O controlador de domínio não está funcionando corretamente

Aplica-se a: Windows Servers

Sintomas


Ao executar a ferramenta Dcdiag em um controlador de domínio baseado no Microsoft Windows Server 2000 ou no Windows Server 2003, você pode receber a seguinte mensagem de erro:
Diagnóstico do controlador de domínio
Realizando a configuração inicial:
[DC1] A associação LDAP falhou com o erro 31
Ao executar o utilitário REPADMIN/SHOWREPS localmente em um controlador de domínio, você poderá receber uma das seguintes mensagens de erro:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Erro LDAP 82 (Erro local).
Falha na última tentativa @ aaaa-mm-dd hh:mm.ss, resultado 1753: Não há mais pontos de extremidade disponíveis no mapeador de pontos de extremidade.
Falha na última tentativa @ aaaa-mm-dd hh:mm.ss, resultado 5: Acesso negado.



Se você usar os Serviços e Sites do Active Directory para disparar a replicação, poderá receber uma mensagem indicando o acesso negado.


Ao tentar usar recursos de rede do console de um controlador de domínio afetado, incluindo recursos UNC ou unidades de rede mapeadas, você pode receber a seguinte mensagem de erro:
Não há servidores de logon disponíveis (c000005e = "STATUS_NO_LOGON_SERVERS")
Se você iniciar qualquer ferramenta administrativa do Active Directory no console de um controlador de domínio afetado, incluindo Serviços e Sites do Active Directory e Usuários e Computadores Usuários e Computadores do Active Directory, poderá receber uma das seguintes mensagens de erro:
As informações de nomeação não podem ser localizadas, pois: Nenhuma autoridade pôde ser contatada para autenticação. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está online no momento.
As informações de nomeação não podem ser localizadas, pois: O nome da conta de destino está incorreto. Entre em contato com o administrador do sistema para verificar se o domínio está corretamente configurado e está online no momento.
Os clientes do Microsoft Outlook conectados a computadores com Microsoft Exchange Server que usam controladores de domínio afetados para autenticação podem ser solicitados a inserir credenciais de logon, mesmo que haja uma autenticação de logon bem-sucedida de outros controladores de domínio.

A ferramenta Netdiag talvez exiba as seguintes mensagens de erro:
Teste de lista DC. . . . . . . . . . . : Falhou
[AVISO] Não é possível chamar DsBind para <nome_do_servidor>.<fqdn> (<endereço ip>). [ERRO_CONTROLADOR_DE_DOMÍNIO_NÃO_ENCONTRADO]
Teste de Kerberos. . . . . . . . . . . : Falhou
[FATAL] O Kerberos não tem um tíquete para krbtgt/<fqdn>.

[FATAL] O Kerberos não tem um tíquete para <nome_do_host>.
Teste LDAP. . . . . . . . . . . . . : Passou
[AVISO] Falha ao consultar o registro SPN no DC <nome_do_host>\<fqdn>
O seguinte evento pode ser registrado no log de eventos do sistema do controlador de domínio afetado:

Resolução


Existem várias resoluções para esses sintomas. Veja a seguir uma lista de métodos para tentar. A lista acompanha etapas para realizar cada método. Experimente cada método até o problema ser resolvido. Artigos da Base de Dados de Conhecimento Microsoft que descrevem correções menos comuns para esses sintomas estão listados posteriormente.
  1. Método 1: Corrigir erros do Sistema de Nomes de Domínio (DNS).
  2. Método 2: Sincronizar o horário entre os computadores.
  3. Método 3: Verificar os direitos do usuário para Acesso a este computador pela rede.
  4. Método 4: Verifique se o atributo userAccountControl do controlador de domínio é 532480.
  5. Método 5: Corrigir o realm Kerberos (confirmar que as chaves do Registro PolAcDmN e PolPrDmN correspondem).
  6. Método 6: Redefinir a senha da conta de máquina e, em seguida, obter um novo tíquete Kerberos.

Método 1: Corrigir erros de DNS

  1. No prompt de comando, execute o comando netdiag -v. Esse comando cria um arquivo Netdiag.log na pasta em que o comando foi executado.
  2. Resolva quaisquer erros de DNS no arquivo Netdiag.log antes de continuar. A ferramenta Netdiag está disponível nas Ferramenta de Suporte do Windows 2000 Server, no CD-ROM do Windows 2000 Server, ou como um download. Para baixar as Ferramentas de Suporte do Windows 2000 Server, visite o seguinte site da Microsoft:
  3. Certifique-se de que o DNS esteja configurado corretamente. Um dos erros de DNS mais comuns é apontar o controlador de domínio para um provedor de serviços de Internet (ISP) para DNS em vez de apontar o DNS para si próprio ou para outro servidor DNS que ofereça suporte a atualizações dinâmicas e registros SRV. Recomendamos que você aponte o controlador de domínio para si próprio ou para outro servidor DNS que ofereça suporte para atualizações dinâmicas e registros SRV. Recomendamos que você configure encaminhadores ao ISP para obter a resolução de nomes na Internet.
Para obter mais informações sobre como configurar o DNS para o serviço de diretório Active Directory, clique nos números a seguir para visualizar os artigos correspondentes na Base de Dados de Conhecimento Microsoft:
291382 Perguntas frequentes sobre DNS do Windows 2000 e do Windows Server 2003

237675 Configurando o DNS para o Active Directory

254680 Planejamento de namespaces DNS

255248 Como criar um domínio filho no Active Directory e delegar o espaço para nome do DNS ao domínio filho

Método 2: Sincronizar o horário entre os computadores

Verifique se o horário está corretamente sincronizado entre os controladores de domínio. Além disso, verifique se o horário está corretamente sincronizado entre computadores clientes e controladores de domínio.

Para obter mais informações sobre como configurar o serviço de Horário do Windows, clique nos números a seguir para visualizar os artigos correspondentes na Base de Dados de Conhecimento Microsoft:
258059 Como sincronizar a data e a hora em um computador com o Windows 2000 em um domínio do Windows NT 4.0

216734 Como configurar um servidor de horário autoritativo no Windows 2000

Método 3: Verificar os direitos do usuário para "Acesso a este computador pela rede"

Modifique o arquivo Gpttmpl.inf para confirmar que os usuários apropriados têm o direito de usuário Acesso a este computador pela rede no controlador de domínio. Para fazer isso, siga estas etapas:
  1. Modifique o arquivo Gpttmpl.inf para a Política de Controladores de Domínio Padrão. Por padrão, a Política de Controladores de Domínio Padrão é onde os direitos dos usuários são definidos para um controlador de domínio. Por padrão, o arquivo Gpttmpl.inf da Política de Controladores de Domínio Padrão está localizado na seguinte pasta.

    Observação Sysvol pode estar em um local diferente, mas o caminho para o arquivo Gpttmpl.inf será o mesmo.

    Para controladores de domínio do Windows Server 2003:


    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Para controladores de domínio do Windows 2000 Server:


    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
  2. À direita da entrada SeNetworkLogonRight, adicione os identificadores de segurança para Administradores, Usuários Autenticados e Todos. Veja os exemplos a seguir.

    Para controladores de domínio do Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Para controladores de domínio do Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Observação Administradores (S-1-5-32-544), Usuários Autenticados (S-1-5-11), Todos (S-1-1-0) e Controladores Corporativos (S-1-5-9) usam identificadores de segurança conhecidos que são idênticos em todos os domínios.
  3. Remova todas as entradas à direita da entrada
    SeDenyNetworkLogonRight (Negar acesso a este computador pela rede) para que elas correspondam ao exemplo a seguir.

    SeDenyNetworkLogonRight =

    Observação O exemplo é o mesmo para o Windows 2000 Server e o Windows Server 2003.

    Por padrão, o Windows 2000 Server não possui entradas na entrada SeDenyNetworkLogonRight. Por padrão, o Windows Server 2003 possui apenas a conta Support_cadeia aleatória na entrada SeDenyNetworkLogonRight. (A conta Support_cadeia aleatória é usada pela Assistência Remota.) Como a conta Support_random string usa um SID (identificador de segurança) diferente em cada domínio, não é possível diferenciá-la facilmente de uma conta de usuário típica apenas observando o SID. Talvez você queira copiar o SID para outro arquivo de texto e, em seguida, remover o SID da entrada SeDenyNetworkLogonRight. Dessa forma, você poderá recolocá-lo quando terminar de solucionar o problema.

    SeNetworkLogonRight e SeDenyNetworkLogonRight podem ser definidos em qualquer política. Se as etapas anteriores não resolverem o problema, verifique o arquivo Gpttmpl.inf em outras políticas em Sysvol para confirmar que os direitos de usuários também não estão sendo definidos lá. Se um arquivo Gpttmpl.inf não contiver referências a SeNetworkLogonRight ou SeDenyNetworkLogonRight, essas configurações não estão definidas na política e, portanto, esta última não está causando o problema. Se essas entradas existem, certifique-se de que elas correspondam às configurações listadas anteriormente para a política de Controlador de Domínio Padrão.

Método 4: Verificar se o atributo userAccountControl do controlador de domínio é 532480

  1. Clique em Iniciar, Executar e digite adsiedit.msc.
  2. Expanda Domínio NC, expanda
    DC=domínio e depois expanda
    OU=Controladores de domínio.
  3. Clique com o botão direito do mouse no controlador de domínio afetado e depois clique em
    Propriedades.
  4. No Windows Server 2003, clique para marcar as caixas de seleção Mostrar atributos obrigatórios e Mostrar atributos opcionais na guia Editor de Atributos. No Windows 2000 Server, clique em Ambos na caixa Selecione as propriedades a serem exibidas.
  5. No Windows Server 2003, clique em
    userAccountControl na caixa Atributos. No Windows 2000 Server, clique em userAccountControl na caixa
    Selecione uma propriedade a ser exibida.
  6. Se o valor não for 532480, digite
    532480 na caixa Editar Atributo, clique em
    Definir, clique em Aplicar e depois em
    OK.
  7. Feche o Editor ADSI.

Método 5: Corrigir o realm Kerberos (confirmar que as chaves do Registro PolAcDmN e PolPrDmN correspondem)

Observação Esse método é válido apenas para o Windows 2000 Server.
Importante Este método, seção ou tarefa contém etapas que informam como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:
322756 Como fazer o backup e a restauração do Registro no Windows
  1. Inicie o Editor do Registro.
  2. No painel esquerdo, expanda
    Segurança.
  3. No menu Segurança, clique em
    Permissões para conceder ao grupo local Administradores o Controle Total sobre o hive SECURITY e seus contêineres e objetos filho.
  4. Localize a chave HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. No painel à direita do Editor do Registro, clique uma vez na entrada
    <No Name>: REG_NONE.
  6. No menu Exibir, clique em Exibir Dados Binários. Na seção Formato da caixa de diálogo, clique em Byte.
  7. O nome do domínio aparece como uma cadeia de caracteres no lado direito da caixa de diálogo Dados Binários. O nome do domínio é o mesmo que o realm Kerberos.
  8. Localize a chave do Registro HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. No painel à direita do Editor do Registro, clique duas vezes na entrada
    <No Name>: REG_NONE.
  10. Na caixa de diálogo Editor Binário, cole o valor de PolPrDmN. (O valor de PolPrDmN será o nome de domínio NetBIOS).
  11. Reinicie o controlador de domínio.

Método 6: Redefinir a senha da conta de máquina e, em seguida, obter um novo tíquete Kerberos

  1. Pare o serviço Centro de Distribuição de Chaves Kerberos e defina o valor de inicialização como Manual.
  2. Use a ferramenta Netdom nas Ferramentas de Suporte do Windows 2000 Server ou nas Ferramentas de Suporte do Windows Server 2003 para redefinir a senha da conta da máquina do controlador de domínio:

    netdom resetpwd /server:outro controlador de domínio/userd:domain\administrator /passwordd:senha do administrador

    Certifique-se de que o comando netdom seja retornado como concluído com êxito. Em caso negativo, significa que o comando não funcionou. Para o domínio Contoso, em que o controlador de domínio afetado é DC1 e um controlador de domínio de trabalho é DC2, você executa o seguinte comando netdom do console de DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:senha do administrador
  3. Reinicie o controlador de domínio afetado.
  4. Inicie o serviço Centro de Distribuição de Chaves Kerberos e defina a configuração de inicialização como Automático.

Para obter informações adicionais sobre este problema, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
325322 Mensagem de erro "O servidor não está operacional" quando você tenta abrir o Exchange System Manager

284929 A mensagem de erro Não é possível iniciar os snap-ins do Active Directory afirma que nenhuma autoridade pôde ser contatada para autenticação

257623 O sufixo DNS do nome do computador de um novo controlador de domínio pode não coincidir com o nome do domínio depois de instalar a atualização de um controlador de domínio primário do Windows NT 4.0 para o Windows 2000

257346 O direito de usuário "Acesso a este computador pela rede" faz com que as ferramentas não funcionem

316710 Distribuição de chave Kerberos desativada impede a inicialização dos serviços do Exchange

329642 Mensagens de erro quando você abre os snap-ins do Active Directory e o Exchange System Manager

272686 Mensagens de erro ocorrem quando o snap-in Usuários e Computadores do Active Directory é aberto

323542 Não é possível iniciar a ferramenta Usuários e Computadores do Active Directory porque o servidor não está operacional

329887 Não é possível interagir com snap-ins do MMC do Active Directory

325465 Controladores de domínio do Windows 2000 exigem o SP3 ou posteriores ao usar as ferramentas administrativas do Windows Server 2003

322267 Remover o Cliente para Redes Microsoft remove outros serviços

297234 Existe uma diferença de horário entre o cliente e o servidor

247151 Usuários de domínio de nível inferior podem receber uma mensagem de erro ao iniciarem snap-ins do MMC

280833 Uma falha ao especificar todas as zonas DNS no cliente proxy provoca falhas de DNS que são difíceis de rastrear

322307 Não é possível iniciar os Serviços do Exchange ou os snap-ins do Active Directory após a instalação do Service Pack 2 (SP2) para Windows 2000