Domain controller is not functioning correctly
- 12/07/2020
- 8 minutes to read
-
- D
- v
- s
This article provides common resolutions to the issue where domain controller is not functioning correctly.
Original product version: Windows Server 2012 R2
Original KB number: 837513
Symptoms
When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:
DC Diagnosis
Performing initial setup:
La liaison LDAP a échoué avec l’erreur 31
Lorsque vous exécutez l’utilitaire REPADMIN /SHOWREPS
localement sur un contrôleur de domaine, vous pouvez recevoir l’un des messages d’erreur suivants :
L’erreur LDAP 82 (erreur locale).
Last attempt @ yyyy-mm-dd hh:mm.ss a échoué, résultat 1753 : il n’y a plus de points de terminaison disponibles auprès du mappeur de points de terminaison.
Last attempt @ yyyy-mm-dd hh:mm.ss a échoué, résultat 5 : l’accès est refusé.
Si vous utilisez Active Directory Sites and Services pour déclencher la réplication, vous pouvez recevoir un message indiquant que l’accès est refusé.
Lorsque vous essayez d’utiliser des ressources réseau à partir de la console d’un contrôleur de domaine affecté, y compris des ressources UNC (Universal Naming Convention) ou des lecteurs réseau mappés, vous pouvez recevoir le message d’erreur suivant :
Pas de serveurs de connexion disponibles (c000005e = « STATUS_NO_LOGON_SERVERS »)
Si vous démarrez un outil d’administration Active Directory à partir de la console d’un contrôleur de domaine affecté, notamment Active Directory Sites and Services et Active Directory Users and Computers, vous pouvez recevoir l’un des messages d’erreur suivants :
Les informations de nommage ne peuvent pas être localisées car : Aucune autorité n’a pu être contactée pour l’authentification. Contactez votre administrateur système pour vérifier que votre domaine est correctement configuré et est actuellement en ligne.
Les informations de nommage ne peuvent pas être localisées car : Le nom du compte cible est incorrect. Contactez votre administrateur système pour vérifier que votre domaine est correctement configuré et est actuellement en ligne.
Les clients Microsoft Outlook connectés à des ordinateurs Microsoft Exchange Server qui utilisent des contrôleurs de domaine affectés pour l’authentification peuvent être invités à fournir des informations d’identification de connexion, même si l’authentification de connexion est réussie à partir d’autres contrôleurs de domaine.
L’outil Netdiag peut afficher les messages d’erreur suivants :
Test de la liste DC . . . . . . . . . : Failed
Cannot call DsBind to <servername><fqdn><adresse IP>).
Test Kerberos. . . . . . . . . : Failed
Kerberos n’a pas de ticket pour krbtgt/<fqdn>.Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>
The following event may be logged in the system event log of the affected domain controller:
Resolution
There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Les articles de la base de connaissances Microsoft qui décrivent des solutions moins courantes pour ces symptômes sont répertoriés plus loin.
- Méthode 1 : Corriger les erreurs du système de nom de domaine (DNS).
- Méthode 2 : Synchroniser l’heure entre les ordinateurs.
- Méthode 3 : Vérifier les droits d’utilisateur Accéder à cet ordinateur depuis le réseau.
- Méthode 4 : Vérifier que l’attribut userAccountControl du contrôleur de domaine est 532480.
- Méthode 5 : Fixez le royaume Kerberos (confirmez que la clé de registre PolAcDmN et la clé de registre PolPrDmN correspondent).
- Méthode 6 : Réinitialisez le mot de passe du compte machine, puis obtenez un nouveau ticket Kerberos.
Méthode 1 : Corriger les erreurs DNS
- À une invite de commande, exécutez la commande
netdiag -v
. Cette commande crée un fichier Netdiag.log dans le dossier où la commande a été exécutée. - Résolvez toute erreur DNS dans le fichier Netdiag.log avant de continuer. L’outil Netdiag se trouve dans les outils de support de Windows 2000 Server sur le CD-ROM Windows 2000 Server ou en téléchargement.
