Domain controller is not functioning correctly

  • 12/07/2020
  • 8 minutes to read
    • D
    • v
    • s

This article provides common resolutions to the issue where domain controller is not functioning correctly.

Original product version: Windows Server 2012 R2
Original KB number: 837513

Symptoms

When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:

DC Diagnosis
Performing initial setup:
LDAP bind selhalo s chybou 31

Při lokálním spuštění nástroje REPADMIN /SHOWREPS na řadiči domény se může zobrazit jedno z následujících chybových hlášení:

LDAP error 82 (Local Error).

Poslední pokus @ rrrr-mm-dd hh:mm.ss selhal, výsledek 1753: Z mapovače koncových bodů nejsou k dispozici žádné další koncové body.

Poslední pokus @ yyyy-mm-dd hh:mm.ss selhal, výsledek 5: Přístup je odepřen.

Používáte-li ke spuštění replikace služby Active Directory Sites and Services, může se zobrazit zpráva, že přístup je odepřen.

Pokud se pokusíte použít síťové prostředky z konzoly dotčeného řadiče domény, včetně prostředků UNC (Universal Naming Convention) nebo mapovaných síťových jednotek, můžete obdržet následující chybové hlášení:

Není k dispozici žádný přihlašovací server (c000005e = „STATUS_NO_LOGON_SERVERS“)

Pokud z konzoly dotčeného řadiče domény spustíte jakékoli nástroje pro správu služby Active Directory, včetně služeb Active Directory Sites and Services a Active Directory Users and Computers, můžete obdržet jednu z následujících chybových zpráv:

Název informací nelze vyhledat, protože: Nepodařilo se kontaktovat žádnou autoritu pro ověření. Obraťte se na správce systému a ověřte, zda je doména správně nakonfigurována a zda je aktuálně online.

Název informací nelze vyhledat, protože: Název cílového účtu je nesprávný. Obraťte se na správce systému a ověřte, zda je doména správně nakonfigurována a zda je aktuálně online.

Klienti aplikace Microsoft Outlook, kteří jsou připojeni k počítačům Microsoft Exchange Server používajícím k ověřování dotčené řadiče domény, mohou být vyzváni k zadání přihlašovacích údajů, i když dojde k úspěšnému ověření přihlášení z jiných řadičů domény.

Nástroj Netdiag může zobrazit následující chybové zprávy:

Test seznamu DC … … … …. : Failed
Nelze zavolat DsBind na <jméno serveru><fqdn><ip adresa>).
Test systému Kerberos. … … : Neúspěšný
Kerberos nemá ticket pro krbtgt/<fqdn>.

Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>

The following event may be logged in the system event log of the affected domain controller:

Resolution

There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Články v databázi znalostí společnosti Microsoft, které popisují méně obvyklá řešení těchto příznaků, jsou uvedeny později.

  1. Metoda 1: Opravte chyby systému DNS (Domain Name System).
  2. Metoda 2: Synchronizujte čas mezi počítači.
  3. Metoda 3: Zkontrolujte uživatelská práva Access this computer from the network.
  4. Metoda 4: Ověřte, zda je atribut userAccountControl řadiče domény 532480.
  5. Metoda 5: Opravte sféru Kerberos (ověřte, zda se klíč registru PolAcDmN a klíč registru PolPrDmN shodují).
  6. Metoda 6: Obnovte heslo účtu počítače a poté získejte nový lístek Kerberos.

Metoda 1: Oprava chyb DNS

  1. V příkazovém řádku spusťte příkaz netdiag -v. Tento příkaz vytvoří soubor Netdiag.log ve složce, kde byl příkaz spuštěn.
  2. Než budete pokračovat, vyřešte všechny chyby DNS v souboru Netdiag.log. Nástroj Netdiag se nachází v podpůrných nástrojích systému Windows 2000 Server na disku CD-ROM se systémem Windows 2000 Server nebo je ke stažení.
  3. Ujistěte se, že je systém DNS správně nakonfigurován. Jednou z nejčastějších chyb DNS je nasměrování řadiče domény na poskytovatele internetových služeb (ISP) pro DNS místo nasměrování DNS na sebe nebo na jiný server DNS, který podporuje dynamické aktualizace a záznamy SRV. Doporučujeme nasměrovat řadič domény na sebe nebo na jiný server DNS, který podporuje dynamické aktualizace a záznamy SRV. Doporučujeme nastavit předávání na poskytovatele internetových služeb pro překlad názvů na internetu.

Další informace o konfiguraci DNS pro adresářovou službu Active Directory získáte kliknutím na čísla následujících článků v databázi znalostí společnosti Microsoft:
254680 Plánování jmenného prostoru DNS

Způsob 2: Synchronizace času mezi počítači

Ověřte, zda je čas mezi řadiči domény správně synchronizován. Dále ověřte, zda je čas správně synchronizován mezi klientskými počítači a řadiči domény.

Metoda 3: Zkontrolujte uživatelská práva „Přístup k tomuto počítači ze sítě“

Změňte soubor Gpttmpl.inf a ověřte, zda mají příslušní uživatelé na řadiči domény uživatelská práva Přístup k tomuto počítači ze sítě. Za tímto účelem postupujte podle následujících kroků:

  1. Změňte soubor Gpttmpl.inf pro zásady Výchozí řadiče domény. Ve výchozím nastavení jsou v zásadách Výchozí řadiče domény definována uživatelská práva pro řadič domény. Ve výchozím nastavení je soubor Gpttmpl.inf pro Zásady výchozích řadičů domény umístěn v následující složce.

    Poznámka

    Sysvol může být v jiném umístění, ale cesta k souboru Gpttmpl.inf bude stejná.

    Pro řadiče domény systému Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Pro řadiče domény Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. Vpravo od položky SeNetworkLogonRight přidejte bezpečnostní identifikátory pro Administrators, pro Authenticated Users a pro Everyone. Viz následující příklady.

    Pro řadiče domény systému Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    Pro řadiče domény systému Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Poznámka

    Administrators (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0) a Enterprise Controllers (S-1-5-9) používají známé bezpečnostní identifikátory, které jsou v každé doméně stejné.

  3. Odstraňte všechny položky napravo od položky SeDenyNetworkLogonRight (Odepřít přístup k tomuto počítači ze sítě), aby odpovídaly následujícímu příkladu.

    SeDenyNetworkLogonRight =

    Poznámka

    Příklad je stejný pro systém Windows 2000 Server i pro systém Windows Server 2003.

    Systém Windows 2000 Server nemá ve výchozím nastavení v položce SeDenyNetworkLogonRight žádné položky. Systém Windows Server 2003 má ve výchozím nastavení v položce SeDenyNetworkLogonRight pouze účet Support_random string. (Účet Support_random string je používán službou Vzdálená pomoc.) Protože účet Support_random string používá v každé doméně jiný identifikátor zabezpečení (SID), nelze tento účet snadno odlišit od běžného uživatelského účtu pouhým pohledem na identifikátor SID. Možná budete chtít zkopírovat identifikátor SID do jiného textového souboru a poté odstranit identifikátor SID z položky SeDenyNetworkLogonRight. Takto jej můžete vrátit zpět, až skončíte s řešením problému.

    SeNetworkLogonRight a SeDenyNetworkLogonRight lze definovat v libovolné zásadě. Pokud předchozí kroky problém nevyřeší, zkontrolujte soubor Gpttmpl.inf v jiných zásadách v systému Sysvol a potvrďte, že uživatelská práva nejsou definována i tam. Pokud soubor Gpttmpl.inf neobsahuje odkaz na SeNetworkLogonRight nebo SeDenyNetworkLogonRight, nejsou tato nastavení v zásadě definována a tato zásada tento problém nezpůsobuje. Pokud tyto položky existují, zkontrolujte, zda odpovídají dříve uvedeným nastavením zásad Výchozí řadič domény.

Metoda 4: Ověřte, zda je atribut userAccountControl řadiče domény 532480

  1. Klikněte na tlačítko Start, klepněte na příkaz Spustit a zadejte příkaz adsiedit.msc.
  2. Rozbalte položku Domain NC, rozbalte položku DC=doména a poté rozbalte položku OU=Řadiče domény.
  3. Klikněte pravým tlačítkem myši na dotčený řadič domény a poté klikněte na příkaz Vlastnosti.
  4. V systému Windows Server 2003 kliknutím zaškrtněte políčko Zobrazit povinné atributy a políčko Zobrazit volitelné atributy na kartě Editor atributů. V systému Windows 2000 Server klikněte na položku Obojí v poli Zvolit, které vlastnosti zobrazit.
  5. V systému Windows Server 2003 klikněte na položku userAccountControl v poli Atributy. V systému Windows 2000 Server klikněte na položku userAccountControl v poli Vyberte vlastnost, která se má zobrazit.
  6. Pokud hodnota není 532480, zadejte do pole Upravit atribut hodnotu 532480, klikněte na tlačítko Nastavit, klikněte na tlačítko Použít a potom na tlačítko OK.
  7. Ukončete nástroj ADSI Edit.

Metoda 5: Oprava sféry Kerberos (ověřte, zda se klíč registru PolAcDmN a klíč registru PolPrDmN shodují)

Poznámka

Tato metoda platí pouze pro systém Windows 2000 Server.

Důležité

Tato část, metoda nebo úloha obsahuje kroky, které vám říkají, jak upravit registr. Při nesprávné úpravě registru však může dojít k vážným problémům. Proto dbejte na to, abyste tyto kroky pečlivě dodržovali. Pro větší ochranu si před úpravou registru vytvořte zálohu. Pokud pak dojde k problému, můžete registr obnovit. Další informace o zálohování a obnovení registru získáte kliknutím na následující číslo článku ve znalostní databázi společnosti Microsoft:
322756 Jak zálohovat a obnovit registr v systému Windows

  1. Spustit Editor registru.
  2. V levém podokně rozbalte položku Zabezpečení.
  3. On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
  4. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN key.
  5. In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
  6. On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
  7. The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
  8. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN registry key.
  9. In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
  10. In the Binary Editor dialog box, paste the value from PolPrDmN. (Hodnota z PolPrDmN bude název domény NetBIOS).
  11. Restartujte řadič domény.

Metoda 6: Obnovení hesla účtu stroje a poté získání nového lístku Kerberos

  1. Zastavte službu Kerberos Key Distribution Center a poté nastavte hodnotu spouštění na Manual.

  2. Pomocí nástroje Netdom z podpůrných nástrojů systému Windows 2000 Server Support Tools nebo z podpůrných nástrojů systému Windows Server 2003 resetujte heslo strojového účtu řadiče domény:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password> 

    Ujistěte se, že příkaz netdom je vrácen jako úspěšně dokončený. Pokud tomu tak není, příkaz nefungoval. Pro doménu Contoso, kde je postiženým řadičem domény DC1 a funkčním řadičem domény je DC2, spusťte následující netdom příkaz z konzoly DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
  3. Restartujte postižený řadič domény.

  4. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational