Контроллер домена не работает правильно

В этой статье данная статья содержит общие решения проблемы, из-за которой контроллер домена не функционирует правильно.

Применяется к:   Windows Server 2012 R2
Исходный номер КБ:   837513

Симптомы

При запуске средства Dcdiag на контроллере домена microsoft Windows 2000-Server или на контроллере домена на основе Windows Server 2003 вы можете получить следующее сообщение об ошибке:

Диагностика DC
Выполнение начальной установки:
[DC1] Сбой привязки LDAP с ошибкой 31

При локальном запуске утилиты на контроллере домена вы можете получить одно из следующих сообщений REPADMIN /SHOWREPS об ошибке:

[D: \ nt \ private \ ds \ src \ util \ \ repadmin repinfo.c, 389] LDAP error 82 (Local Error).

Последняя попытка @ yyyy-mm-dd hh:mm.ss не удалась, результат 1753: конечные точки больше не доступны из конечной карты.

Последняя попытка @ yyy-mm-dd hh:mm.ss не удалась, результат 5. Доступ отказано.

Если вы используете сайты и службы Active Directory для запуска репликации, вы можете получить сообщение, которое указывает на отказ в доступе.

При попытке использования сетевых ресурсов из консоли затронутого контроллера домена, включая ресурсы Универсальной конвенции о именовке (UNC) или сетевые диски, вы можете получить следующее сообщение об ошибке:

Нет серверов с логотипами (c000005e = "STATUS_NO_LOGON_SERVERS")

Если вы запустите любые средства администрирования Active Directory с консоли затронутого контроллера домена, включая сайты и службы Active Directory и active Directory Users and Computers, вы можете получить одно из следующих сообщений об ошибке:

Данные именования не могут быть расположены, так как. Для проверки подлинности не удалось связаться с никакими полномочиями. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Данные именования не могут быть расположены, так как: имя целевой учетной записи неверно. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Клиенты Outlook Майкрософт, подключенные к компьютерам Microsoft Exchange Server, использующим затронутые контроллеры домена для проверки подлинности, могут быть вызваны для проверки подлинности, несмотря на успешную проверку подлинности логотипов от других контроллеров домена.

Средство Netdiag может отображать следующие сообщения об ошибках:

Тест списка DC . . . . . . . . . . . : Не удалось
[WARNING] Не удается вызвать DsBind <servername> на .<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тест Kerberos. . . . . . . . . . . : Не удалось
[FATAL] Kerberos не имеет билета для krbtgt/ <fqdn> .

[FATAL] Kerberos не имеет билета <hostname> на .
Тест LDAP. . . . . . . . . . . . . : Пройдено
[WARNING] Не удалось запросить регистрацию SPN в DC <hostname><fqdn>

Следующее событие может быть в журнале событий системы затронутого контроллера домена:

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

Решение

Существует несколько решений для этих симптомов. Ниже приводится список методов, которые следует попробовать. За списком следуют действия для выполнения каждого метода. Попробуйте каждый метод, пока проблема не будет решена. Статьи базы знаний Майкрософт, описывая менее распространенные исправления для этих симптомов, перечислены позже.

  1. Метод 1. Исправление ошибок системы доменных имен (DNS).
  2. Метод 2. Синхронизация времени между компьютерами.
  3. Метод 3. Проверьте доступ к этому компьютеру с помощью прав пользователей сети.
  4. Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480.
  5. Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN).
  6. Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos.

Метод 1. Исправление ошибок DNS

  1. В командной подсказке запустите netdiag -v команду. Эта команда создает файл Netdiag.log в папке, где была запускана команда.
  2. Устранение ошибок DNS в файле Netdiag.log перед продолжением. Средство Netdiag находится в Windows 2000 средств поддержки сервера на Windows 2000 Server CD-ROM или в качестве загрузки.
  3. Убедитесь, что DNS настроен правильно. Одной из наиболее распространенных ошибок DNS является указать контроллер домена поставщику интернет-служб (ISP) для DNS вместо того, чтобы указать DNS на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Рекомендуется указать контроллер домена себе или другому DNS-серверу, который поддерживает динамические обновления и записи SRV. Рекомендуется настроить переадверители в интернет-провайдер для разрешения имен в Интернете.

Дополнительные сведения о настройке службы каталогов DNS для Active Directory щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
Планирование пространства имен DNS 254680

Метод 2. Синхронизация времени между компьютерами

Убедитесь, что время правильно синхронизируется между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизируется между клиентские компьютеры и контроллеры домена.

Метод 3. Проверка прав пользователя "Доступ к этому компьютеру из сети"

Измените файл Gpttmpl.inf, чтобы подтвердить, что соответствующие пользователи имеют доступ к этому компьютеру от сетевого пользователя прямо на контроллере домена. Для этого выполните следующие действия:

  1. Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. По умолчанию политика контроллеров домена по умолчанию определяет права пользователей для контроллера домена. По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию расположен в следующей папке.

    Примечание

    Sysvol может быть в другом расположении, но путь для файла Gpttmpl.inf будет одинаковым.

    Для Windows контроллеров домена Server 2003:

    C: \ WINDOWS \ Sysvol \ Sysvol \ <Domainname> \ Policies \ { 6AC1786C-016F-11D2-945F-00C04fB984F9} \ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

    Для Windows контроллеров домена Server 2000:

    C. \ WINNT \ \ Sysvol Sysvol \ <Domainname> \ Policies \ { 6AC1786C-016F-11D2-945F-00C04fB984F9} \ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

  2. Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для пользователей с проверкой подлинности и для всех. См. следующие примеры.

    Для Windows контроллеров домена Server 2003:

    SeNetworkLogonRight = * S-1-5-32-554, * S-1-5-9, * S-1-5-32-544, * S-1-1-0

    Для Windows контроллеров домена Server 2000:

    SeNetworkLogonRight = * S-1-5-11, * S-1-5-32-544, * S-1-1-0

    Примечание

    Администраторы (S-1-5-32-544), пользователи с проверкой подлинности (S-1-5-11), Все (S-1-1-0) и контроллеры Enterprise (S-1-5-9) используют известные идентификаторы безопасности, одинаковые в каждом домене.

  3. Удалите все записи справа от записи SeDenyNetworkLogonRight (запретить доступ к этому компьютеру из сети), чтобы соответствовать следующему примеру.

    SeDenyNetworkLogonRight =

    Примечание

    Пример такой же для Windows 2000 и Windows Server 2003.

    По умолчанию Windows 2000 Server не имеет записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только Support_random строку в записи SeDenyNetworkLogonRight. (Учетная запись Support_random строки используется удаленной помощью.) Поскольку учетная запись Support_random строки использует другой идентификатор безопасности (SID) в каждом домене, учетная запись не легко отличить от обычной учетной записи пользователя, просто глядя на SID. Может потребоваться скопировать SID в другой текстовый файл, а затем удалить SID из записи SeDenyNetworkLogonRight. Таким образом, вы можете положить его обратно, когда вы закончите устранение проблемы.

    SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике. Если предыдущие действия не уладили проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы подтвердить, что права пользователей там также не определены. Если файл Gpttmpl.inf не содержит ссылок на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике, и эта политика не вызывает эту проблему. Если эти записи действительно существуют, убедитесь, что они соответствуют настройкам, перечисленным ранее для политики контроллера домена по умолчанию.

Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480

  1. Нажмите кнопку Начните, нажмите кнопку Запустить, а затем введите adsiedit.msc.
  2. Расширение NC домена, расширение DC=domain, а затем расширение контроллеров домена = домена .
  3. Щелкните правой кнопкой мыши затронутый контроллер домена и нажмите кнопку Свойства.
  4. В Windows Server 2003 щелкните, чтобы выбрать поле "Показать обязательные атрибуты" и поле "Показать необязательные атрибуты" на вкладке Редактор атрибутов. В Windows 2000 Server щелкните Оба в поле Выберите свойства для просмотра.
  5. В Windows Server 2003 щелкните userAccountControl в поле Атрибуты. В Windows 2000 Server щелкните userAccountControl в поле Выберите свойство для просмотра.
  6. Если значение не 532480, введите 532480 в поле Изменить атрибут, нажмите кнопку Установите, нажмите применить, а затем нажмите кнопку ОК.
  7. Выход ADSI Редактирование.

Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN)

Примечание

Этот метод действителен только для Windows 2000 Server.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

  1. Начните редактор реестра.
  2. В левой области расширьте безопасность.
  3. В меню Безопасность щелкните Разрешения, чтобы предоставить локальной группе Администраторов полный контроль над ульем SECURITY и его детскими контейнерами и объектами.
  4. Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN ключ.
  5. В правой области редактора реестра нажмите <No Name> кнопку : REG_NONE один раз.
  6. В меню Просмотр щелкните Отображение двоичных данных. В разделе Формат диалоговое окно щелкните Byte.
  7. Доменное имя отображается в качестве строки в правой части диалогового окна Двоичные данные. Доменное имя такое же, как и область Kerberos.
  8. Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN ключ реестра.
  9. В правой области редактора реестра дважды щелкните <No Name> запись : REG_NONE.
  10. В диалоговом окне Двоичный редактор вклейте значение от PolPrDmN. (Значение от PolPrDmN будет доменное имя NetBIOS).
  11. Перезапустите контроллер домена.

Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos

  1. Остановите службу Центра рассылки ключей Kerberos, а затем установите значение запуска вручную.

  2. Для сброса пароля учетной записи компьютера контроллера домена используйте средство Netdom из средств поддержки Windows 2000 серверов или средств поддержки Windows Server 2003:

    netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>  
    

    Убедитесь, что netdom команда возвращается успешно. Если это не так, команда не работает. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена — DC2, вы запустите следующую команду из netdom консоли DC1:

    netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
    
  3. Перезапустите затронутый контроллер домена.

  4. Запустите службу Центра рассылки ключей Kerberos, а затем установите параметр запуска автоматическим.

Дополнительные сведения об этой проблеме щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
323542 Невозможно запустить средство Active Directory Users and Computers, так как сервер не работает