Domain controller is not functioning correctly

  • 12/07/2020
  • 8 minutes to read
    • D
    • v
    • s

This article provides common resolutions to the issue where domain controller is not functioning correctly.

Original product version: Windows Server 2012 R2
Original KB number: 837513

Symptoms

When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:

DC Diagnosis
Performing initial setup:
Az LDAP-kötés 31-es hibával sikertelen

Az REPADMIN /SHOWREPS segédprogram helyi futtatásakor egy tartományvezérlőn a következő hibaüzenetek egyikét kaphatja:

LDAP hiba 82 (helyi hiba).

Last attempt @ yyyy-mm-dd hh:mm.ss failed, result 1753: There are no more endpoints available from the endpoint mapper.

Last attempt @ yyyy-mm-dd hh:mm.ss failed, result 5: Access is denied.

Ha a replikáció elindításához az Active Directory helyek és szolgáltatások szolgáltatásait használja, előfordulhat, hogy a hozzáférés megtagadásáról szóló üzenetet kap.

Ha egy érintett tartományvezérlő konzoljáról próbálja használni a hálózati erőforrásokat, beleértve az UNC (Universal Naming Convention) erőforrásokat vagy a leképezett hálózati meghajtókat, a következő hibaüzenetet kaphatja:

No logon servers available (c000005e = “STATUS_NO_LOGON_SERVERS”)

Ha egy érintett tartományvezérlő konzoljáról elindít bármilyen Active Directory felügyeleti eszközt, beleértve az Active Directory – helyek és szolgáltatások és az Active Directory – felhasználók és számítógépek eszközt, a következő hibaüzenetek egyikét kaphatja:

Naming information cannot be located because: Nem sikerült kapcsolatba lépni a hitelesítéshez szükséges hatósággal. Forduljon a rendszergazdához, hogy ellenőrizze, hogy a tartomány megfelelően van-e konfigurálva és jelenleg online.

Naming information cannot be located because: A célszámla neve helytelen. Forduljon a rendszergazdához, hogy ellenőrizze, hogy a tartomány megfelelően van-e konfigurálva és jelenleg online.

Az érintett tartományvezérlőket hitelesítésre használó Microsoft Exchange Server számítógépekhez csatlakozó Microsoft Outlook-ügyfeleket a rendszer kérheti bejelentkezési hitelesítő adatok megadására, annak ellenére, hogy más tartományvezérlőkről sikeres bejelentkezési hitelesítés történik.

A Netdiag eszköz a következő hibaüzeneteket jelenítheti meg:

DC listateszt . . . . . . . . . . . . . : Failed
Cannot call DsBind to <servernév><fqdn><ip address>).
Kerberos teszt. . . . . . . . . . . . . . . . : Sikertelen
A Kerberos nem rendelkezik jeggyel a krbtgt/<fqdn> számára.

Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>

The following event may be logged in the system event log of the affected domain controller:

Resolution

There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. A Microsoft Knowledge Base cikkei, amelyek kevésbé gyakori megoldásokat írnak le ezekre a tünetekre, később találhatók.

  1. 1. módszer: A tartománynévrendszer (DNS) hibáinak javítása.
  2. 2. módszer: Szinkronizálja az időt a számítógépek között.
  3. 3. módszer: Ellenőrizze az Access this computer from the network felhasználói jogokat.
  4. 4. módszer: Ellenőrizze, hogy a tartományvezérlő userAccountControl attribútuma 532480.
  5. 5. módszer: Javítsa ki a Kerberos-realmit (ellenőrizze, hogy a PolAcDmN beállítási kulcs és a PolPrDmN beállítási kulcs egyezik-e).
  6. 6. módszer: Állítsa vissza a gépfiók jelszavát, majd szerezzen be egy új Kerberos-jegyet.

1. módszer: A DNS-hibák javítása

  1. A parancssorban futtassa a netdiag -v parancsot. Ez a parancs létrehoz egy Netdiag.log fájlt abban a mappában, ahol a parancs futott.
  2. Rendezze a Netdiag.log fájlban található DNS-hibákat, mielőtt folytatja. A Netdiag eszköz a Windows 2000 Server CD-ROM-on található Windows 2000 Server Support Tools (Windows 2000 Server támogató eszközök) csomagban található, vagy letölthető.
  3. Győződjön meg arról, hogy a DNS helyesen van-e konfigurálva. Az egyik leggyakoribb DNS-hiba, hogy a tartományvezérlőt egy internetszolgáltatóra (ISP) irányítja a DNS-hez, ahelyett, hogy a DNS-t saját magára vagy egy másik DNS-kiszolgálóra irányítaná, amely támogatja a dinamikus frissítéseket és az SRV-rekordokat. Javasoljuk, hogy a tartományvezérlőt saját magára vagy egy másik DNS-kiszolgálóra irányítsa, amely támogatja a dinamikus frissítéseket és az SRV-rekordokat. Javasoljuk, hogy az interneten történő névfeloldáshoz állítson be továbbítókat az internetszolgáltatóhoz.

Az Active Directory címtárszolgáltatás DNS-konfigurálásával kapcsolatos további információkért kattintson a következő cikkszámokra a Microsoft Tudásbázisban található cikkek megtekintéséhez:
254680 DNS névtér tervezése

2. módszer: Az idő szinkronizálása a számítógépek között

Ellenőrizze, hogy a tartományvezérlők között megfelelően szinkronizálva van-e az idő. Ellenőrizze továbbá, hogy az ügyfélszámítógépek és a tartományvezérlők között helyesen szinkronizálódik-e az idő.

3. módszer: A “Hozzáférés ehhez a számítógéphez a hálózatról” felhasználói jogok ellenőrzése

Módosítsa a Gpttmpl.inf fájlt annak megerősítésére, hogy a megfelelő felhasználók rendelkeznek a Hozzáférés ehhez a számítógéphez a hálózatról felhasználói joggal a tartományvezérlőn. Ehhez kövesse a következő lépéseket:

  1. Módosítsa a Gpttmpl.inf fájlt az Alapértelmezett tartományvezérlők házirendhez. Alapértelmezés szerint az Alapértelmezett tartományvezérlők házirend az a hely, ahol a tartományvezérlő felhasználói jogai meghatározásra kerülnek. Alapértelmezés szerint az Alapértelmezett tartományvezérlők házirendjének Gpttmpl.inf fájlja a következő mappában található.

    Megjegyzés

    A rendszervolt más helyen is lehet, de a Gpttmpl.inf fájl elérési útja ugyanaz lesz.

    A Windows Server 2003 tartományvezérlők esetében:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    A Windows 2000 Server tartományvezérlőkhöz:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. A SeNetworkLogonRight bejegyzéstől jobbra adja hozzá a Rendszergazdák, a Hitelesített felhasználók és a Mindenki biztonsági azonosítóit. Lásd a következő példákat.

    A Windows Server 2003 tartományvezérlőkhöz:

    SeNetworkLogonRight = *S-1-5-5-32-554,*S-1-5-5-9,*S-1-5-5-32-544,*S-1-1-1-0

    A Windows 2000 Server tartományvezérlőkhöz:

    SeNetworkLogonRight = *S-1-5-5-11,*S-1-5-32-544,*S-1-1-1-0

    Megjegyzés

    A rendszergazdák (S-1-5-32-544), a hitelesített felhasználók (S-1-5-11), a mindenki (S-1-1-1-0) és a vállalati vezérlők (S-1-5-9) jól ismert biztonsági azonosítókat használnak, amelyek minden tartományban azonosak.

  3. Távolítsa el a SeDenyNetworkLogonRight (A számítógép hálózati hozzáférésének megtagadása) bejegyzés jobb oldalán lévő bejegyzéseket, hogy megfeleljen a következő példának.

    SeDenyNetworkLogonRight =

    Megjegyzés

    A példa ugyanaz a Windows 2000 Server és a Windows Server 2003 esetében.

    A Windows 2000 Server alapértelmezés szerint nem tartalmaz bejegyzéseket a SeDenyNetworkLogonRight bejegyzésben. A Windows Server 2003 alapértelmezés szerint csak a Support_random string fiókot tartalmazza a SeDenyNetworkLogonRight bejegyzésben. (A Support_random string fiókot a Remote Assistance használja.) Mivel a Support_random string fiók minden tartományban más biztonsági azonosítót (SID) használ, a fiókot nem lehet könnyen megkülönböztetni egy átlagos felhasználói fióktól pusztán az SID alapján. Érdemes az SID-t egy másik szöveges fájlba másolni, majd eltávolítani az SID-t a SeDenyNetworkLogonRight bejegyzésből. Így a probléma elhárításának befejezésekor visszateheti azt.

    A SeNetworkLogonRight és a SeDenyNetworkLogonRight bármely házirendben definiálható. Ha az előző lépések nem oldják meg a problémát, ellenőrizze a Gpttmpl.inf fájlt a Sysvol más házirendjeiben, hogy megbizonyosodjon arról, hogy a felhasználói jogok nincsenek-e ott is definiálva. Ha a Gpttmpl.inf fájl nem tartalmaz utalást a SeNetworkLogonRight vagy a SeDenyNetworkLogonRight fájlra, akkor ezek a beállítások nincsenek definiálva a házirendben, és nem az a házirend okozza a problémát. Ha ezek a bejegyzések léteznek, ellenőrizze, hogy megfelelnek-e az Alapértelmezett tartományvezérlő házirend korábban felsorolt beállításainak.

4. módszer: Ellenőrizze, hogy a tartományvezérlő userAccountControl attribútuma 532480-e

  1. Kattintson a Start gombra, kattintson a Futtatás parancsra, majd írja be az adsiedit.msc parancsot.
  2. Tágítsa ki a Domain NC-t, bontsa ki a DC=domain, majd bontsa ki az OU=Domain Controllers elemet.
  3. Kattintson a jobb gombbal az érintett tartományvezérlőre, majd kattintson a Properties parancsra.
  4. Windows Server 2003 rendszerben kattintson az Attribute Editor lapon a Show mandatory attributes jelölőnégyzet és a Show optional attributes jelölőnégyzet bejelöléséhez. A Windows 2000 Server rendszerben kattintson a Both (Mindkettő) elemre a Select which properties to view (Válassza ki a megjelenítendő tulajdonságokat) mezőben.
  5. A Windows Server 2003 rendszerben kattintson a userAccountControl elemre az Attributes (Attribútumok) mezőben. Windows 2000 Server rendszerben kattintson a userAccountControl elemre a Megjelenítendő tulajdonság kiválasztása mezőben.
  6. Ha az érték nem 532480, írja be az 532480 értéket az Attribútum szerkesztése mezőbe, kattintson a Beállítás gombra, kattintson az Alkalmaz gombra, majd kattintson az OK gombra.
  7. Kilépés az ADSI-szerkesztésből.

5. módszer: A Kerberos-realm rögzítése (erősítse meg, hogy a PolAcDmN beállítási kulcs és a PolPrDmN beállítási kulcs egyezik)

Figyelem

Ez a módszer csak Windows 2000 Server esetén érvényes.

Fontos

Ez a szakasz, módszer vagy feladat a beállításjegyzék módosításának lépéseit tartalmazza. Azonban komoly problémák léphetnek fel, ha helytelenül módosítja a beállításjegyzéket. Ezért győződjön meg róla, hogy gondosan követi ezeket a lépéseket. A további védelem érdekében készítsen biztonsági másolatot a rendszerleíró adatbázisról, mielőtt módosítaná azt. Ezután visszaállíthatja a rendszerleíró adatbázist, ha probléma merülne fel. A rendszerleíró adatbázis biztonsági másolatának és visszaállításának elkészítésével kapcsolatos további információkért kattintson a következő cikkszámra a Microsoft Tudásbázisban található cikk megtekintéséhez:
322756 Hogyan készítsünk biztonsági másolatot és állítsuk vissza a Windows rendszerleíró adatbázisát

  1. Indítsa el a Beállításszerkesztőt.
  2. A bal oldali ablaktáblában bontsa ki a Biztonság elemet.
  3. On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
  4. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN key.
  5. In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
  6. On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
  7. The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
  8. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN registry key.
  9. In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
  10. In the Binary Editor dialog box, paste the value from PolPrDmN. (A PolPrDmN-ből származó érték lesz a NetBIOS tartománynév).
  11. Indítsa újra a tartományvezérlőt.

6. módszer: A gépi fiók jelszavának visszaállítása, majd új Kerberos-jegy beszerzése

  1. Állítsa le a Kerberos kulcselosztó központ szolgáltatást, majd állítsa az indítási értéket Kézi értékre.

  2. A Windows 2000 Server Support Tools vagy a Windows Server 2003 Support Tools Netdom eszközzel állítsa vissza a tartományvezérlő gépi fiókjának jelszavát:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password> 

    GYőződjön meg róla, hogy a netdom parancs sikeres befejezésként érkezik vissza. Ha nem, akkor a parancs nem működött. A Contoso tartomány esetében, ahol az érintett tartományvezérlő a DC1, a működő tartományvezérlő pedig a DC2, futtassa a következő netdom parancsot a DC1 konzoljáról:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
  3. Indítsa újra az érintett tartományvezérlőt.

  4. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational