Контроллеры доменов active directory зарегистрированные в dns не подключены к сети или не запущены
Обновлено: 04.07.2024
Всем спасибо. Решил проблему вогнав PDC в один брод кастовый домен с клиентами.
Если не трудно snorlov поясни подробней как должна выглядить запись <SRV> для контролера домена. Я пологаю что сейчас поиск идет по netBios имени домена (Enter)
snorlov писал(а): Похоже проблема не в pdc и даже не в машине с виндой, а с dns-сервером, дело в том, что вы пытаетесь вогнать машину в домен enter, dns выдает суффикс поиска .local, и в этой зоне обнаруживается запись о pdc, но не о вашем pdc с доменом enter, попробуйте туда добавить запись dc1Всем спасибо. Решил проблему вогнав PDC в один брод кастовый домен с клиентами.
Если не трудно snorlov поясни подробней как должна выглядить запись <SRV> для контролера домена. Я пологаю что сейчас поиск идет по netBios имени домена (Enter)
_ldap._tcp.pdc._msdcs SRV 0 100 389 <dc1>
На сайте есть статья о настройке bind для контроллера домена на базе w2k3, почитай.
все что вы говорите не как не относится к домену на самбе.. домена на самбе не использует ДНС. он только нетбиос работает.. и записи в днс ему не нужныnamed, named, what is my TTL value.
[FidoNet 2:550/2 && 2:5030/4441]
f0s писал(а): все что вы говорите не как не относится к домену на самбе.. домена на самбе не использует ДНС. он только нетбиос работает.. и записи в днс ему не нужны Правильно, вот только эти гаденыши, которые зовутся XP и выше, лезут сначало в DNS, чтобы узнать, а где этот, который PDC'ом значится, более того, если все стоит по умолчанию, они за этим делом и в Инет слазают, ведь галочка использовать родительские суффиксы стоит, пока не дойдут до броадкаста в конце. Очень интересно наблюдать на вопли в форумах по винде, типа поставил AD,все настроил, а эти гаденыши аутенфикацию проходят в домен минут по 10 и более, а проблемка то в DNS'е. ну поэтому я и с просил поо домен виндовый.. скорей всего раньше был домен на винде, и днс оставили виндовый, где есть эти записиnamed, named, what is my TTL value.
[FidoNet 2:550/2 && 2:5030/4441]
доброго времени суток. Подскажите пожалуйста в ldapAdmins ставишь галку что юзер должен сменить пароль при следующем входе. ри входе нет запроса на смену пароля. Спасибо не отрабатывает добавление машины в LDAP, в логах скриптаЯ когда по статье все делал, забыл группу COMPUTERS в main.ldif записать , потом отдельно ее добавлял.
Спасибо всем откликнувшимся
Все решилось. Оказывается я наплужил со скриптом ldapaddmachine , когда его просматривал , решив что я , наверное , "самый умный" и добавил знак " codebox"> посчитав, что так будет правильно))). А сделал я так потому что машина на добавлялась по другим каким-то причинам , которые я уже решил (забыл уже точно что это и было), а вот скрип в прежнее состояние не вернул, вообщем головняка себе подкинул. Сапсибо всем за внимание)мужики, выручайте, голову сломал.. всё сделал по инструкции, и всё нормально резолвитцо, кроме самого домена..
домен первого уровня "meat" и контроллер домена "pdc". PDC и PDC.MEAT резолвятся по nslookup а вот MEAT нет.. соответственно машины XP'шные загнать в MEAT не могу.
Вопрос: ЧО делать?
ЗЫ: уже пробовал добавлять aRecord непоследственно в зону MEAT и начинает резолвится как MEAT.MEAT хых
Спасибо за оперативность
meat и не должен резолвится
named, named, what is my TTL value.
[FidoNet 2:550/2 && 2:5030/4441]
named, named, what is my TTL value.
[FidoNet 2:550/2 && 2:5030/4441]
f0s писал(а): машинки из ХП обнаруживают MEAT по нетбиосуВыглядит всё чудненько
Вот вывод по nslookup:
Ясен перец что нехватает A записи для домена, было б всё проще, если б BIND работал отдельно от LDAP, но коль он в LDAP то ху зна.. запихиваю A запись в зону, получается что MEAT резолвится как MEAT.MEAT, т.к.zoneName = MEAT
relativeDomainName = MEAT Последний раз редактировалось patcha 2009-11-20 6:28:40, всего редактировалось 2 раза.
f0s писал(а): meat и не должен резолвится
млин, если не должен, то как мне завесди машины в домен?!
Когда цепляю их к meat.. Сразу же валится ошибка, что не могу цепануться т.к. нет такого домена.. лады..буцкаю на окэ и далее вылазит таки форточка с приглашением ввести логин и пасс..
Далее ввожу данные и снова та же ошибка, что нет такого домена
Отступление: машины уже в домене, тока виндовом, по диашсипи раздал всем машинам днсы виндового домена и нового фряшного..
Примечание: была как-то трабла, что named не запускался, т.к. 53-й порт уже используется.. следовательно я что сделал.. убрал 53-й порт из query-source address *;
Было два контроллера домена, но второй пал смертью храбрых, вознеся души процов 2004 года производства в чертогам Одина.
Так что теперь есть контроллер домена на Windows Server 2008 enterprise sp2. На нем 3 роли: ДНС-сервер, доменные службы AD, файловые службы.
Была проведена процедура перехвата ролей fsmo по этому мануалу.
Судя по предварительным раскопкам я где-то накосорезил с ролью DNS-сервера
Объясните мне, тупому, что сделать, а то первое сентября на носу, а я компы ввести в домен не могу.
при попытке ввода ПК (winXP, win7, win10, win2008) в домен отвечает следующее:
утилита dcdiag /test:dns отвечает следующее:
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = server2
* Идентифицирован лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: Default-First-Site-Name\SERVER2
Запуск проверки: Connectivity
. SERVER2 - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: Default-First-Site-Name\SERVER2
Запуск проверки: DNS
Проверки DNS выполняются без зависания. Подождите несколько минут.
. SERVER2 - пройдена проверка DNS
Выполнение проверок разделов на: DomainDnsZones
Выполнение проверок разделов на: ForestDnsZones
Выполнение проверок разделов на: Schema
Выполнение проверок разделов на: Configuration
Выполнение проверок разделов на: pl
Выполнение проверок предприятия на: pl.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:
Контроллер домена: server2.pl.local
Домен: pl.local
TEST: Basic (Basc)
Warning: The AAAA record for this DC was not found
TEST: Records registration (RReg)
Сетевой адаптер
[00000006] Intel(R) PRO/100 Network Connection:
Внимание!
Отсутствует запись AAAA на DNS-сервере 192.168.1.2:
server2.pl.local
Внимание!
Отсутствует запись AAAA на DNS-сервере 192.168.1.2:
gc._msdcs.pl.local
Внимание!
Отсутствует запись AAAA на DNS-сервере ::1:
server2.pl.local
Внимание!
Отсутствует запись AAAA на DNS-сервере ::1:
gc._msdcs.pl.local
Внимание! Не удается найти регистрации записей для некоторых
сетевых адаптеров
Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:
Отчет по результатам проверки DNS:
Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: pl.local
server2 PASS WARN FAIL PASS PASS WARN n/a
. pl.local - не пройдена проверка DNS
утилита ipconfig /all отвечает следующее:
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server2
Основной DNS-суффикс . . . . . . : pl.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : pl.local
Ethernet adapter Подключение по локальной сети 2:
Ethernet adapter Подключение по локальной сети:
Туннельный адаптер Подключение по локальной сети* 8:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Туннельный адаптер Подключение по локальной сети* 11:
Состояние носителя. . . . . . . . : Носитель отключен
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : isatap.
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.
Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.
DC list test . . . . . . . . . . . : Сбой
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для <имя_сервера>.<полное_доменное_имя> (<IP-адрес>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Сбой
[FATAL] Kerberos does not have a ticket for krbtgt/<полное_доменное_имя>.
[FATAL] Kerberos does not have a ticket for <имя_узла>.
LDAP test. . . . . . . . . . . . . : Успешно
[ПРЕДУПРЕЖДЕНИЕ] Failed to query SPN registration on DC <имя_узла>\<полное_доменное_имя>
Проблема
Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.
Способ 1. Исправление ошибок в службе доменных имен (DNS).
Способ 2. Синхронизация времени компьютеров.
Способ 3. Проверка наличия права Доступ к компьютеру из сети.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.
Способ 1. Исправление ошибок в DNS
Введите в командной строке команду netdiag -v. В папке, в которой был выполнен запуск, эта команда создает файл Netdiag.log.
Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:
Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:
291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003
237675 Настройка службы доменных имен (DNS) для Active Directory
254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Способ 2. Синхронизация времени компьютеров
Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.
Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:
258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0
216734 Настройка основного сервера времени в Windows 2000
Способ 3. Проверка наличия права "Доступ к компьютеру из сети"
Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.
Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.
Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.
Контроллеры домена под управлением Windows Server 2003:
Контроллеры домена под управлением Windows 2000 Server:
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп "Администраторы", "Прошедшие проверку" и "Все". См. перечисленные ниже примеры.
Контроллеры домена под управлением Windows Server 2003:
SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0
Контроллеры домена под управлением Windows 2000 Server:
SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0
Примечание. Группы "Администраторы" (S-1-5-32-544), "Прошедшие проверку" (S-1-5-11), "Все" (S-1-1-0) и "Контроллеры предприятия" (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.
Удалите все данные справа от записи SeDenyNetworkLogonRight ("Отказ в доступе к компьютеру из сети"). См. следующий пример:
Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.
По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_произвольная_строка. (Учетная запись Support_произвольная_строка используется удаленным помощником.) Так как учетная запись Support_произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).
Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена
В меню Пуск выберите команду Выполнить и введите adsiedit.msc.
Разверните узлы Domain NC, DC=domain и OU=Domain Controllers.
Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.
На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.
На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.
Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.
Закройте редактор ADSI.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)
Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.
Откройте редактор реестра.
На левой панели разверните узел Security.
В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе "Administrators" полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.
Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
На правой панели редактора реестра один раз щелкните запись <Без имени>: REG_NONE.
В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.
В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
На правой панели двойным щелчком выберите <Без имени>: REG_NONE.
В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)
Перезагрузите контроллер домена.
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска "Вручную".
С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:
netdom resetpwd /server:другой контроллер домена /userd:domain\administrator /passwordd:пароль администратора
netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:пароль администратора
Перезагрузите контроллер домена, подверженный ошибкам.
Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.
Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:
257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена
257346 После отмены права "Доступ к компьютеру из сети" перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos
323542 Не удается запустить оснастку "Active Directory — пользователи и компьютеры", так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Представьте такую ситуацию: компьютеры в вашей сети не могут найти свой контроллер домена, соответственно пользователи не могут зайти в систему. Всюду возмущенные крики и вопли… Что же делать? В данном случае можно попробовать воспользоваться процедурой траблшутинга процесса поиска контроллера домена (domain controller location process), как одной из базовых методик диагностики проблем входа в систему.
Проверка
Чтобы определить причину проблемы, выполните следующие действия:
1. Убедитесь, что компьютер имеет верные настойки сетевой карты, в том числе IP-адрес, DNS сервер и шлюз по умолчанию. Чтобы отобразить всю эту информацию, откройте окно командной строки и наберите ipconfig /all. Если конфигурация неверная, исправьте ее.
2. С помощью команды Ping проверьте доступность IP адреса маршрутизатора, указанного в качестве дефолтного, доступность DNS сервера и ближайшего контроллера домена в вашем сайте. Если хотя бы до одного из этих элементов связь не проходит, найдите и устраните эту проблему.
5. С помощью команды Nslookup удостоверьтесь, что DNS содержит необходимые и актуальные данные записи для поиска контроллера домена. Если результатом одного из следующих тестов будет ошибка, и вам не будет возвращены правильные имена и ip адреса хостов, перезагрузите контроллеры домена, чтобы заставить их перерегистрироваться в DNS (также убедитесь что DNS настроен на прием динамических обновлений и может создавать записи ресурсов SRV ):
Читайте также: