網域控制站無法正常運作
本文提供網域控制站無法正常運作之問題的常見解決方法。
適用:Windows Server 2012 R2
原始 KB 編號: 837513
徵狀
當您在 Microsoft Windows 2000 伺服器型網域控制站或以 Windows Server 2003 為基礎的網域控制站上執行 Dcdiag 工具時,可能會收到下列錯誤訊息:
DC 診斷
執行初始設定:
[DC1] LDAP 系結失敗,錯誤 31
當您嘗試在網域控制站上本機執行 REPADMIN /SHOWREPS
公用程式時,可能會收到下列其中一種錯誤訊息:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389]LDAP 錯誤 82 (本機錯誤) 。
上次嘗試 @ yyyy-mm-dd hh:mm.ss 失敗,結果為 1753:端點對應程式沒有可用的端點。
上次嘗試 @ yyyy-mm-dd hh:mm.ss 失敗,結果 5:拒絕存取。
如果您使用 Active Directory 網站和服務來觸發複寫,您可能會收到訊息,指出存取遭到拒絕。
當您嘗試從受影響網域控制站的主控台使用網路資源,包括通用命名慣例 (UNC) 資源或對應的網路磁碟機時,您可能會收到下列錯誤訊息:
沒有可使用的登入伺服器 (c000005e =「STATUS_NO_LOGON_SERVERS」)
如果您從受影響網域控制站的主控台啟動任何 Active Directory 系統管理工具,包括 Active Directory 網站和服務和 Active Directory 使用者和電腦,您可能會收到下列其中一個錯誤訊息:
找不到命名資訊,因為:無法連絡任何授權單位進行驗證。 請連絡您的系統管理員,確認您的網域已正確設定且目前已上線。
找不到命名資訊,因為:目標帳戶名稱不正確。 請連絡您的系統管理員,確認您的網域已正確設定且目前已上線。
Microsoft Outlook 連線到使用受影響網域控制站進行驗證之 Microsoft Exchange Server 電腦的用戶端,可能會提示您輸入登入認證,即使其他網域控制站登入驗證成功仍如此。
Netdiag 工具可能會顯示下列錯誤訊息:
DC 清單測試。 . . . . . . . . . . :失敗
[WARNING]無法呼叫 DsBind 至 <servername>。<fqdn> (<ip 位址>) 。 [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos 測試。 . . . . . . . . . . :失敗
[嚴重]Kerberos 沒有 krbtgt/<fqdn 的票證>。[嚴重]Kerberos 沒有主機名>的<票證。
LDAP 測試。 . . . . . . . . . . . . :已通過
[WARNING]無法查詢DC <主機名><fqdn上的SPN註冊>
下列事件可能會記錄在受影響網域控制站的系統事件記錄檔中:
Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.
解決方案
這些徵兆有數種解決方法。 以下是要嘗試的方法清單。 清單後面接著執行每個方法的步驟。 請嘗試每個方法,直到問題解決為止。 稍後會列出描述這些徵兆較不常見修正的 Microsoft 知識庫文章。
- 方法 1:修正網域名稱系統 (DNS) 錯誤。
- 方法 2:同步處理電腦之間的時間。
- 方法 3:檢查 從網路存取這部電腦 使用者權限。
- 方法 4:確認網域控制站的 userAccountControl 屬性為 532480。
- 方法 5:修正 Kerberos 領域 (確認 PolAcDmN 登錄機碼和 PolPrDmN 登錄機碼相符)。
- 方法 6:重設電腦帳戶密碼,然後取得新的 Kerberos 票證。
方法 1:修正 DNS 錯誤
- 在命令提示字元中,執行
netdiag -v
命令。 此命令會在執行命令的資料夾中建立 Netdiag.log 檔案。 - 在繼續之前,請先解決 Netdiag.log 檔案中的所有 DNS 錯誤。 Netdiag 工具位於 Windows 2000 Server CD-ROM 上的 Windows 2000 伺服器支援工具中,或作為下載。
- 確定網路設定正確。 其中一個最常見的 DNS 錯誤是將網域控制站指向適用于 DNS 的網際網路服務提供者 (ISP),而不是將 DNS 指向本身或另一個支援動態更新和 SRV 記錄的 DNS 伺服器。 建議您將網域控制站指向本身,或指向支援動態更新和 SRV 記錄的另一部 DNS 伺服器。 建議您在網際網路上設定 ISP 的轉寄站以進行名稱解析。
如需有關如何設定 Active Directory 目錄服務的詳細資訊,請按以下的文章編號,檢視「Microsoft 知識庫」中的文章:
254680 DNS 命名空間規劃
方法 2:同步處理電腦之間的時間
確認網域控制站之間的時間已正確同步。 此外,請確認用戶端電腦與網域控制站之間的時間已正確同步。
方法 3:檢查「從網路存取這部電腦」使用者權限
修改 Gpttmpl.inf 檔案,以確認適當的使用者在網域控制站上擁有 從網路存取這部電腦 的使用者權限。 如果要執行這項操作,請依照下列步驟執行:
修改預設網域控制站原則的 Gpttmpl.inf 檔案。 預設情況下,預設網域控制站原則是定義網域控制站使用者權限的位置。 預設情況下,預設網域控制站原則的 Gpttmpl.inf 檔案位於下列資料夾中。
注意事項
Sysvol 可能位於不同的位置,但 Gpttmpl.inf 檔案的路徑會相同。
針對 Windows Server 2003 網域控制站:
C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
針對 Windows 2000 伺服器網域控制站:
C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
在 SeNetworkLogonRight 項目的右側,為 [系統管理員]、[已驗證的使用者] 和 [所有人] 新增安全識別碼。 請參閱下列範例。
針對 Windows Server 2003 網域控制站:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
針對 Windows 2000 伺服器網域控制站:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
注意事項
系統管理員 (S-1-5-32-544)、 已驗證的使用者 (S-1-5-11)、每個人 (S-1-1-0),以及企業控制器 (S-1-5-9) 使用每個網域中相同的已知安全識別碼。
移除 SeDenyNetworkLogonRight 項目右邊的所有項目 (拒絕從網路存取這部電腦),以符合下列範例。
SeDenyNetworkLogonRight =
注意事項
Windows 2000 Server 和 Windows Server 2003 的範例相同。
預設情況下,Windows 2000 Server 在 SeDenyNetworkLogonRight 項目中沒有項目。 預設情況下,Windows Server 2003 在 SeDenyNetworkLogonRight 項目中只有 Support_random 字串帳戶。 (遠端協助使用 Support_random 字串帳戶。) 因為Support_random 字串帳戶會在每個網域中使用不同的安全識別碼 (SID),所以若僅查看 SID,帳戶就不容易與一般使用者帳戶區別。 您可能想要將 SID 複製到另一個文字檔,然後從 SeDenyNetworkLogonRight 項目中移除 SID。 如此一來,當您完成問題的疑難排解時,就可以將它放回。
SeNetworkLogonRight 和 SeDenyNetworkLogonRight 可以在任何原則中定義。 如果先前的步驟無法解決問題,請檢查 Sysvol 中其他原則中的 Gpttmpl.inf 檔案,以確認該處並未定義使用者權限。 如果 Gpttmpl.inf 檔案未包含 SeNetworkLogonRight 或 SeDenyNetworkLogonRight 的參考,則原則中不會定義這些設定,而且該原則不會造成此問題。 如果這些項目確實存在,請確定它們符合先前針對預設網域控制站原則所列的設定。
方法 4:確認網域控制站的 userAccountControl 屬性為 532480
- 按一下 [開始],按一下 [執行],然後輸入 adsiedit.msc。
- 依序展開 [網域 NC] 和 [DC=domain],然後展開 [OU=網域控制站]。
- 用滑鼠右鍵按一下受影響的網域控制站,然後按一下 [屬性]。
- 在 Windows Server 2003 中,按一下以選取 [屬性編輯器] 索引標籤上的 [顯示必要屬性] 核取方塊和 [顯示選擇性屬性] 核取方塊。在 [Windows 2000 Server] 中,按一下 [選取要檢視的屬性] 方塊中的 [兩者]。
- 在 Windows Server 2003 中,按一下 [屬性] 方塊中的 [userAccountControl]。 在 Windows 2000 Server 中,按一下 [選取要檢視的屬性] 方塊中的 [userAccountControl]。
- 如果值不是 532480,請在 [編輯屬性] 方塊中輸入 532480,按一下 [設定],按一下 [套用],然後按一下 [確定]。
- 結束 ADSI 編輯器。
方法 5:修正 Kerberos 領域 (確認 PolAcDmN 登錄機碼與 PolPrDmN 登錄機碼相符)
注意事項
這個方法只適用于 Windows 2000 Server。
重要事項
這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows 中備份及還原登錄
- 啟動 [登錄編輯程式]。
- 在左邊窗格中,展開 [安全性]。
- 在 [安全性] 功能表上,按一下 [權限] 以授與 安全性 登錄區及其子容器和物件的 Administrators 本機群組的完全控制權。
- 尋找名為
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN
的機碼。 - 在登錄 編輯器 的右窗格中,按兩下 <[沒有名稱>:REG_NONE專案一次。
- 按一下 [檢視] 功能表上的 [顯示二進位資料]。 在對話方塊的 [格式] 區段中,按一下 [位元組]。
- 功能變數名稱會顯示為 [二進位資料] 對話方塊右側的字串。 功能變數名稱與 Kerberos 領域相同。
- 找出
HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN
登錄機碼。 - 在登錄 編輯器 的右窗格中,按兩下 <[無名稱>:REG_NONE專案。
- 在 [二進位編輯器] 對話方塊中,貼上來自 PolPrDmN 的值。 (來自 PolPrDmN 的值將會是 NetBIOS 網域名稱)。
- 重新開機網域控制器。
方法 6:重設電腦帳戶密碼,然後取得新的 Kerberos 票證
停止 Kerberos 金鑰發佈中心 服務,然後將啟動值設定為 Manual。
從 Windows 2000 伺服器支援工具或從 Windows Server 2003 支援工具使用 Netdom 工具來重設網域控制站的電腦帳戶密碼:
netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>
請確定
netdom
命令已成功傳回為已完成。 如果不是,命令將無法運作。 針對受影響網域控制站為 DC1 且作用中網域控制站為 DC2 的 Contoso 網域,您可以從 DC1 主控台執行下列netdom
命令:netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
重新開機受影響的網域控制站。
啟動 Kerberos 金鑰發佈中心 服務,然後將啟動設定設為 [自動]。
如需有關這個問題的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
323542 您無法啟動 Active Directory 使用者和電腦工具,因為伺服器無法運作
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應