Компьютер не видит домен

Обновлено: 06.07.2024

В этой статье данная статья содержит общие решения проблемы, из-за которой контроллер домена не функционирует правильно.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 837513

Симптомы

Диагностика DC
Выполнение начальной установки:
[DC1] Сбой привязки LDAP с ошибкой 31

[D: \ nt \ private \ ds \ src \ util \ \ repadmin repinfo.c, 389] LDAP error 82 (Local Error).

Последняя попытка @ yyyy-mm-dd hh:mm.ss не удалась, результат 1753: конечные точки больше не доступны из конечной карты.

Последняя попытка @ yyy-mm-dd hh:mm.ss не удалась, результат 5. Доступ отказано.

Нет серверов с логотипами (c000005e = "STATUS_NO_LOGON_SERVERS")

Данные именования не могут быть расположены, так как. Для проверки подлинности не удалось связаться с никакими полномочиями. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Данные именования не могут быть расположены, так как: имя целевой учетной записи неверно. Свяжитесь с системным администратором, чтобы убедиться, что домен правильно настроен и в настоящее время находится в сети.

Клиенты Outlook Майкрософт, подключенные к компьютерам Microsoft Exchange Server, использующим затронутые контроллеры домена для проверки подлинности, могут быть вызваны для проверки подлинности, несмотря на успешную проверку подлинности логотипов от других контроллеров домена.

Тест списка DC . . . . . . . . . . . : Не удалось
[WARNING] Не удается вызвать DsBind <servername> на .<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тест Kerberos. . . . . . . . . . . : Не удалось
[FATAL] Kerberos не имеет билета для krbtgt/ <fqdn> .

[FATAL] Kerberos не имеет билета <hostname> на .
Тест LDAP. . . . . . . . . . . . . : Пройдено
[WARNING] Не удалось запросить регистрацию SPN в DC <hostname><fqdn>

Следующее событие может быть в журнале событий системы затронутого контроллера домена:

Решение

Существует несколько решений для этих симптомов. Ниже приводится список методов, которые следует попробовать. За списком следуют действия для выполнения каждого метода. Попробуйте каждый метод, пока проблема не будет решена. Статьи базы знаний Майкрософт, описывая менее распространенные исправления для этих симптомов, перечислены позже.

Метод 1. Исправление ошибок системы доменных имен (DNS).
Метод 2. Синхронизация времени между компьютерами.
Метод 3. Проверьте доступ к этому компьютеру с помощью прав пользователей сети.
Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480.
Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN).
Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos.

Метод 1. Исправление ошибок DNS

В командной подсказке запустите netdiag -v команду. Эта команда создает файл Netdiag.log в папке, где была запускана команда.
Устранение ошибок DNS в файле Netdiag.log перед продолжением. Средство Netdiag находится в Windows 2000 средств поддержки сервера на Windows 2000 Server CD-ROM или в качестве загрузки.
Убедитесь, что DNS настроен правильно. Одной из наиболее распространенных ошибок DNS является указать контроллер домена поставщику интернет-служб (ISP) для DNS вместо того, чтобы указать DNS на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Рекомендуется указать контроллер домена себе или другому DNS-серверу, который поддерживает динамические обновления и записи SRV. Рекомендуется настроить переадверители в интернет-провайдер для разрешения имен в Интернете.

Дополнительные сведения о настройке службы каталогов DNS для Active Directory щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
Планирование пространства имен DNS 254680

Метод 2. Синхронизация времени между компьютерами

Убедитесь, что время правильно синхронизируется между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизируется между клиентские компьютеры и контроллеры домена.

Метод 3. Проверка прав пользователя "Доступ к этому компьютеру из сети"

Измените файл Gpttmpl.inf, чтобы подтвердить, что соответствующие пользователи имеют доступ к этому компьютеру от сетевого пользователя прямо на контроллере домена. Для этого выполните следующие действия:

Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. По умолчанию политика контроллеров домена по умолчанию определяет права пользователей для контроллера домена. По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию расположен в следующей папке.

Sysvol может быть в другом расположении, но путь для файла Gpttmpl.inf будет одинаковым.

Для Windows контроллеров домена Server 2003:

C: \ WINDOWS \ Sysvol \ Sysvol \ <Domainname> \ Policies \ < 6AC1786C-016F-11D2-945F-00C04fB984F9>\ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

Для Windows контроллеров домена Server 2000:

C. \ WINNT \ \ Sysvol Sysvol \ <Domainname> \ Policies \ < 6AC1786C-016F-11D2-945F-00C04fB984F9>\ MACHINE Microsoft Windows NT \ \ \ SecEdit \ GptTmpl.inf

Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для пользователей с проверкой подлинности и для всех. См. следующие примеры.

