域操縱器無(wú)法正常工作

千里之行，始于足下。第2頁(yè)/共2頁(yè)精品文檔推薦域操縱器無(wú)法正常工作域操縱器無(wú)法正常工作

查看本文應(yīng)用于的產(chǎn)品

重要講明：本文包含有關(guān)修改注冊(cè)表的信息。修改注冊(cè)表之前，一定要先舉行備份，同時(shí)一定要懂在發(fā)生咨詢(xún)題時(shí)怎么還原注冊(cè)表。有關(guān)怎么備份、還原和編輯注冊(cè)表的信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：

256986MicrosoftWindows注冊(cè)表講明

本頁(yè)

?癥狀

?解決方案

o辦法1：修復(fù)DNS錯(cuò)誤

o辦法2：同步各計(jì)算機(jī)之間的時(shí)刻

o辦法3：檢查“從網(wǎng)絡(luò)拜訪此計(jì)算機(jī)”用戶(hù)權(quán)限

o辦法4：驗(yàn)證域操縱器的userAccountControl屬性是否

為532480

o辦法5：修復(fù)Kerberos領(lǐng)域（確認(rèn)PolAcDmN注冊(cè)表

項(xiàng)和PolPrDmN注冊(cè)表項(xiàng)相匹配）

o辦法6：重設(shè)計(jì)算機(jī)帳戶(hù)密碼，然后獵取一具新的

Kerberos票證

展開(kāi)全部|關(guān)閉全部

癥狀

當(dāng)您在基于MicrosoftWindows2000Server的域操縱器或基于WindowsServer2003的域操縱器上運(yùn)行Dcdiag工具時(shí)，也許會(huì)收到以下錯(cuò)誤信息：

DCDiagnosis

Performinginitialsetup:

[DC1]LDAPbindfailedwitherror31

當(dāng)您在域操縱器上以本地點(diǎn)式運(yùn)行REPADMIN/SHOWREPS有用工具時(shí)，也許會(huì)收到以下錯(cuò)誤信息：

[D:\nt\private\ds\src\util\repadmin\repinfo.c,389]LDAPerror82(LocalError).

當(dāng)您試圖在受妨礙的域操縱器的操縱臺(tái)上使用網(wǎng)絡(luò)資源（包括“通用命名約定”(UNC)資源或映射的網(wǎng)絡(luò)驅(qū)動(dòng)器）時(shí)，也許會(huì)收到以下錯(cuò)誤信息：

Nologonserversavailable(c000005e="STATUS_NO_LOGON_SERVERS")

假如您在受妨礙的域操縱器的操縱臺(tái)上啟動(dòng)任何ActiveDirectory治理工具（包括“ActiveDirectory站點(diǎn)和服務(wù)”以及“ActiveDirectory用戶(hù)和計(jì)算機(jī)”），也許會(huì)收到以下錯(cuò)誤信息之一：

Naminginformationcannotbelocatedbecause:Noauthoritycouldbecontactedforauthentication.Contactyoursystemadministratortoverifythatyourdomainisproperlyconfiguredandiscurrentlyonline.

Naminginformationcannotbelocatedbecause:Targetaccountnameis

incorrect.Contactyoursystemadministratortoverifythatyourdomainisproperlyconfiguredandiscurrentlyonline.

假如MicrosoftOutlook客戶(hù)端連接到使用受妨礙的域操縱器舉行身份驗(yàn)證的MicrosoftExchangeServer計(jì)算機(jī)，系統(tǒng)也許會(huì)提示該客戶(hù)端提供登錄憑據(jù)，即使來(lái)自其他域操縱器的成功登錄驗(yàn)證差不多存在。

Netdiag工具也許會(huì)顯示以下錯(cuò)誤信息：

DClisttest...........:Failed

[WARNING]CannotcallDsBindto.().[ERROR_DOMAIN_CONTROLLER_NOT_FOUND]

Kerberostest...........:Failed

[FATAL]Kerberosdoesnothaveaticketforkrbtgt/.

[FATAL]Kerberosdoesnothaveaticketfor.

