Kontroler domeny nie działa poprawnie

Dotyczy: Windows Servers

Symptomy


Po uruchomieniu narzędzia Dcdiag na kontrolerze domeny z systemem Microsoft Windows 2000 — serwer lub na kontrolerze domeny z systemem Windows Server 2003 może zostać wyświetlony następujący komunikat o błędzie:
Diagnostyka DC wykonywanie konfiguracji początkowej: [DC1] powiązanie LDAP nie powiodło się z powodu błędu 31
Po uruchomieniu narzędzia REPADMIN/SHOWREPS lokalnie na kontrolerze domeny może zostać wyświetlony dowolny z następujących komunikatów o błędach:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Błąd LDAP 82 (błąd lokalny).
Ostatnia próba @ rrrr-mm-dd hh: mm. SS, wynik 1753: Brak dostępnych punktów końcowych z funkcji mapowania punktów końcowych.
Ostatnia próba @ rrrr-mm-dd hh: mm. SS nie powiodła się, wynik 5: odmowa dostępu.
Jeśli uruchamiasz replikację za pomocą witryny i usług Active Directory, może zostać wyświetlony komunikat z informacją o odmowie dostępu. Podczas próby użycia zasobów sieciowych z poziomu konsoli kontrolera domeny, którego dotyczy problem, w tym zasobów UNC (Universal Naming Convention) lub zmapowanych dysków sieciowych może zostać wyświetlony następujący komunikat o błędzie:
Brak dostępnych serwerów logowania (c000005e = "STATUS_NO_LOGON_SERVERS")
Po uruchomieniu jakichkolwiek narzędzi administracyjnych usługi Active Directory z poziomu konsoli kontrolera domeny, w tym witryny i usług Active Directory oraz Użytkownicy i komputery usługi Active Directory, może zostać wyświetlony jeden z następujących komunikatów o błędach:
Nie można zlokalizować informacji dotyczących nazw, ponieważ: nie można skontaktować się z administratorem w celu uwierzytelnienia. Skontaktuj się z administratorem systemu, aby sprawdzić, czy Twoja domena jest poprawnie skonfigurowana i czy jest obecnie w trybie online.
Nie można zlokalizować informacji dotyczących nazw, ponieważ: nazwa konta docelowego jest niepoprawna. Skontaktuj się z administratorem systemu, aby sprawdzić, czy Twoja domena jest poprawnie skonfigurowana i czy jest obecnie w trybie online.
Może zostać wyświetlony monit o podanie poświadczeń logowania dla klientów programu Microsoft Outlook połączonych z komputerami programu Microsoft Exchange Server, na których są używane kontrolery domeny, na których jest używany kontroler domeny, mimo że uwierzytelnianie logowania jest udane z innych kontrolerów domeny. W narzędziu Netdiag mogą być wyświetlane następujące komunikaty o błędach:
Test listy kontrolerów domen. . . . . . . . . . . : Niepowodzenie [Ostrzeżenie] nie można nawiązać połączenia z DsBind w <nazwa_serwera>. <FQDN> (<adres IP>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] Test protokołu Kerberos. . . . . . . . . . . : Nie powiodło się [błąd krytyczny] protokół Kerberos nie ma biletu dla nazwy FQDN> KRBTGT/<. Wystąpił Protokół Kerberos nie zawiera biletu <nazwy hosta>. Test LDAP. . . . . . . . . . . . . : Przekazano [Ostrzeżenie] nie można wykonać zapytania o rejestrację nazwy SPN na kontrolerze domeny <hostname> \ <FQDN>
Poniższe zdarzenie może zostać zarejestrowane w dzienniku zdarzeń systemowych na kontrolerze domeny, którego dotyczy problem:

Rozwiązanie


Istnieje kilka rozwiązań tych objawów. Poniższa lista przedstawia metody, które można wypróbować. Po wykonaniu każdej z tych metod na liście znajdują się instrukcje. Wypróbuj poszczególne metody, aż problem zostanie rozwiązany. Artykuły z bazy wiedzy Microsoft Knowledge Base, które opisują mniej typowych poprawek dla tych symptomów, wymieniono później.
  1. Metoda 1: Rozwiązywanie błędów DNS (Domain Name System).
  2. Metoda 2: synchronizowanie czasu między komputerami.
  3. Metoda 3: Sprawdź prawa dostępu użytkownika do tego komputera z sieci .
  4. Metoda 4: Sprawdź, czy atrybut DomainMode kontrolera domeny to 532480.
  5. Metoda 5: Naprawianie obszaru Kerberos (Upewnij się, że klucz rejestru PolAcDmN i klucz rejestru PolPrDmN są zgodne).
  6. Metoda 6: Resetowanie hasła konta komputera, a następnie Uzyskiwanie nowego biletu Kerberos.
 

Metoda 1: Rozwiązywanie błędów DNS

  1. W wierszu polecenia Uruchom polecenie Netdiag-v . To polecenie tworzy plik Netdiag. log w folderze, w którym zostało uruchomione polecenie.
  2. Przed kontynuowaniem Usuń błędy DNS w pliku Netdiag. log. Narzędzie Netdiag jest dostępne w narzędziach obsługujących serwer Windows 2000 Server na dysku CD-ROM z systemem Windows 2000 lub jako plik do pobrania.
  3. Upewnij się, że system DNS jest poprawnie skonfigurowany. Jednym z najczęstszych błędów DNS jest wskazanie kontrolera domeny na dostawcę usług internetowych (ISP, Internet Service Provider) dla systemu DNS zamiast wskazywać serwer DNS jako sam lub do innego serwera DNS obsługującego aktualizacje dynamiczne i rekordy SRV. Zalecamy, aby wskazać kontroler domeny jako sam lub do innego serwera DNS, który obsługuje aktualizacje dynamiczne i rekordy SRV. Zalecamy skonfigurowanie usług przesyłania dalej u usługodawcy internetowego w celu rozpoznawania nazw w Internecie.
Aby uzyskać więcej informacji na temat konfigurowania systemu DNS dla usługi katalogowej Active Directory, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
291382 Często zadawane pytania dotyczące systemu DNS Windows 2000 i systemu Windows Server 2003 
237675 Konfigurowanie systemu nazw domen w usłudze Active Directory 
254680 Planowanie obszaru nazw DNS 
255248 Jak utworzyć domenę podrzędną w usłudze Active Directory i delegować obszar nazw DNS do domeny podrzędnej 

Metoda 2: synchronizowanie czasu między komputerami

Sprawdź, czy czas jest poprawnie zsynchronizowany między kontrolerami domeny. Ponadto sprawdź, czy czas jest poprawnie zsynchronizowany między komputerami klienckimi i kontrolerami domeny. Aby uzyskać więcej informacji na temat konfigurowania usługi czas systemu Windows, kliknij następujące numery artykułów w celu wyświetlenia ich z bazy wiedzy Microsoft Knowledge Base:
258059 Jak zsynchronizować czas na komputerze z systemem Windows 2000 w domenie systemu Windows NT 4,0 
216734 Jak skonfigurować autorytatywny serwer czasu w systemie Windows 2000 

Metoda 3: zaznacz prawa użytkownika "Uzyskiwanie dostępu do tego komputera z sieci"

Zmodyfikuj plik Gpttmpl. inf, aby upewnić się, że odpowiedni użytkownicy mają prawo dostępu do tego komputera z sieci na kontrolerze domeny. W tym celu wykonaj następujące czynności:
  1. Zmodyfikuj plik Gpttmpl. inf dla domyślnych zasad kontrolerów domeny. Domyślnie domyślne zasady kontrolerów domeny to miejsce, w którym są zdefiniowane prawa użytkownika dla kontrolera domeny. Domyślnie plik Gpttmpl. inf dla domyślnych zasad kontrolerów domeny znajduje się w następującym folderze. Uwaga Folder SYSVOL może znajdować się w innej lokalizacji, ale ścieżka do pliku Gpttmpl. inf będzie taka sama. W przypadku kontrolerów domeny systemu Windows Server 2003: C:\WINDOWS\Sysvol\Sysvol\ <nazwa_domeny> \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf W przypadku kontrolerów domeny systemu Windows 2000 Server: C:\WINNT\Sysvol\Sysvol\ <nazwa_domeny> \Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. Po prawej stronie wpisu SeNetworkLogonRight Dodaj identyfikatory zabezpieczeń dla administratorów, dla użytkowników uwierzytelnionych i dla wszystkich. Zapoznaj się z poniższymi przykładami. W przypadku kontrolerów domeny systemu Windows Server 2003: SeNetworkLogonRight = * s-1-5-32-554, * s-1-5-9, * s-1-5-32-544, * s-1-1-0 W przypadku kontrolerów domeny systemu Windows 2000 Server: SeNetworkLogonRight = * s-1-5-11; * s-1-5-32-544, * s-1-1-0Uwaga : administratorzy (s-1-5-32-544), użytkownicy uwierzytelnieni (s-1-5-11), wszyscy (s-1-1-0) i kontrolery przedsiębiorstwa (s-1-5-9) używają dobrze znanych identyfikatorów zabezpieczeń, które są takie same w każdej domenie.
  3. Usuwanie wpisów po prawej stronie okna Pozycja SeDenyNetworkLogonRight (odmowa dostępu do tego komputera z sieci) w celu dopasowania do poniższego przykładu. SeDenyNetworkLogonRight = Uwaga Przykład jest taki sam dla systemu Windows 2000 Server i systemu Windows Server 2003. Domyślnie w systemie Windows 2000 Server nie ma wpisów we wpisie SeDenyNetworkLogonRight. Domyślnie system Windows Server 2003 zawiera tylko Support_ciągi znaków losowych w wpisie SeDenyNetworkLogonRight. (Support_ciągu losowo jest używana przez pomoc zdalną). Ponieważ Support_ciągi losowego używa różnych identyfikatorów zabezpieczeń (SID) w każdej domenie, konto nie jest łatwe do odróżnienia od typowego konta użytkownika tylko przez przeglądanie identyfikatora SID. Może być konieczne skopiowanie identyfikatora SID do innego pliku tekstowego, a następnie usunięcie identyfikatora SID z wpisu SeDenyNetworkLogonRight. W ten sposób można go przywrócić po zakończeniu rozwiązywania problemu. SeNetworkLogonRight i SeDenyNetworkLogonRight można zdefiniować w dowolnej zasadzie. Jeśli wykonanie powyższych czynności nie rozwiązało problemu, sprawdź plik Gpttmpl. inf w innych zasadach w katalogu SYSVOL, aby upewnić się, że nie są w nim definiowane prawa użytkownika. Jeśli plik Gpttmpl. inf nie zawiera odwołania do SeNetworkLogonRight lub SeDenyNetworkLogonRight, te ustawienia nie są zdefiniowane w zasadach, a te zasady nie powodują tego problemu. Jeśli te wpisy istnieją, upewnij się, że są one zgodne z ustawieniami wymienionymi we wcześniejszych dla domyślnych zasad kontrolera domeny.

Metoda 4: Sprawdź, czy atrybut DomainMode kontrolera domeny to 532480

  1. Kliknij przycisk Start, kliknij pozycję Uruchom, a następnie wpisz polecenie Adsiedit. msc.
  2. Rozwiń domenę NC, rozwiń węzeł DC =Domain, a następnie rozwiń węzeł OU = kontrolery domeny.
  3. Kliknij prawym przyciskiem myszy kontroler domeny, którego dotyczy problem, a następnie kliknij polecenie Właściwości.
  4. W systemie Windows Server 2003 kliknij, aby zaznaczyć pole wyboru Pokaż atrybuty obowiązkowe i pole wyboru Pokaż atrybuty opcjonalne na karcie Edytor atrybutów . W systemie Windows 2000 Server kliknij oba w polu Wybierz właściwości, które chcesz wyświetlić .
  5. W systemie Windows Server 2003 kliknij pozycję w poluatrybuty . W systemie Windows 2000 Server kliknij pozycję w obszarzeWybierz właściwość do wyświetlenia .
  6. Jeśli wartość nie jest równa 532480, należy wpisać 532480 w polu Edytuj atrybut kliknij pozycję Ustaw, kliknij przycisk Zastosuj, a następnie kliknij pozycję OK.
  7. Zamknij edytowanie ADSI.

Metoda 5: Rozwiązywanie obszaru Kerberos (Potwierdzanie, że klucz rejestru PolAcDmN i klucz rejestru PolPrDmN są zgodne)

Uwaga Ta metoda jest prawidłowa tylko dla systemu Windows 2000 Server.Ważne W tej sekcji, metodzie lub zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może być jednak przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Ze względów bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
  1. Uruchom Edytor rejestru.
  2. W okienku po lewej stronie rozwiń pozycję Zabezpieczenia.
  3. W menu zabezpieczenia kliknij polecenie Uprawnienia do przyznawania lokalnej grupie Administratorzy pełnej kontroli nad gałęzią zabezpieczeń oraz jej kontenerami i obiektami podrzędnymi.
  4. Znajdź klucz HKEY_LOCAL_MACHINE \SECURITY\Policy\PolPrDmN.
  5. W prawym okienku Edytora rejestru kliknij przycisk <bez nazwy>: wprowadzenie REG_NONE raz.
  6. W menu Widok kliknij polecenie Wyświetl dane binarne. W sekcji Formatowanie okna dialogowego kliknij pozycję bajt.
  7. Nazwa domeny jest wyświetlana w postaci ciągu po prawej stronie okna dialogowego dane binarne . Nazwa domeny jest taka sama jak obszar Kerberos.
  8. Znajdź klucz rejestru HKEY_LOCAL_MACHINE \SECURITY\Policy\PolACDmN.
  9. W prawym okienku Edytora rejestru kliknij dwukrotnie <bez nazwy>: REG_NONE wpis.
  10. W oknie dialogowym Edytor binarny wklej wartość z PolPrDmN. (Wartość z PolPrDmN będzie nazwą NetBIOS domeny).
  11. Uruchom ponownie kontroler domeny.

Metoda 6: Resetowanie hasła konta komputera, a następnie Uzyskiwanie nowego biletu Kerberos

  1. Zatrzymaj usługę centrum dystrybucji kluczy Kerberos, a następnie ustaw wartość uruchamiania na ręczny.
  2. Użyj narzędzia Netdom z narzędzi obsługi serwera Windows 2000 lub z narzędzi obsługi systemu Windows Server 2003, aby zresetować hasło do konta komputera kontrolera domeny: netdom resetpwd/Server:inny kontroler domeny/UserD: domain\administrator/passwordd:hasło administratora Upewnij się, że polecenie Netdom jest zwracane jako ukończone pomyślnie. Jeśli nie, polecenie nie działa. W przypadku domeny contoso, w której uszkodzony jest kontroler domeny DC1, a działający kontroler domeny to DC2, uruchom następujące polecenie netdoma z poziomu konsoli DC1: netdom resetpwd/Server: DC2/UserD: contoso\administrator/passwordd:hasło administratora
  3. Uruchom ponownie odpowiedni kontroler domeny.
  4. Uruchom usługę centrum dystrybucji kluczy Kerberos, a następnie ustaw dla ustawienia uruchamianie Automatyczne.
Aby uzyskać więcej informacji na temat tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
komunikat o błędzie "serwer nie działa" podczas próby otwarcia programu Exchange System Manager 325322 
284929 Nie można uruchomić przystawek usługi Active Directory; komunikat o błędzie z informacją, że nie można skontaktować się z administratorem w celu uwierzytelnienia 
257623 Sufiks DNS nazwy komputera nowego kontrolera domeny może być niezgodny z nazwą domeny po zainstalowaniu uaktualnienia podstawowego kontrolera domeny systemu Windows NT 4,0 do systemu Windows 2000 
257346 "Uzyskiwanie dostępu do tego komputera z sieci" — w prawo użytkownika nie działają narzędzia 
316710 Wyłączona dystrybucja kluczy Kerberos uniemożliwia uruchomienie usług programu Exchange 
329642 Komunikaty o błędach podczas otwierania przystawek usługi Active Directory i programu Exchange System Manager 
272686 Podczas otwierania przystawki Użytkownicy i komputery usługi Active Directory pojawiają się komunikaty o błędach 
323542 Nie można uruchomić narzędzia Użytkownicy i komputery usługi Active Directory, ponieważ serwer nie działa. 
329887 Nie można interakcyjnie pracować z przystawkami programu MMC Active Directory 
325465 Kontrolery domeny z systemem Windows 2000 wymagają dodatku SP3 lub nowszego podczas korzystania z narzędzi administracyjnych systemu Windows Server 2003 
322267 Usunięcie klienta sieci Microsoft Networks powoduje usunięcie innych usług 
297234 Między klientem a serwerem istnieje różnica czasu. 
247151 Użytkownicy domeny niższego poziomu mogą otrzymać komunikat o błędzie podczas uruchamiania przystawek programu MMC 
280833 Nie powiodło się określenie wszystkich stref DNS w kliencie proxy powoduje błędy DNS, które trudno śledzić 
322307 Nie można uruchomić usług programu Exchange lub przystawek usługi Active Directory po zainstalowaniu dodatku Service Pack 2 (SP2) dla systemu Windows 2000