Контроллер домена не работает правильно

В этой статье данная статья содержит общие решения проблемы, из-за которой контроллер домена не функционирует правильно.

Оригинальная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 837513

Симптомы

При запуске средства Dcdiag на контроллере домена Microsoft Windows 2000-Server или контроллере домена На основе Windows Server 2003 вы можете получить следующее сообщение об ошибке:

Диагностика DC
Выполнение начальной установки:
[DC1] Сбой привязки LDAP с ошибкой 31

При локальном запуске утилиты на контроллере домена вы можете получить одно из следующих сообщений REPADMIN /SHOWREPS об ошибке:

[D: \ nt \ private \ ds \ src \ util \ \ repadmin repinfo.c, 389] LDAP error 82 (Local Error).

Последняя попытка @ yyyy-mm-dd hh:mm.ss не удалась, результат 1753: конечные точки больше не доступны из конечной карты.

Последняя попытка @ yyy-mm-dd hh:mm.ss не удалась, результат 5. Доступ отказано.

Если вы используете сайты и службы Active Directory для запуска репликации, вы можете получить сообщение, которое указывает на отказ в доступе.

При попытке использования сетевых ресурсов из консоли затронутого контроллера домена, включая ресурсы Универсальной конвенции о именовке (UNC) или сетевые диски, вы можете получить следующее сообщение об ошибке:

Нет серверов с логотипами (c000005e = «STATUS_NO_LOGON_SERVERS»)

Если вы запустите любые средства администрирования Active Directory с консоли затронутого контроллера домена, включая сайты и службы Active Directory и active Directory Users and Computers, вы можете получить одно из следующих сообщений об ошибке:

Данные именования не могут быть расположены, так как. Для проверки подлинности не удалось связаться с никакими полномочиями. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Данные именования не могут быть расположены, так как: имя целевой учетной записи неверно. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Клиенты Microsoft Outlook, подключенные к Microsoft Exchange Server компьютерам, использующим затронутые контроллеры домена для проверки подлинности, могут быть вызваны для проверки подлинности логотипов, несмотря на успешную проверку подлинности с помощью других контроллеров домена.

Средство Netdiag может отображать следующие сообщения об ошибках:

Тест списка DC . . . . . . . . . . . : Не удалось
[WARNING] Не удается вызвать DsBind на . ( ). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тест Kerberos. . . . . . . . . . . : Не удалось
[FATAL] Kerberos не имеет билета для krbtgt/ .

[FATAL] Kerberos не имеет билета на .
Тест LDAP. . . . . . . . . . . . . : Пройдено
[WARNING] Не удалось запросить регистрацию SPN в DC

Следующее событие может быть в журнале событий системы затронутого контроллера домена:

Решение

Существует несколько решений для этих симптомов. Ниже приводится список методов, которые следует попробовать. За списком следуют действия для выполнения каждого метода. Попробуйте каждый метод, пока проблема не будет решена. Статьи базы знаний Майкрософт, описывая менее распространенные исправления для этих симптомов, перечислены позже.

1. Метод 1. Исправление ошибок системы доменных имен (DNS).
2. Метод 2. Синхронизация времени между компьютерами.
3. Метод 3. Проверьте доступ к этому компьютеру с помощью прав пользователей сети.
4. Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480.
5. Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN).
6. Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos.

Метод 1. Исправление ошибок DNS

1. В командной подсказке запустите netdiag -v команду. Эта команда создает файл Netdiag.log в папке, где была запускана команда.
2. Устранение ошибок DNS в файле Netdiag.log перед продолжением. Средство Netdiag находится в средствах поддержки серверов Windows 2000 на КОМПАКТ-диске Windows 2000 Server или в качестве скачивания.
3. Убедитесь, что DNS настроен правильно. Одной из наиболее распространенных ошибок DNS является указать контроллер домена поставщику интернет-служб (ISP) для DNS вместо того, чтобы указать DNS на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Рекомендуется указать контроллер домена себе или другому DNS-серверу, который поддерживает динамические обновления и записи SRV. Рекомендуется настроить переадверители в интернет-провайдер для разрешения имен в Интернете.

Дополнительные сведения о настройке службы каталогов DNS для Active Directory щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
Планирование пространства имен DNS 254680

Метод 2. Синхронизация времени между компьютерами

Убедитесь, что время правильно синхронизируется между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизируется между клиентские компьютеры и контроллеры домена.

Метод 3. Проверка прав пользователя «Доступ к этому компьютеру из сети»

Измените файл Gpttmpl.inf, чтобы подтвердить, что соответствующие пользователи имеют доступ к этому компьютеру от сетевого пользователя прямо на контроллере домена. Для этого выполните следующие действия:

Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. По умолчанию политика контроллеров домена по умолчанию определяет права пользователей для контроллера домена. По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию расположен в следующей папке.

Sysvol может быть в другом расположении, но путь для файла Gpttmpl.inf будет одинаковым.

Для контроллеров домена Windows Server 2003:

C: \ WINDOWS \ Sysvol \ Sysvol \ \ Policies \ < 6AC1786C-016F-11D2-945F-00C04fB984F9>\ MACHINE \ Microsoft \ Windows NT \ SecEdit \ GptTmpl.inf

Для контроллеров домена Windows 2000 Server:

C. \ WINNT \ Sysvol \ Sysvol \ \ Policies \ < 6AC1786C-016F-11D2-945F-00C04fB984F9>\ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для пользователей с проверкой подлинности и для всех. См. следующие примеры.

Для контроллеров домена Windows Server 2003:

SeNetworkLogonRight = * S-1-5-32-554, * S-1-5-9, * S-1-5-32-544, * S-1-1-0

Для контроллеров домена Windows 2000 Server:

SeNetworkLogonRight = * S-1-5-11, * S-1-5-32-544, * S-1-1-0

Администраторы (S-1-5-32-544), пользователи с проверкой подлинности (S-1-5-11), Все (S-1-1-0) и корпоративные контроллеры (S-1-5-9) используют известные идентификаторы безопасности, одинаковые в каждом домене.

Удалите все записи справа от записи SeDenyNetworkLogonRight (запретить доступ к этому компьютеру из сети), чтобы соответствовать следующему примеру.

Пример такой же для Windows 2000 Server и Для Windows Server 2003.

По умолчанию Windows 2000 Server не имеет записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только Support_random строку в записи SeDenyNetworkLogonRight. (Учетная запись Support_random строки используется удаленной помощью.) Поскольку учетная запись Support_random строки использует другой идентификатор безопасности (SID) в каждом домене, учетная запись не легко отличить от обычной учетной записи пользователя, просто глядя на SID. Может потребоваться скопировать SID в другой текстовый файл, а затем удалить SID из записи SeDenyNetworkLogonRight. Таким образом, вы можете положить его обратно, когда вы закончите устранение проблемы.

SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике. Если предыдущие действия не уладили проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы подтвердить, что права пользователей там также не определены. Если файл Gpttmpl.inf не содержит ссылок на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике, и эта политика не вызывает эту проблему. Если эти записи действительно существуют, убедитесь, что они соответствуют настройкам, перечисленным ранее для политики контроллера домена по умолчанию.

Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480

1. Нажмите кнопку Начните, нажмите кнопку Запустить, а затем введите adsiedit.msc.
2. Расширение NC домена,расширение DC=domain, а затем расширение контроллеров домена = домена .
3. Щелкните правой кнопкой мыши затронутый контроллер домена и нажмите кнопку Свойства.
4. В Windows Server 2003 щелкните, чтобы выбрать поле «Показать обязательные атрибуты» и поле «Показать необязательные атрибуты» на вкладке Редактор атрибутов. В Windows 2000 Server щелкните Оба в поле Выберите свойства для просмотра.
5. В Windows Server 2003 щелкните userAccountControl в поле Атрибуты. В Windows 2000 Server щелкните userAccountControl в поле Выберите свойство для просмотра.
6. Если значение не 532480, введите 532480 в поле Изменить атрибут, нажмите кнопку Установите, нажмите применить, а затем нажмите кнопку ОК.
7. Выход ADSI Редактирование.

Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN)

Этот метод действителен только для Windows 2000 Server.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

1. Начните редактор реестра.
2. В левой области расширьте безопасность.
3. В меню Безопасность щелкните Разрешения, чтобы предоставить локальной группе Администраторов полный контроль над ульем SECURITY и его детскими контейнерами и объектами.
4. Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN ключ.
5. В правой области редактора реестра нажмите кнопку : REG_NONE один раз.
6. В меню Просмотр щелкните Отображение двоичных данных. В разделе Формат диалоговое окно щелкните Byte.
7. Доменное имя отображается в качестве строки в правой части диалогового окна Двоичные данные. Доменное имя такое же, как и область Kerberos.
8. Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN ключ реестра.
9. В правой области редактора реестра дважды щелкните запись : REG_NONE.
10. В диалоговом окне Двоичный редактор вклейте значение от PolPrDmN. (Значение от PolPrDmN будет доменное имя NetBIOS).
11. Перезапустите контроллер домена.

Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos

Остановите службу Центра рассылки ключей Kerberos, а затем установите значение запуска вручную.

Используйте средство Netdom из средств поддержки серверов Windows 2000 или средств поддержки Windows Server 2003 для сброса пароля учетной записи компьютера контроллера домена:

Убедитесь, что netdom команда возвращается успешно. Если это не так, команда не работает. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена — DC2, вы запустите следующую команду из netdom консоли DC1:

Перезапустите затронутый контроллер домена.

Запустите службу Центра рассылки ключей Kerberos, а затем установите параметр запуска автоматическим.

Дополнительные сведения об этой проблеме щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
323542 Невозможно запустить средство Active Directory Users and Computers, так как сервер не работает

Исправлено: не удалось подключиться к контроллеру домена Active Directory для домена —

Ошибка «Невозможно связаться с контроллером домена Active Directory для домена» часто возникает из-за неправильной конфигурации DNS, и в этом случае вам придется ее изменить. Пользователи сообщают, что при попытке добавить другую рабочую станцию ​​Windows в домен они получают следующее сообщение об ошибке.

Контроллер домена Active Directory для домена не может быть подключен

Когда вы нажмете кнопку «Подробнее», чтобы узнать больше об ошибке, она сообщит вам, что DNS-имя не существует вместе с кодом ошибки. Если вы столкнулись с ошибкой «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10, эта статья поможет вам ее устранить. Если у вас возникли ошибки в сообщении об ошибке, следуйте инструкциям ниже, чтобы обойти проблему.

Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?

Изучив этот вопрос, мы обнаружили, что проблема часто обусловлена ​​следующими факторами:

• Неверная конфигурация DNS: как мы упоминали выше, основной причиной ошибки является неправильная конфигурация DNS. Настройка DNS может быть легко перенастроена для устранения проблемы.
• Службы DNS: в некоторых случаях ошибка также может возникать из-за неисправной службы DNS. Перезапуск службы, кажется, решает проблему.

Теперь, чтобы устранить проблему, следуйте приведенным ниже решениям. Как всегда, мы рекомендуем следовать в том же порядке, как указано ниже.

Решение 1. Добавьте новую конфигурацию DNS

Поскольку основной причиной проблемы является конфигурация DNS, добавление новой конфигурации DNS в соответствии с вашим доменом должно решить проблему. Для этого сначала вам нужно будет войти в систему, которую вы пытаетесь добавить. После этого следуйте инструкциям внизу:

1. Перейти Центр коммуникаций и передачи данных настройки, перейдя в Панель управления и в поисках Центр коммуникаций и передачи данных.
   Центр коммуникаций и передачи данных
2. Перед используемой сетью нажмите,Ethernet».
3. Когда появится новое окно, перейдите к свойства.
4. В списке выделите Протокол Интернета версии 4 (TCP / IPv4) и нажмите свойства.
   Свойства Ethernet
5. Нажмите продвинутый а затем переключитесь на DNS Вкладка.
6. Под ‘Адреса DNS-сервера’, Нажмите добавлять а затем введите IP вашего контроллера домена в окне
   Добавление DNS-адреса
7. Удар ОК на всех окнах что вы открыли, а затем перезагрузите систему.
8. Попробуйте присоединиться к домену еще раз.

Решение 2. Перезапуск службы DNS

В некоторых определенных случаях появляется сообщение об ошибке из-за неправильной работы служб DNS. Эта проблема может быть легко решена путем простого перезапуска служб. Вот как это сделать:

1. Нажмите Windows Key + R открыть Бежать.
2. Введите ‘services.msc’, А затем нажмите Enter.
3. Из списка услуг найдите DNS-клиент оказание услуг.
   Служба DNS-клиента
4. Щелкните правой кнопкой мыши и выберите Запустить снова.
5. Если вы не можете перезапустить службу, просто откройте командную строку с повышенными правами, нажав Windows Key + X и выбрав Командная строка (администратор) из списка.
6. Введите следующую команду и нажмите Enter:

Остановка службы DNS
Чтобы начать снова, введите:

Запуск службы DNS

После этого попробуйте присоединиться к домену.

Решение 3. Подключение через окно настроек

Наконец, вы также можете решить свою проблему, подключившись к домену другим способом. Обычно пользователи подключают систему к домену, используя системные свойства. Однако вы также можете подключиться к домену, используя следующий метод:

1. в Поиск Кортана бар, введите Варианты входа и затем откройте это.
2. Переключиться на ‘Доступ к работе или школеВкладка.
3. Нажмите на соединять.
4. Появится новое окно, нажмите ‘Присоедините это устройство к локальному домену Active Directory».
   Настройка устройства
5. Введите имя домена. Убедитесь, что вы вводите имя домена вместе с .местный (Xxxxx.local).
6. После этого он попросит администратор и пароль.
7. Введите учетные данные, а затем перезапустите систему.