LDAPtest.............:Passed

[WARNING]FailedtoquerySPNregistrationonDC\

在受妨礙的域操縱器上，系統(tǒng)事件日志中也許會(huì)記錄以下事件：

類(lèi)型:錯(cuò)誤

來(lái)源:服務(wù)操縱治理程序

事件ID:7023

描述:“Kerberos密鑰分發(fā)中心”服務(wù)停止并顯示以下錯(cuò)誤：安全帳戶(hù)治理器(SAM)或本地安全機(jī)構(gòu)(LSA)服務(wù)器處于錯(cuò)誤的狀態(tài)，無(wú)法執(zhí)行安全操作。

回到頂端

解決方案

有一些解決方法能夠消除這些癥狀。下文列出了可供嘗試的辦法。接下來(lái)分不列出了執(zhí)行每種辦法的具體步驟。請(qǐng)逐一嘗試每種辦法，直到咨詢(xún)題得到解決為止。后面的部分列出了一些Microsoft知識(shí)庫(kù)文章，它們也介紹了修復(fù)這些癥狀的辦法，然而這些辦法相對(duì)來(lái)講別太常用。

1.辦法1：修復(fù)域名系統(tǒng)(DNS)錯(cuò)誤。

2.辦法2：同步各計(jì)算機(jī)之間的時(shí)刻。

3.辦法3：檢查“從網(wǎng)絡(luò)拜訪此計(jì)算機(jī)”用戶(hù)權(quán)限。

4.辦法4：驗(yàn)證域操縱器的userAccountControl屬性是否為532480。

5.辦法5：修復(fù)Kerberos領(lǐng)域（確認(rèn)PolAcDmN注冊(cè)表項(xiàng)和PolPrDmN注冊(cè)表項(xiàng)

是相互匹配的）。

6.辦法6：重設(shè)計(jì)算機(jī)帳戶(hù)密碼，然后獵取一具新的Kerberos票證。

回到頂端

辦法1：修復(fù)DNS錯(cuò)誤

1.在命令提示符處，運(yùn)行netdiag-v命令。此命令可在該命令運(yùn)行時(shí)所在的文件夾

中創(chuàng)建一具Netdiag.log文件。

2.在接著下面的步驟之前，解決Netdiag.log文件中的所有DNS錯(cuò)誤。Netdiag工具

可在Windows2000Server安裝光盤(pán)上的“Windows2000Server支持工具”中找

到，也可經(jīng)過(guò)下載獵取。要下載“Windows2000Server支持工具”，請(qǐng)拜訪下面的

Microsoft網(wǎng)站：

http:///windows2000/downloads/servicepacks/sp4/sup

porttools.mspx

3.確保DNS配置正確。最常見(jiàn)的一種DNS錯(cuò)誤算是使域操縱器指向DNS的

Internet服務(wù)提供商(ISP)，而別是指向DNS自身或另一臺(tái)支持動(dòng)態(tài)更新和SRV

記錄的DNS服務(wù)器。建議您使域操縱器指向自身，或指向另一臺(tái)支持動(dòng)態(tài)更新和SRV

記錄的DNS服務(wù)器。建議您創(chuàng)建到ISP的轉(zhuǎn)發(fā)器，以便在Internet上舉行名稱(chēng)解

析。

有關(guān)為ActiveDirectory名目服務(wù)配置DNS的其他信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：

291382有關(guān)Windows2000DNS和WindowsServer2003DNS的常見(jiàn)咨詢(xún)題

237675設(shè)置ActiveDirectory的域名系統(tǒng)

254680DNS名稱(chēng)空間規(guī)劃

255248怎么在ActiveDirectory中創(chuàng)建一具子域并將DNS名稱(chēng)空間委派到該子域

回到頂端

辦法2：同步各計(jì)算機(jī)之間的時(shí)刻

驗(yàn)證各個(gè)域操縱器之間的時(shí)刻是否正確同步。此外，還要驗(yàn)證客戶(hù)機(jī)和域操縱器之間的時(shí)刻是否正確同步。

有關(guān)怎么配置Windows時(shí)刻服務(wù)的其他信息，請(qǐng)單擊下面的文章編號(hào)，以查看Microsoft知識(shí)庫(kù)中相應(yīng)的文章：

258059怎么在WindowsNT4.0域中同步基于Windows2000的計(jì)算機(jī)上的時(shí)刻

216734怎么在Windows2000中配置權(quán)威時(shí)刻服務(wù)器

回到頂端

辦法3：檢查“從網(wǎng)絡(luò)拜訪此計(jì)算機(jī)”用戶(hù)權(quán)限

修改Gpttmpl.inf文件，以確認(rèn)相應(yīng)的用戶(hù)在域操縱器上擁有“從網(wǎng)絡(luò)拜訪此計(jì)算機(jī)”用戶(hù)權(quán)限。為此，請(qǐng)按照下列步驟操作：

1.修改默認(rèn)域操縱器策略的Gpttmpl.inf文件。默認(rèn)事情下，默認(rèn)域操縱器策略是為一具

域操縱器指定用戶(hù)權(quán)限的地點(diǎn)。默認(rèn)事情下，默認(rèn)域操縱器策略的Gpttmpl.inf文件位

于以下文件夾中。

注意：Sysvol也許位于別同的位置，但Gpttmpl.inf文件的路徑是相同的。

關(guān)于WindowsServer2003域操縱器：

C:\WINDOWS\Sysvol\Sysvol\\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Micro

soft\WindowsNT\SecEdit\GptTmpl.inf

關(guān)于Windows2000Server域操縱器：

C:\WINNT\Sysvol\Sysvol\\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Micro

soft\WindowsNT\SecEdit\GptTmpl.inf

2.在SeNetworkLogonRight項(xiàng)的右側(cè)，為Administrators、AuthenticatedUsers

和Everyone添加安全標(biāo)識(shí)符。請(qǐng)參見(jiàn)以下示例。

關(guān)于WindowsServer2003域操縱器：

SeNetworkLogonRight=

*S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

關(guān)于Windows2000Server域操縱器：

SeNetworkLogonRight=*S-1-5-11,*S-1-5-32-544,*S-1-1-0

注意：Administrators(S-1-5-32-544)、AuthenticatedUsers(S-1-5-11)、

Everyone(S-1-1-0)和EnterpriseControllers(S-1-5-9)都使用已知的安全標(biāo)

識(shí)符，這些安全標(biāo)識(shí)符在所有域中都相同。

3.刪除“SeDenyNetworkLogonRight”項(xiàng)（拒絕從網(wǎng)絡(luò)拜訪此計(jì)算機(jī)）右側(cè)的所有項(xiàng)，結(jié)

果應(yīng)符合以下示例。

SeDenyNetworkLogonRight=

注意：該示例關(guān)于Windows2000Server和WindowsServer2003同樣適用。

默認(rèn)事情下，Windows2000Server的SeDenyNetworkLogonRight項(xiàng)中沒(méi)有任

何項(xiàng)。默認(rèn)事情下，WindowsServer2003的SeDenyNetworkLogonRight項(xiàng)中

惟獨(dú)Support_randomstring帳戶(hù)。（Support_randomstring帳戶(hù)用于遠(yuǎn)程協(xié)

助。）由于Support_randomstring帳戶(hù)在每個(gè)域中都使用別同的安全標(biāo)識(shí)符

(SID)，所以單憑查看SID別容易將該帳戶(hù)與一般的用戶(hù)帳戶(hù)區(qū)分開(kāi)。您也許需要將

SID復(fù)制到另一具文本文件中，然后從SeDenyNetworkLogonRight項(xiàng)刪除該

SID。如此，在排除故障之后可將其放回原來(lái)的位置。

SeNetworkLogonRight和SeDenyNetworkLogonRight可在任何策略中定義。如

果上述步驟無(wú)法解決咨詢(xún)題，請(qǐng)?jiān)赟ysvol中檢查其他策略的Gpttmpl.inf文件，以確

認(rèn)該處也沒(méi)有定義用戶(hù)權(quán)限。假如Gpttmpl.inf文件中別包含對(duì)

SeNetworkLogonRight或SeDenyNetworkLogonRight的引用，則表明該策略中

沒(méi)有定義這些設(shè)置，它并別是導(dǎo)致此咨詢(xún)題的緣故。假如這些項(xiàng)真的存在，則應(yīng)確保它們

與前面列出的默認(rèn)域操縱器策略設(shè)置相符。

回到頂端

辦法4：驗(yàn)證域操縱器的userAccountControl屬性是否為532480

1.依次單擊“開(kāi)始”，“運(yùn)行”，然后鍵入adsiedit.msc。

2.依次展開(kāi)“DomainNC”、“DC=domain”，然后展開(kāi)“OU=DomainControllers”。

3.右鍵單擊受妨礙的域操縱器，然后單擊“屬性”。

4.在WindowsServer2003中，單擊以選中“屬性編輯器”選項(xiàng)卡上的“顯示必選屬性”

復(fù)選框和“顯示可選屬性”復(fù)選框。在Windows2000Server中，單擊“挑選要查看的

屬性”框中的“兩者”。

5.在WindowsServer2003中，單擊“屬性”框中的“userAccountControl”。在

Windows2000Server中，單擊“挑選要查看的屬性”框中的“userAccountControl”。

6.假如該值別是532480，則在“編輯屬性”框中鍵入532480，依次單擊“設(shè)置”，“應(yīng)用”，

然后單擊“確定”。

7.退出“ADSI編輯”。

回到頂端

辦法5：修復(fù)Kerberos領(lǐng)域（確認(rèn)PolAcDmN注冊(cè)表項(xiàng)和PolPrDmN注冊(cè)表項(xiàng)相匹配）

注意：此辦法只適用于Windows2000Server。

警告：注冊(cè)表編輯器使用別當(dāng)也許導(dǎo)致嚴(yán)峻咨詢(xún)題，也許需要重新安裝操作系統(tǒng)。Microsoft別能保證您能夠解決因注冊(cè)表編輯器使用別當(dāng)而導(dǎo)致的咨詢(xún)題。使用注冊(cè)表編輯器需要您自擔(dān)風(fēng)險(xiǎn)。

1.啟動(dòng)注冊(cè)表編輯器。

2.在左側(cè)窗格中，展開(kāi)“安全”。

3.在“安全”菜單中，單擊“權(quán)限”，授予Administrators本地組對(duì)SECURITY配置單元

及其子容器和對(duì)象的“徹底操縱”權(quán)限。

4.定位到HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN項(xiàng)。

5.在注冊(cè)表編輯器的右側(cè)窗格中，單擊“:REG_NONE”項(xiàng)一次。

6.在“查看”菜單上，單擊“顯示二進(jìn)位數(shù)據(jù)”。在該對(duì)話(huà)框的“格式”部分中，單擊“字節(jié)”。

7.域名以字符串的形式顯示在“二進(jìn)制數(shù)據(jù)”對(duì)話(huà)框的右側(cè)。該域名與Kerberos領(lǐng)域相

同。

8.定位到HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN注冊(cè)表項(xiàng)。

9.在注冊(cè)表編輯器的右側(cè)窗格，雙擊“:REG_NONE”項(xiàng)。

10.在“二進(jìn)制編輯器”對(duì)話(huà)框中，粘貼來(lái)自PolPrDmN的值。（來(lái)自PolPrDmN的值將

是NetBIOS域名）。

11.重新啟動(dòng)域操縱器。

回到頂端

辦法6：重設(shè)計(jì)算機(jī)帳戶(hù)密碼，然后獵取一具新的Kerberos票證

1.停止Kerberos密鑰分發(fā)中心服務(wù)，然后將啟動(dòng)值設(shè)為“手動(dòng)”。

2.用“Windows2000Server支持工具”或“WindowsServer2003支持工具”中的

Netdom工具，重設(shè)域操縱器的計(jì)算機(jī)帳戶(hù)密碼：

netdomresetpwd/server:anotherdomaincontroller

/userd:domain\administrator/passwordd:administratorpassword

確保成功完成時(shí)返回netdom命令。假如沒(méi)有，則表明該命令無(wú)效。關(guān)于域Contoso

（其中受妨礙的域操縱器為DC1，正常運(yùn)行的域操縱為DC2），請(qǐng)從DC1的操縱臺(tái)

中運(yùn)行以下netdom命令：

netdomresetpwd/server:DC2/userd:contoso\administrator

/passwordd:administratorpassword

3.重新啟動(dòng)受妨礙的域操縱器。

4.啟動(dòng)Kerberos密鑰分發(fā)中心服務(wù)，然后