), Authenticated Users (S-1-5-11), Pomocí známých Everyone (S-1-1-0) a Enterprise Controllers (S-1-5-9) identifikátory zabezpečení, které jsou v každé doméně.
 3. Odeberte všechny částiSeDenyNetworkLogonRight Položka (Odepřít přístup k tomuto počítači ze sítě) tak, aby odpovídala následující Příklad.

  SeDenyNetworkLogonRight =

  Poznámka: Příklad je stejný pro systém Windows 2000 Server a Windows Server 2003.

  Ve výchozím nastavení systému Windows 2000 Server nemá žádné položky v Položka SeDenyNetworkLogonRight. Ve výchozím nastavení systému Windows Server 2003 má pouze Support_náhodný řetězec účet Položka SeDenyNetworkLogonRight. (Support_náhodné řetězec účet používá funkce Vzdálená pomoc.) Protože Support_náhodný řetězec účet používá jinou identifikátor zabezpečení (SID) v každé doméně, účet není snadno odlišitelný od typický uživatelský účet pouze pohledem na identifikátor SID. Můžete Chcete kopírovat identifikátor SID do jiného textového souboru a potom odeberte SID ze Položka SeDenyNetworkLogonRight. Tímto způsobem, můžete ji vložit zpět po dokončení řešení potíží.

  SeNetworkLogonRight a SeDenyNetworkLogonRight mohou být definovány žádné zásady. Pokud předchozí kroky. problém nevyřeší, zkontrolujte soubor Gpttmpl.inf do ostatních politik v Sysvol Potvrďte, že uživatelská práva jsou také jsou definována není. Pokud Soubor GptTmpl.inf obsahuje odkaz k SeNetworkLogonRight nebo SeDenyNetworkLogonRight, tato nastavení nejsou definovány zásady a že zásady není příčinou tohoto problému. Pokud položky neexistují, ujistěte se, že odpovídají nastavení výše uvedené výchozí řadiče domény zásady.

Metoda 4: Ověřte, zda řadič domény userAccountControl atributu 532480

 1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, a potom zadejte adsiedit.msc.
 2. Rozbalit Domain NC, rozbalte položkuDC =doménya potom rozbalte položkuOU = Řadiče domén.
 3. Klepněte pravým tlačítkem myši na řadič domény a potom klepněte na tlačítkoVlastnosti.
 4. V systému Windows Server 2003, klepněte na položku Zobrazit povinné atributy Zaškrtávací políčko a Zobrazit volitelná atributy Zaškrtněte políčko Editor atributů na kartě. V Windows 2000 Server, klepněte na tlačítko Obě v Vyberte, které Vlastnosti zobrazení pole.
 5. V systému Windows Server 2003 klepněte na tlačítkouserAccountControl v Atributy pole. V Windows 2000 Server, klepněte na tlačítko userAccountControl vVyberte vlastnost, kterou chcete zobrazit pole.
 6. Pokud hodnota není 532480, zadejte532480 v Upravit atribut Klepněte na tlačítkoNastavit, klepněte na tlačítko Použíta klepněte na tlačítkoOK.
 7. Ukončete Editor rozhraní ADSI.

Metoda 5: Oprava sféry protokolu Kerberos (Potvrdit klíč registru PolAcDmN a PolPrDmN registru klíč shoda)

Poznámka: Tato metoda je platné pouze pro systém Windows 2000 Server.
Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které informace o úpravě registru. Však mohou nastat závažné problémy při nesprávných úpravách registru. Proto se ujistěte, opatrně postupujte takto. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru získáte článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
 1. Spusťte Editor registru.
 2. V levém podokně rozbalte položkuZabezpečení.
 3. V Zabezpečení nabídky, klepněte na tlačítkoOprávnění udělit úplné místní skupiny Administrators Kontrola zabezpečení podregistr a jeho podřízených kontejnerů a objektů.
 4. Vyhledejte HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN klíč.
 5. V pravém podokně Editoru registru klepněte<no name="">: REG_NONE</no> Položka jednou.
 6. V Zobrazení nabídky, klepněte na tlačítko Zobrazení Binární Data. V Formát část dialogového okna Klepněte na tlačítko Bajt.
 7. Název domény se zobrazí jako řetězec v pravé části na Binární Data Dialogové okno. Název domény je stejný jako Sféry protokolu Kerberos.
 8. Vyhledejte HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN klíč registru.
 9. V pravém podokně Editoru registru poklepejte<no name="">: REG_NONE</no> položka.
 10. V Binární Editor Dialogové okno, vložit hodnota z PolPrDmN. (Z PolPrDmN bude hodnota domény v systému NetBIOS Název).
 11. Restartujte řadič domény.

Metoda 6: Obnovení hesla účtu počítače a získat nový lístek protokolu Kerberos

 1. Zastavit službu Centrum distribuce klíčů modulu Kerberos a poté hodnotu spouštění na ručně.
 2. Pomocí nástroje Netdom, od podpory systému Windows 2000 Server Nástroje nebo nástrojů podpory systému Windows Server 2003 obnovení domény hesla účtu počítače řadiče:

  netdom resetpwd / Server:jiný řadič domény/userd:domain\administrator/passwordd:Správce heslo

  Ujistěte se, že příkaz netdom je vrácen jako byla úspěšně dokončena. Pokud není, příkaz nefunguje. Domény Contoso, kde je řadič domény DC1, a je řadič domény pracovní DC2, spusťte následující netdom příkaz z konzoly DC1:

  netdom resetpwd /server:DC2 /userd:contoso\administrator / passwordd:Správce heslo
 3. Restartujte řadič domény.
 4. Spusťte službu Centrum distribuce klíčů modulu Kerberos a potom nastavte spuštění Automatické.

Další informace o tomto problému Klepněte na tlačítko naleznete v následujících článcích báze Microsoft Znalostní báze Knowledge Base:
325322Při pokusu o otevření správce Exchange System Manager se zobrazí chybová zpráva "server není funkční."
284929 Nelze spustit moduly snap in služby Active Directory; chybová zpráva, že k ověření nelze kontaktovat žádný úřad
257623 Přípona DNS názvu počítače nového řadiče domény může nemusí shodovat s názvem domény po instalaci upgradu systému Windows NT 4.0 primární řadič domény systému Windows 2000
257346 "Tento počítač pro přístup ze sítě" uživatelské právo způsobuje nástroje nefunguje
316710 Zakázané distribuce klíčů modulu Kerberos zabrání spuštění služeb serveru Exchange
329642 Chybové zprávy při otevření moduly snap in služby Active Directory a Exchange System Manager
272686 Objeví se chybové zprávy při otevření modulu snap-in Active Directory Users and Computers
323542 Nástroj Active Directory Users and Computers nelze spustit, protože server není funkční
329887 Nemůžete interaktivně pracovat s moduly snap in MMC služby Active Directory
325465 Nastavení vyžadují řadiče domény systému Windows 2000 SP3 nebo novější, při použití nástrojů pro správu systému Windows Server 2003
322267 Klient sítě Microsoft pro odebrání odebere další služby
297234 Existuje časový rozdíl mezi klientem a serverem
247151 Uživatelé domény nižší úrovně může se zobrazit chybová zpráva při spouštění modulů snap in konzoly MMC
280833 Selhání určit všechny zóny DNS proxy klienta vede k selhání služby DNS, které je obtížné sledovat
322307 Po instalaci aktualizací Service Pack 2 (SP2) pro systém Windows 2000 nelze spustit modul snap in služby serveru Exchange nebo Active Directory

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 837513 - Poslední kontrola: 05/22/2011 15:01:00 - Revize: 4.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

 • kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtcs
Váš názor