Domain controller is not functioning correctly
- 12/07/2020
- 8 minutes to read
-
- D
- v
- s
This article provides common resolutions to the issue where domain controller is not functioning correctly.
Original product version: Windows Server 2012 R2
Original KB number: 837513
Symptoms
When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:
DC Diagnosis
Performing initial setup:
LDAP bind failed with error 31
Quando si esegue l’utilità REPADMIN /SHOWREPS
localmente su un controller di dominio, si può ricevere uno dei seguenti messaggi di errore:
LDAP error 82 (Local Error).
L’ultimo tentativo @ yyyy-mm-dd hh:mm.ss failed, result 1753: There are no more endpoints available from the endpoint mapper.
L’ultimo tentativo @ yyyy-mm-dd hh:mm.ss fallito, risultato 5: Accesso negato.
Se si usa Active Directory Sites and Services per attivare la replica, si può ricevere un messaggio che indica che l’accesso è negato.
Quando si tenta di utilizzare le risorse di rete dalla console di un controller di dominio interessato, comprese le risorse Universal Naming Convention (UNC) o le unità di rete mappate, si potrebbe ricevere il seguente messaggio di errore:
Nessun server di accesso disponibile (c000005e = “STATUS_NO_LOGON_SERVERS”)
Se si avvia qualsiasi strumento amministrativo di Active Directory dalla console di un controller di dominio interessato, compresi Active Directory Sites and Services e Active Directory Users and Computers, si potrebbe ricevere uno dei seguenti messaggi di errore:
Non è possibile individuare le informazioni sul nome perché: Nessuna autorità è stata contattata per l’autenticazione. Contatta il tuo amministratore di sistema per verificare che il tuo dominio sia configurato correttamente e sia attualmente online.
Non è possibile individuare le informazioni sul nome perché: Il nome dell’account di destinazione non è corretto. Contattare l’amministratore di sistema per verificare che il dominio sia configurato correttamente e sia attualmente online.
I client Microsoft Outlook che sono connessi ai computer Microsoft Exchange Server che utilizzano i controller di dominio interessati per l’autenticazione potrebbero ricevere la richiesta di credenziali di accesso, anche se l’autenticazione di accesso da altri controller di dominio è riuscita.
Lo strumento Netdiag potrebbe visualizzare i seguenti messaggi di errore:
Test elencoDC . . . . . . . . . . : Failed
Cannot call DsBind to <servername><fqdn>< indirizzo IP>).
Test Kerberos. . . . . . . . . : Fallito
Kerberos non ha un ticket per krbtgt/<fqdn>.Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>
The following event may be logged in the system event log of the affected domain controller:
Resolution
There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Gli articoli della Microsoft Knowledge Base che descrivono soluzioni meno comuni per questi sintomi sono elencati più avanti.
- Metodo 1: Correggere gli errori del Domain Name System (DNS).
- Metodo 2: Sincronizzare l’ora tra i computer.
- Metodo 3: Controllare i diritti di accesso a questo computer dalla rete.
- Metodo 4: Verificare che l’attributo userAccountControl del controller di dominio sia 532480.
- Metodo 5: Correggere il realm Kerberos (confermare che la chiave di registro PolAcDmN e la chiave di registro PolPrDmN corrispondano).
- Metodo 6: Reimpostare la password dell’account macchina, e poi ottenere un nuovo ticket Kerberos.
Metodo 1: Correggere gli errori DNS
- In un prompt dei comandi, eseguire il comando
netdiag -v
. Questo comando crea un file Netdiag.log nella cartella in cui è stato eseguito il comando. - Risolvere eventuali errori DNS nel file Netdiag.log prima di continuare. Lo strumento Netdiag si trova nel Windows 2000 Server Support Tools sul CD-ROM di Windows 2000 Server o come download.
- Assicurarsi che il DNS sia configurato correttamente. Uno degli errori DNS più comuni è puntare il controller di dominio a un Internet Service Provider (ISP) per il DNS invece di puntare il DNS a se stesso o a un altro server DNS che supporta gli aggiornamenti dinamici e i record SRV. Si consiglia di puntare il controller di dominio a se stesso o a un altro server DNS che supporti gli aggiornamenti dinamici e i record SRV. Si consiglia di impostare gli inoltri all’ISP per la risoluzione del nome su Internet.
Per ulteriori informazioni sulla configurazione del DNS per il servizio di directory Active Directory, fare clic sui seguenti numeri di articolo per visualizzare gli articoli nella Microsoft Knowledge Base:
254680 Pianificazione spazio dei nomi DNS
Metodo 2: sincronizzare l’ora tra i computer
Verificare che l’ora sia correttamente sincronizzata tra i controller di dominio. Inoltre, verifica che l’ora sia correttamente sincronizzata tra i computer client e i controller di dominio.
Metodo 3: Controlla i diritti utente “Accedi a questo computer dalla rete”
Modifica il file Gpttmpl.inf per confermare che gli utenti appropriati hanno il diritto di accesso a questo computer dalla rete sul controller di dominio. Per fare questo, segui questi passi:
-
Modifica il file Gpttmpl.inf per la policy dei controller di dominio predefiniti. Per impostazione predefinita, la Default Domain Controllers Policy è dove i diritti utente sono definiti per un controller di dominio. Per default, il file Gpttmpl.inf per la Default Domain Controllers Policy si trova nella seguente cartella.
Nota
Sysvol può essere in una posizione diversa, ma il percorso del file Gpttmpl.inf sarà lo stesso.
Per i controller di dominio Windows Server 2003:
C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Per i controller di dominio Windows 2000 Server:
C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
-
A destra della voce SeNetworkLogonRight, aggiungi gli identificatori di sicurezza per gli amministratori, per gli utenti autenticati e per tutti. Vedere i seguenti esempi.
Per i controller di dominio Windows Server 2003:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Per i controller di dominio Windows 2000 Server:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Nota
Gli amministratori (S-1-5-32-544), gli utenti autenticati (S-1-5-11), tutti (S-1-1-0), e i controller aziendali (S-1-5-9) usano identificatori di sicurezza ben noti che sono gli stessi in ogni dominio.
-
Rimuovi qualsiasi voce a destra della voce SeDenyNetworkLogonRight (nega l’accesso a questo computer dalla rete) per corrispondere al seguente esempio.
SeDenyNetworkLogonRight =
Nota
L’esempio è lo stesso per Windows 2000 Server e per Windows Server 2003.
Di default, Windows 2000 Server non ha voci nella voce SeDenyNetworkLogonRight. Per impostazione predefinita, Windows Server 2003 ha solo l’account Support_random string nella voce SeDenyNetworkLogonRight. (L’account Support_random string è usato da Remote Assistance.) Poiché l’account Support_random string usa un diverso identificatore di sicurezza (SID) in ogni dominio, l’account non è facilmente distinguibile da un tipico account utente solo guardando il SID. Potresti voler copiare il SID in un altro file di testo, e poi rimuovere il SID dalla voce SeDenyNetworkLogonRight. In questo modo, puoi rimetterlo a posto quando hai finito di risolvere il problema.
SeNetworkLogonRight e SeDenyNetworkLogonRight possono essere definiti in qualsiasi policy. Se i passi precedenti non risolvono il problema, controllate il file Gpttmpl.inf in altre policy in Sysvol per confermare che i diritti dell’utente non siano definiti anche lì. Se un file Gpttmpl.inf non contiene alcun riferimento a SeNetworkLogonRight o a SeDenyNetworkLogonRight, quelle impostazioni non sono definite nella policy e quella policy non sta causando questo problema. Se queste voci esistono, assicuratevi che corrispondano alle impostazioni elencate in precedenza per la policy Default Domain Controller.
Metodo 4: Verificate che l’attributo userAccountControl del controller di dominio sia 532480
- Fate clic su Start, su Run e poi digitate adsiedit.msc.
- Espandi dominio NC, espandi DC=dominio, e poi espandi OU=Controllori di dominio.
- Clicca con il tasto destro del mouse sul controller di dominio interessato, e poi clicca su Proprietà.
- In Windows Server 2003, clicca per selezionare la casella di controllo Mostra attributi obbligatori e la casella di controllo Mostra attributi opzionali sulla scheda Attribute Editor. In Windows 2000 Server, fare clic su Entrambi nella casella Seleziona quali proprietà visualizzare.
- In Windows Server 2003, fare clic su userAccountControl nella casella Attributi. In Windows 2000 Server, fare clic su userAccountControl nella casella Seleziona una proprietà da visualizzare.
- Se il valore non è 532480, digitare 532480 nella casella Modifica attributo, fare clic su Imposta, fare clic su Applica, e quindi fare clic su OK.
- Chiudere ADSI Edit.
Metodo 5: Fissare il reame Kerberos (confermare che la chiave di registro PolAcDmN e la chiave di registro PolPrDmN corrispondono)
Nota
Questo metodo è valido solo per Windows 2000 Server.
Importante
Questa sezione, metodo o attività contiene passi che ti dicono come modificare il registro. Tuttavia, potrebbero verificarsi seri problemi se si modifica il registro in modo errato. Pertanto, assicurati di seguire attentamente questi passaggi. Per una maggiore protezione, fai un backup del registro prima di modificarlo. Quindi, è possibile ripristinare il registro se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e il ripristino del registro, fare clic sul seguente numero di articolo per visualizzare l’articolo nella Microsoft Knowledge Base:
322756 Come eseguire il backup e il ripristino del registro in Windows
- Avviare l’Editor del Registro di sistema.
- Nel pannello di sinistra, espandere Sicurezza.
- On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
key. - In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
- On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
- The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
registry key. - In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
- In the Binary Editor dialog box, paste the value from PolPrDmN. (Il valore da PolPrDmN sarà il nome del dominio NetBIOS).
- Riavvia il controller di dominio.
Metodo 6: Reimpostare la password dell’account macchina, e poi ottenere un nuovo ticket Kerberos
-
Fermare il servizio Kerberos Key Distribution Center, e quindi impostare il valore di avvio su Manual.
-
Utilizzare lo strumento Netdom da Windows 2000 Server Support Tools o da Windows Server 2003 Support Tools per resettare la password dell’account macchina del controller di dominio:
netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>
Assicurarsi che il comando
netdom
venga restituito come completato con successo. Se non lo è, il comando non ha funzionato. Per il dominio Contoso, dove il controller di dominio interessato è DC1, e un controller di dominio funzionante è DC2, esegui il seguente comandonetdom
dalla console di DC1:netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
-
Riavvia il controller di dominio interessato.
-
Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.
For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational