Domain controller is not functioning correctly
- 12/07/2020
- 8 minutes to read
-
- D
- v
- s
This article provides common resolutions to the issue where domain controller is not functioning correctly.
Original product version: Windows Server 2012 R2
Original KB number: 837513
Symptoms
When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:
DC Diagnosis
Performing initial setup:
LDAP bind a eșuat cu eroarea 31
Când executați utilitarul REPADMIN /SHOWREPS
local pe un controler de domeniu, este posibil să primiți unul dintre următoarele mesaje de eroare:
Eroare LDAP 82 (Eroare locală).
Ultima încercare @ yyyy-mm-dd hh:mm.ss a eșuat, rezultat 1753: Nu mai există puncte finale disponibile de la endpoint mapper.
Ultima încercare @ yyyy-mm-dd hh:mm.ss a eșuat, rezultat 5: Accesul este refuzat.
Dacă utilizați Active Directory Sites and Services pentru a declanșa replicarea, este posibil să primiți un mesaj care indică faptul că accesul este refuzat.
Când încercați să utilizați resursele de rețea din consola unui controler de domeniu afectat, inclusiv resursele Universal Naming Convention (UNC) sau unitățile de rețea mapate, este posibil să primiți următorul mesaj de eroare:
Nu sunt disponibile servere de conectare (c000005e = „STATUS_NO_LOGON_SERVERS”)
Dacă porniți orice instrumente administrative Active Directory de la consola unui controler de domeniu afectat, inclusiv Active Directory Sites and Services și Active Directory Users and Computers, este posibil să primiți unul dintre următoarele mesaje de eroare:
Dacă porniți orice instrumente administrative Active Directory de la consola unui controler de domeniu afectat, inclusiv Active Directory Sites and Services și Active Directory Users and Computers, este posibil să primiți unul dintre următoarele mesaje de eroare:
Numele informațiilor nu poate fi localizat deoarece: Nicio autoritate nu a putut fi contactată pentru autentificare. Contactați administratorul dvs. de sistem pentru a verifica dacă domeniul dvs. este configurat corespunzător și este în prezent online.
Nu pot fi localizate informațiile de denumire deoarece: Numele contului țintă este incorect. Contactați administratorul de sistem pentru a verifica dacă domeniul dumneavoastră este configurat corespunzător și este în prezent online.
Clienții Microsoft Outlook care sunt conectați la computere Microsoft Exchange Server care utilizează controlorii de domeniu afectați pentru autentificare pot fi solicitați pentru acreditările de conectare, chiar dacă există o autentificare de conectare reușită de la alți controlori de domeniu.
Scopul Netdiag poate afișa următoarele mesaje de eroare:
Test listă CD . . . . . . . . . . . . . . . . . . . . . : Failed
Nu se poate apela DsBind la <nume server><fqdn><ip address>).
Test Kerberos. . . . . . . . . . . . . . . : Eșec
Kerberos nu are un bilet pentru krbtgt/<fqdn>.Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>
The following event may be logged in the system event log of the affected domain controller:
Resolution
There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Articolele din baza de cunoștințe Microsoft care descriu rezolvări mai puțin comune pentru aceste simptome sunt enumerate mai târziu.
- Metoda 1: Remediați erorile Sistemului de nume de domeniu (DNS).
- Metoda 2: Sincronizați ora între calculatoare.
- Metoda 3: Verificați drepturile de acces la acest calculator din rețea ale utilizatorului.
- Metoda 4: Verificați dacă atributul userAccountControl al controlerului de domeniu este 532480.
- Metoda 5: Corectați tărâmul Kerberos (confirmați că cheia de registru PolAcDmN și cheia de registru PolPrDmN se potrivesc).
- Metoda 6: Resetați parola contului mașinii, apoi obțineți un nou tichet Kerberos.
