Udostępnij za pośrednictwem

Rozwiązywanie problemów z lokalizacją kontrolera domeny w systemie Windows

  • Artykuł

Ten artykuł ułatwia rozwiązywanie problemów z lokalizacją kontrolera domeny w systemie Windows.

Lokalizacja kontrolera domeny (DC), znana również jako lokalizator kontrolera domeny, odnosi się do algorytmu używanego przez komputer kliencki do znalezienia odpowiedniego kontrolera domeny. Lokalizator dc to krytyczna funkcja punktu odniesienia we wszystkich środowiskach przedsiębiorstwa. Aby uzyskać więcej informacji na temat sposobu, w jaki kontrolery domeny znajdują się w systemie Windows, zobacz Lokalizowanie kontrolerów domeny w systemach Windows i Windows Server.

Jeśli lokalizator kontrolerów domeny nie działa zgodnie z oczekiwaniami w domenach usługi Active Directory, rozwiąż problemy, wykonując następujące kroki:

Uwaga 16.

Uwierzytelnianie to pierwszy krok w prawie wszystkich scenariuszach funkcjonalnych w środowisku przedsiębiorstwa usługi Active Directory. Jednak uwierzytelnianie odbywa się po komunikacji klienta z kontrolerem domeny usługi Active Directory.

  1. Sprawdź dzienniki systemowe (na przykład źródło zdarzeń to NETLOGON) zarówno na kliencie, jak i serwerze. Sprawdź również dzienniki usługi katalogowej (na przykład źródło zdarzeń to NTDS KCC) na serwerze i dzienniki systemu nazw domen (DNS) na serwerze DNS.

  2. Otwórz wiersz polecenia z podwyższonym poziomem uprawnień i sprawdź konfigurację adresu IP, uruchamiając następujące polecenie:

    ipconfig /all

  3. Użyj narzędzia Ping, aby zweryfikować łączność sieciową i rozpoznawanie nazw. Wyślij polecenie ping do adresu IP, nazwy serwera i nazwy domeny.

  4. Użyj narzędzia PortQryUI, aby zbadać dostępność ważnych usług kontrolera domeny. Po uruchomieniu narzędzia określ w pełni kwalifikowaną nazwę domeny kontrolera domeny (FQDN) i wykonaj zapytanie dotyczące zestawu domen i zaufania w następujący sposób:

    Zrzut ekranu przedstawiający okno narzędzia Zapytanie o port przedstawiający wynik zapytania z portem UDP 389.

    Zrzut ekranu przedstawia jeden ważny port odnajdywania kontrolera domeny, który jest UDP/389, a w tym przypadku powodzenie.

    Uwaga 16.

    UDP/389: ten port jest wymagany do odnajdywania usług AD.

  5. nslookup Za pomocą narzędzia sprawdź, czy wpisy DNS są poprawnie zarejestrowane w systemie DNS. Sprawdź, czy rekordy hosta serwera i rekordy SRV identyfikatora globalnego (GUID) można rozpoznać.

    Aby na przykład zweryfikować rejestracje rekordów, uruchom następujące polecenia:

    nslookup servername.childofrootdomain.rootdomain.com

    nslookup guid._msdcs.rootdomain.com

    Jeśli jedno z tych poleceń nie powiedzie się, użyj jednej z następujących metod, aby ponownie zarejestrować rekordy w usłudze DNS:

    • Aby wymusić rejestrację ipconfig /registerdns rekordu hosta, użyj polecenia .
    • Aby wymusić rejestrację usługi kontrolera domeny, zatrzymaj i uruchom ponownie usługę Netlogon.
    • Aby wykryć problemy z kontrolerem domeny, uruchom narzędzie DCdiag w wierszu polecenia. Narzędzie uruchamia wiele testów, aby sprawdzić, czy kontroler domeny działa poprawnie. Użyj polecenia , dcdiag /v >dcdiag.txt aby wysłać wyniki do pliku tekstowego.

  6. Użyj narzędzia Ldp.exe, aby nawiązać połączenie i powiązać z kontrolerem domeny, aby zweryfikować odpowiednią łączność protokołu LDAP (Lightweight Directory Access Protocol).

  7. Jeśli podejrzewasz, że dany kontroler domeny ma problemy, włącz rejestrowanie debugowania Netlogon. Użyj narzędzia Nltest, uruchamiając nltest /dbflag:0x2000ffff polecenie . Informacje są następnie rejestrowane w pliku Netlogon.log w folderze %windir%\Debug .

  8. Jeśli problem nadal nie został wyizolowany, użyj narzędzi do monitorowania sieci, takich jak Wireshark, do przechwytywania i analizowania ruchu sieciowego między klientem a kontrolerem domeny.