- Vérifiez que le DNS est configuré correctement. L’une des erreurs de DNS les plus courantes consiste à faire pointer le contrôleur de domaine vers un fournisseur de services Internet (ISP) pour le DNS au lieu de faire pointer le DNS vers lui-même ou vers un autre serveur DNS prenant en charge les mises à jour dynamiques et les enregistrements SRV. Nous vous recommandons de faire pointer le contrôleur de domaine vers lui-même ou vers un autre serveur DNS qui prend en charge les mises à jour dynamiques et les enregistrements SRV. Nous vous recommandons de configurer des transitaires vers le FAI pour la résolution de noms sur Internet.
Pour plus d’informations sur la configuration du DNS pour le service d’annuaire Active Directory, cliquez sur les numéros d’article suivants pour afficher les articles dans la base de connaissances Microsoft :
254680 Planification de l’espace de noms DNS
Méthode 2 : synchroniser l’heure entre les ordinateurs
Vérifiez que l’heure est correctement synchronisée entre les contrôleurs de domaine. En outre, vérifiez que l’heure est correctement synchronisée entre les ordinateurs clients et les contrôleurs de domaine.
Méthode 3 : vérifier les droits d’utilisateur « Accéder à cet ordinateur depuis le réseau »
Modifier le fichier Gpttmpl.inf pour confirmer que les utilisateurs appropriés disposent du droit d’utilisateur Accéder à cet ordinateur depuis le réseau sur le contrôleur de domaine. Pour ce faire, suivez les étapes suivantes :
-
Modifier le fichier Gpttmpl.inf pour la stratégie Contrôleurs de domaine par défaut. Par défaut, la politique des contrôleurs de domaine par défaut est l’endroit où les droits des utilisateurs sont définis pour un contrôleur de domaine. Par défaut, le fichier Gpttmpl.inf pour la stratégie des contrôleurs de domaine par défaut se trouve dans le dossier suivant.
Note
Sysvol peut se trouver à un emplacement différent, mais le chemin d’accès au fichier Gpttmpl.inf sera le même.
Pour les contrôleurs de domaine Windows Server 2003 :
C :\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Pour les contrôleurs de domaine Windows 2000 Server:
C :\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
-
À droite de l’entrée SeNetworkLogonRight, ajoutez les identifiants de sécurité pour les administrateurs, pour les utilisateurs authentifiés et pour tout le monde. Consultez les exemples suivants .
Pour les contrôleurs de domaine Windows Server 2003:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Pour les contrôleurs de domaine Windows 2000 Server :
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Note
Les administrateurs (S-1-5-32-544), les utilisateurs authentifiés (S-1-5-11), tout le monde (S-1-1-0) et les contrôleurs d’entreprise (S-1-5-9) utilisent des identifiants de sécurité bien connus qui sont les mêmes dans chaque domaine.
Supprimez toutes les entrées à droite de l’entrée SeDenyNetworkLogonRight (Refuser l’accès à cet ordinateur depuis le réseau) pour correspondre à l’exemple suivant.
SeDenyNetworkLogonRight =
Note
L’exemple est le même pour Windows 2000 Server et pour Windows Server 2003.
Par défaut, Windows 2000 Server n’a aucune entrée dans l’entrée SeDenyNetworkLogonRight. Par défaut, Windows Server 2003 a seulement le compte Support_random string dans l’entrée SeDenyNetworkLogonRight. (Le compte Support_random string est utilisé par l’assistance à distance.) Comme le compte Support_random string utilise un identifiant de sécurité (SID) différent dans chaque domaine, il n’est pas facile de le distinguer d’un compte d’utilisateur classique en regardant simplement le SID. Vous pouvez copier le SID dans un autre fichier texte, puis supprimer le SID de l’entrée SeDenyNetworkLogonRight. De cette façon, vous pouvez le remettre en place lorsque vous avez fini de dépanner le problème.