Metoda 1: Remediați erorile DNS
- La un prompt de comandă, rulați comanda
netdiag -v
. Această comandă creează un fișier Netdiag.log în folderul în care a fost executată comanda. - Rezolvați orice erori DNS din fișierul Netdiag.log înainte de a continua. Instrumentul Netdiag se găsește în Instrumente de asistență pentru Windows 2000 Server de pe CD-ROM-ul Windows 2000 Server sau ca descărcare.
- Asigurați-vă că DNS este configurat corect. Una dintre cele mai frecvente greșeli DNS este de a îndrepta controlerul de domeniu către un furnizor de servicii Internet (ISP) pentru DNS în loc de a îndrepta DNS către el însuși sau către un alt server DNS care acceptă actualizări dinamice și înregistrări SRV. Vă recomandăm să orientați controlerul de domeniu către el însuși sau către un alt server DNS care acceptă actualizări dinamice și înregistrări SRV. Vă recomandăm să configurați redirecționări către ISP pentru rezoluția de nume pe Internet.
Pentru mai multe informații despre configurarea DNS pentru serviciul de directoare Active Directory, faceți clic pe următoarele numere de articol pentru a vizualiza articolele din Microsoft Knowledge Base:
254680 Planificarea spațiului de nume DNS
Metoda 2: Sincronizați ora între calculatoare
Verificați dacă ora este sincronizată corect între controlorii de domeniu. În plus, verificați dacă ora este sincronizată corect între computerele client și controlorii de domeniu.
Metoda 3: Verificați drepturile de utilizator „Accesați acest computer din rețea”
Modificați fișierul Gpttmpl.inf pentru a confirma că utilizatorii corespunzători au dreptul de utilizator Accesați acest computer din rețea pe controlorul de domeniu. Pentru a face acest lucru, urmați acești pași:
-
Modificați fișierul Gpttmpl.inf pentru Default Domain Controllers Policy. În mod implicit, Default Domain Controllers Policy este locul în care sunt definite drepturile de utilizator pentru un controler de domeniu. În mod implicit, fișierul Gpttmpl.inf pentru Default Domain Controllers Policy este localizat în următorul folder.
Nota
Sysvol poate fi într-o locație diferită, dar calea pentru fișierul Gpttmpl.inf va fi aceeași.
Pentru controlorii de domeniu Windows Server 2003:
C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Pentru controlorii de domeniu Windows 2000 Server:
C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
-
În dreapta intrării SeNetworkLogonRight, adăugați identificatorii de securitate pentru Administratori, pentru Utilizatori autentificați și pentru Toată lumea. Consultați următoarele exemple.
Pentru controlorii de domeniu Windows Server 2003:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Pentru controlorii de domeniu Windows 2000 Server:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Note
Administratorii (S-1-5-32-544), Utilizatorii autentificați (S-1-5-11), Toată lumea (S-1-1-0) și Controlorii de întreprindere (S-1-5-9) utilizează identificatori de securitate bine cunoscuți care sunt aceiași în fiecare domeniu.
-
Îndepărtați toate intrările din dreapta intrării SeDenyNetworkLogonRight (Deny access to this computer from the network) pentru a se potrivi cu următorul exemplu.
SeDenyNetworkLogonRight =
Nota
Exemplul este același pentru Windows 2000 Server și pentru Windows Server 2003.
În mod implicit, Windows 2000 Server nu are intrări în intrarea SeDenyNetworkLogonRight. În mod implicit, Windows Server 2003 are doar contul Support_random string în intrarea SeDenyNetworkLogonRight. (Contul Support_random string este utilizat de Remote Assistance.) Deoarece contul Support_random string utilizează un identificator de securitate (SID) diferit în fiecare domeniu, contul nu se poate distinge cu ușurință de un cont de utilizator obișnuit doar uitându-se la SID. Este posibil să doriți să copiați SID-ul într-un alt fișier text și apoi să eliminați SID-ul din intrarea SeDenyNetworkLogonRight. În acest fel, îl puteți pune la loc atunci când ați terminat de depanat problema.
SeNetworkLogonRight și SeDenyNetworkLogonRight pot fi definite în orice politică. Dacă pașii anteriori nu rezolvă problema, verificați fișierul Gpttmpl.inf în alte politici din Sysvol pentru a confirma că drepturile utilizatorului nu sunt definite și acolo. Dacă un fișier Gpttmpl.inf nu conține nicio referință la SeNetworkLogonRight sau la SeDenyNetworkLogonRight, înseamnă că aceste setări nu sunt definite în politică și că politica respectivă nu cauzează această problemă. Dacă aceste intrări există, asigurați-vă că se potrivesc cu setările enumerate mai devreme pentru politica Default Domain Controller.
Metoda 4: Verificați dacă atributul userAccountControl al controlerului de domeniu este 532480
- Click pe Start, click pe Run, și apoi tastați adsiedit.msc.
- Extindeți Domain NC, extindeți DC=domeniu și apoi extindeți OU=Domain Controllers.
- Clic dreapta pe controlerul de domeniu afectat și apoi faceți clic pe Properties.
- În Windows Server 2003, faceți clic pentru a selecta caseta de selectare Show mandatory attributes (Afișare atribute obligatorii) și caseta de selectare Show optional attributes (Afișare atribute opționale) în fila Attribute Editor (Editor de atribute). În Windows 2000 Server, faceți clic pe Both în caseta Select which properties to view.
- În Windows Server 2003, faceți clic pe userAccountControl în caseta Attributes. În Windows 2000 Server, faceți clic pe userAccountControl în caseta Select a property to view (Selectați o proprietate pentru a o vizualiza).
- Dacă valoarea nu este 532480, tastați 532480 în caseta Edit Attribute (Editare atribut), faceți clic pe Set (Setare), faceți clic pe Apply (Aplicare) și apoi faceți clic pe OK.
- Închideți ADSI Edit.
Metoda 5: Reparați domeniul Kerberos (confirmați că cheia de registru PolAcDmN și cheia de registru PolPrDmN se potrivesc)
Nota
Această metodă este valabilă numai pentru Windows 2000 Server.
Important
Această secțiune, metodă sau sarcină conține pași care vă spun cum să modificați registrul. Cu toate acestea, pot apărea probleme grave dacă modificați registrul în mod incorect. Prin urmare, asigurați-vă că urmați cu atenție acești pași. Pentru o protecție suplimentară, faceți o copie de rezervă a registrului înainte de a-l modifica. Apoi, puteți restaura registrul în cazul în care apare o problemă. Pentru mai multe informații despre cum să efectuați o copie de rezervă și să restaurați registrul, faceți clic pe următorul număr de articol pentru a vizualiza articolul din Baza de cunoștințe Microsoft:
322756 Cum să efectuați o copie de rezervă și să restaurați registrul în Windows
- Porniți Registry Editor.
- În panoul din stânga, extindeți Securitate.
- On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
key. - In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
- On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
- The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
- Locate the
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
registry key. - In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
- In the Binary Editor dialog box, paste the value from PolPrDmN. (Valoarea din PolPrDmN va fi numele de domeniu NetBIOS).
- Reporniți controlerul de domeniu.
Metoda 6: Reinițializați parola contului mașinii și apoi obțineți un nou bilet Kerberos
-
Închideți serviciul Kerberos Key Distribution Center, apoi setați valoarea de pornire la Manual.
-
Utilizați instrumentul Netdom din Windows 2000 Server Support Tools sau din Windows Server 2003 Support Tools pentru a reseta parola contului de mașină al controlerului de domeniu:
netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>
Asigurați-vă că comanda
netdom
este returnată ca fiind finalizată cu succes. Dacă nu este așa, comanda nu a funcționat. Pentru domeniul Contoso, unde controlerul de domeniu afectat este DC1, iar un controler de domeniu care funcționează este DC2, executați următoarea comandănetdom
din consola lui DC1:netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
-
Reporniți controlerul de domeniu afectat.
-
Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.
For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational