Kontroler domeny nie działa poprawnie

  • Artykuł

Ten artykuł zawiera typowe rozwiązania problemu polegającego na tym, że kontroler domeny nie działa poprawnie.

Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 837513

Symptomy

Po uruchomieniu narzędzia Dcdiag na kontrolerze domeny opartym na serwerze Microsoft Windows 2000 Server lub na kontrolerze domeny opartym na serwerze Windows Server 2003 może zostać wyświetlony następujący komunikat o błędzie:

Diagnostyka kontrolera domeny
Przeprowadzanie konfiguracji początkowej:
[DC1] Powiązanie LDAP nie powiodło się z powodu błędu 31

Podczas korzystania z narzędzia REPADMIN /SHOWREPS na kontrolerze domeny, może zostać wyświetlony jeden z następujących komunikatów o błędzie:

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Błąd LDAP 82 (błąd lokalny).

Ostatnia próba @ yyyy-mm-dd hh:mm.ss nie powiodła się, wynik 1753: Nie ma więcej punktów końcowych dostępnych z mapera punktu końcowego.

Ostatnia próba @ yyyy-mm-dd hh:mm.ss nie powiodła się, wynik 5: Odmowa dostępu.

Jeśli do wyzwalania replikacji są używane witryny i usługi Active Directory, może zostać wyświetlony komunikat wskazujący, że dostęp został odrzucony.

Podczas próby użycia zasobów sieciowych z konsoli kontrolera domeny, którego dotyczy problem, w tym zasobów uniwersalnej konwencji nazewnictwa (UNC) lub zamapowanych dysków sieciowych, może zostać wyświetlony następujący komunikat o błędzie:

Brak dostępnych serwerów logowania (c000005e = "STATUS_NO_LOGON_SERVERS")

Jeśli uruchomisz jakiekolwiek narzędzia administracyjne usługi Active Directory z konsoli kontrolera domeny, którego dotyczy problem, w tym witryn i usług Active Directory oraz użytkowników i komputerów usługi Active Directory, może zostać wyświetlony jeden z następujących komunikatów o błędach:

Nie można znaleźć informacji o nazewnictwie, ponieważ: nie można skontaktować się z żadnym urzędem w celu uwierzytelnienia. Skontaktuj się z administratorem systemu, aby sprawdzić, czy domena jest prawidłowo skonfigurowana i jest obecnie w trybie online.

Nie można znaleźć informacji o nazewnictwie, ponieważ: nazwa konta docelowego jest nieprawidłowa. Skontaktuj się z administratorem systemu, aby sprawdzić, czy domena jest prawidłowo skonfigurowana i jest obecnie w trybie online.

Klienci programu Microsoft Outlook, którzy są połączeni z komputerami Microsoft Exchange Server korzystającymi z kontrolerów domeny, których dotyczy problem, mogą zostać poproszeni o zalogowanie się, nawet jeśli uwierzytelnianie z innych kontrolerów domeny zakończyło się pomyślnie.

W narzędziu Netdiag może zostać wyświetlony następujący komunikat o błędzie:

Test listy kontrolerów domeny. . . . . . . . . . . : Niepowodzenie
[OSTRZEŻENIE] Nie można wywołać DsBind do <nazwy> serwera.<fqdn> (<adres> IP). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Test protokołu Kerberos. . . . . . . . . . . : Niepowodzenie
[FATAL] Protokół Kerberos nie ma biletu dla pliku krbtgt/<fqdn>.

[FATAL] Protokół Kerberos nie ma biletu dla nazwy <hosta>.
Test LDAP. . . . . . . . . . . . . : Zakończony pomyślnie
[OSTRZEŻENIE] Nie można wykonać zapytania dotyczącego rejestracji nazwy SPN w nazwie hosta kontrolera><domeny <fqdn>

Następujące zdarzenie może zostać zarejestrowane w dzienniku zdarzeń systemowych kontrolera domeny, którego dotyczy problem:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Rozwiązanie

Istnieje kilka rozwiązań dla tych objawów. Poniżej znajduje się lista metod do wypróbowania. Po liście są wykonywane kroki umożliwiające wykonanie każdej z metod. Wypróbuj każdą z metod, dopóki problem nie zostanie rozwiązany. Artykuły z bazy wiedzy Microsoft Knowledge Base opisujące mniej typowe poprawki tych objawów zostaną wymienione później.

  1. Metoda 1. Naprawianie błędów systemu nazw domen (DNS).
  2. Metoda 2. Synchronizowanie czasu między komputerami.
  3. Metoda 3. Sprawdź dostęp do tego komputera z poziomu praw użytkownika sieci.
  4. Metoda 4. Sprawdź, czy atrybut userAccountControl kontrolera domeny to 532480.
  5. Metoda 5. Napraw obszar Kerberos (upewnij się, że klucze rejestru PolAcDmN i PolPrDmN są zgodne).
  6. Metoda 6. Zresetuj hasło konta komputera, a następnie uzyskaj nowy bilet protokołu Kerberos.

Metoda 1. Naprawianie błędów DNS

  1. W wierszu polecenia wpisz polecenie netdiag -v. To polecenie tworzy plik Netdiag.log w folderze, w którym uruchomiono polecenie.
  2. Przed kontynuowaniem rozwiąż wszelkie błędy DNS w pliku Netdiag.log. Narzędzie Netdiag znajduje się w narzędziach obsługi systemu Windows 2000 Server na płycie CD-ROM z systemem Windows 2000 Server lub jako plik do pobrania.
  3. Upewnij się, że system DNS jest poprawnie skonfigurowany. Jednym z najczęstszych błędów DNS jest skierowanie kontrolera domeny do dostawcy usług internetowych (ISP) dla DNS zamiast wskazywania DNS na siebie lub na inny serwer DNS, który obsługuje aktualizacje dynamiczne i rekordy SRV. Zalecamy skierowanie kontrolera domeny do samego siebie lub innego serwera DNS, który obsługuje aktualizacje dynamiczne i rekordy SRV. Zalecamy skonfigurowanie usług przesyłania dalej do usługodawcy internetowego w celu rozpoznawania nazw w Internecie.

Aby uzyskać więcej informacji dotyczących sposobu konfigurowania serwera DNS dla usługi katalogowej Active Directory, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
254680 Planowanie przestrzeni nazw DNS

Metoda 2. Synchronizowanie czasu między komputerami

Sprawdź, czy czas jest poprawnie zsynchronizowany między kontrolerami domeny. Ponadto sprawdź, czy czas jest poprawnie synchronizowany między komputerami klienckimi i kontrolerami domeny.

Metoda 3. Sprawdzanie praw użytkownika „Uzyskiwanie dostępu do tego komputera z sieci”

Zmodyfikuj plik Gpttmpl.inf, aby potwierdzić, że odpowiedni użytkownicy mają dostęp do tego komputera z sieci na kontrolerze domeny. Aby to zrobić, wykonaj następujące kroki.

  1. Zmodyfikuj plik Gpttmpl.inf dla domyślnych zasad kontrolerów domeny. Domyślne zasady kontrolerów domeny to miejsce, w którym zdefiniowano prawa użytkownika dla kontrolera domeny. Domyślnie plik gpttmpl.inf dla domyślnych zasad kontrolerów domeny znajduje się w następującym folderze.

    Uwaga

    Plik sysvol może znajdować się w innej lokalizacji, ale ścieżka pliku Gpttmpl.inf będzie taka sama.

    W przypadku kontrolerów domeny Windows Server 2003:

    C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

    W przypadku kontrolerów domeny Windows 2000 Server:

    C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  2. Po prawej stronie wpisu SeNetworkLogonRight dodaj identyfikatory zabezpieczeń dla administratorów, użytkowników uwierzytelnionych i dla wszystkich. Rozpatrzmy następujące przykłady.

    W przypadku kontrolerów domeny Windows Server 2003:

    SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

    W przypadku kontrolerów domeny Windows 2000 Server:

    SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

    Uwaga

    Administratorzy (S-1-5-32-544), uwierzytelnieni użytkownicy (S-1-5-11), wszyscy (S-1-1-0) i kontrolery Enterprise (S-1-5-9) używają znanych identyfikatorów zabezpieczeń, które są takie same w każdej domenie.

  3. Usuń wszystkie wpisy z prawej strony wpisu SeDenyNetworkLogonRight (Odmowa dostępu do tego komputera z sieci), aby były zgodne z poniższym przykładem.

    SeDenyNetworkLogonRight =

    Uwaga

    Przykład jest taki sam dla systemów Windows 2000 Server i Windows Server 2003.

    Domyślnie system Windows 2000 Server nie ma żadnych wpisów we wpisie SeDenyNetworkLogonRight. Domyślnie system Windows Server 2003 we wpisie SeDenyNetworkLogonRight ma tylko konto ciągu Support_random. (Konto ciągu Support_random jest używane przez pomoc zdalną). Ponieważ konto ciągu Support_random używa innego identyfikatora zabezpieczeń (SID) w każdej domenie, trudno go odróżnić od typowego konta użytkownika tylko przez przyjrzenie się identyfikatorowi SID. Można skopiować identyfikator SID do innego pliku tekstowego, a następnie usunąć identyfikator SID z wpisu SeDenyNetworkLogonRight. W ten sposób można umieścić go z powrotem po zakończeniu rozwiązywania problemu.

    Polecenia SeNetworkLogonRight i SeDenyNetworkLogonRight można zdefiniować w dowolnych zasadach. Jeśli poprzednie kroki nie rozwiążą problemu, sprawdź plik Gpttmpl.inf w innych zasadach w katalogu Sysvol, aby potwierdzić, że prawa użytkownika również nie są tam definiowane. Jeśli plik Gpttmpl.inf nie zawiera odwołania do SeNetworkLogonRight lub SeDenyNetworkLogonRight, te ustawienia nie zostały zdefiniowane w zasadach i zasady te nie powodują tego problemu. Jeśli te wpisy istnieją, upewnij się, że są one zgodne z ustawieniami wymienionymi wcześniej dla domyślnych zasad kontrolera domeny.

Metoda 4. Sprawdź, czy atrybut userAccountControl kontrolera domeny to 532480

  1. Kliknij przycisk Start, kliknij pozycję Uruchom, a następnie wpisz adsiedit.msc.
  2. Rozwiń węzeł Kontroler domeny, rozwiń węzeł DC=domain, a następnie rozwiń węzeł OU=Domain Controllers.
  3. Kliknij prawym przyciskiem myszy kontroler domeny, którego dotyczy problem, a następnie kliknij polecenie Właściwości.
  4. W przypadku systemu Windows Server 2003 kliknij, aby zaznaczyć pole wyboru Pokaż obowiązkowe atrybuty i pole wyboru Pokaż opcjonalne atrybuty na karcie Edytor atrybutów. W przypadku systemu Windows 2000 Server kliknij pozycję Oba w polu Wybierz właściwości do wyświetlenia.
  5. W przypadku systemu Windows Server 2003 kliknij pozycję userAccountControl w polu Atrybuty. W przypadku systemu Windows 2000 Server kliknij pozycję userAccountControl w polu Wybierz właściwość do wyświetlenia.
  6. Jeśli wartość nie wynosi 532480, wpisz 532480 w polu Edytuj atrybut, kliknij przycisk Ustaw, kliknij przycisk Zastosuj, a następnie kliknij przycisk OK.
  7. Zamknij edytor ADSI.

Metoda 5. Napraw obszar Kerberos (upewnij się, że klucz rejestru PolAcDmN i klucz rejestru PolPrDmN są zgodne)

Uwaga

Ta metoda jest prawidłowa tylko dla systemu Windows 2000 Server.

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

  1. Uruchom Edytor rejestru.
  2. W lewym okienku kliknij pozycję Zabezpieczenia.
  3. W menu Zabezpieczenia kliknij pozycję Uprawnienia, aby przyznać grupie lokalnej Administratorzy pełną kontrolę nad gałęzią SECURITY oraz jej podrzędnymi kontenerami i obiektami.
  4. Znajdź klucz o nazwie HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
  5. W okienku po prawej stronie Redaktor rejestru kliknij pozycję <Bez nazwy>: REG_NONE raz.
  6. W menu Widok kliknij polecenie Wyświetl dane binarne. W obszarze Format okna dialogowego kliknij pozycję Bajt.
  7. Nazwa domeny jest wyświetlana jako ciąg po prawej stronie okna dialogowego Dane binarne. Nazwa domeny jest taka sama jak obszar Kerberos.
  8. Odszukaj następujący klucz rejestru HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
  9. W okienku po prawej stronie Redaktor rejestru kliknij <dwukrotnie wpis Bez nazwy>: REG_NONE.
  10. W oknie dialogowym Edytor binarny wklej wartość z pola PolPrDmN. (Wartość z pola PolPrDmN będzie nazwą domeny NetBIOS).
  11. Uruchom ponownie kontroler domeny.

Metoda nr 6: Resetowanie hasła konta komputera, a następnie uzyskiwanie nowego biletu protokołu Kerberos

  1. Zatrzymaj usługę Centrum dystrybucji kluczy Kerberos, a następnie ustaw wartość uruchamiania na Ręcznie.

  2. Użyj narzędzia Netdom z narzędzi do obsługi serwera Windows 2000 lub z narzędzi obsługi serwera Windows Server 2003, aby zresetować hasło konta komputera kontrolującego domenę:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>

    Upewnij się, że polecenie netdom jest zwracane jako ukończone pomyślnie. Jeśli tak nie jest, to polecenie to nie zadziałało. W przypadku domeny Contoso, w której kontrolerem domeny, którego dotyczy problem, jest DC1, a działającym kontrolerem domeny jest DC2, uruchom następujące polecenie z konsoli kontrolera DC1 netdom:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>

  3. Uruchom ponownie kontroler domeny, który nie działa.

  4. Uruchom usługę Centrum dystrybucji kluczy Kerberos, a następnie zmień ustawienie uruchamiania na Automatyczne.

Aby uzyskać więcej informacji dotyczących tego problemu, kliknij następujące numery artykułów w celu wyświetlenia ich w bazie wiedzy Microsoft Knowledge Base:
323542 Nie można uruchomić narzędzia Użytkownicy i komputery usługi Active Directory, ponieważ serwer nie działa