Для Windows контроллеров домена Server 2003:

SeNetworkLogonRight = * S-1-5-32-554, * S-1-5-9, * S-1-5-32-544, * S-1-1-0

Для Windows контроллеров домена Server 2000:

SeNetworkLogonRight = * S-1-5-11, * S-1-5-32-544, * S-1-1-0

Администраторы (S-1-5-32-544), пользователи с проверкой подлинности (S-1-5-11), Все (S-1-1-0) и контроллеры Enterprise (S-1-5-9) используют известные идентификаторы безопасности, одинаковые в каждом домене.

Удалите все записи справа от записи SeDenyNetworkLogonRight (запретить доступ к этому компьютеру из сети), чтобы соответствовать следующему примеру.

Пример такой же для Windows 2000 и Windows Server 2003.

По умолчанию Windows 2000 Server не имеет записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только Support_random строку в записи SeDenyNetworkLogonRight. (Учетная запись Support_random строки используется удаленной помощью.) Поскольку учетная запись Support_random строки использует другой идентификатор безопасности (SID) в каждом домене, учетная запись не легко отличить от обычной учетной записи пользователя, просто глядя на SID. Может потребоваться скопировать SID в другой текстовый файл, а затем удалить SID из записи SeDenyNetworkLogonRight. Таким образом, вы можете положить его обратно, когда вы закончите устранение проблемы.

SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике. Если предыдущие действия не уладили проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы подтвердить, что права пользователей там также не определены. Если файл Gpttmpl.inf не содержит ссылок на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике, и эта политика не вызывает эту проблему. Если эти записи действительно существуют, убедитесь, что они соответствуют настройкам, перечисленным ранее для политики контроллера домена по умолчанию.

Метод 4. Убедитесь, что атрибут userAccountControl контроллера домена — 532480

Метод 5. Исправление области Kerberos (подтверждение совпадения ключа реестра PolAcDmN и ключа реестра PolPrDmN)

Этот метод действителен только для Windows 2000 Server.

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Начните редактор реестра.
В левой области расширьте безопасность.
В меню Безопасность щелкните Разрешения, чтобы предоставить локальной группе Администраторов полный контроль над ульем SECURITY и его детскими контейнерами и объектами.
Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN ключ.
В правой области редактора реестра нажмите <No Name> кнопку : REG_NONE один раз.
В меню Просмотр щелкните Отображение двоичных данных. В разделе Формат диалоговое окно щелкните Byte.
Доменное имя отображается в качестве строки в правой части диалогового окна Двоичные данные. Доменное имя такое же, как и область Kerberos.
Найдите HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN ключ реестра.
В правой области редактора реестра дважды щелкните <No Name> запись : REG_NONE.
В диалоговом окне Двоичный редактор вклейте значение от PolPrDmN. (Значение от PolPrDmN будет доменное имя NetBIOS).
Перезапустите контроллер домена.

Метод 6. Сброс пароля учетной записи машины и получение нового билета Kerberos

Остановите службу Центра рассылки ключей Kerberos, а затем установите значение запуска вручную.

Для сброса пароля учетной записи компьютера контроллера домена используйте средство Netdom из средств поддержки Windows 2000 серверов или средств поддержки Windows Server 2003:

Убедитесь, что netdom команда возвращается успешно. Если это не так, команда не работает. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена — DC2, вы запустите следующую команду из netdom консоли DC1:

Перезапустите затронутый контроллер домена.

Запустите службу Центра рассылки ключей Kerberos, а затем установите параметр запуска автоматическим.

Дополнительные сведения об этой проблеме щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
323542 Вы не можете запустить средство Active Directory Users and Computers, так как сервер не работает

Помогите советом.
Ситуация следующая, был в отпуске, по приходу нужно было что-то срочно настроить пользователю, я попробовал добавить пользователя в админы и не смог, домена не видно.
Попробовал ввести компьютер в домен, пишет:

dc-srv: Win2K3SP1Ent (AD, DHCP,DNS)
backup-srv: Win2K3SP1Ent (AD, DNS)

Зашел на сервера, в евентах куча ошибок и в логах бесперибойника зафиксированно несколько перепадов напряжения и полные отключения серверов (в щадящем режиме) из-за оотсутствия света. Как раз обилие ошибок, наблюдается после последнего выключения серверов.

В общем далее отвалился DHCP-сервер, поставил роутер на раздачу адресов.
DNS - не авторизован
Если ни у кого ни чего настраивать не надо, то работают молча. Как у кого-то что-то нужно настроить, я начинаю изворачиваться. В общем адский ад какой-то.

Пока из манипуляций: перезагрузил сервера, воткнул роутер на раздачу адресов, собрал логи и сам пытаюсь разобраться.

Моя основная задача - это сохранить AD, наладить авторизацию пользователей, регистрацию ПК в домене, ибо есть файловый сервер где у каждого личная папка.

Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 4
Дата: 06.06.2012
Время: 13:46:17
Пользователь: Н/Д
Компьютер: BACKUP-SRV
Описание:
Клиент Kerberos получил ошибку KRB_AP_ERR_MODIFIED с сервера host/backup-srv.ufoprim.local. Использовавшееся конечное имя: LDAP/backup-srv.ufoprim.local/ufoprim.local@UFOPRIM.LOCAL. Это значит, что пароль, который был использован для шифрования билета службы Kerberos, отличается от пароля на конечном сервере. Обычно это происходит, если в конечной сфере (UFOPRIM.LOCAL) и в сфере клиента имеются учетные записи компьютеров с одинаковыми именами. Обратитесь к системному администратору.

Раздел каталога:
DC=ForestDnsZones,DC=ufoprim,DC=local

Локальный контроллер домена давно не получал данные репликации с нескольких контроллеров домена. Далее приведено количество контроллеров домена с разделением по интервалам.

Более 24 часов:
1
Более недели:
1
Более месяца:
1
Более двух месяцев:
1
Более времени жизни захоронения:
0
Время жизни захоронения (в днях):
60
Возможно, контроллеры домена не выполняют репликацию вовремя из-за ошибок. Возможно, они пропустили смену пароля и не могут пройти проверку подлинности. Возможно, контроллер домена, не выполнивший репликацию в течение времени жизни захоронения, пропустил удаление некоторых объектов и был автоматически заблокирован до согласования.

Чтобы идентифицировать контроллеры домена по именам, установите средства поддержки с установочного компакт-диска и запустите программу dcdiag.exe.
Также можно использовать средство поддержки repadmin.exe для отображения задержек репликации контроллеров домена в лесе. Команда: "repadmin /showvector /latency <partition-dn>".

Тип события: Ошибка
Источник события: DNS
Категория события: Отсутствует
Код события: 4000
Дата: 08.06.2012
Время: 17:37:06
Пользователь: Н/Д
Компьютер: BACKUP-SRV
Описание:
DNS-серверу не удалось открыть Active Directory. Без этого он не сможет загружать зону. Данный DNS-сервер настроен для получения и использования информация из каталога для этой зоны. Проверьте, что Active Directory функционирует нормально и перезагрузите зону. Данные события содержат код ошибки.

Тип события: Ошибка
Источник события: DhcpServer
Категория события: Отсутствует
Код события: 1046
Дата: 07.06.2012
Время: 18:36:51
Пользователь: Н/Д
Компьютер: DC-SRV
Описание:
Служба DHCP/BINL на локальном компьютере, входящем в административный домен Windows "ufoprim.local", определила, что она не авторизована для запуска. Обслуживание клиентов остановлено. Возможными причинами могли стать:
Эта машина является частью предприятия службы каталогов и авторизована в том же домене. (Для получения дополнительной информации обратитесь к справке по программе "Управление службой DHCP").

Эта машина не может обнаружить предприятие службы каталогов и она обнаружила службу DHCP на другой машине в сети, принадлежащей предприятию службы каталогов, в котором этот компьютер не может авторизоваться.

Произошли непредвиденные ошибки сети.

Дополнительные данные
Значение ошибки:
1355 Указанный домен не существует или к нему невозможно подключиться.
Внутренний ID:
3200cf3

Действие пользователя:
Убедитесь, что глобальный каталог находится в лесу и доступен для контроллера домена. Для диагностики можно использовать программу NLTEST.

Раздел каталога:
DC=ufoprim,DC=local

Более 24 часов:
1
Более недели:
1
Более месяца:
1
Более двух месяцев:
1
Более времени жизни захоронения:
1
Время жизни захоронения (в днях):
60
Возможно, контроллеры домена не выполняют репликацию вовремя из-за ошибок. Возможно, они пропустили смену пароля и не могут пройти проверку подлинности. Возможно, контроллер домена, не выполнивший репликацию в течение времени жизни захоронения, пропустил удаление некоторых объектов и был автоматически заблокирован до согласования.

Последние бэкапы (Acronis) есть с давностью от полутора месяца. Почему-то есть желание восстановить работоспособность не используя их.

1 - Проверь что DNS серверы на обоих DC запущены.
2 - проверь утилитой rpcping доступ обоих DC друг на друга, добейся, чтобы работало.
3 - оба DC должны резолвить друг друга по nslookup по короткому имени и по fqdn имени, и пингать, в том числе по rpcping.

Net Stop Netlogon
Ipconfig /flushdns
Net Start Netlogon
Ipconfig /registerdns

должны обновить свои записи в DNS

Твои логи dcdiag и netdiag без опций /v - малоинформативны.
Зоны интегреные в AD ?
Для начала разберись с DNS, потом можно двигаться дальше.

На BACKUP-SRV DNS-сервер запущен, но с АД зона не загружена
На DC-SRV DNS-сервер запущен, зона отображается, записи устаревшие, но обратил внимание, что некоторые прописанные мной позавчера статические адреса для ПК отображаются, однако после подключения в сеть роутера и назначении других динамических адресов, все осталось попрежнему (адреса не соответствуют).

Как сделать чтоб работало?

Net Stop Netlogon
Ipconfig /flushdns
Net Start Netlogon
Ipconfig /registerdns

Записи обновились и служба снова ушла в паузу.

Я так понимаю, что занимаемся исправлением DC-SRV т.к. он Owner и на нем есть что-то работающее от DNS, и при его работе, пользователи хоть как-то авторизуются, правильно я рассуждаю?

На DC-SRV из ошибок:

1. Репликация - забиваем на нее пока
2. Это DNS

Вот это нужно решать в первую очередь? Только с чего начать чтобы не сделать хуже?

Блиин Чувак =) СПАСИБО. У меня наметился прогресс, благодаря тебе.

исчезла, я попробовал зарегистрировать в домене комп указав принудительно в настройках сети DNS сервер (192.168.1.1) и все получилось.

Втечение дня, ситуация вроде как выравнивается, можно было зарегистрировать ПК в домене, указав в DNS-cервером - 192.168.1.1

После того как утром удалось запустить"Сетевой вход в систему", появились только такие штуки

Тип события: Ошибка
Источник события: NETLOGON
Категория события: Отсутствует
Код события: 5722
Дата: 09.06.2012
Время: 14:46:52
Пользователь: Н/Д
Компьютер: DC-SRV
Описание:
При установке сеанса с компьютера PC не получено подтверждение имен. В базе данных безопасности содержатся ссылки на учетные записи PC$. Ошибка:
Отказано в доступе.

____________________________
Данные:
0000: 22 00 00 c0 "..A

[1] FRS не может разрешить DNS-имя "backup-srv.ufoprim.local" с этого компьютера.
[2] FRS не запущена на "backup-srv.ufoprim.local".
[3] Сведения в Active Directory о топологии для этой реплики реплицированы еще не на все контроллеры домена.

_______________________________
Тип события: Предупреждение
Источник события: W32Time
Категория события: Отсутствует
Код события: 22
Дата: 09.06.2012
Время: 15:42:29
Пользователь: Н/Д
Компьютер: DC-SRV
Описание:
The NTP-сервер поставщика времени обнаружил ошибку при выполнении цифровой подписи NTP-ответа для 192.168.1.11:123. NTP-сервер не удалось предоставить клиенту безопасное (подписанное) время, запрос пропущен. Ошибка: Пользователь с указанным именем не существует. (0x80070525)

В dc-SRV получил ошибки, что нельзя реплицировать, т.к. последняя репликация была более 60 дней назад.

Как восстановить работу контроллера на backup-srv, или можно пересоздать его заного?

Отключил репликацию, регистрирую ПК в домене
на клиентских ПК пишет

Хозяином всех операций является DC-SRV, он работает исправно. После удаления BACKUP-SRV, все манипуляции с AD (регистрация ПК, заведение пользователей и т.д.) работают прекрасно.

Сейчас вопрос стоит о настройке дополнительного контроллера на базе BACKUP-SERV.

