Здравствуйте, коллеги!
Есть географически распределенная сеть с 6-ю контроллерами домена. Понадобилось подключить еще один филиал, поставив в него седьмой контроллер. При попытке ввода в домен на этапе конфигурации развертывания мастера настройки
доменных служб Active Directory в процессе проверки леса выдается сообщение «Сервер неработоспособен».
В логе dcpromoui при этом пишется следующее:
ExamineForest failed. The error is Невозможно продолжить операцию, так как протоколу LDAP не удалось выполнить подключение или привязку. Ошибка: 1326 (Неверное имя пользователя или пароль.).
VerifyReplica error message: Не удалось проверить лес Active Directory. Ошибка: Невозможно продолжить операцию, так как протоколу LDAP не удалось выполнить подключение или привязку. Ошибка: 1326 (Неверное имя пользователя или пароль.).
Test Failed
VerifyReplica returns exit code: 78
Поискал по форуму, выяснил, что чаще всего проблема связана с утраченными отношениями доверия. У нас были настроены отношения доверия между двумя другими домена, в настоящий момент недоступными.
Удалил эти отношения на первичном контроллере домена, изменения отреплицировались на все остальные контроллеры домена. Но это не помогло.
DCDiag с первичного контроллера домена:
C:Windowssystem32>dcdiag
Диагностика сервера каталогов
Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = MOW1SPDC
* Определен лес AD.
Сбор начальных данных завершен.
Выполнение обязательных начальных проверок
Сервер проверки: MOWMOW1SPDC
Запуск проверки: Connectivity
......................... MOW1SPDC - пройдена проверка Connectivity
Выполнение основных проверок
Сервер проверки: MOWMOW1SPDC
Запуск проверки: Advertising
......................... MOW1SPDC - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... MOW1SPDC - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
За последние 24 часа после предоставления SYSVOL в общий доступ
зафиксированы предупреждения или сообщения об ошибках. Сбои при
репликации SYSVOL могут стать причиной проблем групповой политики.
......................... MOW1SPDC - не пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... MOW1SPDC - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
Возникло предупреждение. Код события (EventID): 0x80000603
Время создания: 07/25/2013 00:37:00
Строка события:
Доменным службам Active Directory не удается отключить программный
эш записи на следующий жесткий диск.
Возникло предупреждение. Код события (EventID): 0x80000B46
Время создания: 07/25/2013 00:37:12
Строка события:
Безопасность данного сервера каталогов можно существенно повысить,
сли настроить его на отклонение привязок SASL (согласование, Kerberos, NTLM и
выборка), которые не запрашивают подписи (проверки целостности) и простых при
зок LDAP, которые выполняются для подключения LDAP с открытым (не зашифрованн
SSL/TLS) текстом. Даже если никто из клиентов такие привязки не использует,
стройка сервера на их отклонение улучшит безопасность этого сервера.
......................... MOW1SPDC - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... MOW1SPDC - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... MOW1SPDC - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
......................... MOW1SPDC - пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... MOW1SPDC - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... MOW1SPDC - пройдена проверка
ObjectsReplicated
Запуск проверки: Replications
......................... MOW1SPDC - пройдена проверка Replications
Запуск проверки: RidManager
......................... MOW1SPDC - пройдена проверка RidManager
Запуск проверки: Services
......................... MOW1SPDC - пройдена проверка Services
Запуск проверки: SystemLog
Возникла ошибка. Код события (EventID): 0x0000271A
Время создания: 07/25/2013 00:29:21
Строка события:
Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не
ыполнена за отведенное время ожидания.
Возникла ошибка. Код события (EventID): 0x0000271A
Время создания: 07/25/2013 00:29:21
Строка события:
Регистрация сервера {9BA05972-F6A8-11CF-A442-00A0C90A8F39} DCOM не
ыполнена за отведенное время ожидания.
Возникло предупреждение. Код события (EventID): 0x000727A5
Время создания: 07/25/2013 00:34:07
Строка события:
Служба WinRM не прослушивает запросы WS-Management.
Возникло предупреждение. Код события (EventID): 0xA004001B
Время создания: 07/25/2013 00:36:36
Строка события:
Intel(R) 82576 Gigabit Dual Port Network Connection
Возникло предупреждение. Код события (EventID): 0x80040020
Время создания: 07/25/2013 00:37:00
Строка события:
Драйвер обнаружил, что для устройства DeviceHarddisk0DR0 включе
буфер записи. В результате возможно повреждение данных.
Возникло предупреждение. Код события (EventID): 0x80040020
Время создания: 07/25/2013 00:37:00
Строка события:
Драйвер обнаружил, что для устройства DeviceHarddisk0DR0 включе
буфер записи. В результате возможно повреждение данных.
Возникло предупреждение. Код события (EventID): 0x80040020
Время создания: 07/25/2013 00:37:00
Строка события:
Драйвер обнаружил, что для устройства DeviceHarddisk0DR0 включе
буфер записи. В результате возможно повреждение данных.
Возникло предупреждение. Код события (EventID): 0x00001796
Время создания: 07/25/2013 00:37:19
Строка события:
Microsoft Windows Server обнаружено, что в настоящее время между к
ентами и этим сервером используется проверка подлинности NTLM. Это событие воз
кает один раз при каждой загрузке, когда клиент первый раз использует NTLM с э
м сервером.
Возникло предупреждение. Код события (EventID): 0x00002724
Время создания: 07/25/2013 00:37:27
Строка события:
Этому компьютеру назначен по крайней мере один динамический IPv6-а
ес. Для надежной работы DHCPv6-сервера следует использовать только статические
Pv6-адреса.
Возникло предупреждение. Код события (EventID): 0x00000458
Время создания: 07/25/2013 00:38:03
Строка события:
Клиентскому расширению "Group Policy Drive Maps" групповой политик
не удалось применить один или несколько параметров, поскольку эти изменения до
ны обрабатываться до запуска системы или до входа пользователя. Завершение обр
отки групповой политики будет выполнено перед следующим запуском системы или в
дом этого пользователя, что может вызвать замедление загрузки и запуска систем
Возникла ошибка. Код события (EventID): 0x00000457
Время создания: 07/25/2013 00:38:22
Строка события:
Драйвер Microsoft XPS Document Writer для принтера Microsoft XPS D
ument Writer не опознан. Обратитесь к сетевому администратору, чтобы он устано
л нужный драйвер.
......................... MOW1SPDC - не пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... MOW1SPDC - пройдена проверка
VerifyReferences
Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation
Выполнение проверок разделов на: mydomain
Запуск проверки: CheckSDRefDom
......................... mydomain - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... mydomain - пройдена проверка
CrossRefValidation
Выполнение проверок предприятия на: mydomain
Запуск проверки: LocatorCheck
......................... mydomain - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... mydomain - пройдена проверка Intersite
Честно говоря, уже не знаю куда копать… Подскажите, пожалуйста, в каком направлении двигаться для решения проблемы?
-
Изменен тип
20 августа 2013 г. 11:34
нет действий
#1
Отправлено 06 Июль 2013 — 10:29
я захожу в AD сайты и службы, нажимаю изменение леса и пытаюсь написать свой домен мойсайт.ру. В ответ система думает и пишет «не удалось найти домен по следующей причине сервер неработоспособен». Мой домен имеет нс сервера прописанные на reg.ru, а на свой статический адрес я просто изменил параметры зоны. Я читаю:
Цитата
Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета
Вопрос. Правильно ли я понял, что мне надо установить роль DNS-сервера и потом переписать нс записи целиком на мой статический адрес? Или проблема в другом?
зы
если чо — это первичная настройка
- Наверх
#2
MAzZY
MAzZY
2 331
- Извсегда здесь был
Отправлено 08 Июль 2013 — 08:32
azsx сказал:
В этом моменте поподробнее, пожалуйста.
«Конечно, я умный человек, умнее очень многих, но счастье не в этом…» А.П. Чехов. «Три сестры»
Carpe diem / Memento mori / Ecce Homo
Под столетними сугробами библейских анекдотов…
- Наверх
#3
azsx
TC
Отправлено 08 Июль 2013 — 12:16
- Наверх
#4
php5
Отправлено 09 Июль 2013 — 11:14
azsx сказал:
не удалось найти домен по следующей причине сервер неработоспособен
Я не пойму, ты на какую роль настраиваешь? Это контроллер AD? Включи DNS сервер, настрой зону на себя, сетевому интерфейсу дай провайдерскую DNS.
Т.е. ты понимаешь, что пишут в «корневой домен»? =) Т.е. если ты напишешь туда не имя корневого домена, а кокой — то сайт…. то ничего не произойдёт =)
- Наверх
|
0 / 0 / 0 Регистрация: 15.01.2013 Сообщений: 18 |
|
|
1 |
|
|
08.07.2013, 13:22. Показов 10212. Ответов 4
я захожу в AD сайты и службы, нажимаю изменение леса и пытаюсь написать свой домен мойсайт.ру. В ответ система думает и пишет «не удалось найти домен по следующей причине сервер неработоспособен».
0 |
|
Модератор
8716 / 3341 / 244 Регистрация: 25.10.2010 Сообщений: 13,601 |
|
|
08.07.2013, 17:13 |
2 |
|
azsx, картинки грузим на форум, ч/з расширенный режим, значок скрепки
0 |
|
51 / 47 / 2 Регистрация: 14.03.2012 Сообщений: 194 |
|
|
08.07.2013, 21:10 |
3 |
|
Что-то не совсем понятно что вы хотите сделать… Прикрутить доменное имя вашего сайта к службе Active Directory? Если да, то не совсем понятно что вы пытаетесь достичь в итоге? Само доменное имя и домен Windows понятия разные, лучше опишите что в конечном результате хотите увидеть и может сможем вам чем-нибудь помочь.
0 |
|
0 / 0 / 0 Регистрация: 15.01.2013 Сообщений: 18 |
|
|
09.07.2013, 02:32 [ТС] |
4 |
|
Что-то не совсем понятно что вы хотите сделать… настроить windows 2012 на корректную работу (для обучения). Само доменное имя и домен Windows понятия разные удивлен! Везде пишут, что windows работает по протоколу tcp ip, это основа работы нескольких серверов между собой, для обмена информацией AD между серверами. Где можно по русски прочитать, что такое домен windows (если он не физический домен)? лучше опишите что в конечном результате хотите увидеть и может сможем вам чем-нибудь помочь. для многих операций (например, настройка AD) винда просит меня указать домен или зайти под доменом и т.п. Я хочу прикрепить этот домен (домен у меня есть свободный).
0 |
-
-
November 3 2011, 19:35
- IT
- Компьютеры
- Cancel
windows server 2008 r2 при попытке зайти в active directory-пользователи и компьютеры дает такое окошко
Доменные службы active directory
Не удалось найти информацию об именах по следующей причине:
сервер неработоспособен
Если вы пытаетесь подключиться к контроллеру домена, работающем под управлением windows 2000, проверьте, что пакет обновления 3 для windows 2000 server и более поздний установлен на этом контроллере домена или используйте средства администрирования windows 2000. Дополнительные сведения о подключениям к контроллерам домена active directory работающем под управлением windows 2000 см. в разделе ,,справка и поддержка,,
Далее жму на этом окошке Ок и открывается directory-пользователи и компьютеры — полностью пустая, выбираю сменить домен, выбираю свой (единственный) и тогда открывается active directory-пользователи и компьютеры полностью рабочая.
Никто не сталкивался ? Чем лечить этот глюк? Заранее спасибо
Содержание
- Исправлено: не удалось подключиться к контроллеру домена Active Directory для домена —
- Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?
- Решение 1. Добавьте новую конфигурацию DNS
- Решение 2. Перезапуск службы DNS
- Решение 3. Подключение через окно настроек
- Контроллер домена работает неправильно
- Проблема
- Способ 1. Исправление ошибок в DNS
- Способ 2. Синхронизация времени компьютеров
- Способ 3. Проверка наличия права «Доступ к компьютеру из сети»
- Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена
- Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)
- Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
- Не удается подключиться к контроллеру домена active directory windows 10
- Описание проблемы с вводом в домен
- Причины ошибки «Не удалось изменить DNS-имя основного контроллера домена»
- Чистим старые хвосты в Active Directory
- Убедитесь, что включен NetBIOS через TCP/IP
- Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?
- Решение 1. Добавьте новую конфигурацию DNS
- Решение 2. Перезапуск службы DNS
- Решение 3. Подключение с помощью окна настроек
Исправлено: не удалось подключиться к контроллеру домена Active Directory для домена —
Ошибка «Невозможно связаться с контроллером домена Active Directory для домена» часто возникает из-за неправильной конфигурации DNS, и в этом случае вам придется ее изменить. Пользователи сообщают, что при попытке добавить другую рабочую станцию Windows в домен они получают следующее сообщение об ошибке.
Контроллер домена Active Directory для домена не может быть подключен
Когда вы нажмете кнопку «Подробнее», чтобы узнать больше об ошибке, она сообщит вам, что DNS-имя не существует вместе с кодом ошибки. Если вы столкнулись с ошибкой «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10, эта статья поможет вам ее устранить. Если у вас возникли ошибки в сообщении об ошибке, следуйте инструкциям ниже, чтобы обойти проблему.
Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?
Изучив этот вопрос, мы обнаружили, что проблема часто обусловлена следующими факторами:
Теперь, чтобы устранить проблему, следуйте приведенным ниже решениям. Как всегда, мы рекомендуем следовать в том же порядке, как указано ниже.
Решение 1. Добавьте новую конфигурацию DNS
Поскольку основной причиной проблемы является конфигурация DNS, добавление новой конфигурации DNS в соответствии с вашим доменом должно решить проблему. Для этого сначала вам нужно будет войти в систему, которую вы пытаетесь добавить. После этого следуйте инструкциям внизу:
Решение 2. Перезапуск службы DNS
В некоторых определенных случаях появляется сообщение об ошибке из-за неправильной работы служб DNS. Эта проблема может быть легко решена путем простого перезапуска служб. Вот как это сделать:
Решение 3. Подключение через окно настроек
Наконец, вы также можете решить свою проблему, подключившись к домену другим способом. Обычно пользователи подключают систему к домену, используя системные свойства. Однако вы также можете подключиться к домену, используя следующий метод:
Источник
Контроллер домена работает неправильно
Внимание! Эта статья содержит решения, связанные с изменениями реестра. Перед внесением изменений в реестр рекомендуется создать его резервную копию и изучить процедуру его восстановления в случае возникновения проблем. Сведения о создании резервной копии, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
После запуска средства Dcdiag на контроллере домена под управлением Windows 2000 Server или Windows Server 2003 появляется следующее сообщение об ошибке.
Диагностика контроллера домена
Выполнение начальной настройки:
[DC1] Сбой привязки LDAP с ошибкой 31
Если запустить служебную программу REPADMIN /SHOWREPS на контроллере домена в локальном режиме, может появиться одно из следующих сообщений об ошибке:
[D:ntprivatedssrcutilrepadminrepinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 1753: В системе отображения конечных точек не осталось доступных конечных точек.
Последняя попытка в ГГГГ-ММ-ДД ЧЧ:ММ.СС завершилась с ошибкой, результат 5: Отказано в доступе.
При активации репликации с помощью оснастки «Active Directory — сайты и службы Active Directory», может появиться сообщение об отказе в доступе.
При попытке получить с консоли контроллера домена доступ к сетевым ресурсам, включая ресурсы в формате UNC и сопоставленные сетевые диски, может появиться следующее сообщение об ошибке:
Нет доступных серверов входа (c000005e = «STATUS_NO_LOGON_SERVERS»)
После запуска с консоли контроллера домена одного из средств администрирования Active Directory, включая оснастки «Active Directory — сайты и службы» и «Active Directory — пользователи и компьютеры», может появиться одно из следующих сообщений об ошибках:
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключенные к компьютерам с Microsoft Exchange Server, которые использует данные контроллеры домена для проверки подлинности, могут получить запрос на ввод учетных данных, даже если проверка подлинности входа в систему на других контроллерах домена прошла успешно.
Средство Netdiag может отобразить следующие сообщения об ошибках:
В журнале системных событий на контроллере домена может быть зарегистрировано следующее событие:
Проблема
Ниже представлен список некоторых способов решения этих проблем. После него приводятся действия, подлежащие выполнению для каждого решения. Используйте способы по очереди, пока проблема не будет устранена. В конце статьи приводится перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.
Способ 1. Исправление ошибок в службе доменных имен (DNS).
Способ 2. Синхронизация времени компьютеров.
Способ 3. Проверка наличия права Доступ к компьютеру из сети.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать).
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos.
Способ 1. Исправление ошибок в DNS
Перед тем как перейти к выполнению дальнейших действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, средства поддержки Windows 2000 Server можно загрузить с веб-узла корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.mspx (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS заключается в том, что контроллер домена указывает для разрешения DNS-имен на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, поддерживающий динамическое обновление и SRV-записи. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт:
291382 Вопросы и ответы о службе DNS в Windows 2000 и Windows Server 2003
237675 Настройка службы доменных имен (DNS) для Active Directory
254680 Планирование пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
255248 Создание дочернего домена в Active Directory и делегация пространства DNS-имен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Способ 2. Синхронизация времени компьютеров
Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.
Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт:
258059 Как синхронизировать время на компьютерах под управлением Microsoft Windows 2000 в домене Microsoft Windows NT 4.0
216734 Настройка основного сервера времени в Windows 2000
Способ 3. Проверка наличия права «Доступ к компьютеру из сети»
Проверьте файл Gpttmpl.inf и убедитесь, что соответствующие пользователи имеют право Доступ к компьютеру из сети на контроллере домена. Для этого выполните указанные ниже действия.
Внесите изменения в файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена. По умолчанию права пользователей на контроллере домена определяются используемой по умолчанию политикой контроллеров домена. По умолчанию файл Gpttmpl.inf используемой по умолчанию политики контроллеров домена расположен в указанной ниже папке.
Примечание. Папка Sysvol может иметь другое расположение, однако путь к файлу Gpttmpl.inf остается неизменным.
Контроллеры домена под управлением Windows Server 2003:
C:WINDOWSSysvolSysvol Policies<6ac1786c-016f-11d2-945f-00c04fb984f9>MACHINEMicrosoftWindows NTSecEditGptTmpl.inf
Контроллеры домена под управлением Windows 2000 Server:
C:WINNTSysvolSysvol Policies<6ac1786c-016f-11d2-945f-00c04fb984f9>MACHINEMicrosoftWindows NTSecEditGptTmpl.inf
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп «Администраторы», «Прошедшие проверку» и «Все». См. перечисленные ниже примеры.
Контроллеры домена под управлением Windows Server 2003:
Контроллеры домена под управлением Windows 2000 Server:
Примечание. Группы «Администраторы» (S-1-5-32-544), «Прошедшие проверку» (S-1-5-11), «Все» (S-1-1-0) и «Контроллеры предприятия» (S-1-5-9) имеют хорошо известные, одинаковые для любого домена идентификаторы безопасности.
Удалите все данные справа от записи SeDenyNetworkLogonRight («Отказ в доступе к компьютеру из сети»). См. следующий пример:
Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.
По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_ произвольная_строка. (Учетная запись Support_ произвольная_строка используется удаленным помощником.) Так как учетная запись Support_ произвольная_строка имеет в каждом домене уникальный идентификатор безопасности, ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте ИД безопасности в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (таким образом его можно будет скопировать обратно после устранения проблемы).
Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если описанные выше действия не приводят к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для используемой по умолчанию политики контроллеров домена.
Способ 4. Установка значения 532480 для атрибута userAccountControl на контроллере домена
В меню Пуск выберите команду Выполнить и введите adsiedit.msc.
Разверните узлы Domain NC, DC= domain и OU=Domain Controllers.
Щелкните правой кнопкой мыши контроллер домена и выберите пункт Свойства.
На компьютере под управлением Windows Server 2003 установите на вкладке Редактор атрибутов флажки Отображать обязательные атрибуты и Отображать дополнительные атрибуты. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра значение Оба.
На компьютере под управлением Windows Server 2003 выберите в списке Атрибуты атрибут userAccountControl. На компьютере под управлением Windows 2000 Server выберите в списке Выберите тип свойств для просмотра атрибут userAccountControl.
Если значение атрибута не равно 532480, в поле Изменить атрибут введите 532480 и последовательно нажмите кнопки Задать, Применить и ОК.
Закройте редактор ADSI.
Способ 5. Исправление сферы Kerberos (разделы реестра PolAcDmN и PolPrDmN должны совпадать)
Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к серьезным проблемам, для решения которых может потребоваться переустановка операционной системы. Корпорация Майкрософт не гарантирует возможность решения проблем, вызванных неправильным использованием редактора реестра. Ответственность за изменение реестра несет пользователь.
Откройте редактор реестра.
На левой панели разверните узел Security.
В меню Security выберите пункт Разрешения, чтобы предоставить локальной группе «Administrators» полный доступ к кусту SECURITY, а также дочерним контейнерам и объектам.
Найдите раздел HKEY_LOCAL_MACHINESECURITYPolicyPolPrDmN.
На правой панели редактора реестра один раз щелкните запись : REG_NONE.
В меню Вид выберите Вывод двоичных данных. В разделе Формат выберите 1 байт.
В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
Найдите раздел HKEY_LOCAL_MACHINESECURITYPolicyPolACDmN.
На правой панели двойным щелчком выберите : REG_NONE.
В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена.)
Перезагрузите контроллер домена.
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска «Вручную».
С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:
netdom resetpwd /server: другой контроллер домена /userd:domainadministrator /passwordd: пароль администратора
Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае это означает, что команда не привела к ожидаемым результатам). Для домена Contoso, в котором контроллер домена, подверженный ошибкам, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо выполнить команду netdom следующего вида:
netdom resetpwd /server:DC2 /userd:contosoadministrator /passwordd: пароль администратора
Перезагрузите контроллер домена, подверженный ошибкам.
Запустите службу центра распространения ключей Kerberos и выберите для нее тип запуска Авто.
Дополнительные сведения об этой проблеме см. в следующей статье базы знаний Майкрософт:
325322 При попытке открыть диспетчер Exchange появляется сообщение об ошибке «Сервер неработоспособен» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
284929 Не удается запустить оснастки Active Directory: появляется сообщение об ошибке «Невозможно обратиться за проверкой подлинности в орган сертификации» (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
257623 После обновления операционной системы основного контроллера домена Windows NT 4.0 до Windows 2000 DNS-суффикс контроллера домена не соответствует имени домена
257346 После отмены права «Доступ к компьютеру из сети» перестают работать некоторые средства (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
316710 Определенные службы Exchange не запускаются, если отключена служба центра распространения ключей Kerberos
329642 При открытии оснасток Active Directory и диспетчера Exchange появляются сообщения об ошибках (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
272686 После открытия оснастки «Active Directory — пользователи и компьютеры» появляются сообщения об ошибке (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
323542 Не удается запустить оснастку «Active Directory — пользователи и компьютеры», так как сервер неработоспособен (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
329887 Не удается воспользоваться оснастками Active Directory из состава консоли управления MMC (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
325465 Для использования средств администрирования Windows 2003 Server на контроллере домена Windows 2000 требуется пакет обновления 3 (SP3) или более поздняя версия (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322267 Удаление клиента для сетей Майкрософт приводит к удалению других служб (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
297234 Разница во времени между клиентским компьютером и сервером (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
247151 При запуске оснастки из состава консоли управления пользователи домена нижнего уровня могут получать сообщение об ошибке (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
280833 Если в прокси-клиенте указаны не все зоны DNS, в службе DNS возникают ошибки, которые трудно обнаружить (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
322307 После установки пакета обновления 2 (SP2) для Windows 2000 не удается запустить службы Exchange и оснастки Active Directory (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Источник
Не удается подключиться к контроллеру домена active directory windows 10
Добрый день уважаемые читатели и гости блога, сегодня продолжаем изучать доменные технологии, предоставляемые компанией Microsoft и рассмотрим вот такую ошибку ввода компьютера в домен Active Directory «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы», ниже рассмотрим всю ситуацию подробно.
Описание проблемы с вводом в домен
По идее присоединение компьютера к Active Directory это простое действие, но как оказалось даже оно может принести сложности. У меня была старая виртуальная машина на Hyper-V, поступила задача ее переустановить для тестовых служб. По идее старая учетная запись этого компьютера лежала в нужно OU и к ней применялись нужные политики доступа, логично, что я воспользовался механизмом переустановки учетной записи, доступный через правый клик по ней. Это является правильной практикой, которую советует сама Microsoft
После выполнения данной процедуры, можно спокойно присоединять, вашу виртуальную машину с тем же именем, и она попадет в базе Active Directory именно в ту OU, где лежала предшественница. Все вроде круто, но в момент ввода в домен, выскочила ошибка:
После этого сообщения, сервер заходит в домен и перезагружается, затем к нему применяются групповые политики. Вы пытаетесь к нему подключиться и видите, такое сообщение
Обычно такая ошибка выскакивает, когда были разорваны доверительные отношения или компьютер давно не проходил аутентификацию на контроллере домена, но это не наш случай, мы то только, что добавились в него.
Причины ошибки «Не удалось изменить DNS-имя основного контроллера домена»
Рассмотрим причины, по которым ваш компьютер не может пройти аутентификацию на DC и не содержится в его базе.
Чистим старые хвосты в Active Directory
Сразу хочу отметить, что данный способ у меня отработал сразу. Я полностью удалил учетную запись компьютера, с которым были проблемы. После чего снова добавил нужный сервер в домен, и он уже не выдавал ошибку «Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера». Учетная запись появилась в привычном контейнере «Computers»
Убедитесь, что включен NetBIOS через TCP/IP
Нажмите WIN+R и введите ncpa.cpl, у вас откроется окно «Панель управленияВсе элементы панели управленияСетевые подключения». Выберите ваш сетевой интерфейс, который смотрит в туже сеть, что и DC его аутентифицирующий. Перейдите в свойства сетевого интерфейса, выберите «Протокол Интернета версии 4 (TCP/IPv4)», далее кнопка «Дополнительно». На вкладке WINS, вам необходимо выбрать пункт «Включить NetBIOS» через TCP/IPv4 и сохранить настройки.
Так же на вкладке DNS, вы можете прописать дополнительные DNS суффиксы (полное имя домена), нажмите ок.
В принципе этого достаточно, чтобы избавится от ошибки «»Не удалось изменить DNS-имя основного контроллера домена на «» для этого компьютера. Будет использоваться прежнее имя: contoso.com. Убедитесь, что имя «» является допустимым для текущего домена. Ошибка: При изменении имени узла DNS для объекта невозможно синхронизировать значения имени субъекта службы»»
Если вам не помогли манипуляции, то ставьте варшарк и смотрите трафик и доступность портов, не блокирует ли у вас то-то.
Источник
Ошибка ‘Не удалось связаться с контроллером домена Active Directory для домена‘Часто возникает из-за неправильной конфигурации DNS, и в этом случае вам придется ее изменить. Пользователи сообщают, что при попытке добавить еще одну рабочую станцию Windows в домен им выдается следующее сообщение об ошибке.
Не удалось связаться с контроллером домена Active Directory для домена
Когда вы нажимаете кнопку «Подробности», чтобы узнать больше об ошибке, она сообщит вам, что DNS-имя не существует вместе с кодом ошибки. Если вы столкнулись с «Не удалось связаться с контроллером домена Active Directory для домена‘В Windows 10, эта статья поможет вам решить эту проблему. Если вы сильно обеспокоены сообщением об ошибке, воспользуйтесь обходными путями, приведенными ниже, чтобы обойти проблему.
Что вызывает ошибку «Не удалось связаться с контроллером домена Active Directory для домена» в Windows 10?
Изучив этот вопрос, мы обнаружили, что проблема часто возникает из-за следующих факторов:
Теперь, чтобы решить вашу проблему, следуйте приведенным ниже решениям. Как всегда, мы рекомендуем следовать ему в том же порядке, что и ниже.
Решение 1. Добавьте новую конфигурацию DNS
Поскольку основной причиной проблемы является конфигурация DNS, добавление новой конфигурации DNS в соответствии с вашим доменом должно решить проблему. Для этого сначала вам нужно будет войти в систему, которую вы пытаетесь добавить. После этого следуйте инструкциям ниже:
Решение 2. Перезапуск службы DNS
В некоторых случаях сообщение об ошибке появляется из-за того, что ваши службы DNS не работают должным образом. Эту проблему легко решить, просто перезапустив службы. Вот как это сделать:
чистая остановка dnscache
чистый запуск dnscache
Решение 3. Подключение с помощью окна настроек
Наконец, вы также можете решить свою проблему, подключившись к домену другим способом. Обычно пользователи подключают систему к домену, используя системные свойства. Однако вы также можете подключиться к домену, используя следующий метод:
Источник