Не удалось подключиться к контроллеру домена active directory для домена windows 10

Обновлено: 07.07.2024

Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:

256986 Описание реестра Microsoft Windows

Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).

Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.

Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.

Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")

Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.

DC list test . . . . . . . . . . . : Сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для <имя_сервера>.<полное_доменное_имя> (<IP-адрес>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Сбой
[FATAL] Kerberos does not have a ticket for krbtgt/<полное_доменное_имя>.

[FATAL] Kerberos does not have a ticket for <имя_узла>.
LDAP test. . . . . . . . . . . . . : Успешно
[ПРЕДУПРЕЖДЕНИЕ] Failed to query SPN registration on DC <имя_узла>\<полное_доменное_имя>

Проблема

Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.

Способ 1. Исправление ошибок в службе доменных имен (DNS).

Способ 2. Синхронизация времени компьютеров.

Способ 3. Проверка наличия права Доступ к компьютеру из сети.

Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.

Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.

Способ 1. Исправление ошибок в DNS

Введите в командной строке команду netdiag -v. В папке, в которой был выполнен запуск, эта команда создает файл Netdiag.log.

Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:

Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета

Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:

291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003

237675 Настройка службы доменных имен (DNS) для Active Directory

254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Способ 2. Синхронизация времени компьютеров

Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.

Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:

258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0

216734 Настройка основного сервера времени в Windows 2000

Способ 3. Проверка наличия права "Доступ к компьютеру из сети"

Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.

Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.

Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.

Контроллеры домена под управлением Windows Server 2003:

Контроллеры домена под управлением Windows 2000 Server:

Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп "Администраторы", "Прошедшие проверку" и "Все". См. перечисленные ниже примеры.

Контроллеры домена под управлением Windows Server 2003:

SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

Контроллеры домена под управлением Windows 2000 Server:

SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

Примечание. Группы "Администраторы" (S-1-5-32-544), "Прошедшие проверку" (S-1-5-11), "Все" (S-1-1-0) и "Контроллеры предприятия" (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.

Удалите все данные справа от записи SeDenyNetworkLogonRight ("Отказ в доступе к компьютеру из сети"). См. следующий пример:

Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.

По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Так как учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).

Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.

Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена

В меню Пуск выберите команду Выполнить и введите adsiedit.msc.

Разверните узлы Domain NC, DC=domain и OU=Domain Controllers.

Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.

На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.

На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.

Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.

Закройте редактор ADSI.

Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)

Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.

Откройте редактор реестра.

На левой панели разверните узел Security.

В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе "Administrators" полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.

Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.

На правой панели редактора реестра один раз щелкните запись <Без имени>: REG_NONE.

В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.

В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.

Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.

На правой панели двойным щелчком выберите <Без имени>: REG_NONE.

В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)

Перезагрузите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска "Вручную".

С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:

netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора

netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора

Перезагрузите контроллер домена, подверженный ошибкам.

Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.

Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:

257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена

257346 После отмены права "Доступ к компьютеру из сети" перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos

323542 Не удается запустить оснастку "Active Directory — пользователи и компьютеры", так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Эта ошибка появляется при попытке подключиться к домену в любой операционной системе Windows. Ошибка появляется после ввода имени пользователя и правильного пароля, и устранение неполадок может быть довольно сложным, если вы не знаете, с чего начать.

Указанный домен либо не существует, либо с ним нельзя связаться

Существует довольно много методов, которые обычно используются при устранении неполадок, и мы решили собрать наиболее популярные решения в одном месте и представить их вам в статье. Проверьте это ниже!

Причины, по которым указанный домен либо не существует, либо не удалось связаться?

Когда упоминается эта ошибка, большинство людей автоматически предполагают, что она имеет отношение к DNS-адресам. Это может быть верно в большинстве случаев, но есть и другие причины этой проблемы, и они включены в список ниже:

• Электрический ток DNS вы используете больше не работает, и вы можете рассмотреть возможность его изменения на клиентском ПК, если у вас есть доступ к нему.
• IPv6 не работает для вашей сети, и вы должны обязательно отключить его на клиентском ПК, если хотите, чтобы ошибка исчезла. Кроме того, вы можете запустить несколько полезных команд ipconfig для правильного сброса соединения.
• Наконец, значение в реестр возможно, стоит изменить, если вы хотите избавиться от ошибки. Будьте осторожны при этом.

Решение 1. Измените DNS-адрес, который вы используете

1. Убедитесь, что вы открыли командную строку, выполнив поиск «CMD»Или« Командная строка »в меню« Пуск ».

Запуск CMD в качестве администратора

1. Введите команду, которая будет отображаться ниже, и прокрутите вниз к сетевому адаптеру, который соответствует подключению, которое вы используете. Обратите внимание на шлюз по умолчанию, маску подсети, адреса MAC и DNS.

1. После этого используйте комбинацию клавиш Windows + R, которая должна сразу же открыть диалоговое окно «Выполнить», в котором необходимо ввести «ncpa.cpl» на панели и нажать «ОК», чтобы открыть элемент настроек подключения к Интернету на панели управления.

1. Дважды щелкните активный сетевой адаптер и нажмите кнопку «Свойства». Найдите Интернет-протокол версии 4 (TCP / IPv4) пункт в списке. Нажмите на него, чтобы выбрать его, и нажмите кнопку «Свойства» ниже.

Открытие настроек IPv4

1. Оставайтесь на вкладке «Общие» и установите переключатель в окне «Свойства» на «Используйте следующие адреса DNS-серверов”И используйте адрес шлюза по умолчанию, но убедитесь, что вы изменили последний раздел после последней точки. Переключитесь на «Использовать следующий IP-адрес и использовать тот же номер, что и у шлюза по умолчанию, но изменить последнюю цифру после последней точки, чтобы сделать что-то другое. Заполните другую информацию так же, как вы приняли к сведению.

Решение 2. Отключите IPv6 и выполните несколько полезных команд

Ошибка также возникает, если для используемого вами подключения к Интернету включен протокол Интернета версии 6 (IPv6). Это также должно быть сделано на клиентском компьютере, и ошибка должна исчезнуть после отключения IPv6. Тем не менее, вторая часть решения состоит в сбросе определенных настроек, касающихся соединения, которые определенно должны решить проблему.

Изменить настройки адаптера на панели управления

1. Когда откроется окно подключения к Интернету, двойной щелчок на вашем активном сетевом адаптере.
2. Затем нажмите Свойства и найдите Интернет-протокол версии 6 запись в списке. Снимите флажок рядом с этой записью и нажмите ОК. Перезагрузите компьютер, чтобы подтвердить изменения и проверить, возникает ли проблема при попытке присоединиться к домену.

Открытие командной строки через диалоговое окно «Выполнить»

Решение 3. Измените определенный раздел реестра

Изменение этой записи упоминается как решение выбора и для других проблем, и люди часто обращались к этому методу за помощью, так как другие методы не давали хороших результатов. Тем не менее, это последний метод работы, который мы предлагаем в качестве решения, и мы надеемся, что он сможет решить эту проблему для вас.

Поскольку вы собираетесь редактировать раздел реестра, рекомендуем вам ознакомиться с этой статьей, которую мы опубликовали, чтобы вы могли безопасно создавать резервные копии реестра, чтобы избежать других проблем. Таким образом, вы можете легко отменить внесенные изменения, если что-то пойдет не так.

1. Откройте окно редактора реестра, набрав «смерзаться”Либо в строке поиска, либо в меню« Пуск », либо в диалоговом окне« Выполнить », доступ к которому можно получить с помощью комбинации клавиш Windows + R. Перейдите к следующему ключу в вашем реестре, перейдя на левую панель:

1. Нажмите на этот ключ и попробуйте найти запись REG_DWORD с именем SysvolReady на правой стороне окна. Если такая опция существует, щелкните ее правой кнопкой мыши и выберите пункт «Изменить» в контекстном меню.

Изменение ключа SysvolReady в реестре

Эта статья помогает устранить проблему, из-за которой пользователи не могут присоединиться к компьютеру в домен Active Directory.

Применяется к: Windows 7 Пакет обновления 1, Windows Server 2012 R2
Исходный номер КБ: 2008652

Симптомы

Вы пытаетесь присоединиться к Windows Server 2008 R2 или компьютеру Windows 7 в домен Active Directory с помощью изменений имени компьютера и домена в system Properties.
Домен назначения имеет контроллеры Windows 2000, Windows Server 2003 или Windows Server 2008 и может иметь Windows NT 4.0 контроллеров домена. При попытке присоединиться к компьютеру Windows Server 2008 R2 в домене, указав полное доменное имя (FQDN) в пользовательском интерфейсе домена, операция сбой, и вы получите ошибку:

Не удалось связаться с контроллером домена Active Directory (AD DC) для <target DNS domain name> домена
Убедитесь, что имя домена введите правильно

В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:

При попытке присоединиться к компьютеру Windows Server 2008 R2 к домену, указав имя NetBIOS в пользовательском интерфейсе присоединиться к домену, вы получите другую ошибку:

Произошла следующая ошибка при попытке присоединиться к <NetBIOS target domain name> домену. Указанный домен либо не существует, либо не может быть связаться.

В %windir%\debug\Netsetup.log клиенте вы видите следующую последовательность:

<DateTime> -----------------------------------------------------------------
<DateTime> NetpDoDomainJoin
<DateTime> NetpMachineValidToJoin: 'CLIENT-NAME'
<DateTime> ВЕРСИЯ ОС: 6.1
<DateTime> Номер сборки: 7600 (7600.win7_rtm.090713-1255)
<DateTime> SKU: Windows Server 2008 R2 Enterprise
<DateTime> NetpDomainJoinLicensingCheck: ulLicenseValue=1, Status: 0x0
<DateTime> NetpGetLsaPrimaryDomain: состояние: 0x0
<DateTime> NetpMachineValidToJoin: состояние: 0x0
<DateTime> NetpJoinDomain
<DateTime> Машина: CLIENT-NAME
<DateTime> Домен: Domain_Name
<DateTime> MachineAccountOU: (NULL)
<DateTime> Учетная запись: Domain_Name\admx054085
<DateTime> Параметры: 0x27
<DateTime> NetpLoadParameters: параметры реестра загрузки.
<DateTime> NetpLoadParameters: DNSNameResolutionRequired не найден, по умолчанию значение "1" 0x2
<DateTime> NetpLoadParameters: DomainCompatibilityMode не найден, по умолчанию значение "0" 0x2
<DateTime> NetpLoadParameters: состояние: 0x2
<DateTime> NetpValidateName: проверка, допустимо ли имя Domain_Name как имя типа 3
<DateTime> NetpValidateName: "Domain_Name" не является допустимым доменным именем DNS: 0x2554
<DateTime> NetpCheckDomainNameIsValid [ Существует ] для "Domain_Name" возвращенных 0x0
<DateTime> NetpValidateName: имя Domain_Name допустимо для типа 3
<DateTime> NetpDsGetDcName: пытается найти DC в домене "Domain_Name", флаги: 0x40001010
*<DateTime>*NetpDsGetDcName: не удалось найти DC в указанном домене: 0x54b, последняя ошибка 0x0
*<DateTime>*NetpJoinDomainOnDs: NetpDsGetDcName возвращено: 0x54b
*<DateTime>*NetpJoinDomainOnDs: функция выходит со статусом: 0x54b
*<DateTime>*NetpDoDomainJoin: состояние: 0x54b

Домен присоединяется Windows Server 2003 к одному и том же целевому домену, указав доменное имя NetBIOS в пользовательском интерфейсе. Также не удается объединить домен с помощью FQDN.
Вы также можете успешно присоединиться к одному Windows Server 2008 R2 к другому домену Active Directory в том же лесу с указанием доменного имени FQDN.

Причина

Ошибки возникают, если установлено, что NT4Emulator 0x1 в следующем подкоже реестра контроллера домена-помощника, используемого для пользования целевым доменом:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
Имя значения: NT4Emulator
Тип значения: REG_DWORD
Данные значения: 1

Решение

Чтобы устранить эту проблему, удалите значение реестра NT4Emulator для контроллеров домена Active Director Windows NT y в домене назначения, если контроллеры домена 4.0 больше не присутствуют или могут быть отменены. В противном случае перед попыткой присоединиться к домену установите следующее значение реестра для клиента Windows или Windows Server 2008 R2:

Начните редактор реестра ( Regedit.exe ).

Найдите в реестре следующий раздел:

Если его нет, создайте новое значение REG_DWORD NeutralizeNT4Emulator и установите значение 0x1 .

Закройте редактор реестра.

Этот параметр реестра позволяет контроллерам домена Active Directory с параметром NT4Emulator нормально реагировать на запрашивающий клиент (избегая Windows NT режима эмуляции 4.0).

Дополнительная информация

В случае соединения с FQDN клиент присоединений не получает адекватного ответа на запросы LDAP, которые он отправляет контроллерам домена в начале процесса соединения домена. Диспетчер домена-помощник отвечает, но присоединенный клиент считает ответ неполным.

В этой статье данная статья содержит общие решения проблемы, из-за которой контроллер домена не функционирует правильно.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 837513

Симптомы

Диагностика DC
Выполнение начальной установки:
[DC1] Сбой привязки LDAP с ошибкой 31

[D: \ nt \ private \ ds \ src \ util \ \ repadmin repinfo.c, 389] LDAP error 82 (Local Error).

Последняя попытка @ yyyy-mm-dd hh:mm.ss не удалась, результат 1753: конечные точки больше не доступны из конечной карты.

Последняя попытка @ yyy-mm-dd hh:mm.ss не удалась, результат 5. Доступ отказано.

Нет серверов с логотипами (c000005e = "STATUS_NO_LOGON_SERVERS")

Данные именования не могут быть расположены, так как. Для проверки подлинности не удалось связаться с никакими полномочиями. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Данные именования не могут быть расположены, так как: имя целевой учетной записи неверно. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Клиенты Outlook Майкрософт, подключенные к компьютерам Microsoft Exchange Server, использующим затронутые контроллеры домена для проверки подлинности, могут быть вызваны для проверки подлинности, несмотря на успешную проверку подлинности логотипов от других контроллеров домена.

Тест списка DC . . . . . . . . . . . : Не удалось
[WARNING] Не удается вызвать DsBind <servername> на .<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тест Kerberos. . . . . . . . . . . : Не удалось
[FATAL] Kerberos не имеет билета для krbtgt/ <fqdn> .

[FATAL] Kerberos не имеет билета <hostname> на .
Тест LDAP. . . . . . . . . . . . . : Пройдено
[WARNING] Не удалось запросить регистрацию SPN в DC <hostname><fqdn>

Следующее событие может быть в журнале событий системы затронутого контроллера домена:

Решение

Существует несколько решений для этих симптомов. Ниже приводится список методов, которые следует попробовать. За списком следуют действия для выполнения каждого метода. Попробуйте каждый метод, пока проблема не будет решена. Статьи базы знаний Майкрософт, описывая менее распространенные исправления для этих симптомов, перечислены позже.

1. Метод 1. Исправление ошибок системы доменных имен (DNS).
2. Метод 2. Синхронизация времени между компьютерами.
3. Метод 3. Проверьте доступ к этому компьютеру с помощью прав пользователей сети.
4. Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480.
5. Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN).
6. Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos.

Метод 1. Исправление ошибок DNS

1. В командной подсказке запустите netdiag -v команду. Эта команда создает файл Netdiag.log в папке, где была запускана команда.
2. Устранение ошибок DNS в файле Netdiag.log перед продолжением. Средство Netdiag находится в Windows 2000 средств поддержки сервера на Windows 2000 Server CD-ROM или в качестве загрузки.
3. Убедитесь, что DNS настроен правильно. Одной из наиболее распространенных ошибок DNS является указать контроллер домена поставщику интернет-служб (ISP) для DNS вместо того, чтобы указать DNS на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Рекомендуется указать контроллер домена себе или другому DNS-серверу, который поддерживает динамические обновления и записи SRV. Рекомендуется настроить переадверители в интернет-провайдер для разрешения имен в Интернете.

Дополнительные сведения о настройке службы каталогов DNS для Active Directory щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
Планирование пространства имен DNS 254680

Метод 2. Синхронизация времени между компьютерами

Убедитесь, что время правильно синхронизируется между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизируется между клиентские компьютеры и контроллеры домена.

Метод 3. Проверка прав пользователя "Доступ к этому компьютеру из сети"

Измените файл Gpttmpl.inf, чтобы подтвердить, что соответствующие пользователи имеют доступ к этому компьютеру от сетевого пользователя прямо на контроллере домена. Для этого выполните следующие действия:

Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. По умолчанию политика контроллеров домена по умолчанию определяет права пользователей для контроллера домена. По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию расположен в следующей папке.

Sysvol может быть в другом расположении, но путь для файла Gpttmpl.inf будет одинаковым.

Для Windows контроллеров домена Server 2003:

C: \ WINDOWS \ Sysvol \ Sysvol \ <Domainname> \ Policies \ < 6AC1786C-016F-11D2-945F-00C04fB984F9>\ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

Для Windows контроллеров домена Server 2000:

C. \ WINNT \ \ Sysvol Sysvol \ <Domainname> \ Policies \ < 6AC1786C-016F-11D2-945F-00C04fB984F9>\ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для пользователей с проверкой подлинности и для всех. См. следующие примеры.

Для Windows контроллеров домена Server 2003:

SeNetworkLogonRight = * S-1-5-32-554, * S-1-5-9, * S-1-5-32-544, * S-1-1-0

Для Windows контроллеров домена Server 2000:

SeNetworkLogonRight = * S-1-5-11, * S-1-5-32-544, * S-1-1-0

Администраторы (S-1-5-32-544), пользователи с проверкой подлинности (S-1-5-11), Все (S-1-1-0) и контроллеры Enterprise (S-1-5-9) используют известные идентификаторы безопасности, одинаковые в каждом домене.

Удалите все записи справа от записи SeDenyNetworkLogonRight (запретить доступ к этому компьютеру из сети), чтобы соответствовать следующему примеру.

Пример такой же для Windows 2000 и Windows Server 2003.

По умолчанию Windows 2000 Server не имеет записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только Support_random строку в записи SeDenyNetworkLogonRight. (Учетная запись Support_random строки используется удаленной помощью.) Поскольку учетная запись Support_random строки использует другой идентификатор безопасности (SID) в каждом домене, учетная запись не легко отличить от обычной учетной записи пользователя, просто глядя на SID. Может потребоваться скопировать SID в другой текстовый файл, а затем удалить SID из записи SeDenyNetworkLogonRight. Таким образом, вы можете положить его обратно, когда вы закончите устранение проблемы.

SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике. Если предыдущие действия не уладили проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы подтвердить, что права пользователей там также не определены. Если файл Gpttmpl.inf не содержит ссылок на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике, и эта политика не вызывает эту проблему. Если эти записи действительно существуют, убедитесь, что они соответствуют настройкам, перечисленным ранее для политики контроллера домена по умолчанию.

Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480

Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN)

Этот метод действителен только для Windows 2000 Server.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

1. Начните редактор реестра.
2. В левой области расширьте безопасность.
3. В меню Безопасность щелкните Разрешения, чтобы предоставить локальной группе Администраторов полный контроль над ульем SECURITY и его детскими контейнерами и объектами.
4. Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN ключ.
5. В правой области редактора реестра нажмите <No Name> кнопку : REG_NONE один раз.
6. В меню Просмотр щелкните Отображение двоичных данных. В разделе Формат диалоговое окно щелкните Byte.
7. Доменное имя отображается в качестве строки в правой части диалогового окна Двоичные данные. Доменное имя такое же, как и область Kerberos.
8. Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN ключ реестра.
9. В правой области редактора реестра дважды щелкните <No Name> запись : REG_NONE.
10. В диалоговом окне Двоичный редактор вклейте значение от PolPrDmN. (Значение от PolPrDmN будет доменное имя NetBIOS).
11. Перезапустите контроллер домена.

Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos

Остановите службу Центра рассылки ключей Kerberos, а затем установите значение запуска вручную.

Для сброса пароля учетной записи компьютера контроллера домена используйте средство Netdom из средств поддержки Windows 2000 серверов или средств поддержки Windows Server 2003:

Убедитесь, что netdom команда возвращается успешно. Если это не так, команда не работает. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена — DC2, вы запустите следующую команду из netdom консоли DC1:

Перезапустите затронутый контроллер домена.

Запустите службу Центра рассылки ключей Kerberos, а затем установите параметр запуска автоматическим.

Дополнительные сведения об этой проблеме щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
323542 Вы не можете запустить средство Active Directory Users and Computers, так как сервер не работает

Читайте также:

  
• Стеркин ускорение загрузки windows
  
• Windows был модифицирован отключен patchguard
  
• Системе windows не удается обновить файлы установки чтобы установить систему windows закройте
  
• Будет ли работать виндовс хр в 2020
  
• Ipsec mac os отключить