Domain controller is not functioning correctly

admin
  • 12/07/2020
  • 8 minutes to read
    • D
    • v
    • s

This article provides common resolutions to the issue where domain controller is not functioning correctly.

Original product version: Windows Server 2012 R2
Original KB number: 837513

Symptoms

When you run the Dcdiag tool on a Microsoft Windows 2000-Server based domain controller or on a Windows Server 2003-based domain controller, you may receive the following error message:

DC Diagnosis
Performing initial setup:
LDAP-bindning misslyckades med fel 31

När du kör verktyget REPADMIN /SHOWREPS lokalt på en domänkontrollant kan du få ett av följande felmeddelanden:

LDAP-fel 82 (Lokalt fel).

Sista försöket @ yyyy-mm-dd hh:mm.ss misslyckades, resultat 1753: Det finns inga fler slutpunkter tillgängliga från slutpunktsmapparen.

Sista försöket @ yyyy-mm-dd hh:mm.ss misslyckades, resultat 5: Access is denied.

Om du använder Active Directory Sites and Services för att utlösa replikering kan det hända att du får ett meddelande som visar att åtkomst nekas.

När du försöker använda nätverksresurser från konsolen för en drabbad domänkontrollant, inklusive UNC-resurser (Universal Naming Convention) eller mappade nätverksenheter, kan du få följande felmeddelande:

Ingen inloggningsservrar finns tillgängliga (c000005e = ”STATUS_NO_LOGON_SERVERS”)

Om du startar något av Active Directory-administrationsverktygen från konsolen på en domänkontrollant som drabbats, inklusive Active Directory Sites and Services och Active Directory Users and Computers, kan du få något av följande felmeddelanden:

Namninformation kan inte hittas eftersom: Ingen myndighet kunde kontaktas för autentisering. Kontakta systemadministratören för att kontrollera att domänen är korrekt konfigurerad och för närvarande är online.

Namninformation kan inte hittas på grund av att: Namnet på målkontot är felaktigt. Kontakta systemadministratören för att kontrollera att domänen är korrekt konfigurerad och för närvarande är online.

Microsoft Outlook-klienter som är anslutna till Microsoft Exchange Server-datorer som använder drabbade domänkontrollanter för autentisering kan uppmanas att ange inloggningsuppgifter, även om inloggningsautentisering från andra domänkontrollanter har lyckats.

Netdiag-verktyget kan visa följande felmeddelanden:

DC list test . . . . . . . . . . . . . . . . . : Failed
Cannot call DsBind to <servername><fqdn><ipadress>).
Kerberos-test. . . . . . . . . . . . : Failed
Kerberos har ingen biljett för krbtgt/<fqdn>.

Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
Failed to query SPN registration on DC <hostname><fqdn>

The following event may be logged in the system event log of the affected domain controller:

Resolution

There are several resolutions for these symptoms. The following is a list of methods to try. The list is followed by steps to perform each method. Try each method until the problem is resolved. Artiklar i Microsofts kunskapsdatabas som beskriver mindre vanliga lösningar för dessa symtom listas senare.

  1. Metod 1: Åtgärda DNS-fel (Domain Name System).
  2. Metod 2: Synkronisera tiden mellan datorerna.
  3. Metod 3: Kontrollera användarrättigheterna Åtkomst till den här datorn från nätverket.
  4. Metod 4: Verifiera att domänkontrollantens userAccountControl-attribut är 532480.
  5. Metod 5: Fixa Kerberos realm (bekräfta att registernyckeln PolAcDmN och registernyckeln PolPrDmN stämmer överens).
  6. Metod 6: Återställ lösenordet för maskinkontot och skaffa sedan en ny Kerberos-biljett.

Metod 1: Rätta till DNS-fel

  1. Kör netdiag -v-kommandot i en kommandotolk. Detta kommando skapar en Netdiag.log-fil i mappen där kommandot kördes.
  3. Lös eventuella DNS-fel i Netdiag.log-filen innan du fortsätter. Verktyget Netdiag finns i Windows 2000 Server Support Tools på cd-rom:n med Windows 2000 Server eller som en nedladdning.
  4. Säkerställ att DNS är korrekt konfigurerat. Ett av de vanligaste DNS-felen är att man pekar domänkontrollanten till en Internetleverantör (ISP) för DNS i stället för att peka DNS till sig själv eller till en annan DNS-server som stöder dynamiska uppdateringar och SRV-poster. Vi rekommenderar att du pekar domänkontrollanten till sig själv eller till en annan DNS-server som stöder dynamiska uppdateringar och SRV-poster. Vi rekommenderar att du konfigurerar vidarebefordrare till internetleverantören för namnupplösning på Internet.

För mer information om att konfigurera DNS för Active Directory-katalogtjänsten klickar du på följande artikelnummer för att visa artiklarna i Microsofts kunskapsdatabas:
254680 Planering av DNS-namnsutrymme

Metod 2: Synkronisera tiden mellan datorerna

Kontrollera att tiden synkroniseras korrekt mellan domänkontrollanter. Kontrollera dessutom att tiden är korrekt synkroniserad mellan klientdatorer och domänkontrollanter.

Metod 3: Kontrollera användarrättigheterna ”Åtkomst till den här datorn från nätverket”

Modifiera filen Gpttmpl.inf för att bekräfta att lämpliga användare har användarrättigheten Åtkomst till den här datorn från nätverket på domänkontrollanten. Följ de här stegen:

  1. Modifiera filen Gpttmpl.inf för principen Standarddomänkontrollanter. Som standard definieras användarrättigheterna för en domänkontrollant i principen Standard för domänkontrollanter. Som standard finns filen Gpttmpl.inf för principen Default Domain Controllers Policy i följande mapp:

    Note

    Sysvol kan vara på en annan plats, men sökvägen för filen Gpttmpl.inf kommer att vara densamma.

    För Windows Server 2003-domänkontrollanter:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    För Windows 2000 Server-domänkontrollanter:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. Till höger om posten SeNetworkLogonRight lägger du till säkerhetsidentifierare för Administratörer, för Autentiserade användare och för Alla. Se följande exempel.

    För Windows Server 2003-domänkontrollanter:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-5-9,*S-1-5-32-544,*S-1-1-1-0

    För Windows 2000 Server-domänkontrollanter:

    SeNetworkLogonRight = *S-1-5-5-11,*S-1-5-32-544,*S-1-1-0

    Note

    Administratörer (S-1-5-32-544), Autentiserade användare (S-1-5-11), Alla (S-1-1-0) och Företagskontrollanter (S-1-5-9) använder välkända säkerhetsidentifierare som är desamma i varje domän.

    3. Remsätt alla poster till höger om posten SeDenyNetworkLogonRight (Neka åtkomst till den här datorn från nätverket) för att matcha följande exempel.

    SeDenyNetworkLogonRight =

    Note

    Exemplet är detsamma för Windows 2000 Server och för Windows Server 2003.

    Som standard har Windows 2000 Server inga poster i posten SeDenyNetworkLogonRight. Som standard har Windows Server 2003 endast strängkontot Support_random i posten SeDenyNetworkLogonRight. (Support_random-strängkontot används av Remote Assistance.) Eftersom Support_random-strängkontot använder en annan säkerhetsidentifierare (SID) i varje domän är det inte lätt att skilja kontot från ett vanligt användarkonto bara genom att titta på SID:en. Du kanske vill kopiera SID:n till en annan textfil och sedan ta bort SID:n från posten SeDenyNetworkLogonRight. På så sätt kan du lägga tillbaka den när du är klar med felsökningen.

    SeNetworkLogonRight och SeDenyNetworkLogonRight kan definieras i vilken princip som helst. Om de föregående stegen inte löser problemet kan du kontrollera filen Gpttmpl.inf i andra principer i Sysvol för att bekräfta att användarrättigheterna inte också definieras där. Om en Gpttmpl.inf-fil inte innehåller någon hänvisning till SeNetworkLogonRight eller SeDenyNetworkLogonRight definieras dessa inställningar inte i principen och den principen orsakar inte problemet. Om dessa poster finns, se till att de matchar de inställningar som anges tidigare för principen Default Domain Controller.

Metod 4: Kontrollera att domänkontrollantens userAccountControl-attribut är 532480

  1. Klicka på Start, klicka på Kör och skriv sedan adsiedit.msc.
  2. Expander Domain NC, expandera DC=domän och expandera sedan OU=Domänkontrollanter.
  3. Högerklicka på den berörda domänkontrollanten och klicka sedan på Egenskaper.
  4. I Windows Server 2003 klickar du på för att markera kryssrutan Visa obligatoriska attribut och kryssrutan Visa valfria attribut på fliken Attributredigerare. I Windows 2000 Server klickar du på Båda i rutan Välj vilka egenskaper som ska visas.
  5. I Windows Server 2003 klickar du på userAccountControl i rutan Attribut. I Windows 2000 Server klickar du på userAccountControl i rutan Välj en egenskap att visa.
  6. Om värdet inte är 532480 skriver du 532480 i rutan Redigera attribut, klickar på Ange, klickar på Tillämpa och klickar sedan på OK.
  7. Underkliv ADSI Edit.

Metod 5: Fixa Kerberos-området (bekräfta att registernyckeln PolAcDmN och registernyckeln PolPrDmN stämmer överens)

Anm.

Den här metoden gäller endast för Windows 2000 Server.

Viktigt

Det här avsnittet, den här metoden eller den här uppgiften innehåller steg som talar om hur du ska ändra i registret. Det kan dock uppstå allvarliga problem om du ändrar registret på ett felaktigt sätt. Se därför till att du följer de här stegen noggrant. För extra skydd bör du säkerhetskopiera registret innan du ändrar det. Då kan du återställa registret om ett problem uppstår. Om du vill ha mer information om hur du säkerhetskopierar och återställer registret klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
322756 Hur du säkerhetskopierar och återställer registret i Windows

  1. Starta Registereditorn.
  2. Expander Säkerhet i den vänstra rutan.
  3. On the Security menu, click Permissions to grant the Administrators local group Full Control of the SECURITY hive and its child containers and objects.
  4. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN key.
  5. In the right pane of Registry Editor, click the <No Name>: REG_NONE entry one time.
  6. On the View menu, click Display Binary Data. In the Format section of the dialog box, click Byte.
  7. The domain name appears as a string in the right side of the Binary Data dialog box. The domain name is the same as the Kerberos realm.
  8. Locate the HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN registry key.
  9. In the right pane of Registry Editor, double-click the <No Name>: REG_NONE entry.
  10. In the Binary Editor dialog box, paste the value from PolPrDmN. (Värdet från PolPrDmN kommer att vara NetBIOS-domännamnet).
  11. Starta om domänkontrollanten.

Metod 6: Återställ lösenordet för maskinkontot och skaffa sedan en ny Kerberos-biljett

  1. Stoppa tjänsten Kerberos Key Distribution Center och ställ sedan in startvärdet till Manual.

  2. Använd Netdom-verktyget från Windows 2000 Server Support Tools eller från Windows Server 2003 Support Tools för att återställa lösenordet för domänkontrollantens maskinkonto:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    Se till att kommandot netdom returneras som slutfört med framgång. Om det inte gör det, fungerade inte kommandot. För domänen Contoso, där den berörda domänkontrollanten är DC1 och en fungerande domänkontrollant är DC2, kör du följande netdom-kommando från konsolen för DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  4. Starta om den berörda domänkontrollanten.

  5. Start the Kerberos Key Distribution Center service, and then set the startup setting to Automatic.

For more information about this issue, click the following article numbers to view the articles in the Microsoft Knowledge Base:
323542 You cannot start the Active Directory Users and Computers tool because the server is not operational