Freigeben über

Ereignis-ID 5719, Fehler 1311 oder Fehler 1355 – Domänencontroller oder Domäne nicht gefunden

Kerberos hängt von Domänencontrollern für Authentifizierungs-, Autorisierungs- und Delegierungsfunktionen ab. Wenn ein Clientcomputer oder Zielserver versucht, sich mithilfe von Kerberos zu authentifizieren und den Domänencontroller nicht erreichen kann, erhalten Sie eine Meldung, die einer der folgenden Meldungen ähnelt:

Der folgende Fehler ist beim Versuch aufgetreten, der Domäne „Contoso“ beizutreten:

Die angegebene Domäne ist entweder nicht vorhanden oder konnte nicht kontaktiert werden.

Der Domänencontroller für die Domäne contoso.com konnte nicht gefunden werden.

Domänencontroller 1355 konnte nicht kontaktiert werden.

Obwohl sich diese Meldungen von einem Anwendungsstandpunkt unterscheiden, ist die Bedeutung des Fehlers, dass der Client oder Server keinen Domänencontroller ermitteln kann.

Diese Art von Fehler hat in der Regel eine der folgenden Ursachen:

  • Ports werden zwischen dem Client und dem Domänencontroller blockiert.
  • Die Dns-Konfiguration (Domain Name System) des Clients ist nicht korrekt.
  • Die DNS-Serverkonfiguration auf dem Domänencontroller ist nicht korrekt.

Lösung eines Fehlers, wenn eine Domäne oder ein Domänencontroller nicht gefunden wird

  1. Überprüfen Sie alle Firewalls (einschließlich der Windows-Firewall auf jedem Computer) zwischen dem Clientcomputer, dem Domänencontroller und dem Zielserver. Stellen Sie sicher, dass Datenverkehr auf UDP-Port 389 (LDAP) und UDP-Port 53 (DNS) zulässig ist. Weitere Informationen finden Sie unter Konfigurieren einer Firewall für Active Directory-Domänen und Vertrauensstellungen.

  2. Wenn Sie Änderungen vorgenommen haben, öffnen Sie ein Fenster mit administratorseitiger Eingabeaufforderung auf dem Clientcomputer, und führen Sie dann den folgenden Befehl aus:

    nltest /dsgetdc:<DomainName> /force /kdc

    Hinweis

    In diesem Befehl <stellt DomainName> den Namen der Domäne des Clientcomputers dar.

    Der nltest Befehl ruft eine Liste mit mindestens einem verfügbaren Domänencontroller ab. Wenn der Client- oder Zielserver keinen Domänencontroller kontaktieren kann, wird eine Fehlermeldung angezeigt.

    Hinweis

    Die Liste enthält möglicherweise nicht alle verfügbaren Domänencontroller.

    Wenn der Domänencontroller noch nicht verfügbar ist, fahren Sie mit dem nächsten Schritt fort.

  3. Führen Sie an der Eingabeaufforderung auf dem Clientcomputer den folgenden Befehl aus:

    nslookup <TargetName>

    Hinweis

    In diesem Befehl <stellt TargetName> den NetBIOS-Namen des Zielservers dar.

    Wenn der Befehl den nslookup Zielservernamen ordnungsgemäß auflöst, ist die DNS-Konfiguration korrekt.

    Wenn der Befehl den Zielservernamen nicht auflösen kann, führen Sie die folgenden Schritte aus, um die Netzwerkadapterkonfiguration des Clientcomputers zu überprüfen:

  4. Führen Sie auf dem Clientcomputer den folgenden Befehl aus:

    ipconfig /all

  5. Ermitteln Sie in der Befehlsausgabe den verwendeten Netzwerkadapter. Überprüfen Sie die folgenden Adaptereinstellungen:

    • Client-IP-Adresse

    • Subnetzmaske

    • Standardgateway

    • Verbindungsspezifisches DNS-Suffix

    • IP-Adressen des DNS-Servers

      Notieren Sie die IP-Adressen, und notieren Sie sich, welcher DNS-Server bevorzugt wird und welche sekundär ist. Diese Informationen sind hilfreich für die spätere Problembehandlung.

  6. Wenn eine der Netzwerkadaptereinstellungen falsch ist, beheben Sie sie, oder wenden Sie sich an Ihren DNS-Administrator, um Unterstützung zu erhalten.

  7. Wenn Sie Änderungen vorgenommen haben, führen Sie nslookup <TargetName> erneut aus.

    Wenn nslookup der Name immer noch nicht korrekt aufgelöst wird, liegt möglicherweise ein größeres DNS-Problem vor. Wenden Sie sich an Ihren DNS-Administrator, oder beheben Sie dieses Problem weiter selbst. Weitere Anleitungen zur Problembehandlung finden Sie unter Problembehandlung bei DNS-Servern.

  8. Wenn nslookup den Namen jetzt richtig auflöst, führen Sie nltest erneut aus. Führen Sie je nach Ergebnis eine der folgenden Aktionen aus:

    • Wenn nltest den Namen mindestens eines Domänencontrollers zurückgibt, überprüfen Sie, ob das ursprüngliche Kerberos-Problem gelöst ist.

    • Wenn nltest immer noch keinen Domänencontroller identifiziert, liegt möglicherweise ein größeres Netzwerk- oder Active Directory-Problem vor. Wenden Sie sich an Ihren Netzwerkadministrator.