Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Bộ bộ kiểm soát miền không hoạt động đúng

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 837513
Triệu chứng
Khi bạn chạy các công cụ Dcdiag trên Microsoft Windows Bộ điều khiển tên miền dựa trên 2000-server hoặc trên một tên miền dựa trên Windows Server 2003 bộ điều khiển, bạn có thể nhận được thông báo lỗi sau:
DC chẩn đoán
Thực hiện các thiết lập ban đầu:
[DC1] giới hạn trên LDAP thất bại với lỗi 31
Khi bạn chạy tiện ích REPADMIN /SHOWREPS tại địa phương trên một bộ điều khiển tên miền, bạn có thể nhận được một trong các thông báo lỗi sau đây:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP lỗi 82 (địa phương lỗi).
Cố gắng cuối @ yyyy-mm-dd hh:mm.ss thất bại, kết quả 1753: không có không có hai điểm cuối thêm có sẵn từ công cụ bản đồ điểm cuối.
Cố gắng cuối @ yyyy-mm-dd hh:mm.ss thất bại, kết quả 5: truy cập bị từ chối.
Nếu bạn sử dụng hoạt động mục tin thư thoại các web site và bản ghi dịch vụ để kích hoạt đồng gửi, bạn có thể nhận được một tin thư thoại mà chỉ ra rằng truy cập bị từ chối.

Khi bạn cố gắng sử dụng tài nguyên mạng từ giao diện điều khiển một bộ điều khiển tên miền bị ảnh hưởng, trong đó đặt tên phổ quát Nguồn lực ước (UNC) hoặc ổ đĩa mạng đã ánh xạ, bạn có thể nhận được các thông báo lỗi sau:
Không có kí nhập máy chủ có sẵn (c000005e = "STATUS_NO_LOGON_SERVERS")
Nếu bạn Bắt đầu bất kỳ hoạt động mục tin thư thoại công cụ quản trị từ bàn điều khiển của một tên miền bị ảnh hưởng bộ điều khiển, bao gồm cả hoạt động mục tin thư thoại các web site và các bản ghi dịch vụ và các hoạt động mục tin thư thoại Người sử dụng và máy tính, bạn có thể nhận được một trong các thông báo lỗi sau đây:
Đặt tên thông tin không thể được vị trí bởi vì: không có thẩm quyền có thể được liên lạc cho xác thực. Liên hệ với hệ thống của bạn quản trị viên để kiểm chứng rằng tên miền của bạn được cấu hình đúng và hiện nay đang online.
Đặt tên thông tin không thể tọa lạc vì: tên tài khoản đích không chính xác. Liên hệ với hệ thống của bạn quản trị viên để kiểm chứng rằng tên miền của bạn được cấu hình đúng và hiện nay đang online.
Máy sử dụng Microsoft Outlook mà được kết nối với Microsoft Exchange Server máy tính đang sử dụng bộ bộ kiểm soát miền bị ảnh hưởng nhắc cho xác thực có thể được nhập ủy nhiệm kí nhập, mặc dù có kí nhập thành công xác thực từ các bộ bộ kiểm soát miền.

Các Netdiag công cụ có thể hiển thị các thông báo lỗi sau đây:
DC danh sách kiểm tra........... : Thất bại
[WARNING] Không thể gọi DsBind để <servername>.<fqdn> (<ip address="">). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] </ip></fqdn></servername>
Thử nghiệm Kerberos........... : Thất bại
[GÂY TỬ VONG] Kerberos không có một vé để krbtgt /<fqdn>. </fqdn>
[GÂY TỬ VONG] Kerberos không có một vé để <hostname>.<b00> </b00> </hostname>
LDAP test. . . . . . . . . . . . . : Thông qua
[WARNING] Không thể truy vấn SPN kiểm nhập vào DC <hostname>\<fqdn> </fqdn> </hostname>
Các sau sự kiện có thể được đăng trong sổ ghi sự kiện Hệ thống Tên Miền bị ảnh hưởng điều khiển:

Loại sự kiện: lỗi
Sự kiện Nguồn: Bộ điều khiển bản ghi dịch vụ
Tổ chức sự kiện ID: 7023
Mô tả: các bản ghi dịch vụ trung tâm phân phối khóa Kerberos chấm dứt với lỗi sau: Bảo mật tài khoản quản lý (SAM) hoặc an ninh địa phương máy chủ quyền (LSA) bang sai để thực hiện các hoạt động an ninh.

Giải pháp
Có rất nhiều nghị quyết cho những triệu chứng này. Các sau đây là danh sách các phương pháp để thử. Danh sách các tiếp theo là bước để thực hiện mỗi phương pháp. Cố gắng mỗi phương pháp cho đến khi vấn đề được giải quyết. Kiến thức Microsoft Bài viết cơ sở mô tả bản sửa lỗi ít phổ biến hơn cho những triệu chứng này được liệt kê sau đó.
  1. Phương pháp 1: Sửa chữa Hệ thống Tên Miền (DNS) lỗi.
  2. Phương pháp 2: Đồng bộ hóa thời gian giữa máy vi tính.
  3. Phương pháp 3: Kiểm tra các Truy cập vào máy tính này từ các mạng quyền của người dùng.
  4. Phương pháp 4: Xác minh rằng bộ điều khiển tên miền thuộc tính userAccountControl là 532480.
  5. Cách 5: Sửa chữa các lĩnh vực Kerberos (xác nhận rằng PolAcDmN khóa registry và khóa sổ kiểm nhập PolPrDmN phù hợp).
  6. Phương pháp 6: Đặt lại mật khẩu trương mục máy tính, và sau đó có được một vé Kerberos mới.

Phương pháp 1: Sửa chữa lỗi DNS

  1. Một dấu kiểm nhắc lệnh, hãy chạy lệnh netdiag - v . Lệnh này tạo ra một tập tin Netdiag.log trong mục tin thư thoại nơi lệnh được chạy.
  2. Giải quyết bất kỳ lỗi DNS trong tập tin Netdiag.log trước khi bạn tiếp tục.
  3. Hãy chắc chắn rằng DNS được cấu hình đúng. Một trong những sai lầm thường gặp DNS là để chỉ bộ điều khiển tên miền cho một bản ghi dịch vụ Internet Nhà cung cấp (ISP) cho DNS thay vì chỉ DNS chính nó hoặc một DNS máy chủ hỗ trợ Cập Nhật năng động và bản bản ghi SRV. Chúng tôi đề nghị bạn chỉ bộ điều khiển tên miền chính nó hoặc đến một máy chủ DNS có hỗ trợ Cập Nhật năng động và bản bản ghi SRV. Chúng tôi đề nghị bạn thiết lập forwarders để các ISP cho độ phân giải tên trên Internet.
Để biết thêm thông tin về cấu hình DNS cho bản ghi dịch vụ mục tin thư thoại Thư mục Họat động, bấm các số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
291382câu hỏi thường gặp về Windows 2000 DNS và Windows Server 2003 DNS
237675 Thiết lập Hệ thống Tên Miền cho Thư mục Họat động
254680 Quy hoạch không gian tên DNS
255248 Làm thế nào để tạo một tên miền con trong Thư mục Họat động và phân bổ không gian tên DNS tên miền con

Phương pháp 2: Đồng bộ hóa thời giangiữa các máy tính

Kiểm chứng rằng đó là một cách chính xác đồng bộ giữa tên miền bộ điều khiển. Ngoài ra, xác minh rằng đó là một cách chính xác đồng bộ giữa các máy tính khách và bộ bộ kiểm soát miền.

Cho biết thêm thông tin về làm thế nào để cấu hình các bản ghi dịch vụ thời gian Windows, bấm vào sau bài viết số để xem các bài viết trong cơ sở kiến thức Microsoft:
258059Làm thế nào để đồng bộ hóa thời gian trên một máy tính dựa trên Windows 2000 trong một tên miền Windows NT 4.0
216734 Làm thế nào để cấu hình máy phục vụ thời gian có thẩm quyền trong Windows 2000

Phương pháp 3: Kiểm tra quyền người dùng "Truy cập vào máy tính này từ mạng"

Sửa đổi các tập tin Gpttmpl.inf để xác nhận rằng những người sử dụng thích hợp có những Truy cập vào máy tính này từ mạng người sử dụng ngay trên bộ điều khiển tên miền. Để làm điều này, hãy làm theo các bước sau:
  1. Chỉnh sửa Gpttmpl.inf file cho tên miền mặc định Bộ điều khiển chính sách. theo mặc định, các chính sách mặc định bộ điều khiển tên miền là nơi quyền người dùng được định nghĩa cho một bộ điều khiển tên miền. theo mặc định, Gpttmpl.inf tệp cho chính sách mặc định bộ điều khiển tên miền nằm ở đây mục tin thư thoại.

    Lưu ý Sysvol có thể ở một vị trí khác nhau, nhưng đường dẫn cho các Gpttmpl.inf tập tin sẽ là như vậy.

    Cho Windows Server 2003 tên miền bộ điều khiển:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Cho bộ kiểm soát miền Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf</Domainname></Domainname>
  2. Ở bên phải của các mục nhập SeNetworkLogonRight, thêm các số định danh an ninh cho quản trị viên, cho người sử dụng xác thực, và cho Tất cả mọi người. Xem các ví dụ sau.

    Cho Windows Server 2003 tên miền bộ điều khiển:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Cho Windows Bộ bộ kiểm soát miền phục vụ năm 2000:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Lưu ý Quản trị viên (S-1-5-32-544), xác thực người dùng (S-1-5-11), Tất cả mọi người (S-1-1-0), và bộ điều khiển Enterprise (S-1-5-9) sử dụng nổi tiếng số định danh an ninh là giống nhau trong mỗi tên miền.
  3. Loại bỏ bất kỳ mục bên phải của cácSeDenyNetworkLogonRight mục (từ chối truy cập vào máy tính này từ mạng) để phù hợp với sau Ví dụ.

    SeDenyNetworkLogonRight =

    Lưu ý Ví dụ khác là như nhau cho Windows 2000 Server và Windows Server 2003.

    theo mặc định, Windows 2000 Server có khoản mục nào trong các Mục nhập SeDenyNetworkLogonRight. theo mặc định, Windows Server 2003 có chỉ các Support_chuỗi ngẫu nhiên tài khoản trong các Mục nhập SeDenyNetworkLogonRight. (Support_ngẫu nhiên chuỗi tài khoản được sử dụng bởi hỗ trợ từ xa.) Bởi vì các Support_chuỗi ngẫu nhiên tài khoản sử dụng một khác nhau số định danh an ninh (SID) trong mỗi tên miền, tài khoản là không dễ dàng phân biệt từ một tài khoản người sử dụng điển hình chỉ bằng cách nhìn vào SID. Bạn có thể muốn sao chép SID vào một tập tin văn bản, và sau đó loại bỏ SID từ các Mục nhập SeDenyNetworkLogonRight. Bằng cách đó, bạn có thể đưa nó trở lại khi bạn đang hoàn thành gỡ rối vấn đề.

    SeNetworkLogonRight và SeDenyNetworkLogonRight có thể được định nghĩa trong bất kỳ chính sách. Nếu các bước trước đó làm không giải quyết vấn đề, hãy kiểm tra các tập tin Gpttmpl.inf trong các chính sách khác trong Sysvol để xác nhận rằng các quyền của người dùng không cũng được định có. Nếu một Gpttmpl.inf tập tin chứa không có tài liệu tham khảo để SeNetworkLogonRight hoặc SeDenyNetworkLogonRight, những thiết đặt này không được định nghĩa trong chính sách này và đó chính sách không gây ra vấn đề này. Nếu những mục tồn tại, hãy chắc chắn rằng họ phù hợp với các cài đặt chuyên biệt được liệt kê trước cho bộ bộ kiểm soát miền mặc định chính sách.

Phương pháp 4: Xác minh rằng thuộc tính userAccountControl của bộ điều khiển tên miền là 532480

  1. Nhấp vào Bắt đầu, bấm Chạy, và sau đó gõ Adsiedit.msc.
  2. Mở rộng Tên miền NC, mở rộngDC =tên miền, và sau đó mở rộngOU = bộ kiểm soát miền.
  3. Bấm chuột phải vào bộ điều khiển tên miền bị ảnh hưởng, và sau đó nhấp vàoThuộc tính.
  4. Trong Windows Server 2003, nhấn vào đây để chọn các Hiển thị thuộc tính bắt buộc hộp kiểm và các Hiển thị tùy chọn thuộc tính hộp kiểm tra trên các Thuộc tính Editor tab. Trong Windows 2000 Server, bấm Cả hai trong các Chọn tài sản để xem hộp.
  5. Trong Windows Server 2003, hãy nhấp vàouserAccountControl trong các Thuộc tính hộp. Trong Windows 2000 Server, bấm userAccountControl trong cácChọn một tài sản để xem hộp.
  6. Nếu giá trị không phải là 532480, loại532480 trong các Chỉnh sửa thuộc tính hộp, bấm vàoThiết lập, bấm Áp dụng, và sau đó nhấp vàoOk.
  7. Bỏ chỉnh sửa ADSI.

Cách 5: Sửa chữa các lĩnh vực Kerberos (xác nhận rằng khóa sổ kiểm nhập PolAcDmN và kiểm nhập PolPrDmN chính phù hợp)

Lưu ý Phương pháp này là hợp lệ chỉ cho Windows 2000 Hệ phục vụ.
Quan trọng Phần này, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để thay đổi sổ kiểm nhập. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ được thêm vào, sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ kiểm nhập, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows
  1. Bắt đầu Registry Editor.
  2. Trong ngăn bên trái, mở rộngAn ninh.
  3. Trên các An ninh trình đơn, nhấp vàomức cấp phép để cấp quản trị viên địa phương nhóm đầy đủ Kiểm soát của hive an ninh và thùng chứa con và đối tượng của nó.
  4. Xác định vị trí HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN baám nhấn xuống phím.
  5. Trong ngăn bên phải của Registry Editor, bấm các<No name="">: REG_NONE</No> nhập một thời gian.
  6. Trên các Xem trình đơn, nhấp vào Hiển thị Dữ liệu nhị phân. Trong các Định dạng phần của hộp thoại, Nhấp vào Byte.
  7. Tên miền sẽ xuất hiện như là một chuỗi ở phía bên phải các Dữ liệu nhị phân hộp thoại. Tên miền là giống như các Lĩnh vực Kerberos.
  8. Xác định vị trí HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN khóa sổ kiểm nhập.
  9. Trong ngăn bên phải của Registry Editor, bấm đúp vào các<No name="">: REG_NONE</No> mục nhập.
  10. Trong các Biên tập viên nhị phân hộp thoại, dán các giá trị từ PolPrDmN. (Giá trị từ PolPrDmN sẽ vùng NetBIOS tên).
  11. Khởi động lại máy bộ kiểm soát miền.

Phương pháp 6: Đặt lại mật khẩu trương mục máy tính, và sau đó có được một vé Kerberos mới

  1. Dừng bản ghi dịch vụ trung tâm phân phối Kerberos chìa khóa, và sau đó đặt giá trị khởi động hướng dẫn.
  2. Sử dụng các công cụ Netdom từ Windows 2000 Server hỗ trợ Công cụ hoặc từ Windows Server 2003 hỗ trợ công cụ để đặt lại tên miền mật khẩu trương mục của bộ điều khiển của máy:

    netdom resetpwd /Server:một bộ bộ kiểm soát miền/userd:domain\administrator /passwordd:người quản trị mật khẩu

    Hãy chắc chắn rằng lệnh netdom được trả lại khi hoàn tất thành công. Nếu không, các lệnh không làm việc. Tên miền Contoso, nơi mà bộ kiểm soát miền bị ảnh hưởng là DC1, và một làm việc điều khiển tên miền là DC2, bạn chạy lệnh netdom từ bàn điều khiển của DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:người quản trị mật khẩu
  3. Khởi động lại máy bộ kiểm soát miền bị ảnh hưởng.
  4. Khởi động bản ghi dịch vụ Kerberos Key trung tâm phân phối, và sau đó thiết lập các thiết lập khởi động để Tự động.

Để biết thêm thông tin về vấn đề này, Nhấp vào số bài viết sau để xem các bài viết trong Microsoft Kiến thức cơ bản:
325322"Máy chủ không phải là hoạt động" báo lỗi khi bạn cố gắng mở bộ quản lý hệ thống trao đổi
284929 Không thể khởi động Thư mục Họat động snap-in; thông báo lỗi nói rằng không có thẩm quyền có thể được liên lạc cho xác thực
257623 Hậu tố DNS tên máy tính của bộ điều khiển tên miền mới có thể không khớp với tên miền sau khi bạn cài đặt chuyên biệt nâng cấp bộ kiểm soát miền Windows NT 4.0 chính để Windows 2000
257346 Người sử dụng "Truy cập này máy tính từ mạng" đúng nguyên nhân công cụ không làm việc
316710 Vô hiệu hoá phân phối khóa Kerberos ngăn trao đổi bản ghi dịch vụ Bắt đầu
329642 Thông báo lỗi khi bạn mở mục tin thư thoại hoạt động snap-in và Bộ quản lý Hệ thống Exchange
272686 Lỗi xảy ra khi người dùng mục tin thư thoại hoạt động và máy tính-theo mở
323542 Bạn không thể Bắt đầu công cụ hoạt động mục tin thư thoại người dùng và máy tính bởi vì máy chủ không hoạt động
329887 Bạn không thể tương tác với hoạt động mục tin thư thoại MMC snap-in
325465 Yêu cầu bộ kiểm soát miền Windows 2000 SP3 hoặc sau khi sử dụng Windows Server 2003 administration tools
322267 Loại bỏ Client cho mạng của Microsoft loại bỏ các bản ghi dịch vụ khác
297234 Sự khác biệt thời gian tồn tại giữa máy tính khách và máy chủ
247151 Tên miền cấp xuống người dùng có thể nhận được một thông báo lỗi khi khởi động MMC snap-in
280833 Sự thất bại để xác định tất cả các vùng DNS trong khách hàng ủy quyền dẫn đến DNS thất bại đó rất khó để theo dõi
322307 Không thể khởi động bản ghi dịch vụ trao đổi hoặc Thư mục Họat động snap-in sau khi bạn cài đặt chuyên biệt Service Pack 2 (SP2) cho Windows 2000

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 837513 - Xem lại Lần cuối: 08/21/2012 08:33:00 - Bản sửa đổi: 1.0

  • kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtvi
Phản hồi