Не удалось подключиться к контроллеру домена для домена windows xp

Обновлено: 04.07.2024

Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:

256986 Описание реестра Microsoft Windows

Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31

[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).

Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.

Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.

Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")

Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.

DC list test . . . . . . . . . . . : Сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для <имя_сервера>.<полное_доменное_имя> (<IP-адрес>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Сбой
[FATAL] Kerberos does not have a ticket for krbtgt/<полное_доменное_имя>.

[FATAL] Kerberos does not have a ticket for <имя_узла>.
LDAP test. . . . . . . . . . . . . : Успешно
[ПРЕДУПРЕЖДЕНИЕ] Failed to query SPN registration on DC <имя_узла>\<полное_доменное_имя>

Проблема

Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.

Способ 1. Исправление ошибок в службе доменных имен (DNS).

Способ 2. Синхронизация времени компьютеров.

Способ 3. Проверка наличия права Доступ к компьютеру из сети.

Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.

Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.

Способ 1. Исправление ошибок в DNS

Введите в командной строке команду netdiag -v. В папке, в которой был выполнен запуск, эта команда создает файл Netdiag.log.

Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:

Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета

Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:

291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003

237675 Настройка службы доменных имен (DNS) для Active Directory

254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Способ 2. Синхронизация времени компьютеров

Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.

Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:

258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0

216734 Настройка основного сервера времени в Windows 2000

Способ 3. Проверка наличия права "Доступ к компьютеру из сети"

Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.

Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.

Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.

Контроллеры домена под управлением Windows Server 2003:

Контроллеры домена под управлением Windows 2000 Server:

Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп "Администраторы", "Прошедшие проверку" и "Все". См. перечисленные ниже примеры.

Контроллеры домена под управлением Windows Server 2003:

SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

Контроллеры домена под управлением Windows 2000 Server:

SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

Примечание. Группы "Администраторы" (S-1-5-32-544), "Прошедшие проверку" (S-1-5-11), "Все" (S-1-1-0) и "Контроллеры предприятия" (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.

Удалите все данные справа от записи SeDenyNetworkLogonRight ("Отказ в доступе к компьютеру из сети"). См. следующий пример:

Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.

По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Так как учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).

Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.

Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена

В меню Пуск выберите команду Выполнить и введите adsiedit.msc.

Разверните узлы Domain NC, DC=domain и OU=Domain Controllers.

Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.

На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.

На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.

Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.

Закройте редактор ADSI.

Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)

Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.

Откройте редактор реестра.

На левой панели разверните узел Security.

В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе "Administrators" полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.

Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.

На правой панели редактора реестра один раз щелкните запись <Без имени>: REG_NONE.

В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.

В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.

Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.

На правой панели двойным щелчком выберите <Без имени>: REG_NONE.

В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)

Перезагрузите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска "Вручную".

С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:

netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора

netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора

Перезагрузите контроллер домена, подверженный ошибкам.

Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.

Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:

257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена

257346 После отмены права "Доступ к компьютеру из сети" перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos

323542 Не удается запустить оснастку "Active Directory — пользователи и компьютеры", так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Контроллер домена Active Directory для домена не может быть подключен

Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?

Изучив этот вопрос, мы обнаружили, что проблема часто обусловлена ​​следующими факторами:

• Неверная конфигурация DNS: как мы упоминали выше, основной причиной ошибки является неправильная конфигурация DNS. Настройка DNS может быть легко перенастроена для устранения проблемы.
• Службы DNS: в некоторых случаях ошибка также может возникать из-за неисправной службы DNS. Перезапуск службы, кажется, решает проблему.

Теперь, чтобы устранить проблему, следуйте приведенным ниже решениям. Как всегда, мы рекомендуем следовать в том же порядке, как указано ниже.

Решение 1. Добавьте новую конфигурацию DNS

Поскольку основной причиной проблемы является конфигурация DNS, добавление новой конфигурации DNS в соответствии с вашим доменом должно решить проблему. Для этого сначала вам нужно будет войти в систему, которую вы пытаетесь добавить. После этого следуйте инструкциям внизу:

Решение 2. Перезапуск службы DNS

Решение 3. Подключение через окно настроек

Наконец, вы также можете решить свою проблему, подключившись к домену другим способом. Обычно пользователи подключают систему к домену, используя системные свойства. Однако вы также можете подключиться к домену, используя следующий метод:

1. в Поиск Кортана бар, введите Варианты входа и затем откройте это.
2. Переключиться на ‘Доступ к работе или школеВкладка.
3. Нажмите на соединять.
4. Появится новое окно, нажмите ‘Присоедините это устройство к локальному домену Active Directory».
   Настройка устройства
5. Введите имя домена. Убедитесь, что вы вводите имя домена вместе с .местный (Xxxxx.local).
6. После этого он попросит администратор и пароль.
7. Введите учетные данные, а затем перезапустите систему.

Читайте также:

  
• Как удалить медиа гет с компьютера виндовс 10
  
• Пропала папка desktop в windows 10
  
• Журнал включения и выключения компьютера windows 10
  
• Windows 8 как отключить автояркость
  
• Desktop windows что это