На данный момент удалил все записи о BACKUP-SRV из DNS и AD, ошибок со вчерашнего дня не было.
Из WARNING на DC-SRV сейчас:

DC-SRV - 192.168.1.1
BACKUP-SRV - 192.168.1.37 (было)
BACKUP-SERV - 192.168.1.10 (стало)

Alienrus
Где же ты раньше был =) я именно такие действия и сделал, только сделал бы их раньше если бы ты раньше написал. Всеравно спасибо большое.

По руководству остановился на пукте 13. Выбрать удаляемый сервер нет возможности, наверное потому что я его в ручную уже удалил.

До пункта 20 я уже все поудалял, сидел искал хвосты и в ручную их резал.

Я начинающий сис.админ.Мучаюсь второй день..Как решить проблему?

Решение найдено.Как оказалось,в настройках VM у сервера был прописан подключение через узел,а у всех остальных ПК через мост,поменял у всех на узел,все заработало.Всем спасибо. С сетью у вас трэш какой-то.
На AD нету шлюза (как у вас там что-то маршрутизируется?), dhcp другой на win 7, разные подсети, на xp возможно вообще dhcp клиент отключен (либо ещё по какой-то причине не получает адрес). Возможно сами компы не вводятся в домен т.к. нет доступа до днс сервера.
Я предполагаю, что вы начудили с настройкой сети виртуальных машин.

Пытался настроить сервер 2012 в VM и подключить 2 ПК,но что то пошло не так.

плз, подробнее о схеме сети:
- все ли компы виртуальные?
- если нет, имеется ли роутер в физической сети? его ip и ip машины хоста гипервизора VM в студию плз
- на виртуальных машинах NAT или Bridge? upd ~~надо Bridge~~ точнее надо плясать от цели и подробностей конфигурации. для виртуального макета может и как раз virt only /upd (но это далеко не все.. остальное зависит от подробностей по всем пунктам)

у "7" тоже откровенный левак..
но самое главное:
- если контроллер на VM, то где клиенты?
- каковы настройки VM в части сети?
.. и это только начало разговора, врядли короткого Все компы виртуальные.На XP мост,на 7 NAT. На сервере стоит только для узла. Сейчас ставлю 2003 сервер и так же настраиваю как и 2012,посмотрю что изменится.Где посмотреть настройки VM в части сети?

там же где и настройки сетей вообще + включать голову

варианты:
- если сеть изолированная, для начала, все машинки "хост онли"
- но контроллер любит правильную настройку сети ДО активации АД. по сему надо понять что есть маршрутизация? что есть сети/подсети? кто в вирте будет шлюзом? простейший вариант, это сначала создать макет шлюз и клиент. две ВМ, где одна роутит (2 интерфейса, бридж и хост, при чем с фиксированными адресами, для АД), вторая через него видит инет. потом на шлюзе уже поднять АД

Контроллер домена Active Directory для домена не может быть подключен

Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?

Изучив этот вопрос, мы обнаружили, что проблема часто обусловлена следующими факторами:

Неверная конфигурация DNS: как мы упоминали выше, основной причиной ошибки является неправильная конфигурация DNS. Настройка DNS может быть легко перенастроена для устранения проблемы.
Службы DNS: в некоторых случаях ошибка также может возникать из-за неисправной службы DNS. Перезапуск службы, кажется, решает проблему.

Теперь, чтобы устранить проблему, следуйте приведенным ниже решениям. Как всегда, мы рекомендуем следовать в том же порядке, как указано ниже.

Решение 1. Добавьте новую конфигурацию DNS

Поскольку основной причиной проблемы является конфигурация DNS, добавление новой конфигурации DNS в соответствии с вашим доменом должно решить проблему. Для этого сначала вам нужно будет войти в систему, которую вы пытаетесь добавить. После этого следуйте инструкциям внизу:

Решение 2. Перезапуск службы DNS

Решение 3. Подключение через окно настроек

Наконец, вы также можете решить свою проблему, подключившись к домену другим способом. Обычно пользователи подключают систему к домену, используя системные свойства. Однако вы также можете подключиться к домену, используя следующий метод:

в Поиск Кортана бар, введите Варианты входа и затем откройте это.
Переключиться на ‘Доступ к работе или школеВкладка.
Нажмите на соединять.
Появится новое окно, нажмите ‘Присоедините это устройство к локальному домену Active Directory».
Настройка устройства
Введите имя домена. Убедитесь, что вы вводите имя домена вместе с .местный (Xxxxx.local).
После этого он попросит администратор и пароль.
Введите учетные данные, а затем перезапустите систему.

Читайте также: