Контроллер домена работает неправильно

В этой статье приведены распространенные способы устранения проблемы, из-за которой контроллер домена работает неправильно.

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 837513

Симптомы

При запуске средства Dcdiag на контроллере домена на основе Microsoft Windows 2000-Server или Windows Server 2003 может появиться следующее сообщение об ошибке:

Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31

При запуске служебной программы REPADMIN /SHOWREPS локально на контроллере домена может появиться одно из приведенных ниже сообщений об ошибках:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (локальная ошибка).

Последняя попытка @ yyyy-mm-dd hh:mm.ss завершилась с ошибкой, результат 1753: в системе отображения конечных точек не осталось доступных конечных точек.

Последняя попытка @ yyyy-mm-dd hh:mm.ss завершилась с ошибкой, результат 5: доступ запрещен.

Если для запуска репликации используются сайты и службы Active Directory, может появиться сообщение об отказе в доступе.

При попытке использовать сетевые ресурсы из консоли затронутого контроллера домена, включая UNC-ресурсы или подключенные сетевые диски, может появиться следующее сообщение об ошибке:

Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")

При запуске любых средств администрирования Active Directory из консоли затронутого контроллера домена, включая сайты и службы Active Directory и пользователей и компьютеры Active Directory, может появиться одно из следующих сообщений об ошибках:

Не удалось найти сведения об именах по следующей причине: невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Не удалось найти сведения об именах по следующей причине: конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Клиентам Microsoft Outlook, подключенным к компьютерам под управлением Microsoft Exchange Server, которые используют затронутые контроллеры домена для проверки подлинности, может быть предложено ввести учетные данные для входа, несмотря на успешную проверку подлинности при входе с других контроллеров домена.

При использовании средства Netdiag могут отобразиться следующие сообщения об ошибках:

Проверка списка контроллеров домена. . . . . . . . . . . : сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для <servername>.<полное доменное имя> (<IP-адрес>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тестирование Kerberos. . . . . . . . . . . : сбой
[FATAL] У Kerberos нет билета на krbtgt/<fqdn>.

[FATAL] У Kerberos нет билета для <имени> узла.
Проверка LDAP. . . . . . . . . . . . . : пройдена
[ПРЕДУПРЕЖДЕНИЕ] Не удалось запросить регистрацию имени субъекта-службы в имени узла контроллера><домена <fqdn>

В журнал системных событий затронутого контроллера домена может быть внесено следующее событие:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Решение

Существует несколько способов устранения этих симптомов. Ниже приведен список способов, которые следует попробовать. За списком следуют шаги по выполнению каждого способа. Попробуйте использовать каждый способ, пока проблема не будет устранена. Далее перечислены статьи базы знаний Майкрософт, в которых описаны менее распространенные способы устранения этих симптомов.

1. Способ 1. Исправление ошибок службы доменных имен (DNS).
2. Способ 2. Синхронизация времени между компьютерами.
3. Способ 3. Проверка прав доступа к компьютеру из сети.
4. Способ 4. Проверка того, что атрибут userAccountControl контроллера домена имеет значение 532480.
5. Способ 5. Исправление области Kerberos (подтверждение того, что раздел реестра PolAcDmN и раздел реестра PolPrDmN совпадают).
6. Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.

Способ 1. Устранение ошибок DNS

1. В командной строке введите команду netdiag -v. Эта команда создает файл Netdiag.log в папке, в которой была выполнена команда.
2. Перед продолжением устраните все ошибки DNS в файле Netdiag.log. Средство Netdiag входит в комплект средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server или может быть загружено.
3. Убедитесь в правильности конфигурации DNS. Одна из самых распространенных ошибок DNS заключается в том, что контроллер домена указывает на поставщика услуг Интернета (ISP) для DNS вместо того, чтобы указывать DNS на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Рекомендуется назначить контроллер домена самому себе или другому DNS-серверу, который поддерживает динамические обновления и записи SRV. Мы рекомендуем настроить серверы пересылки поставщику услуг Интернета для разрешения имен в Интернете.

Для получения дополнительных сведений о настройке DNS для службы каталогов Active Directory щелкните по приведенным ниже номерам статей, чтобы просмотреть статьи базы знаний Майкрософт:
254680 Планирование пространства DNS-имен

Способ 2. Синхронизация времени между компьютерами

Убедитесь, что время правильно синхронизировано между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизировано между клиентскими компьютерами и контроллерами домена.

Способ 3. Проверка прав пользователя «Доступ к компьютеру из сети»

Измените файл Gpttmpl.inf, чтобы убедиться, что соответствующие пользователи имеют право доступа к компьютеру из сети прямо на контроллере домена. Для этого выполните следующие действия:

1. Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. Политика контроллеров домена по умолчанию определяет права пользователя для контроллера домена. По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию находится в следующей папке.

   Примечание.

   Sysvol может находиться в другом расположении, но путь к файлу Gpttmpl.inf будет одинаковым.

   Для контроллеров доменов Windows Server 2003:

   C:\WINDOWS\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

   Для контроллеров доменов Windows 2000 Server:

   C:\WINNT\Sysvol\Имя<_>домена\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

2. Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для пользователей, прошедших проверку подлинности, и для всех. См. приведенные ниже примеры.

   Для контроллеров доменов Windows Server 2003:

   SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

   Для контроллеров доменов Windows 2000 Server:

   SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

   Примечание.

   Администраторы (S-1-5-32-544), прошедшие проверку подлинности пользователи (S-1-5-11), все (S-1-1-0) и контроллеры предприятия (S-1-5-9) используют известные идентификаторы безопасности, одинаковые в каждом домене.

3. Удалите все записи справа от записи SeDenyNetworkLogonRight («Отказ в доступе к компьютеру из сети») в соответствии со следующим примером.

   SeDenyNetworkLogonRight =

   Примечание.

   Пример одинаков для Windows 2000 Server и для Windows Server 2003.

   По умолчанию Windows 2000 Server не содержит записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только учетную запись для строки Support_random в записи SeDenyNetworkLogonRight. (Учетная запись для строки Support_random используется удаленным помощником). Так как в учетной записи для строки Support_random используется другой идентификатор безопасности (SID) в каждом домене, учетную запись не так просто отличить от обычной учетной записи пользователя, просто просмотрев идентификатор безопасности. Может потребоваться скопировать идентификатор безопасности в другой текстовый файл, а затем удалить его из записи SeDenyNetworkLogonRight. Таким образом, вы можете вернуть его после завершения устранения проблемы.

   SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике. Если предыдущие шаги не помогли устранить проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы убедиться, что права пользователя не определяются там же. Если файл Gpttmpl.inf не содержит ссылки на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике и эта политика не вызывает эту проблему. Если эти записи существуют, убедитесь, что они соответствуют параметрам, перечисленным ранее для политики контроллеров домена по умолчанию.

Способ 4. Проверка того, что атрибут userAccountControl контроллера домена имеет значение 532480

1. Нажмите кнопку Пуск, выберите команду Выполнить и введите adsiedit.msc.
2. Последовательно разверните узлы Доменный контекст именования, DC=домен и OU=контроллеры домена.
3. Щелкните правой кнопкой мыши затронутый контроллер домена и выберите пункт Свойства.
4. В Windows Server 2003 установите флажки Показать обязательные атрибуты и Показать необязательные атрибуты на вкладке Редактор атрибутов. В Windows 2000 Server щелкните Оба в поле Выберите тип свойств для просмотра.
5. В Windows Server 2003 щелкните userAccountControl в поле Атрибуты. В Windows 2000 Server щелкните userAccountControl в поле Выберите свойство для просмотра.
6. Если значение не равно 532480, введите 532480 в поле Изменить атрибут, выберите Установить, нажмите Применить, затем нажмите кнопку OK.
7. Выйдите из редактора ADSI.

Способ 5. Исправление области Kerberos (подтверждение того, что раздел реестра PolAcDmN и раздел реестра PolPrDmN совпадают)

1. Откройте редактор реестра.
2. На панели слева разверните узел Безопасность.
3. В меню Безопасность щелкните Разрешения, чтобы предоставить локальной группе администраторов полный доступ к кусту БЕЗОПАСНОСТИ, а также его к дочерним контейнерам и объектам.
4. Найдите раздел с HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
5. В правой области Редактор реестра щелкните <запись No Name>: REG_NONE один раз.
6. В меню Вид выберите Вывод двоичных данных. В разделе Формат щелкните Байт.
7. Доменное имя отображается в виде строки в правой части диалогового окна Двоичные данные. Доменное имя совпадает с именем области Kerberos.
8. Найдите раздел реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
9. В правой области Редактор реестра дважды щелкните <запись No Name>: REG_NONE.
10. В диалоговом окне Двоичный редактор вставьте значение из PolPrDmN. (Значением из PolPrDmN будет являться доменное имя NetBIOS).
11. Перезапустите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

1. Остановите службу центра распространения ключей Kerberos, а затем задайте для параметра запуска значение Вручную.

2. Используйте средство Netdom, входящее в комплект средств поддержки Windows 2000 Server или Windows Server 2003, чтобы сбросить пароль учетной записи компьютера контроллера домена:

   netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>  
   

   Убедитесь, что команда netdom возвращается как успешно выполненная. Если это не так, команда не сработала. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена — DC2, выполните следующую команду netdom из консоли DC1:

   netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
   

3. Перезапустите затронутый контроллер домена.

4. Запустите службу центра распространения ключей Kerberos, а затем задайте для параметра запуска значение Автоматически.

Для получения дополнительных сведений об этой проблеме щелкните по приведенным ниже номерам статей, чтобы просмотреть статьи базы знаний Майкрософт:
323542 Не удается запустить средство «Active Directory — пользователи и компьютеры», так как сервер не работает