Домейн контролерът не работи правилно
Внимание! Решението на проблема е свързано с извършване на промени в системния регистър. Преди да направите промени, се препоръчва да създадете архивно копие на системния регистър и да проучите процедурата за възстановяването му. За повече информация относно архивирането, възстановяването и модифицирането на системния регистър вижте следната статия в базата знания на Microsoft: 256986(http://support.microsoft.com/kb/256986/)Описание на регистъра на Microsoft Windows
След като стартирате инструмента Dcdiag на домейн контролер, базиран на Windows 2000 или Windows Server 2003, получавате следното съобщение за грешка.
DC диагностика Извършване на първоначална настройка: [DC1] LDAP свързването е неуспешно с грешка 31
Ако изпълните командата REPADMIN /SHOWREPS на домейн контролер в локален режим, получавате следното съобщение за грешка:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP грешка 82 (локална грешка).
Когато се опитате да получите достъп до мрежов ресурс от домейн контролер (включително UNC ресурси и картографирани мрежови устройства), получавате следното съобщение за грешка:
Няма налични сървъри за обработка на заявката за влизане в мрежата (c000005e = "STATUS_NO_LOGON_SERVERS") Когато стартирате един от административните инструменти на Active Directory, включително сайтове и услуги на Active Directory и потребители и компютри на Active Directory, от конзолата на домейн контролера, получавате едно от следните съобщения за грешка.
Информацията за именуването не може да бъде намерена поради следната причина: Сертифициращият орган не може да бъде удостоверен. Свържете се с вашия администратор и проверете дали домейнът е конфигуриран правилно и дали работи.
Клиенти на Microsoft Outlook, които се свързват към Exchange сървър, към който този домейн контролер използваудостоверяване получават подкана за идентификационни данни, дори ако удостоверяването за влизане в други домейн контролери е успешно.
Инструментът Netdiag показва следните съобщения за грешка.
DC списък тест. . . . . . . . . . . : Неуспешно [ПРЕДУПРЕЖДЕНИЕ] Не може да се извика DsBind към . ( ). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] Kerberos тест. . . . . . . . . . . : Неуспешно [ФАТАЛНО] Kerberos няма билет за krbtgt/ . [ФАТАЛНО] Kerberos няма билет за . LDAP тест. . . . . . . . . . . . . : Успешно [ПРЕДУПРЕЖДЕНИЕ] Неуспешно запитване за SPN регистрация на DC \
Следният запис се регистрира в регистъра на системните събития на домейн контролера.
Тип: Грешка Източник: Диспечер на услуги Код (ID): 7023 Описание: Услугата Kerberos Key Distribution Center приключи поради грешка: Мениджърът на сигурността (SAM) или локалният сървър (LSA) не можа да изпълни исканата операция.
По-нататък в тази статия има списък с начини за разрешаване на такива грешки. След списъка за всеки метод е подробен списък с действия, които трябва да бъдат извършени. Използвайте методите последователно, докато проблемите бъдат напълно решени. В края на тази статия има списък със статии в базата знания на Microsoft, които описват по-рядко срещани начини за отстраняване на тези проблеми.
| Метод 1. Коригиране на грешки в услугата за име на домейн (DNS) |
| Метод 2. Синхронизиране на времето на компютъра |
| Метод 3. Проверка за достъп до компютър от мрежата |
| Метод 4. Проверка на стойността на атрибута userAccountControl на домейн контролер |
| Метод 5. Корекция на сферата на Kerberos (настройките на регистъра PolAcDmN и PolPrDmN са еднакви) |
| Метод 6. Нулиране на паролакомпютърен акаунт и вземете нов билет за Kerberos |
Метод 1: Коригиране на DNS грешки
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.asp
Метод 2. Синхронизирайте времето на компютрите
Проверете дали времето е правилно синхронизирано между домейн контролери и между клиентски компютри и домейн контролери.
Метод 3. Проверка за правото на "Достъп до този компютър от мрежата".
Проверете файла Gpttmpl.inf и се уверете, че на подходящите потребители е предоставен достъп до този компютър от мрежата от домейн контролера. За да направите това, следвайте тези стъпки.
| 1. | Променете файла Gpttmpl.inf за правилата по подразбиране за домейн контролери. Потребителските права на домейн контролер обикновено се определят като част от политиката по подразбиране за домейн контролери. Файлът Gpttmpl.inf с правила по подразбиране за домейн контролери се намира в следната папка. |
Забележка. Папката Sysvol може да е на друго място, но пътят до файла Gpttmpl.inf остава същият.
Домейн контролери, работещи под Windows Server 2003:
C:\WINDOWS\Sysvol\Sysvol\\Policies\\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Домейн контролери, работещи под Windows 2000 Server:
C:\WINNT\Sysvol\Sysvol\\Policies\\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Домейн контролери, работещи под Windows Server 2003:
Домейн контролери, работещи под Windows 2000 Server:
Забележка. Групите Администратори (S-1-5-32-544), Удостоверени потребители (S-1-5-11), Всички (S-1-1-0) и Корпоративни домейн контролери (S-1-5-9) имат добре известни SID, които са еднакви за всеки домейн.
Забележка. Този пример се отнася както за Windows 2000 Server, така и за Windows Server 2003.
Свойствата SeNetworkLogonRight и SeDenyNetworkLogonRight могат да бъдат дефинирани като част от всяка политика. Ако следването на стъпките по-горе не разреши проблема, проверете файла Gpttmpl.inf за други правила в папката Sysvol и се уверете, че потребителските права не са дефинирани другаде. Ако няма препратки към свойствата SeNetworkLogonRight и SeDenyNetworkLogonRight във файла Gpttmpl.inf, тогава те не са дефинирани от правилото и следователно описаните проблеми не могат да бъдат причинени от това правило. Ако съществуват такива записи, уверете се, че следват формата, даден по-горе за правилата по подразбиране за домейн контролери.
Метод 4: Проверка на стойността на атрибутаuserAccountControl на домейн контролер
| 1. | От менюто "Старт" изберете "Изпълни" и след това въведете adsiedit.msc. |
| 2. | Разгънете Domain NC , DC= DomainName и OU=Domain Controllers в ред. |
| 3. | Щракнете с десния бутон върху домейн контролер и изберете Свойства. |
| 4. | На компютър с Windows Server 2003 в раздела Редактор на атрибути поставете отметка в квадратчетата Показване на задължителни атрибути и Показване на незадължителни атрибути. На компютър с Windows 2000 Server изберете И двете в списъка Изберете кои свойства да видите. |
| 5. | На компютър, работещ под Windows Server 2003, изберете атрибута userAccountControl в списъка с атрибути. На компютър, работещ под Windows 2000 Server, изберете атрибута userAccountControl в списъка Изберете свойство за преглед. |
| 6. | Ако стойността на атрибута не е равна на 532480, въведете 532480 в полето Редактиране на атрибут и щракнете последователно върху бутоните Задаване , Прилагане и OK. |
| 7. | Затворете модула ADSI Edit. |
Метод 5: Коригирайте сферата на Kerberos (настройките на регистъра PolAcDmN и PolPrDmN са еднакви)
Метод 6: Нулирайте паролата на акаунта на компютъра и получете нов Kerberos билет
| 1. | Спрете услугата Kerberos Key Distribution Center и задайте нейния тип стартиране на Ръчно. |
| 2. | Използвайте инструмента Netdom (включен в инструментите за поддръжка на Windows 2000 Server и Windows Server 2003), за да нулирате паролата на компютърния акаунт за домейн контролера: |
netdom resetpwd /сървър: друг домейн контролер/userd:domain\administrator /passwordd: администраторска парола
Проверете дали се появява съобщение, което показва, че командата netdom е завършила успешно (в противен случай очакваният резултат не е постигнат). За домейн на Contoso, където проблемният домейн контролер е DC1, а работещият домейн контролер е DC2, изпълнете следната команда netdom от конзолата DC1: