Контролер домену працює неправильно
Увага ! Вирішення проблеми пов'язане із внесенням змін до системного реєстру. Перед внесенням змін рекомендується створити архівну копію реєстру та вивчити процедуру його відновлення. Щоб отримати додаткові відомості про архівування, відновлення та зміну реєстру, див. статтю бази знань Майкрософт: 256986(http://support.microsoft.com/kb/256986/)Опис реєстру Microsoft Windows
Після запуску Dcdiag на контролері домену під керуванням Windows 2000 або Windows Server 2003 з'являється таке повідомлення про помилку.
DC Diagnosis Здійснення початкового набору: [DC1] LDAP bind failed with error 31
Якщо запустити REPADMIN /SHOWREPS на контролері домену в локальному режимі, з'являється таке повідомлення про помилку:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Помилка LDAP 82 (локальна помилка).
При спробі отримати з контролера домену доступ до мережного ресурсу (включаючи ресурси з іменами у форматі UNC та підключені мережні диски) з'являється таке повідомлення про помилку:
Відсутні сервери, які могли б обробити запит на вхід до мережі (c000005e = "STATUS_NO_LOGON_SERVERS") Після запуску з консолі контролера домену одного із засобів адміністрування Active Directory, включаючи оснастки «Active Directory — сайти та служби» та «Active Directory — користувачі та комп'ютери», з'являється одне з наведених нижче повідомлень про помилки.
Не вдалося знайти відомості про імена з наступної причини: Неможливо звернутися за автентифікацією до органу сертифікації. Зверніться до адміністратора та перевірте, чи правильно налаштовано домен і що домен працює.
Клієнти Microsoft Outlook, що підключаються до сервера Exchange, який використовує цей контролер домену дляавтентифікації, отримують запит на вказівку облікових даних, навіть якщо автентифікація при вході на інші контролери домену пройшла успішно.
Засіб Netdiag відображає такі повідомлення про помилки.
DC list test. . . . . . . . . . . : Failed [WARNING] Cannot call DsBind to . ( ). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] Kerberos test. . . . . . . . . . . : Failed [FATAL] Kerberos не має напису для krbtgt/ . [FATAL] Kerberos не має клацання для . LDAP test. . . . . . . . . . . . . : Passed [WARNING] Запитання про помилку SPN registration on DC \
У журналі системних подій на контролері домену реєструється наступний запис.
Тип: Помилка Джерело: Менеджер служб Код (ID): 7023 Опис: Служба «Центр розповсюдження ключів Kerberos» завершена через помилку: Диспетчер захисту (SAM) або локальний сервер (LSA) не зміг виконати потрібну операцію.
Далі у цій статті міститься список способів усунення таких помилок. Після списку для кожного способу представлений докладний перелік дій, що підлягають виконанню. Використовуйте способи по черзі до повного усунення проблем. Наприкінці статті наведено перелік статей бази знань Майкрософт, де описані менш поширені способи усунення подібних проблем.
| Спосіб 1. Виправлення помилок у службі доменних імен (DNS) |
| Спосіб 2. Синхронізація часу комп'ютерів |
| Спосіб 3. Перевірка наявності права Доступ до комп'ютера з мережі |
| Спосіб 4. Перевірка значення атрибута userAccountControl на контролері домену |
| Спосіб 5. Виправлення сфери Kerberos (параметри реєстру PolAcDmN та PolPrDmN збігаються) |
| Спосіб 6. Скидання пароляоблікового запису комп'ютера та отримання нового квитка Kerberos |
Спосіб 1. Виправлення помилок у DNS
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.asp
Спосіб 2. Синхронізація часу комп'ютерів
Перевірте, чи правильно синхронізовано час між контролерами домену, а також між клієнтськими комп'ютерами та контролерами домену.
Спосіб 3. Перевірка наявності права "Доступ до комп'ютера з мережі"
Перевірте файл Gpttmpl.inf і переконайтеся, що відповідним користувачам надано право доступу до комп'ютера з мережі на контролері домену. Для цього виконайте наведені нижче дії.
| 1. | Внесіть зміни до файлу Gpttmpl.inf стандартної політики для контролерів домену. Права користувачів на контролері домену, як правило, визначаються у складі політики за промовчанням для контролерів домену. Файл Gpttmpl.inf стандартної політики для контролерів домену знаходиться в наступній папці. |
Примітка. Папка Sysvol може знаходитись в іншому місці, однак шлях до файлу Gpttmpl.inf залишається незмінним.
Контролери домену під керуванням Windows Server 2003:
C:WINDOWS\Sysvol\Sysvol\Policies\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Контролери домену під керуванням Windows 2000 Server:
C:\WINNT\Sysvol\Sysvol\ \Policies\\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Контролери домену під керуванням Windows Server 2003:
Контролери домену під керуванням Windows 2000 Server:
Примітка. Групи «Адміністратори» (S-1-5-32-544), «Пройшли перевірку» (S-1-5-11), «Всі» (S-1-1-0) та «Контролери домену підприємства» (S -1-5-9) мають добре відомі однакові для будь-якого домену ідентифікатори безпеки.
Примітка. Цей приклад можна застосувати як до Windows 2000 Server, так і до Windows Server 2003.
Властивості SeNetworkLogonRight та SeDenyNetworkLogonRight можуть бути визначені у складі будь-якої політики. Якщо виконання цих дій не призводить до усунення проблеми, перевірте файл Gpttmpl.inf для інших політик у папці Sysvol і переконайтеся, що права користувачів не визначені деінде. Якщо у файлі Gpttmpl.inf немає посилань на властивості SeNetworkLogonRight та SeDenyNetworkLogonRight, то вони не визначені за допомогою політики і, отже, описані проблеми не можуть бути викликані даною політикою. Якщо ж такі записи існують, переконайтеся, що вони відповідають формату, наведеному вище для політики за промовчанням для контролерів домену.
Спосіб 4. Перевірка значення атрибутуuserAccountControl на контролері домену
| 1. | У меню Пуск виберіть пункт Виконати та введіть adsiedit.msc . |
| 2. | Послідовно розгорніть вузли Domain NC , DC = домен домену та OU = Domain Controllers . |
| 3. | Клацніть правою кнопкою миші контролер домену та виберіть команду Properties. |
| 4. | На комп'ютері під керуванням Windows Server 2003 встановіть на вкладці Attribute Editor прапорці Show mandatory attributes і Show optional attributes. На комп'ютері під керуванням Windows 2000 Server виберіть значення Both у списку Select which properties to view. |
| 5. | На комп'ютері під керуванням Windows Server 2003 виберіть у списку Attributes атрибут userAccountControl. На комп'ютері під керуванням Windows 2000 Server виберіть атрибут userAccountControl у списку Select a property to view. |
| 6. | Якщо значення атрибуту не дорівнює 532480, введіть 532480 у поле Edit Attribute і послідовно натисніть кнопки Set , Apply та OK . |
| 7. | Закрийте оснастку ADSI Edit. |
Спосіб 5. Виправлення сфери Kerberos (параметри реєстру PolAcDmN та PolPrDmN збігаються)
Спосіб 6. Скидання пароля облікового запису комп'ютера та отримання нового квитка Kerberos
| 1. | Зупиніть службу центру розповсюдження ключів Kerberos і виберіть тип запуску «Вручну». |
| 2. | За допомогою засобу Netdom (входить до складу засобів підтримки Windows 2000 Server та Windows Server 2003) виконайте для контролера домену скидання пароля облікового запису комп'ютера: |
netdom resetpwd /server: інший контролер домену/userd:domain\administrator /passwordd: пароль адміністратора
Переконайтеся, що з'явилося повідомлення про успішне виконання команди netdom (інакше очікуваний результат не досягнуто). Для домену Contoso, в якому контролер домену, де спостерігаються проблеми, називається DC1, а працюючий контролер домену - DC2, з консолі DC1 необхідно запустити команду netdom наступного виду: