Domain controller is not functioning correctly

admin
  • 12/07/2020
  • 8 minutes to read
    • D
    • v
    • s

This article provides common resolutions to the issue where domain controller is not functioning correctly.

Original product version: Windows Server 2012 R2
Original KB number: 837513

Symptoms

When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:

DC Diagnosis
Performing initial setup:
LDAP bind failed with error 31

Ao executar o REPADMIN /SHOWREPS utilitário localmente num controlador de domínio, pode receber uma das seguintes mensagens de erro:

LDAP error 82 (Local Error).

Última tentativa @ yyyyy-mm-dd hh:mm.ss falhou, resultado 1753: Não há mais pontos finais disponíveis no endpoint mapper.

P>Última tentativa @ yyyy-mm-dd hh:mm.ss falhou, resultado 5: O acesso é negado.

Se você usar Sites e Serviços do Active Directory para acionar a replicação, você pode receber uma mensagem que indica que o acesso é negado.

Quando você tenta usar recursos de rede do console de um controlador de domínio afetado, incluindo recursos da Convenção Universal de Nomes (UNC) ou unidades de rede mapeadas, você pode receber a seguinte mensagem de erro:

Nenhum servidor de logon disponível (c000005e = “STATUS_NO_LOGON_SERVERS”)

Se você iniciar qualquer ferramenta administrativa do Active Directory a partir do console de um controlador de domínio afetado, incluindo sites e serviços do Active Directory e usuários e computadores do Active Directory, você pode receber uma das seguintes mensagens de erro

Naming information cannot be located because: Nenhuma autoridade pode ser contactada para autenticação. Contacte o administrador do seu sistema para verificar se o seu domínio está devidamente configurado e está actualmente online.

Naming information cannot be located because: O nome da conta alvo está incorrecto. Contacte o administrador do seu sistema para verificar se o seu domínio está devidamente configurado e se está actualmente online.

Os clientes Microsoft Outlook que estão ligados a computadores Microsoft Exchange Server que estão a utilizar controladores de domínio afectados para autenticação podem ser solicitados a credenciais de logon, mesmo que exista uma autenticação de logon bem sucedida de outros controladores de domínio.

A ferramenta Netdiag pode exibir as seguintes mensagens de erro:

DC list test . . . . . . . . . . Failed
Não é possível chamar DsBind para <servername><fqdn><ip address>).
Kerberos test. . . . . . . . . . : Failed
Kerberos não tem bilhete para krbtgt/<fqdn>.

Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>

The following event may be logged in the system event log of the affected domain controller:

Resolution

There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Os artigos da Base de Conhecimento da Microsoft que descrevem correções menos comuns para estes sintomas são listados mais tarde.

  1. Método 1: Corrigir erros do Domain Name System (DNS).
  2. Método 2: Sincronizar o tempo entre computadores.
  3. Método 3: Verificar o acesso a este computador a partir dos direitos de usuário da rede.
  4. Método 4: Verificar se o atributo userAccountControl do controlador de domínio é 532480.
  5. Método 5: Fixe o domínio Kerberos (confirme que a chave de registro PolAcDmN e a chave de registro PolPrDmN correspondem).
  6. Método 6: Redefinir a senha da conta da máquina, e depois obter um novo ticket Kerberos.

Método 1: Corrigir erros DNS

  1. Em um prompt de comando, execute o comando netdiag -v. Este comando cria um ficheiro Netdiag.log na pasta onde o comando foi executado.
  2. Resolve quaisquer erros DNS no ficheiro Netdiag.log antes de continuar. A ferramenta Netdiag está nas Ferramentas de Suporte do Windows 2000 Server no CD-ROM do Windows 2000 Server ou como um download.

    3. li>Confirmar que o DNS está configurado corretamente. Um dos erros mais comuns no DNS é apontar o controlador de domínio para um provedor de serviços de Internet (ISP) para o DNS em vez de apontar o DNS para si mesmo ou para outro servidor DNS que suporte atualizações dinâmicas e registros SRV. Recomendamos que você aponte o controlador de domínio para si mesmo ou para outro servidor DNS que suporte atualizações dinâmicas e registros SRV. Recomendamos que você configure encaminhadores para o ISP para resolução de nomes na Internet.

Para mais informações sobre a configuração do serviço de diretório DNS para Active Directory, clique nos seguintes números de artigos para visualizar os artigos na Base de Conhecimento Microsoft:
254680 DNS namespace planning

Método 2: Sincronize o tempo entre computadores

Verifique se o tempo está corretamente sincronizado entre os controladores de domínio. Além disso, verificar se o tempo está corretamente sincronizado entre computadores clientes e controladores de domínio.

Método 3: Verificar os direitos de usuário “Acessar este computador a partir da rede”

Modificar o arquivo Gpttmpl.inf para confirmar que os usuários apropriados têm o acesso a este computador a partir do usuário da rede direito sobre o controlador de domínio. Para fazer isso, siga estes passos:

  1. Modifique o arquivo Gpttmpl.inf para a Política de Controladores de Domínios Padrão. Por padrão, a Default Domain Controllers Policy é onde os direitos de usuário são definidos para um controlador de domínio. Por padrão, o arquivo Gpttmpl.inf para a Default Domain Controllers Policy está localizado na seguinte pasta.

    Note

    Sysvol pode estar em um local diferente, mas o caminho para o arquivo Gpttmpl.inf será o mesmo.

    Para controladores de domínio Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    Para controladores de domínio Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. À direita da entrada SeNetworkLogonRight, adicione os identificadores de segurança para Administradores, para Usuários Autenticados, e para Todos. Veja os exemplos a seguir.

    Para controladores de domínio Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-1-0

    Para controladores de domínio Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-1-0

    Nota

    Administradores (S-1-5-32-544), Utilizadores Autenticados (S-1-5-11), Todos (S-1-1-1-0) e Controladores Empresariais (S-1-5-9) utilizam identificadores de segurança bem conhecidos que são os mesmos em todos os domínios.

  3. Remover qualquer entrada à direita da entrada SeDenyNetworkLogonRight (Negar acesso a este computador a partir da rede) para corresponder ao exemplo a seguir.

    SeDenyNetworkLogonRight =

    Nota

    O exemplo é o mesmo para Windows 2000 Server e para Windows Server 2003.

    Por padrão, Windows 2000 Server não tem entradas na entrada SeDenyNetworkLogonRight. Por padrão, o Windows Server 2003 tem apenas a conta de string Support_random na entrada SeDenyNetworkLogonRight. (A conta da string Support_random é usada pelo Remote Assistance.) Como a conta da string Support_random usa um identificador de segurança (SID) diferente em cada domínio, a conta não é facilmente distinguível de uma conta de usuário típica apenas olhando para o SID. Você pode querer copiar o SID para outro arquivo de texto, e então remover o SID da entrada SeDenyNetworkLogonRight. Dessa forma, você pode colocá-lo de volta quando terminar de solucionar o problema.

    SeNetworkLogonRight e SeDenyNetworkLogonRight podem ser definidos em qualquer política. Se as etapas anteriores não resolverem o problema, verifique o arquivo Gpttmpl.inf em outras políticas no Sysvol para confirmar que os direitos do usuário também não estão sendo definidos lá. Se um arquivo Gpttmpl.inf não contém referência ao SeNetworkLogonRight ou ao SeDenyNetworkLogonRight, essas configurações não estão definidas na política e essa política não está causando esse problema. Se essas entradas existirem, certifique-se de que elas correspondem às configurações listadas anteriormente para a política Default Domain Controller.

Método 4: Verifique se o atributo userAccountControl do controlador de domínio é 532480

    1. Click Start, clique em Run, e digite adsiedit.msc.
    2. Expand Domain NC, expanda DC=domain, e depois expanda OU=Domain Controllers.
    3. Clique direito no controlador de domínio afectado, e depois clique em Properties.
    4. In Windows Server 2003, clique para seleccionar a caixa de verificação Show mandatory attributes e a caixa de verificação Show optional attributes na tab Attribute Editor. No Windows 2000 Server, clique em Both in the Select which properties to view box.
    5. In Windows Server 2003, clique em userAccountControl na caixa Attributes. No Windows 2000 Server, clique em userAccountControl na caixa Select a property to view box.
    6. Se o valor não for 532480, digite 532480 na caixa Edit Attribute, clique em Set, clique em Apply e depois em OK.

      7. li>Quit ADSI Edit.

    Método 5: Corrija o domínio Kerberos (confirme que a chave de registro PolAcDmN e a chave de registro PolPrDmN correspondem)

    Nota

    Este método é válido apenas para Windows 2000 Server.

    Importante

    Esta seção, método ou tarefa contém passos que lhe dizem como modificar o registro. No entanto, podem ocorrer problemas graves se você modificar o registro de forma incorreta. Portanto, certifique-se de seguir estes passos cuidadosamente. Para maior proteção, faça backup do registro antes de modificá-lo. Então, você pode restaurar o registro se ocorrer um problema. Para mais informações sobre como fazer o backup e restaurar o registro, clique no seguinte número de artigo para ver o artigo na Base de Conhecimento Microsoft:
    322756 Como fazer o backup e restaurar o registro no Windows

    1. Start Registry Editor.
    2. No painel esquerdo, expanda Segurança.
    3. On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
    4. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN key.
    5. In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
    6. On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
    7. The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
    8. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN registry key.
    9. In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
    10. In the Binary Editor dialog box, paste the value from PolPrDmN. (O valor de PolPrDmN será o nome de domínio NetBIOS).
    11. Reiniciar o controlador de domínio.

    Método 6: Redefinir a senha da conta da máquina, e depois obter um novo ticket Kerberos

    1. Parar o serviço do Centro de Distribuição de Chaves Kerberos, e depois definir o valor de inicialização para Manual.

    2. Utilize a ferramenta Netdom das Ferramentas de Suporte do Windows 2000 Server ou das Ferramentas de Suporte do Windows Server 2003 para redefinir a senha da conta da máquina do controlador de domínio:

      netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

      Certifique-se de que o comando netdom é retornado como concluído com sucesso. Se não for, o comando não funcionou. Para o domínio Contoso, onde o controlador de domínio afetado é DC1, e um controlador de domínio funcionando é DC2, você executa o seguinte comando netdom a partir do console do DC1:

      netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

    3. Reinicie o controlador de domínio afetado.

    4. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

    For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
    323542 You cannot start the Active Directory Users and Computers tool because the server is not operational