Etki alanı denetleyicisi düzgün çalışmıyor

Belirtiler

Microsoft Windows 2000 Server veya Windows Server 2003 tabanlı bir etki alanı denetleyicisi üzerinde Dcdiag aracını çalıştırdığınızda, aşağıdaki hata iletisini alabilirsiniz:

DC Tanı
İlk kurulum gerçekleştiriliyor:
[DC1] LDAP bağlama 31 hatası ile başarısız oldu

REPADMIN /SHOWREPS yardımcı programını etki alanı denetleyicisi üzerinde yerel olarak çalıştırdığınızda, aşağıdaki hata iletilerinden birini alabilirsiniz:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP hatası 82 (Yerel Hata).

Son deneme @ yyyy-mm-dd hh:mm.ss başarısız oldu, sonuç 1753: Son nokta eşleştiricisinden kullanılabilecek başka hiçbir son nokta yok.

Son deneme @ yyyy-mm-dd hh:mm.ss başarısız oldu, sonuç 5: Erişim reddedildi.



Çoğaltmayı tetiklemek için Active Directory Siteleri ve Hizmetleri kullanıyorsanız, erişimin reddedildiğini belirten bir ileti alabilirsiniz.


Etkilenen bir etki alanı denetleyicisinin konsolundan Evrensel Adlandırma Kuralı (UNC) kaynakları veya eşleşen ağ sürücüleri dahil ağ kaynaklarını kullanmayı denediğinizde, aşağıdaki hata iletisini alabilirsiniz:

Kullanılabilir oturum açma sunucusu yok (c000005e = "STATUS_NO_LOGON_SERVERS")

Etkilenen bir etki alanı denetleyicisinin konsolundan Active Directory Siteleri ve Hizmetleri ile Active Directory Kullanıcıları ve Bilgisayarları dahil herhangi bir Active Directory yönetim aracını başlatırsanız aşağıdaki hata iletilerinden birini alabilirsiniz:

Adlandırma bilgileri bulunamıyor, nedeni: Kimlik doğrulaması için hiçbir yetkiliyle bağlantı kurulamadı. Etki alanınızın düzgün yapılandırıldığını ve şu anda çevrimiçi olduğunu doğrulamak için sistem yöneticinize başvurun.

Adlandırma bilgileri bulunamıyor, nedeni: Hedef hesap adı doğru değil. Etki alanınızın düzgün yapılandırıldığını ve şu anda çevrimiçi olduğunu doğrulamak için sistem yöneticinize başvurun.

Kimlik doğrulaması için sorundan etkilenen etki alanı denetleyicilerini kullanan Microsoft Exchange Server bilgisayarlarına bağlı olan Microsoft Outlook istemcilerinden, diğer etki alanı denetleyicilerinden başarılı oturum kimliği doğrulaması gelse bile, oturum açma kimlik bilgileri istenebilir.

Netdiag aracı aşağıdaki hata iletilerini görüntüleyebilir:

DC listesi sınaması. . . . . . . . . . . : Başarısız
[UYARI] DsBind'ı <servername>.<fqdn>'ye arama başarısız (<ip adresi>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos sınaması. . . . . . . . . . . : Başarısız
[FATAL] Kerberos'un krbtgt/<fqdn> için bir bileti yok.

[FATAL] Kerberos'un <hostname> için bir bileti yok.
LDAP testi. . . . . . . . . . . . . : Geçti
[UYARI] DC üzerinde SPN kaydı sorgusu başarısız oldu <hostname>\<fqdn>

Etkilenen etki alanı denetleyicisinin sistem olay günlüğüne aşağıdaki olay kaydedilebilir:

Çözüm

Bu belirtilerin birkaç çözümü vardır. Aşağıda denenebilecek yöntemler listelenmiştir. Listeyi, her yöntemin uygulama adımları izlemektedir. Sorun çözülene dek her yöntemi deneyin. Bu belirtiler için daha az yaygın olan çözümlerin anlatıldığı Microsoft Bilgi Bankası makaleleri daha sonra listelenmiştir.

  1. Yöntem 1: Etki Alanı Ad Sistemi (DNS) hatalarını giderme.

  2. 2. Yöntem: Bilgisayarlar arasında saati eşitleme.

  3. Yöntem 3: Bu bilgisayara ağ üzerinden erişim kullanıcı haklarını kontrol edin.

  4. Yöntem 4: Etki alanı denetleyicisinin userAccountControl özniteliğinin 532480 olduğunu doğrulayın.

  5. Yöntem 5: Kerberos alanı sorunlarını giderme (PolAcDmN kayıt defteri anahtarı ile PolPrDmN kayıt defteri anahtarının eşleştiğini onaylama).

  6. Yöntem 6: Makine hesabı parolasını sıfırlayın ve sonra yeni bir Kerberos anahtarı edinin.

Yöntem 1: DNS hatalarını düzeltme

  1. Komut isteminde, netdiag -v komutunu çalıştırın. Bu komut, çalıştırıldığı klasör içinde bir Netdiag.log dosyası oluşturur.

  2. Devam etmeden önce, varsa Netdiag.log dosyasındaki hataları çözümleyin. Netdiag aracı Windows 2000 Server CD-ROM'u üzerindeki Windows 2000 Server Destek Araçları içindedir veya karşıdan da yüklenebilir.

  3. DNS'in doğru yapılandırıldığından emin olun. En yaygın DNS hatalarından biri, DNS için etki alanı denetleyicisinin kendini işaret etmek yerine veya dinamik güncelleştirmeleri ve SRV kayıtlarını destekleyen başka bir DNS sunucusunu işaret etmek yerine, bir Internet Servis Sağlayıcısını (ISS) işaret etmesidir. Etki alanı denetleyicisini kendine veya dinamik güncelleştirmeleri ve SRV kayıtlarını destekleyen başka bir DNS sunucusuna yönlendirmeniz önerilir. Internet'te ad çözümlemesi için ISS'ye ileticileri ayarlamanızı öneririz.

Active Directory dizin hizmeti için DNS'yi yapılandırma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

Windows 2000 DNS ve Windows Server 2003 DNS hakkında sık sorulan sorular
 

Active Directory için Etki Alanı Ad Sistemini Kurmak
 

DNS ad alanı planlama
 

Active Directory'de alt etki alanı nasıl oluşturulur ve alt etki alanına nasıl DNS ad alanı atanır
 

2. Yöntem: Bilgisayarlar arasında saati eşitleme.

Saatin etki alanı denetleyicileri arasında doğru eşitlendiğini doğrulayın. Ayrıca, saatin istemci bilgisayarlar ve etki alanı denetleyicileri arasında doğru bir şekilde eşitlendiğini doğrulayın.

Windows Saat hizmetini yapılandırmak hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

Windows NT 4.0 etki alanındaki bir Windows 2000 tabanlı bilgisayarda saat nasıl eşitlenir
 

Windows 2000'de yetkili zaman sunucusu yapılandırma
 

Yöntem 3: "Bu bilgisayara ağ üzerinden eriş" kullanıcı haklarını kontrol edin

Etki alanı denetleyicisinde doğru kullanıcıların Bu bilgisayara ağ üzerinden eriş kullanıcı hakkına sahip olduğunu onaylamak için, Gpttmpl.inf dosyasını değiştirin. Bunu yapmak için aşağıdaki adımları izleyin:

  1. Varsayılan Etki Alanı Denetleyicileri İlkesi'nin Gpttmpl.inf dosyasını değiştirin. Varsayılan olarak, Varsayılan Etki Alanı Denetleyicileri İlkesi etki alanı denetleyicisi için kullanıcı haklarının tanımlandığı yerdir. Varsayılan olarak, Varsayılan Etki Alanı Denetleyicileri İlkesi'nin Gpttmpl.inf dosyası aşağıdaki klasörde bulunur.

    Not Sysvol farklı bir konumda olabilir ama Gpttmpl.inf dosyasının yolu aynı olacaktır.

    Windows Server 2003 etki alanı denetleyicileri için:


    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Windows 2000 Server tabanlı etki alanı denetleyicileri için:


    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. SeNetworkLogonRight girişinin sağına, Yöneticiler, Kimlik Doğrulaması Yapılan Kullanıcılar ve Herkes için güvenlik tanımlayıcıları ekleyin. Aşağıdaki örneklere bakın.

    Windows Server 2003 etki alanı denetleyicileri için:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Windows 2000 Server tabanlı etki alanı denetleyicileri için:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Not Yöneticiler (S-1-5-32-544), Kimlik Doğrulaması Yapılan Kullanıcılar (S-1-5-11), Herkes (S-1-1-0) ve Kurumsal Denetleyiciler (S-1-5-9) her etki alanında aynı olan tanınmış güvenlik tanımlayıcılarını kullanır.

  3. Sağındaki bütün girişleri kaldırın:
    SeDenyNetworkLogonRight girişi (Ağdan bu bilgisayara erişimi reddet) aşağıdaki örneğe uymalı.

    SeDenyNetworkLogonRight =

    Not Bu örnek Windows 2000 Server ve Windows Server 2003 için aynıdır.

    Varsayılan olarak, SeDenyNetworkLogonRight girişinde Windows 2000 Server'ın hiçbir girişi yoktur. Varsayılan olarak, SeDenyNetworkLogonRight girişinde Windows Server 2003'ün yalnızca Support_random string hesabı vardır. (Support_random string hesabı Uzaktan Yardım tarafından kullanılır.) Support_random string hesabı her etki alanında farklı bir güvenlik tanımlayıcısı (SID) kullandığı için, bu hesap, tipik bir kullanıcı hesabından sadece SID'ye bakarak kolayca ayırt edilemez. SID'yi başka bir metin dosyasına kopyalayabilir ve ardından SeDenyNetworkLogonRight girdisinden SID'yi kaldırabilirsiniz. Bu şekilde, sorunu gidermeyi tamamladığınızda geri koyabilirsiniz.

    SeNetworkLogonRight ve SeDenyNetworkLogonRight herhangi bir ilke içinde tanımlanabilir. Yukarıdaki adımlar sorunu çözmezse, kullanıcı haklarının da orada tanımlanmadığını doğrulamak için, Sysvol'deki diğer ilkelerde Gpttmpl.inf dosyasını denetleyin. Gpttmpl.inf dosyası SeNetworkLogonRight veya SeDenyNetworkLogonRight girdisine bir başvuru içermiyorsa, o ayarlar ilkede tanımlanmaz ve o ilke bu soruna neden olmuyor demektir. Bu girdiler varsa, bunların Varsayılan Etki Alanı Denetleyicisi ilkesinin daha önce listelenen ayarlarıyla eşleştiğinden emin olun.

Yöntem 4: Etki alanı denetleyicisinin userAccountControl özniteliğinin 532480 olduğunu doğrulayın

  1. Başlat'ı tıklayın, Çalıştır'ı tıklayın ve adsiedit.msc yazın.

  2. Etki Alanı NC'yi genişletin, genişletin
    DC=etki alanı, ve daha sonra genişletin
    OU=Etki Alanı Denetleyicileri.

  3. Etkilenen etki alanı denetleyicisini sağ tıklayın ve sonra tıklayın:
    Özellikler'e tıklayın.

  4. Windows Server 2003'te, Öznitelik Düzenleyicisi sekmesinde Zorunlu öznitelikleri göster onay kutusunu ve İsteğe bağlı öznitelikleri göster onay kutusunu tıklayıp seçin. Windows 2000 Server'da, Görüntülenecek bir özellik seç kutusunda Her İkisi seçeneğini tıklayın.

  5. Windows Server 2003'te, tıklayın:
    Öznitelikler kutusunda userAccountControl. Windows 2000 Server'da userAccountControl'u tıklatın
    Görüntülemek için bir özellik seçin kutusu.

  6. Değer 532480 değilse, yazın:
    Özniteliği Düzenle kutusunda 532480, tıklayın:
    Ayarla'ya, ardından Uygula'ya tıklayın.
    Tamam'a tıklayın.

  7. ADSI Düzenleme'den çıkın.

Yöntem 5: Kerberos alanı sorunlarını giderme (PolAcDmN kayıt defteri anahtarı ile PolPrDmN kayıt defteri anahtarının eşleştiğini onaylama)

Not Bu yöntem yalnızca Windows 2000 Server için geçerlidir.
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz, önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasına tıklayın:

Windows'ta kayıt defterini yedekleme ve geri yükleme

  1. Kayıt Defteri Düzenleyicisi'ni başlatın.

  2. Soldaki bölmede, genişletin
    Güvenlik.

  3. Güvenlik menüsünde, tıklayın:
    Yöneticiler yerel grubuna, GÜVENLİK kovanının ve onun alt kapsayıcı ve nesneleri için Tam Denetim izni vermek üzere İzinler'i tıklayın.

  4. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN anahtarını bulun.

  5. Kayıt Defteri Düzenleyicisi penceresinin sağ bölmesinde, tıklayın:
    <İsim Yok>: REG_NONE girişi bir kez.

  6. Görünüm menüsünde, İkili Veriyi Göster'i tıklayın. Diyalog kutusunun Biçimlendirme bölümünde Bayt'ı tıklayın.

  7. Etki alanı adı, İkili Veri iletişim kutusunun sağ tarafında bir dize olarak görünür. Etki alanı adı Kerberos erişim alanı ile aynıdır.

  8. HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN kayıt defteri anahtarını bulun.

  9. Kayıt Defteri Düzenleyicisi penceresinin sağ bölmesinde, çift tıklayın:
    <İsim Yok>: REG_NONE girişi.

  10. İkili Düzenleyicisi iletişim kutusunda, PolPrDmN'den değeri yapıştırın. (PolPrDmN değeri NetBIOS etki alanı adı olacaktır).

  11. Etki alanı denetleyicisini yeniden başlatın.

Yöntem 6: Makine hesabı parolasını sıfırlayın ve sonra yeni bir Kerberos anahtarı edinin

  1. Kerberos Anahtar Dağıtım Merkezi hizmetini durdurun ve başlangıç değerini manuel olarak ayarlayın.

  2. Etki alanı denetleyicisinin makine hesap parolasını sıfırlamak için Windows 2000 Server Destek Araçları'ndan veya Windows Server 2003 Destek Araçları'ndan Netdom aracını kullanın:

    netdom resetpwd /server:başka bir etki alanı denetleyicisi/userd:domain\administrator /passwordd:administrator password

    Netdom komutunun başarıyla tamamlanmış olarak döndüğünden emin olun. Böyle dönmezse, komut çalışmamış demektir. Etkilenen etki alanı denetleyicisinin DC1 ve çalışan etki alanı denetleyicisinin DC2 olduğu Contoso etki alanı için aşağıdaki netdom komutunu DC1 konsolundan çalıştırırsınız:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:administrator password

  3. Etki alanı denetleyicisini yeniden başlatın.

  4. Kerberos Anahtar Dağıtım Merkezi hizmetini başlatın ve başlangıç ayarını Otomatik olarak ayarlayın.


Bu sorun hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:

Exchange Sistem Yöneticisi'ni açmayı denediğinizde "Sunucu çalışmıyor" hata iletisi
 

Active Directory ek bileşenleri başlatılamıyor; hata iletisi kimlik doğrulaması için hiçbir otorite ile iletişim kurulamadığını belirtir
 

Windows NT 4.0 Birincil etki alanı denetleyicisini Windows 2000'e yükselttikten sonra, yeni bir etki alanı denetleyicisinin bilgisayar adının DNS soneki etki alanının adıyla eşleşmeyebilir
 

"Bu Bilgisayara Ağdan Eriş" kullanıcı hakkı araçların çalışmamasına neden olur
 

Devre dışı bırakılmış Kerberos anahtar dağıtımı Exchange hizmetlerinin başlamasını engeller
 

Active Directory ek bileşenlerini ve Exchange System Manager'ı açtığınızda görebileceğiniz hata iletileri
 

Active Directory Kullanıcıları ve Bilgisayarlarına ait ek bileşenler açıldığında oluşabilecek hata iletileri
 

Sunucu çalışmadığı için Active Directory Kullanıcı ve Bilgisayarları aracını başlatamazsınız
 

Active Directory MMC ek bileşenleri ile etkileşim kuramazsınız
 

Windows Server 2003 yönetimsel araçları kullanılırken, Windows 2000 etki alanı denetleyicileri için SP3 veya sonraki sürüm gerekir
 

Microsoft Ağları için İstemciyi Kaldırma diğer hizmetleri kaldırıyor
 

İstemci ile sunucu arasında saat farkı var
 

Alt düzey etki alanı kullanıcıları MMC ek bileşenlerini başlatırken bir hata iletisi alabilir
 

Proxy istemcisindeki tüm DNS bölgelerinin belirtilmemesi, izlenmesi zor olan DNS hatalarına yol açar
 

Windows 2000 için Service Pack 2 (SP2) yükledikten sonra Exchange Hizmetlerini veya Active Directory ek bileşenlerini başlatamazsınız
 

Daha fazla yardıma mı ihtiyacınız var?

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Microsoft Insider 'a katılın

Bu bilgi yardımcı oldu mu?

Geri bildiriminiz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×