B? b? ki?m soát mi?n không ho?t đ?ng đúng

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 837513
Bung t?t c? | Thu g?n t?t c?

? Trang này

Tri?u ch?ng

Khi b?n ch?y các công c? Dcdiag trên Microsoft Windows B? đi?u khi?n tên mi?n d?a trên 2000-server ho?c trên m?t tên mi?n d?a trên Windows Server 2003 b? đi?u khi?n, b?n có th? nh?n đư?c thông báo l?i sau:
DC ch?n đoán
Th?c hi?n các thi?t l?p ban đ?u:
[DC1] gi?i h?n trên LDAP th?t b?i v?i l?i 31
Khi b?n ch?y ti?n ích REPADMIN /SHOWREPS t?i đ?a phương trên m?t b? đi?u khi?n tên mi?n, b?n có th? nh?n đư?c m?t trong các thông báo l?i sau đây:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP l?i 82 (đ?a phương l?i).
C? g?ng cu?i @ yyyy-mm-dd hh:mm.ss th?t b?i, k?t qu? 1753: không có không có hai đi?m cu?i thêm có s?n t? công c? b?n đ? đi?m cu?i.
C? g?ng cu?i @ yyyy-mm-dd hh:mm.ss th?t b?i, k?t qu? 5: truy c?p b? t? ch?i.
N?u b?n s? d?ng ho?t đ?ng m?c tin thư thoại các web site và b?n ghi d?ch v? đ? kích ho?t đ?ng g?i, b?n có th? nh?n đư?c m?t tin thư thoại mà ch? ra r?ng truy c?p b? t? ch?i.

Khi b?n c? g?ng s? d?ng tài nguyên m?ng t? giao di?n đi?u khi?n m?t b? đi?u khi?n tên mi?n b? ?nh hư?ng, trong đó đ?t tên ph? quát Ngu?n l?c ư?c (UNC) ho?c ổ đĩa mạng đ? ánh x?, b?n có th? nh?n đư?c các thông báo l?i sau:
Không có kí nh?p máy ch? có s?n (c000005e = "STATUS_NO_LOGON_SERVERS")
N?u b?n B?t đ?u b?t k? ho?t đ?ng m?c tin thư thoại công c? qu?n tr? t? bàn đi?u khi?n c?a m?t tên mi?n b? ?nh hư?ng b? đi?u khi?n, bao g?m c? ho?t đ?ng m?c tin thư thoại các web site và các b?n ghi d?ch v? và các ho?t đ?ng m?c tin thư thoại Ngư?i s? d?ng và máy tính, b?n có th? nh?n đư?c m?t trong các thông báo l?i sau đây:
Đ?t tên thông tin không th? đư?c v? trí b?i v?: không có th?m quy?n có th? đư?c liên l?c cho xác th?c. Liên h? v?i h? th?ng c?a b?n qu?n tr? viên đ? ki?m ch?ng r?ng tên mi?n c?a b?n đư?c c?u h?nh đúng và hi?n nay đang online.
Đ?t tên thông tin không th? t?a l?c v?: tên tài kho?n đích không chính xác. Liên h? v?i h? th?ng c?a b?n qu?n tr? viên đ? ki?m ch?ng r?ng tên mi?n c?a b?n đư?c c?u h?nh đúng và hi?n nay đang online.
Máy s? d?ng Microsoft Outlook mà đư?c k?t n?i v?i Microsoft Exchange Server máy tính đang s? d?ng b? b? ki?m soát mi?n b? ?nh hư?ng nh?c cho xác th?c có th? đư?c nh?p ?y nhi?m kí nh?p, m?c dù có kí nh?p thành công xác th?c t? các b? b? ki?m soát mi?n.

Các Netdiag công c? có th? hi?n th? các thông báo l?i sau đây:
DC danh sách ki?m tra........... : Th?t b?i
[WARNING] Không th? g?i DsBind đ? <servername>.<fqdn> (<ip address="">). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND] </ip></fqdn></servername>
Th? nghi?m Kerberos........... : Th?t b?i
[GÂY T? VONG] Kerberos không có m?t vé đ? krbtgt /<fqdn>. </fqdn>
[GÂY T? VONG] Kerberos không có m?t vé đ? <hostname>.<b00> </b00> </hostname>
LDAP test. . . . . . . . . . . . . : Thông qua
[WARNING] Không th? truy v?n SPN ki?m nh?p vào DC <hostname>\<fqdn> </fqdn> </hostname>
Các sau s? ki?n có th? đư?c đăng trong s? ghi s? ki?n H? th?ng Tên Mi?n b? ?nh hư?ng đi?u khi?n:

Lo?i s? ki?n: l?i
S? ki?n Ngu?n: B? đi?u khi?n b?n ghi d?ch v?
T? ch?c s? ki?n ID: 7023
Mô t?: các b?n ghi d?ch v? trung tâm phân ph?i khóa Kerberos ch?m d?t v?i l?i sau: B?o m?t tài kho?n qu?n l? (SAM) ho?c an ninh đ?a phương máy ch? quy?n (LSA) bang sai đ? th?c hi?n các ho?t đ?ng an ninh.

Gi?i pháp

Có r?t nhi?u ngh? quy?t cho nh?ng tri?u ch?ng này. Các sau đây là danh sách các phương pháp đ? th?. Danh sách các ti?p theo là bư?c đ? th?c hi?n m?i phương pháp. C? g?ng m?i phương pháp cho đ?n khi v?n đ? đư?c gi?i quy?t. Ki?n th?c Microsoft Bài vi?t cơ s? mô t? b?n s?a l?i ít ph? bi?n hơn cho nh?ng tri?u ch?ng này đư?c li?t kê sau đó.
 1. Phương pháp 1: S?a ch?a H? th?ng Tên Mi?n (DNS) l?i.
 2. Phương pháp 2: Đ?ng b? hóa th?i gian gi?a máy vi tính.
 3. Phương pháp 3: Ki?m tra các Truy c?p vào máy tính này t? các m?ng quy?n c?a ngư?i dùng.
 4. Phương pháp 4: Xác minh r?ng b? đi?u khi?n tên mi?n thu?c tính userAccountControl là 532480.
 5. Cách 5: S?a ch?a các l?nh v?c Kerberos (xác nh?n r?ng PolAcDmN khóa registry và khóa s? ki?m nh?p PolPrDmN phù h?p).
 6. Phương pháp 6: Đ?t l?i m?t kh?u trương m?c máy tính, và sau đó có đư?c m?t vé Kerberos m?i.

Phương pháp 1: S?a ch?a l?i DNS

 1. M?t d?u ki?m nh?c l?nh, h?y ch?y l?nh netdiag - v . L?nh này t?o ra m?t t?p tin Netdiag.log trong m?c tin thư thoại nơi l?nh đư?c ch?y.
 2. Gi?i quy?t b?t k? l?i DNS trong t?p tin Netdiag.log trư?c khi b?n ti?p t?c.
 3. H?y ch?c ch?n r?ng DNS đư?c c?u h?nh đúng. M?t trong nh?ng sai l?m thư?ng g?p DNS là đ? ch? b? đi?u khi?n tên mi?n cho m?t b?n ghi d?ch v? Internet Nhà cung c?p (ISP) cho DNS thay v? ch? DNS chính nó ho?c m?t DNS máy ch? h? tr? C?p Nh?t năng đ?ng và b?n b?n ghi SRV. Chúng tôi đ? ngh? b?n ch? b? đi?u khi?n tên mi?n chính nó ho?c đ?n m?t máy ch? DNS có h? tr? C?p Nh?t năng đ?ng và b?n b?n ghi SRV. Chúng tôi đ? ngh? b?n thi?t l?p forwarders đ? các ISP cho đ? phân gi?i tên trên Internet.
Đ? bi?t thêm thông tin v? c?u h?nh DNS cho b?n ghi d?ch v? m?c tin thư thoại Thư mục Họat động, b?m các s? bài vi?t sau đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:
291382câu h?i thư?ng g?p v? Windows 2000 DNS và Windows Server 2003 DNS
237675 Thi?t l?p H? th?ng Tên Mi?n cho Thư mục Họat động
254680 Quy ho?ch không gian tên DNS
255248 Làm th? nào đ? t?o m?t tên mi?n con trong Thư mục Họat động và phân b? không gian tên DNS tên mi?n con

Phương pháp 2: Đ?ng b? hóa th?i gian gi?a các máy tính

Ki?m ch?ng r?ng đó là m?t cách chính xác đ?ng b? gi?a tên mi?n b? đi?u khi?n. Ngoài ra, xác minh r?ng đó là m?t cách chính xác đ?ng b? gi?a các máy tính khách và b? b? ki?m soát mi?n.

Cho bi?t thêm thông tin v? làm th? nào đ? c?u h?nh các b?n ghi d?ch v? th?i gian Windows, b?m vào sau bài vi?t s? đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:
258059Làm th? nào đ? đ?ng b? hóa th?i gian trên m?t máy tính d?a trên Windows 2000 trong m?t tên mi?n Windows NT 4.0
216734 Làm th? nào đ? c?u h?nh máy ph?c v? th?i gian có th?m quy?n trong Windows 2000

Phương pháp 3: Ki?m tra quy?n ngư?i dùng "Truy c?p vào máy tính này t? m?ng"

S?a đ?i các t?p tin Gpttmpl.inf đ? xác nh?n r?ng nh?ng ngư?i s? d?ng thích h?p có nh?ng Truy c?p vào máy tính này t? m?ng ngư?i s? d?ng ngay trên b? đi?u khi?n tên mi?n. Đ? làm đi?u này, h?y làm theo các bư?c sau:
 1. Ch?nh s?a Gpttmpl.inf file cho tên mi?n m?c đ?nh B? đi?u khi?n chính sách. theo m?c đ?nh, các chính sách m?c đ?nh b? đi?u khi?n tên mi?n là nơi quy?n ngư?i dùng đư?c đ?nh ngh?a cho m?t b? đi?u khi?n tên mi?n. theo m?c đ?nh, Gpttmpl.inf t?p cho chính sách m?c đ?nh b? đi?u khi?n tên mi?n n?m ? đây m?c tin thư thoại.

  Lưu ? Sysvol có th? ? m?t v? trí khác nhau, nhưng đư?ng d?n cho các Gpttmpl.inf t?p tin s? là như v?y.

  Cho Windows Server 2003 tên mi?n b? đi?u khi?n:

  C:\WINDOWS\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf

  Cho b? ki?m soát mi?n Windows 2000 Server:

  C:\WINNT\Sysvol\Sysvol\<Domainname>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf</Domainname></Domainname>
 2. ? bên ph?i c?a các m?c nh?p SeNetworkLogonRight, thêm các s? đ?nh danh an ninh cho qu?n tr? viên, cho ngư?i s? d?ng xác th?c, và cho T?t c? m?i ngư?i. Xem các ví d? sau.

  Cho Windows Server 2003 tên mi?n b? đi?u khi?n:

  SeNetworkLogonRight = *S-1-5-32-554,*S-1-5-9,*S-1-5-32-544,*S-1-1-0

  Cho Windows B? b? ki?m soát mi?n ph?c v? năm 2000:

  SeNetworkLogonRight = *S-1-5-11,*S-1-5-32-544,*S-1-1-0

  Lưu ? Qu?n tr? viên (S-1-5-32-544), xác th?c ngư?i dùng (S-1-5-11), T?t c? m?i ngư?i (S-1-1-0), và b? đi?u khi?n Enterprise (S-1-5-9) s? d?ng n?i ti?ng s? đ?nh danh an ninh là gi?ng nhau trong m?i tên mi?n.
 3. Lo?i b? b?t k? m?c bên ph?i c?a cácSeDenyNetworkLogonRight m?c (t? ch?i truy c?p vào máy tính này t? m?ng) đ? phù h?p v?i sau Ví d?.

  SeDenyNetworkLogonRight =

  Lưu ? Ví d? khác là như nhau cho Windows 2000 Server và Windows Server 2003.

  theo m?c đ?nh, Windows 2000 Server có kho?n m?c nào trong các M?c nh?p SeDenyNetworkLogonRight. theo m?c đ?nh, Windows Server 2003 có ch? các Support_chu?i ng?u nhiên tài kho?n trong các M?c nh?p SeDenyNetworkLogonRight. (Support_ng?u nhiên chu?i tài kho?n đư?c s? d?ng b?i h? tr? t? xa.) B?i v? các Support_chu?i ng?u nhiên tài kho?n s? d?ng m?t khác nhau s? đ?nh danh an ninh (SID) trong m?i tên mi?n, tài kho?n là không d? dàng phân bi?t t? m?t tài kho?n ngư?i s? d?ng đi?n h?nh ch? b?ng cách nh?n vào SID. B?n có th? mu?n sao chép SID vào m?t t?p tin văn b?n, và sau đó lo?i b? SID t? các M?c nh?p SeDenyNetworkLogonRight. B?ng cách đó, b?n có th? đưa nó tr? l?i khi b?n đang hoàn thành g? r?i v?n đ?.

  SeNetworkLogonRight và SeDenyNetworkLogonRight có th? đư?c đ?nh ngh?a trong b?t k? chính sách. N?u các bư?c trư?c đó làm không gi?i quy?t v?n đ?, h?y ki?m tra các t?p tin Gpttmpl.inf trong các chính sách khác trong Sysvol đ? xác nh?n r?ng các quy?n c?a ngư?i dùng không c?ng đư?c đ?nh có. N?u m?t Gpttmpl.inf t?p tin ch?a không có tài li?u tham kh?o đ? SeNetworkLogonRight ho?c SeDenyNetworkLogonRight, nh?ng thi?t đ?t này không đư?c đ?nh ngh?a trong chính sách này và đó chính sách không gây ra v?n đ? này. N?u nh?ng m?c t?n t?i, h?y ch?c ch?n r?ng h? phù h?p v?i các cài đ?t chuyên bi?t đư?c li?t kê trư?c cho b? b? ki?m soát mi?n m?c đ?nh chính sách.

Phương pháp 4: Xác minh r?ng thu?c tính userAccountControl c?a b? đi?u khi?n tên mi?n là 532480

 1. Nh?p vào B?t đ?u, b?m Ch?y, và sau đó g? Adsiedit.msc.
 2. M? r?ng Tên mi?n NC, m? r?ngDC =tên mi?n, và sau đó m? r?ngOU = b? ki?m soát mi?n.
 3. B?m chu?t ph?i vào b? đi?u khi?n tên mi?n b? ?nh hư?ng, và sau đó nh?p vàoThu?c tính.
 4. Trong Windows Server 2003, nh?n vào đây đ? ch?n các Hi?n th? thu?c tính b?t bu?c hộp kiểm và các Hi?n th? tùy ch?n thu?c tính hộp kiểm tra trên các Thu?c tính Editor tab. Trong Windows 2000 Server, b?m C? hai trong các Ch?n tài s?n đ? xem h?p.
 5. Trong Windows Server 2003, h?y nh?p vàouserAccountControl trong các Thu?c tính h?p. Trong Windows 2000 Server, b?m userAccountControl trong cácCh?n m?t tài s?n đ? xem h?p.
 6. N?u giá tr? không ph?i là 532480, lo?i532480 trong các Ch?nh s?a thu?c tính h?p, b?m vàoThi?t l?p, b?m Áp d?ng, và sau đó nh?p vàoOk.
 7. B? ch?nh s?a ADSI.

Cách 5: S?a ch?a các l?nh v?c Kerberos (xác nh?n r?ng khóa s? ki?m nh?p PolAcDmN và ki?m nh?p PolPrDmN chính phù h?p)

Lưu ? Phương pháp này là h?p l? ch? cho Windows 2000 H? ph?c v?.
Quan tr?ng Ph?n này, phương pháp, ho?c công vi?c có bư?c mà cho b?n bi?t làm th? nào đ? thay đ?i s? ki?m nh?p. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? ki?m nh?p trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? ki?m nh?p n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p, h?y nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p trong Windows
 1. B?t đ?u Registry Editor.
 2. Trong ngăn bên trái, m? r?ngAn ninh.
 3. Trên các An ninh tr?nh đơn, nh?p vàomức cấp phép đ? c?p qu?n tr? viên đ?a phương nhóm đ?y đ? Ki?m soát c?a hive an ninh và thùng ch?a con và đ?i tư?ng c?a nó.
 4. Xác đ?nh v? trí HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN baám nh?n xu?ng phím.
 5. Trong ngăn bên ph?i c?a Registry Editor, b?m các<No name="">: REG_NONE</No> nh?p m?t th?i gian.
 6. Trên các Xem tr?nh đơn, nh?p vào Hi?n th? D? li?u nh? phân. Trong các Đ?nh d?ng ph?n c?a hộp thoại, Nh?p vào Byte.
 7. Tên mi?n s? xu?t hi?n như là m?t chu?i ? phía bên ph?i các D? li?u nh? phân hộp thoại. Tên mi?n là gi?ng như các L?nh v?c Kerberos.
 8. Xác đ?nh v? trí HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN khóa s? ki?m nh?p.
 9. Trong ngăn bên ph?i c?a Registry Editor, b?m đúp vào các<No name="">: REG_NONE</No> m?c nh?p.
 10. Trong các Biên t?p viên nh? phân hộp thoại, dán các giá tr? t? PolPrDmN. (Giá tr? t? PolPrDmN s? vùng NetBIOS tên).
 11. Kh?i đ?ng l?i máy b? ki?m soát mi?n.

Phương pháp 6: Đ?t l?i m?t kh?u trương m?c máy tính, và sau đó có đư?c m?t vé Kerberos m?i

 1. D?ng b?n ghi d?ch v? trung tâm phân ph?i Kerberos ch?a khóa, và sau đó đ?t giá tr? kh?i đ?ng hư?ng d?n.
 2. S? d?ng các công c? Netdom t? Windows 2000 Server h? tr? Công c? ho?c t? Windows Server 2003 h? tr? công c? đ? đ?t l?i tên mi?n m?t kh?u trương m?c c?a b? đi?u khi?n c?a máy:

  netdom resetpwd /Server:m?t b? b? ki?m soát mi?n/userd:domain\administrator /passwordd:ngư?i qu?n tr? m?t kh?u

  H?y ch?c ch?n r?ng l?nh netdom đư?c tr? l?i khi hoàn t?t thành công. N?u không, các l?nh không làm vi?c. Tên mi?n Contoso, nơi mà b? ki?m soát mi?n b? ?nh hư?ng là DC1, và m?t làm vi?c đi?u khi?n tên mi?n là DC2, b?n ch?y l?nh netdom t? bàn đi?u khi?n c?a DC1:

  netdom resetpwd /server:DC2 /userd:contoso\administrator /passwordd:ngư?i qu?n tr? m?t kh?u
 3. Kh?i đ?ng l?i máy b? ki?m soát mi?n b? ?nh hư?ng.
 4. Kh?i đ?ng b?n ghi d?ch v? Kerberos Key trung tâm phân ph?i, và sau đó thi?t l?p các thi?t l?p kh?i đ?ng đ? T? đ?ng.

Đ? bi?t thêm thông tin v? v?n đ? này, Nh?p vào s? bài vi?t sau đ? xem các bài vi?t trong Microsoft Ki?n th?c cơ b?n:
325322"Máy ch? không ph?i là ho?t đ?ng" báo l?i khi b?n c? g?ng m? b? qu?n l? h? th?ng trao đ?i
284929 Không th? kh?i đ?ng Thư mục Họat động snap-in; thông báo l?i nói r?ng không có th?m quy?n có th? đư?c liên l?c cho xác th?c
257623 H?u t? DNS tên máy tính c?a b? đi?u khi?n tên mi?n m?i có th? không kh?p v?i tên mi?n sau khi b?n cài đ?t chuyên bi?t nâng c?p b? ki?m soát mi?n Windows NT 4.0 chính đ? Windows 2000
257346 Ngư?i s? d?ng "Truy c?p này máy tính t? m?ng" đúng nguyên nhân công c? không làm vi?c
316710 Vô hi?u hoá phân ph?i khóa Kerberos ngăn trao đ?i b?n ghi d?ch v? B?t đ?u
329642 Thông báo l?i khi b?n m? m?c tin thư thoại ho?t đ?ng snap-in và Bộ quản lý Hệ thống Exchange
272686 L?i x?y ra khi ngư?i dùng m?c tin thư thoại ho?t đ?ng và máy tính-theo m?
323542 B?n không th? B?t đ?u công c? ho?t đ?ng m?c tin thư thoại ngư?i dùng và máy tính b?i v? máy ch? không ho?t đ?ng
329887 B?n không th? tương tác v?i ho?t đ?ng m?c tin thư thoại MMC snap-in
325465 Yêu c?u b? ki?m soát mi?n Windows 2000 SP3 ho?c sau khi s? d?ng Windows Server 2003 administration tools
322267 Lo?i b? Client cho m?ng c?a Microsoft lo?i b? các b?n ghi d?ch v? khác
297234 S? khác bi?t th?i gian t?n t?i gi?a máy tính khách và máy ch?
247151 Tên mi?n c?p xu?ng ngư?i dùng có th? nh?n đư?c m?t thông báo l?i khi kh?i đ?ng MMC snap-in
280833 S? th?t b?i đ? xác đ?nh t?t c? các vùng DNS trong khách hàng ?y quy?n d?n đ?n DNS th?t b?i đó r?t khó đ? theo d?i
322307 Không th? kh?i đ?ng b?n ghi d?ch v? trao đ?i ho?c Thư mục Họat động snap-in sau khi b?n cài đ?t chuyên bi?t Service Pack 2 (SP2) cho Windows 2000

Thu?c tính

ID c?a bài: 837513 - L?n xem xét sau cùng: 21 Tháng Tám 2012 - Xem xét l?i: 1.0
T? khóa: 
kbactivedirectoryrepl kbactivedirectory kbevent kbtshoot kberrmsg kbmt KB837513 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 837513

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com