SeNetworkLogonRight et SeDenyNetworkLogonRight peuvent être définis dans n’importe quelle politique. Si les étapes précédentes ne résolvent pas le problème, vérifiez le fichier Gpttmpl.inf dans d’autres politiques de Sysvol pour confirmer que les droits de l’utilisateur n’y sont pas également définis. Si un fichier Gpttmpl.inf ne contient aucune référence à SeNetworkLogonRight ou à SeDenyNetworkLogonRight, ces paramètres ne sont pas définis dans la stratégie et celle-ci n’est pas à l’origine du problème. Si ces entrées existent, assurez-vous qu’elles correspondent aux paramètres énumérés précédemment pour la stratégie Contrôleur de domaine par défaut.
Méthode 4 : vérifiez que l’attribut userAccountControl du contrôleur de domaine est 532480
- Cliquez sur Démarrer, cliquez sur Exécuter, puis tapez adsiedit.msc.
- Développez Domain NC, développez DC=domaine, puis développez OU=Contrôleurs de domaine.
- Cliquez avec le bouton droit de la souris sur le contrôleur de domaine affecté, puis cliquez sur Propriétés.
- Dans Windows Server 2003, cliquez pour cocher la case Afficher les attributs obligatoires et la case Afficher les attributs facultatifs dans l’onglet Éditeur d’attributs. Dans Windows 2000 Server, cliquez sur Both dans la case Select which properties to view.
- Dans Windows Server 2003, cliquez sur userAccountControl dans la case Attributs. Dans Windows 2000 Server, cliquez sur userAccountControl dans la boîte Sélectionner une propriété à afficher.
- Si la valeur n’est pas 532480, tapez 532480 dans la boîte Modifier l’attribut, cliquez sur Définir, cliquez sur Appliquer, puis cliquez sur OK.
- Quitter ADSI Edit.
Méthode 5 : Fixer le royaume Kerberos (confirmer que la clé de registre PolAcDmN et la clé de registre PolPrDmN correspondent)
Note
Cette méthode est valable uniquement pour Windows 2000 Server.
Important
Cette section, méthode ou tâche contient des étapes qui vous indiquent comment modifier le registre. Cependant, de graves problèmes peuvent survenir si vous modifiez le registre de manière incorrecte. Par conséquent, veillez à suivre attentivement ces étapes. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pourrez alors restaurer le registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le registre, cliquez sur le numéro d’article suivant pour afficher l’article dans la base de connaissances Microsoft :
322756 Comment sauvegarder et restaurer le registre dans Windows
- Démarrez l’Éditeur de registre.
- Dans le volet de gauche, développez Sécurité.
- On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
key. - In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
- On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
- The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
registry key. - In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
- In the Binary Editor dialog box, paste the value from PolPrDmN. (La valeur de PolPrDmN sera le nom de domaine NetBIOS).
- Redémarrez le contrôleur de domaine.
Méthode 6 : Réinitialiser le mot de passe du compte machine, puis obtenir un nouveau ticket Kerberos
-
Arrêtez le service Centre de distribution de clés Kerberos, puis définissez la valeur de démarrage sur Manuel.
- Utiliser l’outil Netdom des Outils de support Windows 2000 Server ou des Outils de support Windows Server 2003 pour réinitialiser le mot de passe du compte machine du contrôleur de domaine :
netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>
Vérifiez que la commande
netdom
est renvoyée comme s’étant terminée avec succès. Si ce n’est pas le cas, la commande n’a pas fonctionné. Pour le domaine Contoso, où le contrôleur de domaine affecté est DC1, et un contrôleur de domaine fonctionnel est DC2, vous exécutez la commande suivantenetdom
à partir de la console de DC1:netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
-
Redémarrer le contrôleur de domaine affecté.
-
Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.
For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational