Kontroler domene ne funkcionira pravilno

Vrijedi za: Windows Servers

Simptomi


Kada pokrenete alat Dcdiag na kontroleru domene sustava Microsoft Windows 2000-Server ili na kontroleru domene utemeljenom na sustavu Windows Server 2003, možda će se prikazati sljedeća poruka o pogrešci:
Dijagnostika DC-a koja izvršava početno postavljanje: [DC1] LDAP povezivanje nije uspjelo s pogreškama 31.
Kada uslužni program REPADMIN/SHOWREPS lokalno pokrenete na kontroleru domene, možda će vam se prikazati jedna od sljedećih poruka o pogrešci:
[D: \nt\private\d \ src\util\repadmin\repinfo.c, 389] LDAP pogreška 82 (Lokalna pogreška).
Zadnji pokušaj @ gggg-MM-dd HH: mm. SS nije uspeo, rezultat 1753: nema više krajnjih točaka dostupnih na kartici krajnje točke.
Zadnji pokušaj @ gggg-MM-dd HH: mm. SS nije uspeo, rezultat 5: pristup je odbijen.
Ako koristite web-mjesta i servise servisa Active Directory da biste aktivirali replikaciju, možda ćete primiti poruku koja upućuje na to da je Access odbijen. Kada pokušate koristiti mrežne resurse na konzoli pogođenom kontroleru domene, uključujući Univerzalni naziv konvencije (UNC) ili mapirani mrežni Pogoni, možda će vam se prikazati sljedeća poruka o pogrešci:
Nema dostupnih poslužitelja za prijavu (c000005e = "STATUS_NO_LOGON_SERVERS")
Ako u konzoli kontrolora domene pokrenete bilo koji administrator Active Directory, uključujući web-mjesta i servise servisa Active Directory te korisnike i računala programa Active Directory, možda će vam se prikazati jedna od sljedećih poruka o pogrešci:
Informacije o imenovanju ne mogu se nalaziti jer: nije moguće kontaktirati ovlaštenje za provjeru autentičnosti. Obratite se administratoru sustava da biste provjerili je li vaša domena ispravno konfigurirana i trenutno je na mreži.
Informacije o imenovanju ne mogu se nalaziti jer: Naziv ciljnog računa nije točan. Obratite se administratoru sustava da biste provjerili je li vaša domena ispravno konfigurirana i trenutno je na mreži.
Klijenti programa Microsoft Outlook koji su povezani s računalima sustava Microsoft Exchange Server koji koriste zahvaćene kontrolori domena za provjeru autentičnosti mogu se zatražiti vjerodajnice za prijavu, iako postoji uspješna provjera autentičnosti prijave iz drugih kontrolora domena. Alat Netdiag može prikazati sljedeće poruke o pogreškama:
Ispit iz DC popisa. . . . . . . . . . . : Nije uspjelo [upozorenje] nije moguće zvati dsbind na <nazivposlu>. <FQDN> (<IP adresa>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] Kerberos test. . . . . . . . . . . : Nije uspjelo [fatalno] Kerberos nema ulaznicu za krbtgt/<FQDN>. Fatalna Kerberos nema ulaznicu za <naziv glavnog računala>. LDAP test. . . . . . . . . . . . . : Proslijeđena [upozorenje] nije uspjela upit SPN registracije na DC <naziv glavnog računala> \ <FQDN>
Sljedeći događaj može biti prijavljen u zapisniku događaja sustava na pogođenom kontroleru domene:

Rješenje


Postoji nekoliko rezolucija za ove simptome. Slijedi popis metoda koje treba isprobati. Popis se slijedi koracima za izvođenje svake metode. Pokušajte svaki način dok se problem ne riješi. Članci iz Microsoftove baze znanja koji opisuju manje česte ispravke za ove simptome navedeni su kasnije.
  1. Prvi način: ispravljanje pogrešaka naziva domene (DNS-a).
  2. Drugi drugi način: Sinkroniziranje vremena između računala.
  3. Treći način: Provjerite je li ovo računalo pristupalo korisničkom pravima mreže.
  4. Četvrta metoda: Provjerite je li atribut userAccountControl kontroler domene 532480.
  5. Peti način: ispravljanje područja Kerberos (Potvrdite da je ključ registra PolAcDmN i ključ registra PolPrDmN).
  6. Šesti način: ponovno postavljanje lozinke računa stroja, a zatim dohvaćanje nove karte za Kerberos.
 

Prvi način: otklanjanje pogrešaka na DNS-u

  1. U naredbeni upit pokrenite naredbu Netdiag-v . Ova naredba stvara datoteku Netdiag. log u mapi u kojoj je naredba pokrenuta.
  2. Prije nastavka riješite bilo koje pogreške DNS-a u datoteci Netdiag. log. Alat Netdiag nalazi se u alatima za podršku za Windows 2000 Server na CD-ROM-u sustava Windows 2000 ili kao preuzimanje.
  3. Provjerite je li DNS pravilno konfiguriran. Jedan od najčešćih pogrešaka DNS-a jest ukazati kontroleru domene davatelju internetskih usluga (ISP-u) za DNS umjesto da upućuje DNS u sebe ili na drugi DNS poslužitelj koji podržava dinamička ažuriranja i SRV zapise. Preporučujemo da kontroler domene usmjerite na sebe ili na drugi DNS poslužitelj koji podržava dinamička ažuriranja i SRV zapise. Preporučujemo da na internetu postavite otpremnici za razlučivost naziva.
Dodatne informacije o konfiguriranju DNS-a za direktorij servisa Active Directory potražite u člancima iz Microsoftove baze znanja pod sljedećim brojevima:
291382 Najčešća pitanja o sustavu Windows 2000 DNS i Windows Server 2003 DNS 
237675 Postavljanje sistema naziva domene za Active Directory 
254680 Planiranje naziva DNS-a 
255248 Kako stvoriti podređene domene u servisu Active Directory i delegirati naziv DNS-a u podređene domene 

Drugi drugi način: Sinkroniziranje vremena između računala

Provjerite je li vrijeme ispravno sinkronizirano između kontrolera domena. Osim toga, provjerite je li vrijeme ispravno sinkronizirano između klijentskih računala i kontrolera domena. Dodatne informacije o konfiguriranju servisa Windows Time potražite u člancima iz Microsoftove baze znanja pod sljedećim brojevima:
258059 Kako sinkronizirati vrijeme na računalu sa sustavom Windows 2000 u domeni servisa Windows NT 4,0 
216734 Konfiguriranje autoritativnog poslužitelja za vrijeme u sustavu Windows 2000 

Treći način: provjera autorskih prava "pristup ovom računalu s mrežom"

Izmijenite datoteku Gpttmpl. inf da biste potvrdili da prikladni korisnici imaju pristup ovom računalu s korisnika mreže izravno na kontroleru domene. Da biste to učinili, slijedite ove korake:
  1. Izmijenite datoteku Gpttmpl. inf za zadane police kontrolera domena. Prema zadanim postavkama, zadano pravilo kontrolera domena jest mjesto na kojem su korisnička prava definirana za kontroler domene. Po zadanom se datoteka Gpttmpl. inf za zadane police kontrolera domena nalazi u sljedećoj mapi. Napomena Sysvol možda je na drugom mjestu, ali put za datoteku Gpttmpl. inf bit će isti. Kontroleri domena sustava Windows Server 2003: C:\WINDOWS\Sysvol\Sysvol\ <Domenaname> \Policies\{6ac1786c-016f-11d2-945f-00c04fb984f9.\machine\microsoft\windows NT\SecEdit\GptTmpl.inf Kontroleri domene sustava Windows 2000 Server: C:\WINNT\Sysvol\Sysvol\ <Domenaname> \Policies\{6ac1786c-016f-11d2-945f-00c04fb984f9.\machine\microsoft\windows NT\SecEdit\GptTmpl.inf
  2. S desne strane unosa SeNetworkLogonRight dodajte sigurnosne identifikatore za administratore, za provjerene korisnike i za sve. Pogledajte sljedeće primjere. Kontroleri domena sustava Windows Server 2003: Senetworklogoright = * s-1-5-32-554, * s-1-5-9, * s-1-5-32-544, * s-1-1-0 Kontroleri domene sustava Windows 2000 Server: Senetworklogonright = * s-1-5-11, * s-1-5-32-544, * s-1-1-0Notes administratori (s-1-5-32-544), provjereni korisnici (s-1-5-11), svi (s-1-1-0) i Enterprise kontroleri (s-1-5-9) koriste poznate sigurnosne identifikatore koji su jednaki u svakoj domeni.
  3. Uklonite sve unose s desne strane Stavka Sedenynetworklogit right (odbijanje pristupa ovom računalu s mreže) odgovara sljedećem primjeru. Sedenynetworklogiright = Notes Primjer je isti za Windows 2000 Server i za Windows Server 2003. Prema zadanim postavkama, Windows 2000 Server nema unosa u stavci Sedenynetworklogiright. Prema zadanim postavkama, Windows Server 2003 ima samo Support_slučajni niz računa u stavci Sedenynetworklogiright. (Support_slučajni niz računa koristi se uz daljinsku pomoć). Budući da Support_slučajni niz računa koristi neki drugi sigurnosni IDENTIFIKATOR (Sid) u svakoj domeni, račun se ne može jednostavno razlikovati od uobičajenog korisničkog računa samo tako da gleda u sidu. Možete kopirati sidu u neku drugu tekstnu datoteku, a zatim ukloniti sidu iz unosa Sedenynetworklogiright. Na taj način možete ga vratiti kada završite s otklanjanjem poteškoća. Senetworklogon right i Sedenynetworklogit right mogu se definirati u bilo kojem pravilu. Ako prethodni koraci ne riješe problem, provjerite postoji li datoteka Gpttmpl. inf u drugim pravilima u programu Sysvol da biste potvrdili da se tamo ne definiraju korisnička prava. Ako datoteka Gpttmpl. inf ne sadrži referencu na SeNetworkLogonRight ili na SeDenyNetworkLogonRight, te postavke nisu definirane u pravilima i ta pravila ne uzrokuju taj problem. Ako te stavke postoje, Provjerite podudaraju li se s postavkama navedenim u zadanom pravilima kontrolora domene.

Četvrta metoda: Provjerite je li atribut userAccountControl kontroler domene 532480

  1. Kliknite Start, zatim Pokreni, a potom upišite Adsiedit. msc.
  2. Proširenje domene NC, proširivanje DC =domena, a zatim proširite Ou = kontroleri domena.
  3. Desnom tipkom miša kliknite izvještačen kontroler domene, a zatim kliknite Svojstva.
  4. U sustavu Windows Server 2003 kliknite da biste potvrdili okvir Prikaz obaveznih atributa , a zatim potvrdite okvir Prikaz neobaveznih atributa na kartici Uređivač atributa . U sustavu Windows 2000 Server kliknite u okvir Odaberi svojstva koja će se prikazati .
  5. U sustavu Windows Server 2003 kliknite Useraccountcontrol u okviru atributi . U sustavu Windows 2000 poslužitelj kliknite Useraccountcontrol u Odaberite okvir svojstva za prikaz .
  6. Ako vrijednost nije 532480, upišite 532480 u okviru Uređivanje atributa kliknite Postavite, kliknite Primijeni, a zatim kliknite U redu.
  7. Zatvorite ADSI Edit.

Peti način: ispravljanje područja Kerberos (Potvrdite da je ključ registra PolAcDmN i ključ registra PolPrDmN)

Napomena Ta je metoda valjana samo za Windows 2000 Server.Važno Ovaj odjeljak, način ili zadatak sadrži korake koji vam omogućuju izmjenu registra. No ako neispravno izmijenite registar, može doći do ozbiljnih problema. Stoga obavezno pozorno slijedite ove korake. Za dodatnu zaštitu sigurnosno kopiranje registra prije promjene. Nakon toga možete vratiti registar ako se pojavi problem. Dodatne informacije o tome kako sigurnosno kopiranje i vraćanje registra potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:
322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows
  1. Pokrenite Uređivač registra.
  2. U levom oknu proširite Security (sigurnost).
  3. Na izborniku Sigurnost kliknite Dozvole za dodjelu administratorima lokalnoj grupi potpunu kontrolu nad KOŠNICOM sigurnosti i dječjim kontejnerima i objektima.
  4. Pronađite ključ HKEY_LOCAL_MACHINE \SECURITY\Policy\PolPrDmN.
  5. U desnom oknu uređivača registra kliknite <nema naziva>: REG_NONE unos jedanput.
  6. Na izborniku Prikaz kliknite Prikaži binarne podatke. U odjeljku Oblikovanje u dijaloškom okviru kliknite bajt.
  7. Naziv domene prikazuje se kao niz na desnoj strani dijaloškog okvira binarni podaci . Naziv domene isti je kao i carstvo Kerberos.
  8. Pronađite HKEY_LOCAL_MACHINE \Security\policy\polacdumn ključ registra.
  9. U desnom oknu uređivača registra dvaput kliknite <nema naziva>: REG_NONE unos.
  10. U dijaloškom okviru binarni uređivač zalijepite vrijednost iz PolPrDmN. (Vrijednost iz PolPrDmN bit će naziv domene NetBIOS-a).
  11. Ponovno pokrenite kontroler domene.

Šesti način: ponovno postavljanje lozinke računa stroja, a zatim dohvaćanje nove karte za Kerberos

  1. Zaustavite servis za distribucijski centar za Kerberos, a zatim postavite vrijednost Startup u ručno.
  2. Upotrijebite alat Netdom iz alata za podršku za Windows 2000 Server ili iz alata za podršku za Windows Server 2003 da biste ponovno postavili lozinku za račun stroja za upravljačku domenu: Netdom resetpwd/Server:drugi kontroler domene/userd: domena \ administrator/passwordd:administratorska lozinka Provjerite je li naredba Netdom vraćena kao uspješno dovršena. Ako nije, naredba ne funkcionira. Za domenu contoso, gdje je pogođeni kontrolor domene DC1, a kontrolor radne domene DC2, pokrenite sljedeću naredbu Netdom s konzole DC1: Netdom resetpwd/Server: DC2/userd: contoso\administrator/passwordd:administratorska lozinka
  3. Ponovno pokrenite pogođeni kontroler domene.
  4. Pokrenite servis za distribucijski centar za Kerberos, a zatim postavite postavku Startup na Automatsko.
Dodatne informacije o tom problemu potražite u člancima iz Microsoftove baze znanja pod sljedećim brojevima:
325322 "poruka o pogrešci" poslužitelj nije operativna "prilikom pokušaja otvaranja upravitelja sustava Exchange System 
284929 Nije moguće pokrenuti dodatke servisa Active Directory; poruka o pogrešci kaže da ne može biti kontaktiran autoritet za provjeru autentičnosti 
257623 DNS nastavak naziva računala novog kontrolera domene možda se neće podudarati s nazivom domene nakon instalacije nadogradnje primarnog kontrolora sustava Windows NT 4,0 na Windows 2000 
257346 "pristup ovom računalu iz mreže" korisnik Right uzrokuje da Alati ne funkcioniraju 
316710 Onemogućena raspodjela ključeva za Kerberos sprječava pokretanje sustava Exchange Services 
329642 Poruke o pogreškama prilikom otvaranja dodatka Active Directory i sustava Exchange System Manager 
272686 Poruke o pogreškama javljaju se kada se otvori korisnici servisa Active Directory i dodaci računalima 
323542 Ne možete pokrenuti alat za korisnike i računala servisa Active Directory jer poslužitelj nije operativan 
329887 Ne možete komunicirati s dodacima servisa Active Directory MMC 
325465 Kontroleri domena sustava Windows 2000 zahtijevaju SP3 ili noviji prilikom korištenja alata za administraciju sustava Windows Server 2003 
322267 Uklanjanje klijenta za Microsoftove mreže uklanja druge servise 
297234 Postoji vremenska razlika između klijenta i poslužitelja 
247151 Korisnici domene na razini dolje mogu primiti poruku o pogrešci prilikom pokretanja dodatka MMC-a 
280833 Nemogućnost određivanja svih DNS zona u klijentskim potencijalnim klijentima do kvarova DNS-a koje je teško pratiti 
322307 Nakon instalacije servisnog paketa Service Pack 2 (SP2) za Windows 2000 nije moguće pokrenuti Exchange Services ni dodatke za Active Directory.