Domain controller is not functioning correctly
- 12/07/2020
- 8 minutes to read
-
- D
- v
- s
This article provides common resolutions to the issue where domain controller is not functioning correctly.
Original product version: Windows Server 2012 R2
Original KB number: 837513
Symptoms
When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:
DC Diagnosis
Performing initial setup:
LDAP bind mislukt met fout 31
Wanneer u het hulpprogramma REPADMIN /SHOWREPS
lokaal op een domeincontroller uitvoert, kunt u een van de volgende foutmeldingen krijgen:
LDAP-fout 82 (lokale fout).
Laatste poging @ jjjj-mm-dd hh:mm.ss mislukt, resultaat 1753: Er zijn geen eindpunten meer beschikbaar voor de eindpuntmapper.
Laatste poging @ jjjjj-mm-dd hh:mm.ss is mislukt, resultaat 5: Toegang wordt geweigerd.
Als u Active Directory Sites and Services gebruikt om replicatie te activeren, kunt u een bericht ontvangen waarin wordt aangegeven dat de toegang wordt geweigerd.
Wanneer u probeert netwerkbronnen te gebruiken vanaf de console van een getroffen domeincontroller, waaronder Universal Naming Convention (UNC)-bronnen of toegewezen netwerkstations, kunt u de volgende foutmelding ontvangen:
Geen aanmeldingsservers beschikbaar (c000005e = “STATUS_NO_LOGON_SERVERS”)
Als u beheerprogramma’s van Active Directory start vanaf de console van een aangetaste domeincontroller, inclusief Active Directory Sites and Services en Active Directory Users and Computers, kunt u een van de volgende foutberichten ontvangen:
Naamgegevens kunnen niet worden gevonden omdat: Er kon geen contact worden gelegd met een instantie voor verificatie. Neem contact op met uw systeembeheerder om te controleren of uw domein correct is geconfigureerd en momenteel online is.
Naming-informatie kan niet worden gevonden omdat: De naam van de doelaccount is onjuist. Neem contact op met uw systeembeheerder om te controleren of uw domein correct is geconfigureerd en momenteel online is.
Microsoft Outlook-clients die zijn verbonden met Microsoft Exchange Server-computers die gebruikmaken van getroffen domeincontrollers voor verificatie, kunnen om aanmeldingsgegevens worden gevraagd, ook al is de aanmeldingsverificatie vanaf andere domeincontrollers succesvol.
Het Netdiag-hulpprogramma kan de volgende foutberichten weergeven:
DC-lijsttest ………………………… : Mislukt
Kan DsBind niet oproepen voor <servername><fqdn><ip adres>).
Kerberos test. . . . . . . : Mislukt
Kerberos heeft geen ticket voor krbtgt/<fqdn>.Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>
The following event may be logged in the system event log of the affected domain controller:
Resolution
There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Microsoft Knowledge Base-artikelen waarin minder vaak voorkomende oplossingen voor deze symptomen worden beschreven, staan verderop.
- Methode 1: Los DNS-fouten (Domain Name System) op.
- Methode 2: Synchroniseer de tijd tussen computers.
- Methode 3: Controleer de gebruikersrechten voor Toegang tot deze computer via het netwerk.
- Methode 4: Controleer of het kenmerk userAccountControl van de domeincontroller is ingesteld op 532480.
- Methode 5: stel de Kerberos realm vast (controleer of de registersleutel PolAcDmN en de registersleutel PolPrDmN overeenkomen).
- Methode 6: Stel het wachtwoord van de machineaccount opnieuw in, en verkrijg vervolgens een nieuw Kerberos ticket.
Methode 1: Herstel DNS fouten
- Op een opdrachtprompt voert u het
netdiag -v
commando uit. Dit commando maakt een Netdiag.log bestand aan in de map waar het commando is uitgevoerd. - Verhelp eventuele DNS fouten in het Netdiag.log bestand voordat u verder gaat. Het Netdiag-hulpprogramma staat in de Windows 2000 Server Support Tools op de Windows 2000 Server CD-ROM of als download.
- Zorg ervoor dat DNS correct is geconfigureerd. Een van de meest voorkomende DNS-fouten is om de domeincontroller voor DNS naar een Internet Service Provider (ISP) te wijzen in plaats van DNS naar zichzelf te wijzen of naar een andere DNS-server die dynamische updates en SRV-records ondersteunt. Wij raden u aan de domeincontroller naar zichzelf te laten wijzen of naar een andere DNS-server die dynamische updates en SRV-records ondersteunt. We raden u aan forwarders in te stellen naar de ISP voor naamresolutie op het Internet.
Voor meer informatie over het configureren van DNS voor Active Directory directory service, klikt u op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base te bekijken:
254680 DNS namespace planning
Methode 2: Synchroniseer de tijd tussen computers
Controleer of de tijd correct is gesynchroniseerd tussen de domeincontrollers. Controleer bovendien of de tijd correct is gesynchroniseerd tussen clientcomputers en domeincontrollers.
Methode 3: Controleer de gebruikersrechten voor “Toegang tot deze computer via het netwerk”
Verander het bestand Gpttmpl.inf om te bevestigen dat de juiste gebruikers het gebruikersrecht “Toegang tot deze computer via het netwerk” hebben op de domeincontroller. Volg hiervoor de volgende stappen:
-
Wijzig het bestand Gpttmpl.inf voor het beleid Standaarddomeincontrollers. Standaard worden in het standaardbeleid voor domeincontrollers de gebruikersrechten voor een domeincontroller gedefinieerd. Standaard bevindt het bestand Gpttmpl.inf voor het standaardbeleid voor domeincontrollers zich in de volgende map.
Note
Sysvol kan zich op een andere locatie bevinden, maar het pad voor het bestand Gpttmpl.inf zal hetzelfde zijn.
Voor Windows Server 2003 domain controllers:
C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Voor Windows 2000 Server domeincontrollers:
C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
-
Aan de rechterkant van het item SeNetworkLogonRight voegt u de beveiligingscodes voor Beheerders, voor Geauthenticeerde gebruikers en voor Iedereen toe. Zie de volgende voorbeelden.
Voor Windows Server 2003-domeincontrollers:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Voor Windows 2000 Server-domeincontrollers:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Note
Administrators (S-1-5-32-544), Authenticated Users (S-1-5-11), Everyone (S-1-1-0), en Enterprise Controllers (S-1-5-9) gebruiken bekende beveiligings-ID’s die in elk domein hetzelfde zijn.
- Verwijder alle vermeldingen rechts van de vermelding SeDenyNetworkLogonRight (Ontzeg deze computer de toegang tot het netwerk) zodat ze overeenkomen met het volgende voorbeeld.
SeDenyNetworkLogonRight =
Note
Het voorbeeld is hetzelfde voor Windows 2000 Server en voor Windows Server 2003.
Standaard heeft Windows 2000 Server geen vermeldingen in de SeDenyNetworkLogonRight-vermelding. Windows Server 2003 heeft standaard alleen de Support_random string-account in de SeDenyNetworkLogonRight-vermelding. (De Support_random string-account wordt gebruikt door Remote Assistance.) Omdat de Support_random string-account in elk domein een andere beveiligingsidentificatie (SID) gebruikt, is de account niet gemakkelijk te onderscheiden van een gewone gebruikersaccount door alleen naar de SID te kijken. Het kan verstandig zijn om de SID naar een ander tekstbestand te kopiëren en dan de SID te verwijderen uit de regel SeDenyNetworkLogonRight. Op die manier kunt u de SID weer terugzetten als u klaar bent met het oplossen van het probleem.
SeNetworkLogonRight en SeDenyNetworkLogonRight kunnen in elk beleid worden gedefinieerd. Als de vorige stappen het probleem niet oplossen, controleer dan het bestand Gpttmpl.inf in andere beleidsregels in Sysvol om te zien of de gebruikersrechten daar niet ook zijn gedefinieerd. Als een Gpttmpl.inf-bestand geen verwijzing bevat naar SeNetworkLogonRight of naar SeDenyNetworkLogonRight, dan zijn die instellingen niet gedefinieerd in het beleid en veroorzaakt dat beleid dit probleem niet. Als die vermeldingen wel bestaan, controleer dan of ze overeenkomen met de eerder genoemde instellingen voor het beleid Standaard Domeincontroller.
Methode 4: controleer of het kenmerk userAccountControl van de domeincontroller 532480 is
- Klik op Start, klik op Uitvoeren en typ vervolgens adsiedit.msc.
- Vouw Domain NC uit, vouw DC=domain uit en vouw vervolgens OU=Domain Controllers uit.
- Rechter muisklik op de betreffende domeincontroller en klik vervolgens op Properties.
- In Windows Server 2003 klikt u op het tabblad Attribute Editor op het selectievakje Show mandatory attributes (Verplichte kenmerken weergeven) en op het selectievakje Show optional attributes (Optionele kenmerken weergeven). In Windows 2000 Server klikt u op Beide in het vak Selecteren welke eigenschappen moeten worden weergegeven.
- In Windows Server 2003 klikt u op userAccountControl in het vak Attributen. In Windows 2000 Server klikt u op userAccountControl in het vak Selecteer een eigenschap om weer te geven.
- Als de waarde niet 532480 is, typt u 532480 in het vak Attribuut bewerken, klikt u op Instellen, klikt u op Toepassen, en klikt u vervolgens op OK.
- Verlaat ADSI Edit.
Methode 5: Stel het Kerberos-rijk vast (controleer of de registersleutel PolAcDmN en de registersleutel PolPrDmN overeenkomen)
Note
Deze methode is alleen geldig voor Windows 2000 Server.
Important
Deze sectie, methode of taak bevat stappen die u vertellen hoe u het register moet wijzigen. Er kunnen echter ernstige problemen optreden als u het register op onjuiste wijze wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert. Maak voor extra bescherming een back-up van het register voordat u het wijzigt. Dan kunt u het register herstellen als zich een probleem voordoet. Voor meer informatie over het maken van back-ups en het herstellen van het register, klikt u op het volgende artikelnummer om het artikel in de Microsoft Kennisbank te bekijken:
322756 Een back-up maken van het register in Windows en het herstellen ervan
- Start de Register-editor.
- In het linkerdeelvenster, vouwt u Beveiliging uit.
- On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
key. - In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
- On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
- The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
registry key. - In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
- In the Binary Editor dialog box, paste the value from PolPrDmN. (De waarde van PolPrDmN is de NetBIOS-domeinnaam).
- Start de domeincontroller opnieuw op.
Methode 6: Stel het wachtwoord van de machineaccount opnieuw in en verkrijg vervolgens een nieuw Kerberos-ticket
-
Stop de Kerberos Key Distribution Center-service en stel de opstartwaarde in op Handmatig.
- Gebruik het hulpprogramma Netdom uit de Windows 2000 Server Support Tools of uit de Windows Server 2003 Support Tools om het wachtwoord van de machineaccount van de domeincontroller opnieuw in te stellen:
netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>
Zorg ervoor dat de opdracht
netdom
wordt geretourneerd als succesvol voltooid. Als dat niet het geval is, heeft het commando niet gewerkt. Voor het domein Contoso, waar de getroffen domeincontroller DC1 is, en een werkende domeincontroller DC2, voert u het volgendenetdom
-commando uit vanaf de console van DC1:netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
-
Start de getroffen domeincontroller opnieuw op.
-
Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.
For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational