網域控制站無法正常運作

發行項
02/19/2024

本文提供網域控制站無法正常運作之問題的常見解決方法。

適用：Windows Server 2012 R2
原始 KB 編號： 837513

徵狀

當您在 Microsoft Windows 2000 伺服器型網域控制站或以 Windows Server 2003 為基礎的網域控制站上執行 Dcdiag 工具時，可能會收到下列錯誤訊息：

DC 診斷
執行初始設定：
[DC1] LDAP 系結失敗，錯誤 31

當您嘗試在網域控制站上本機執行 REPADMIN /SHOWREPS 公用程式時，可能會收到下列其中一種錯誤訊息：

[D：\nt\private\ds\src\util\repadmin\repinfo.c， 389]LDAP 錯誤 82 (本機錯誤) 。

上次嘗試 @ yyyy-mm-dd hh:mm.ss 失敗，結果為 1753：端點對應程式沒有可用的端點。

上次嘗試 @ yyyy-mm-dd hh:mm.ss 失敗，結果 5：拒絕存取。

如果您使用 Active Directory 網站和服務來觸發複寫，您可能會收到訊息，指出存取遭到拒絕。

當您嘗試從受影響網域控制站的主控台使用網路資源，包括通用命名慣例 (UNC) 資源或對應的網路磁碟機時，您可能會收到下列錯誤訊息：

沒有可使用的登入伺服器 (c000005e =「STATUS_NO_LOGON_SERVERS」)

如果您從受影響網域控制站的主控台啟動任何 Active Directory 系統管理工具，包括 Active Directory 網站和服務和 Active Directory 使用者和電腦，您可能會收到下列其中一個錯誤訊息：

找不到命名資訊，因為：無法連絡任何授權單位進行驗證。請連絡您的系統管理員，確認您的網域已正確設定且目前已上線。

找不到命名資訊，因為：目標帳戶名稱不正確。請連絡您的系統管理員，確認您的網域已正確設定且目前已上線。

Microsoft Outlook 連線到使用受影響網域控制站進行驗證之 Microsoft Exchange Server 電腦的用戶端，可能會提示您輸入登入認證，即使其他網域控制站登入驗證成功仍如此。

Netdiag 工具可能會顯示下列錯誤訊息：

DC 清單測試。 . . . . . . . . . . ：失敗
[WARNING]無法呼叫 DsBind 至 <servername>。<fqdn> (<ip 位址>) 。 [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos 測試。 . . . . . . . . . . ：失敗
[嚴重]Kerberos 沒有 krbtgt/<fqdn 的票證>。

[嚴重]Kerberos 沒有主機名>的<票證。
LDAP 測試。 . . . . . . . . . . . . ：已通過
[WARNING]無法查詢DC <主機名><fqdn上的SPN註冊>

下列事件可能會記錄在受影響網域控制站的系統事件記錄檔中：

Event Type: Error
Event Source: Service Control Manager
Event ID: 7023
Description: The Kerberos Key Distribution Center service terminated with the following error: The security account manager (SAM) or local security authority (LSA) server was in the wrong state to perform the security operation.

解決方案

這些徵兆有數種解決方法。以下是要嘗試的方法清單。清單後面接著執行每個方法的步驟。請嘗試每個方法，直到問題解決為止。稍後會列出描述這些徵兆較不常見修正的 Microsoft 知識庫文章。

方法 1：修正網域名稱系統 (DNS) 錯誤。
方法 2：同步處理電腦之間的時間。
方法 3：檢查 從網路存取這部電腦 使用者權限。
方法 4：確認網域控制站的 userAccountControl 屬性為 532480。
方法 5：修正 Kerberos 領域 (確認 PolAcDmN 登錄機碼和 PolPrDmN 登錄機碼相符)。
方法 6：重設電腦帳戶密碼，然後取得新的 Kerberos 票證。

方法 1：修正 DNS 錯誤

在命令提示字元中，執行 netdiag -v 命令。此命令會在執行命令的資料夾中建立 Netdiag.log 檔案。
在繼續之前，請先解決 Netdiag.log 檔案中的所有 DNS 錯誤。 Netdiag 工具位於 Windows 2000 Server CD-ROM 上的 Windows 2000 伺服器支援工具中，或作為下載。
確定網路設定正確。其中一個最常見的 DNS 錯誤是將網域控制站指向適用于 DNS 的網際網路服務提供者 (ISP)，而不是將 DNS 指向本身或另一個支援動態更新和 SRV 記錄的 DNS 伺服器。建議您將網域控制站指向本身，或指向支援動態更新和 SRV 記錄的另一部 DNS 伺服器。建議您在網際網路上設定 ISP 的轉寄站以進行名稱解析。

如需有關如何設定 Active Directory 目錄服務的詳細資訊，請按以下的文章編號，檢視「Microsoft 知識庫」中的文章：
254680 DNS 命名空間規劃

方法 2：同步處理電腦之間的時間

確認網域控制站之間的時間已正確同步。此外，請確認用戶端電腦與網域控制站之間的時間已正確同步。

方法 3：檢查「從網路存取這部電腦」使用者權限

修改 Gpttmpl.inf 檔案，以確認適當的使用者在網域控制站上擁有 從網路存取這部電腦 的使用者權限。如果要執行這項操作，請依照下列步驟執行：

修改預設網域控制站原則的 Gpttmpl.inf 檔案。預設情況下，預設網域控制站原則是定義網域控制站使用者權限的位置。預設情況下，預設網域控制站原則的 Gpttmpl.inf 檔案位於下列資料夾中。

注意事項

Sysvol 可能位於不同的位置，但 Gpttmpl.inf 檔案的路徑會相同。

針對 Windows Server 2003 網域控制站：

C：\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

針對 Windows 2000 伺服器網域控制站：

C：\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
在 SeNetworkLogonRight 項目的右側，為 [系統管理員]、[已驗證的使用者] 和 [所有人] 新增安全識別碼。請參閱下列範例。

針對 Windows Server 2003 網域控制站：

SeNetworkLogonRight = *S-1-5-32-554，*S-1-5-9，*S-1-5-32-544，*S-1-1-0

針對 Windows 2000 伺服器網域控制站：

SeNetworkLogonRight = *S-1-5-11，*S-1-5-32-544，*S-1-1-0

注意事項

系統管理員 (S-1-5-32-544)、已驗證的使用者 (S-1-5-11)、每個人 (S-1-1-0)，以及企業控制器 (S-1-5-9) 使用每個網域中相同的已知安全識別碼。
移除 SeDenyNetworkLogonRight 項目右邊的所有項目 (拒絕從網路存取這部電腦)，以符合下列範例。

SeDenyNetworkLogonRight =

注意事項

Windows 2000 Server 和 Windows Server 2003 的範例相同。

預設情況下，Windows 2000 Server 在 SeDenyNetworkLogonRight 項目中沒有項目。預設情況下，Windows Server 2003 在 SeDenyNetworkLogonRight 項目中只有 Support_random 字串帳戶。 (遠端協助使用 Support_random 字串帳戶。) 因為Support_random 字串帳戶會在每個網域中使用不同的安全識別碼 (SID)，所以若僅查看 SID，帳戶就不容易與一般使用者帳戶區別。您可能想要將 SID 複製到另一個文字檔，然後從 SeDenyNetworkLogonRight 項目中移除 SID。如此一來，當您完成問題的疑難排解時，就可以將它放回。

SeNetworkLogonRight 和 SeDenyNetworkLogonRight 可以在任何原則中定義。如果先前的步驟無法解決問題，請檢查 Sysvol 中其他原則中的 Gpttmpl.inf 檔案，以確認該處並未定義使用者權限。如果 Gpttmpl.inf 檔案未包含 SeNetworkLogonRight 或 SeDenyNetworkLogonRight 的參考，則原則中不會定義這些設定，而且該原則不會造成此問題。如果這些項目確實存在，請確定它們符合先前針對預設網域控制站原則所列的設定。

方法 4：確認網域控制站的 userAccountControl 屬性為 532480

按一下 [開始]，按一下 [執行]，然後輸入 adsiedit.msc。
依序展開 [網域 NC] 和 [DC=domain]，然後展開 [OU=網域控制站]。
用滑鼠右鍵按一下受影響的網域控制站，然後按一下 [屬性]。
在 Windows Server 2003 中，按一下以選取 [屬性編輯器] 索引標籤上的 [顯示必要屬性] 核取方塊和 [顯示選擇性屬性] 核取方塊。在 [Windows 2000 Server] 中，按一下 [選取要檢視的屬性] 方塊中的 [兩者]。
在 Windows Server 2003 中，按一下 [屬性] 方塊中的 [userAccountControl]。在 Windows 2000 Server 中，按一下 [選取要檢視的屬性] 方塊中的 [userAccountControl]。
如果值不是 532480，請在 [編輯屬性] 方塊中輸入 532480，按一下 [設定]，按一下 [套用]，然後按一下 [確定]。
結束 ADSI 編輯器。

方法 5：修正 Kerberos 領域 (確認 PolAcDmN 登錄機碼與 PolPrDmN 登錄機碼相符)

注意事項

這個方法只適用于 Windows 2000 Server。

重要事項

這個章節、方法或工作包含修改登錄的步驟。然而，不當修改登錄可能會發生嚴重的問題。因此，請務必謹慎地依照這些步驟執行。為了有多一層保護，請先備份登錄再進行修改。如此一來，您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊，請按一下下列文章編號，檢視「Microsoft 知識庫」中的文章：
322756 如何在 Windows 中備份及還原登錄

啟動 [登錄編輯程式]。
在左邊窗格中，展開 [安全性]。
在 [安全性] 功能表上，按一下 [權限] 以授與 安全性 登錄區及其子容器和物件的 Administrators 本機群組的完全控制權。
尋找名為 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN 的機碼。
在登錄 編輯器 的右窗格中，按兩下 <[沒有名稱>：REG_NONE專案一次。
按一下 [檢視] 功能表上的 [顯示二進位資料]。在對話方塊的 [格式] 區段中，按一下 [位元組]。
功能變數名稱會顯示為 [二進位資料] 對話方塊右側的字串。功能變數名稱與 Kerberos 領域相同。
找出 HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN 登錄機碼。
在登錄 編輯器 的右窗格中，按兩下 <[無名稱>：REG_NONE專案。
在 [二進位編輯器] 對話方塊中，貼上來自 PolPrDmN 的值。 (來自 PolPrDmN 的值將會是 NetBIOS 網域名稱)。
重新開機網域控制器。

方法 6：重設電腦帳戶密碼，然後取得新的 Kerberos 票證

停止 Kerberos 金鑰發佈中心 服務，然後將啟動值設定為 Manual。
從 Windows 2000 伺服器支援工具或從 Windows Server 2003 支援工具使用 Netdom 工具來重設網域控制站的電腦帳戶密碼：
```
netdom resetpwd /server: <another domain controller> /userd:domain\administrator /passwordd: <administrator password>  
```
請確定 netdom 命令已成功傳回為已完成。如果不是，命令將無法運作。針對受影響網域控制站為 DC1 且作用中網域控制站為 DC2 的 Contoso 網域，您可以從 DC1 主控台執行下列 netdom 命令：
```
netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd: <administrator password>
```
重新開機受影響的網域控制站。
啟動 Kerberos 金鑰發佈中心 服務，然後將啟動設定設為 [自動]。

如需有關這個問題的詳細資訊，請按一下下面的文章編號，檢視「Microsoft 知識庫」中的文章：
323542 您無法啟動 Active Directory 使用者和電腦工具，因為伺服器無法運作