Domain controller is not functioning correctly

admin
  • 12/07/2020
  • 8 minutes to read
    • D
    • v
    • s

This article provides common resolutions to the issue where domain controller is not functioning correctly.

Original product version: Windows Server 2012 R2
Original KB number: 837513

Symptoms

When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:

DC Diagnosis
Performing initial setup:
LDAP-Bindung mit Fehler 31 fehlgeschlagen

Wenn Sie das REPADMIN /SHOWREPS Dienstprogramm lokal auf einem Domänencontroller ausführen, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

LDAP-Fehler 82 (Lokaler Fehler).

Last attempt @ yyyy-mm-dd hh:mm.ss fehlgeschlagen, Ergebnis 1753: Es sind keine weiteren Endpunkte vom Endpunkt-Mapper verfügbar.

Letzter Versuch @ jjjj-mm-tt hh:mm.ss fehlgeschlagen, Ergebnis 5: Zugriff verweigert.

Wenn Sie Active Directory Sites and Services verwenden, um die Replikation auszulösen, erhalten Sie möglicherweise eine Meldung, dass der Zugriff verweigert wird.

Wenn Sie versuchen, Netzwerkressourcen von der Konsole eines betroffenen Domänencontrollers aus zu verwenden, einschließlich UNC-Ressourcen (Universal Naming Convention) oder zugeordnete Netzlaufwerke, wird möglicherweise die folgende Fehlermeldung angezeigt:

Keine Anmeldeserver verfügbar (c000005e = „STATUS_NO_LOGON_SERVERS“)

Wenn Sie von der Konsole eines betroffenen Domänencontrollers aus irgendwelche Active Directory-Verwaltungstools starten, einschließlich Active Directory Sites und Dienste und Active Directory-Benutzer und -Computer, erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

Namensinformationen können nicht gefunden werden, weil: Es konnte keine Autorität zur Authentifizierung kontaktiert werden. Wenden Sie sich an Ihren Systemadministrator, um sicherzustellen, dass Ihre Domäne ordnungsgemäß konfiguriert und derzeit online ist.

Benennungsinformationen können nicht gefunden werden, weil: Der Name des Zielkontos ist falsch. Wenden Sie sich an Ihren Systemadministrator, um zu überprüfen, ob Ihre Domäne ordnungsgemäß konfiguriert und derzeit online ist.

Microsoft Outlook-Clients, die mit Microsoft Exchange Server-Computern verbunden sind, die betroffene Domänencontroller für die Authentifizierung verwenden, werden möglicherweise zur Eingabe von Anmeldeinformationen aufgefordert, obwohl eine erfolgreiche Anmeldeauthentifizierung von anderen Domänencontrollern vorliegt.

Das Netdiag-Tool zeigt möglicherweise die folgenden Fehlermeldungen an:

DC-Listentest…………. : Failed
Cannot call DsBind to <servername><fqdn><IP-Adresse>).
Kerberos-Test. . . . . . . . . : Failed
Kerberos hat kein Ticket für krbtgt/<fqdn>.

Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>

The following event may be logged in the system event log of the affected domain controller:

Resolution

There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Microsoft Knowledge Base-Artikel, die weniger verbreitete Lösungen für diese Symptome beschreiben, sind weiter unten aufgeführt.

  1. Methode 1: Beheben Sie DNS-Fehler (Domain Name System).
  2. Methode 2: Synchronisieren Sie die Uhrzeit zwischen den Computern.
  3. Methode 3: Überprüfen Sie die Benutzerrechte für den Zugriff auf diesen Computer vom Netzwerk aus.
  4. Methode 4: Stellen Sie sicher, dass das userAccountControl-Attribut des Domänencontrollers 532480 lautet.
  5. Methode 5: Korrigieren Sie den Kerberos-Realm (bestätigen Sie, dass der Registrierungsschlüssel PolAcDmN und der Registrierungsschlüssel PolPrDmN übereinstimmen).
  6. Methode 6: Setzen Sie das Kennwort des Rechnerkontos zurück und erstellen Sie ein neues Kerberos-Ticket.

Methode 1: Beheben Sie DNS-Fehler

  1. Führen Sie an einer Eingabeaufforderung den Befehl netdiag -v aus. Dieser Befehl erstellt eine Netdiag.log-Datei in dem Ordner, in dem der Befehl ausgeführt wurde.
  2. Beheben Sie alle DNS-Fehler in der Netdiag.log-Datei, bevor Sie fortfahren. Das Netdiag-Tool befindet sich in den Windows 2000 Server Support Tools auf der Windows 2000 Server CD-ROM oder als Download.
  3. Stellen Sie sicher, dass DNS korrekt konfiguriert ist. Einer der häufigsten DNS-Fehler besteht darin, den Domänencontroller auf einen Internet Service Provider (ISP) für DNS zu verweisen, anstatt DNS auf sich selbst oder einen anderen DNS-Server zu verweisen, der dynamische Updates und SRV-Einträge unterstützt. Wir empfehlen, dass Sie den Domänencontroller auf sich selbst oder einen anderen DNS-Server verweisen, der dynamische Updates und SRV-Einträge unterstützt. Es wird empfohlen, für die Namensauflösung im Internet Weiterleitungen zum ISP einzurichten.

Weitere Informationen zum Konfigurieren von DNS für den Active Directory-Verzeichnisdienst finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
254680 DNS-Namensraumplanung

Methode 2: Synchronisieren der Zeit zwischen Computern

Überprüfen Sie, ob die Zeit zwischen den Domänencontrollern korrekt synchronisiert ist. Überprüfen Sie außerdem, ob die Zeit zwischen Clientcomputern und Domänencontrollern korrekt synchronisiert ist.

Methode 3: Überprüfen Sie die Benutzerrechte „Zugriff auf diesen Computer über das Netzwerk“

Ändern Sie die Datei Gpttmpl.inf, um zu bestätigen, dass die entsprechenden Benutzer das Benutzerrecht „Zugriff auf diesen Computer über das Netzwerk“ auf dem Domänencontroller haben. Gehen Sie dazu folgendermaßen vor:

  1. Ändern Sie die Datei Gpttmpl.inf für die Richtlinie Standarddomänencontroller. Standardmäßig werden in der Standard-Domänencontroller-Richtlinie die Benutzerrechte für einen Domänencontroller definiert. Standardmäßig befindet sich die Datei „Gpttmpl.inf“ für die Standard-Domänencontroller-Richtlinie im folgenden Ordner.

    Hinweis

    Sysvol kann sich an einem anderen Ort befinden, der Pfad für die Datei „Gpttmpl.inf“ ist jedoch derselbe.

    Für Windows Server 2003 Domänencontroller:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Für Windows 2000 Server Domänencontroller:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. Rechts neben dem Eintrag SeNetworkLogonRight fügen Sie die Sicherheitskennungen für Administratoren, für authentifizierte Benutzer und für alle hinzu. Siehe die folgenden Beispiele.

    Für Windows Server 2003 Domänencontroller:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-32-544,*S-1-1-0

    Für Windows 2000 Server Domänencontroller:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Hinweis

    Administratoren (S-1-5-32-544), Authentifizierte Benutzer (S-1-5-11), Jeder (S-1-1-0) und Unternehmenscontroller (S-1-5-9) verwenden bekannte Sicherheitskennungen, die in jeder Domäne gleich sind.

  3. Entfernen Sie alle Einträge rechts vom Eintrag SeDenyNetworkLogonRight (Zugriff auf diesen Computer aus dem Netzwerk verweigern), um dem folgenden Beispiel zu entsprechen.

    SeDenyNetworkLogonRight =

    Hinweis

    Das Beispiel ist für Windows 2000 Server und für Windows Server 2003 identisch.

    Standardmäßig hat Windows 2000 Server keine Einträge im Eintrag SeDenyNetworkLogonRight. Windows Server 2003 hat standardmäßig nur das Konto „Support_random string“ im Eintrag SeDenyNetworkLogonRight. (Das Konto „Support_random string“ wird von der Remoteunterstützung verwendet.) Da das Konto „Support_random string“ in jeder Domäne eine andere Sicherheitskennung (SID) verwendet, ist das Konto nicht leicht von einem typischen Benutzerkonto zu unterscheiden, wenn man nur die SID betrachtet. Kopieren Sie die SID in eine andere Textdatei und entfernen Sie die SID aus dem Eintrag SeDenyNetworkLogonRight. Auf diese Weise können Sie sie wieder einfügen, wenn Sie mit der Problembehandlung fertig sind.

    SeNetworkLogonRight und SeDenyNetworkLogonRight können in jeder Richtlinie definiert werden. Wenn die vorherigen Schritte das Problem nicht beheben, überprüfen Sie die Datei Gpttmpl.inf in anderen Richtlinien in Sysvol, um sicherzustellen, dass die Benutzerrechte nicht auch dort definiert sind. Wenn die Datei „Gpttmpl.inf“ keinen Verweis auf „SeNetworkLogonRight“ oder „SeDenyNetworkLogonRight“ enthält, sind diese Einstellungen nicht in der Richtlinie definiert, und das Problem wird nicht durch diese Richtlinie verursacht. Wenn diese Einträge vorhanden sind, stellen Sie sicher, dass sie mit den Einstellungen übereinstimmen, die zuvor für die Richtlinie Standarddomänencontroller aufgeführt wurden.

Methode 4: Überprüfen Sie, ob das Attribut userAccountControl des Domänencontrollers 532480 lautet

  1. Klicken Sie auf Start, klicken Sie auf Ausführen und geben Sie adsiedit.msc ein.
  2. Erweitern Sie Domänen-NC, erweitern Sie DC=Domäne und erweitern Sie dann OU=Domänencontroller.
  3. Klicken Sie mit der rechten Maustaste auf den betroffenen Domänencontroller und klicken Sie dann auf Eigenschaften.
  4. In Windows Server 2003 klicken Sie auf der Registerkarte Attribut-Editor auf das Kontrollkästchen Pflichtattribute anzeigen und auf das Kontrollkästchen Optionale Attribute anzeigen. In Windows 2000 Server klicken Sie auf Beide im Feld Wählen Sie aus, welche Eigenschaften angezeigt werden sollen.
  5. In Windows Server 2003 klicken Sie auf userAccountControl im Feld Attribute. In Windows 2000 Server klicken Sie auf userAccountControl im Feld Wählen Sie eine Eigenschaft aus, die angezeigt werden soll.
  6. Wenn der Wert nicht 532480 ist, geben Sie 532480 in das Feld Attribut bearbeiten ein, klicken Sie auf Setzen, klicken Sie auf Übernehmen und dann auf OK.
  7. Beenden Sie ADSI Edit.

Methode 5: Reparieren Sie den Kerberos-Realm (stellen Sie sicher, dass der Registrierungsschlüssel PolAcDmN und der Registrierungsschlüssel PolPrDmN übereinstimmen)

Hinweis

Diese Methode ist nur für Windows 2000 Server gültig.

Wichtig

Dieser Abschnitt, diese Methode oder diese Aufgabe enthält Schritte, die Ihnen sagen, wie Sie die Registrierung ändern. Es können jedoch ernsthafte Probleme auftreten, wenn Sie die Registrierung falsch ändern. Achten Sie daher darauf, dass Sie diese Schritte sorgfältig ausführen. Sichern Sie die Registrierung, bevor Sie sie ändern, um sich zusätzlich zu schützen. Dann können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
322756 Sichern und Wiederherstellen der Registrierung in Windows

  1. Starten Sie den Registrierungs-Editor.
  2. Erweitern Sie im linken Fensterbereich den Bereich Sicherheit.
  3. On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
  4. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN key.
  5. In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
  6. On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
  7. The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
  8. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN registry key.
  9. In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
  10. In the Binary Editor dialog box, paste the value from PolPrDmN. (Der Wert aus PolPrDmN ist der NetBIOS-Domänenname).
  11. Starten Sie den Domänencontroller neu.

Methode 6: Setzen Sie das Kennwort des Computerkontos zurück und erstellen Sie ein neues Kerberos-Ticket

  1. Stoppen Sie den Kerberos Key Distribution Center-Dienst und setzen Sie den Startwert auf Manuell.

  2. Verwenden Sie das Netdom-Tool aus den Windows 2000 Server Support Tools oder aus den Windows Server 2003 Support Tools, um das Maschinenkontopasswort des Domänencontrollers zurückzusetzen:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    Stellen Sie sicher, dass der netdomBefehl als erfolgreich abgeschlossen zurückgegeben wird. Wenn dies nicht der Fall ist, hat der Befehl nicht funktioniert. Für die Domäne Contoso, bei der der betroffene Domänencontroller DC1 und ein funktionierender Domänencontroller DC2 ist, führen Sie den folgenden netdom Befehl von der Konsole von DC1 aus:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  3. Starten Sie den betroffenen Domänencontroller neu.

  4. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational