Поделиться через


Руководство по устранению неполадок при присоединении к домену Active Directory

В этом руководстве приведены основные понятия, используемые при устранении неполадок с присоединением к домену Active Directory.

Контрольный список по устранению неполадок

  • Служба доменных имен (DNS): при возникновении проблем с присоединением к домену одним из первых шагов, которые следует выполнить, является проверка DNS. DNS является сердцем Active Directory (AD) и обеспечивает правильную работу систем, включая подключение к домену. Проследите за соблюдением следующих условий:

    • Адреса DNS-сервера верны.
    • Порядок поиска DNS-суффиксов является правильным, если используются несколько доменов DNS.
    • Нет устаревших или дублирующихся записей DNS, ссылающихся на одну и ту же учетную запись компьютера.
    • Обратный DNS не указывает на имя, отличающееся от записи A.
    • Доменное имя, контроллеры домена (DC) и DNS-серверы могут быть пингованы.
    • Проверьте наличие конфликтов записей DNS для конкретного сервера.
  • Netsetup.log. Файл Netsetup.log является ценным ресурсом при устранении неполадок с присоединением к домену. Файл netsetup.log находится в \netsetup.log C:\Windows\Debug.

  • Трассировка сети. Во время присоединения к домену Active Directory происходит несколько типов трафика между клиентом и некоторыми DNS-серверами, а затем между клиентом и некоторыми контроллерами домена (DC). Если вы видите ошибку в любом из указанных выше типов трафика, выполните соответствующие шаги по устранению неполадок для данного протокола или компонента, чтобы сузить круг поиска. Дополнительные сведения см. в разделе "Использование Netsh для управления трассировками".

  • Изменения при присоединении к домену: обновления Windows, выпущенные 11 октября 2022 г., содержат дополнительные защиты, представленные CVE-2022-38042. Эти меры защиты намеренно предотвращают операции присоединения к домену от повторного использования существующей учетной записи компьютера в целевом домене, если не выполняется одно из следующих условий:

    • Пользователь, выполняющий операцию, является создателем существующей учетной записи.
    • Компьютер был создан членом группы администраторов домена.

    Дополнительные сведения см. в статье KB5020276—Netjoin: изменения для укрепления процесса присоединения к домену.

Требования к портам

В следующей таблице указаны порты, которые необходимо открыть между клиентским компьютером и контроллером домена.

Порт Протокол Протокол приложения Имя системной службы
53 Протокол tcp Система доменных имен (DNS) DNS-сервер
53 UDP Система доменных имен (DNS) DNS-сервер
389 UDP Локатор контроллеров домена LSASS (Служба подсистемы локального диспетчера безопасности)
389 Протокол tcp Сервер LDAP LSASS (Служба подсистемы локального диспетчера безопасности)
88 Протокол tcp Kerberos Сервер распространения ключей Kerberos
135 Протокол tcp RPC Сопоставитель конечных точек RPC
445 Протокол tcp малый и средний бизнес LanmanServer
1024-65535 Протокол tcp RPC Сопоставитель конечных точек RPC для вызовов DSCrackNames, SAMR и Netlogon между клиентом и контроллером домена

Распространенные проблемы и решения

Код ошибки присоединения к домену Причина Связанная статья
0x569 Эта ошибка возникает из-за того, что учетная запись пользователя присоединения к домену не имеет права пользователя доступа к этому компьютеру из сети на контроллере домена (DC), обслуживающем операцию присоединения к домену. Код ошибки для устранения неполадок 0x569: пользователю не предоставлен запрошенный тип входа в систему на этом компьютере
0xaac или 0x8b0 Эта ошибка возникает при попытке использовать существующее имя учетной записи компьютера для присоединения компьютера к домену. Устранение неполадок с кодом ошибки 0xaac. Сбой при использовании существующей учетной записи компьютера для присоединения к домену
0x6BF или 0xC002001C Эта ошибка возникает, когда сетевое устройство (маршрутизатор, брандмауэр или устройство виртуальной частной сети (VPN)) отклоняет сетевые пакеты между присоединяемым клиентом и контроллером домена (DC). Устранение неполадок с кодом состояния 0x6bf или 0xc002001c: Вызов удаленной процедуры завершился сбоем и не был выполнен
0x6D9 Эта ошибка возникает, когда блокируется сетевое подключение между присоединяющимся клиентом и контроллером домена (DC). Код ошибки для устранения неполадок 0x6D9 "Больше нет доступных конечных точек в сопоставителе конечных точек"
0xa8b Эта ошибка возникает при присоединении компьютера рабочей группы к домену. Устранение неполадок с кодом ошибки 0xa8b: Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене
0x40 Проблема связана с получением токенов Kerberos для сеанса SMB. Код ошибки для устранения неполадок 0x40 "Указанное имя сети больше не доступно"
0x54b Эта ошибка возникает из-за того, что с указанным доменом не удается связаться, что указывает на проблемы с поиском контроллеров домена (DC). Устранение неполадок с кодом ошибки 0x54b
0x0000232A Эта ошибка указывает на то, что имя системы доменных имен (DNS) не может быть разрешено. Устранение неполадок с кодом ошибки 0x0000232A
0x3a Эта ошибка возникает, когда клиентский компьютер не имеет надежного сетевого подключения по порту TCP 389 между клиентским компьютером и контроллером домена (DC). Код состояния устранения неполадок 0x3a: указанный сервер не может выполнить запрошенную операцию
0x216d Эта ошибка возникает, если учетная запись пользователя превысила ограничение в 10 компьютеров, которые могут быть присоединены к домену, или когда групповая политика запрещает пользователям присоединять компьютеры к домену. Устранение неполадок с кодом состояния 0x216d: Ваш компьютер не может быть присоединен к домену

Другие ошибки, возникающие при присоединении компьютеров под управлением Windows к домену

Дополнительные сведения см. в разделе:

Коллекции данных для вопросов с присоединением к домену

Чтобы устранить проблемы с присоединением к домену, могут помочь следующие журналы:

  • Журнал Netsetup
    Этот файл журнала содержит большую часть сведений о действиях присоединения к домену. Файл находится на клиентском компьютере %windir%\debug\netsetup.log.
    Этот файл журнала включен по умолчанию. Нет необходимости явно включить его.

  • Трассировка сети
    Трассировка сети включает взаимодействие между клиентским компьютером и соответствующими серверами, такими как DNS-серверы и контроллеры домена. Данные должны собираться на клиентском компьютере. Несколько средств могут собирать трассировки сети, такие как Wireshark, netsh.exe который входит во все выпуски Windows.

Вы можете собирать каждый журнал отдельно. Кроме того, вы можете использовать некоторые средства, предоставляемые корпорацией Майкрософт, чтобы собрать их вместе. Для этого выполните действия, описанные в следующих разделах.

Сбор вручную

  1. Скачайте и установите Wireshark на клиентском компьютере, который предназначен для присоединения к домену AD.
  2. Запустите приложение с правами администратора, а затем запустите запись.
  3. Попробуйте присоединиться к домену AD, чтобы воспроизвести ошибку. Запишите сообщение об ошибке.
  4. Перестаньте записывать в приложении и сохраните сетевую трассировку в файл.
  5. Соберите файл netsetup.log, расположенный в %windir%\debug\netsetup.log.

Использование скриптов проверки подлинности

Скрипты проверки подлинности — это упрощенный скрипт PowerShell, разработанный корпорацией Майкрософт для упрощения сбора журналов для устранения неполадок, связанных с проверкой подлинности. Чтобы использовать его, выполните следующие действия.

  1. Скачайте скрипты проверки подлинности на клиентском компьютере. Извлеките файлы в папку.

  2. Запустите окно PowerShell с правами администратора. Перейдите в папку, содержащую извлеченные файлы.

  3. Запустите start-auth.ps1, примите условия EULA, если будет предложено, и разрешите выполнение, если возникнет предупреждение о недоверенном издателе.

    Примечание.

    Если скрипты не разрешены для выполнения из-за политик выполнения, см. about_Execution_Policies.

  4. После успешного выполнения команды попробуйте присоединиться к домену AD, чтобы воспроизвести ошибку. Запишите сообщение об ошибке.

  5. Запустите stop-auth.ps1, и разрешите выполнение, если появится предупреждение о ненадежном издателе.

  6. Файлы журналов сохраняются в вложенной папке authlogs , которая включает в себя журнал Netsetup.log и файл трассировки сети (Nettrace.etl).

Использование средства TSS

Средство TSS — это другое средство, разработанное корпорацией Майкрософт для упрощения сбора журналов. Чтобы использовать его, выполните следующие действия.

  1. Скачайте средство TSS на клиентском компьютере. Извлеките файлы в папку.

  2. Запустите окно PowerShell с правами администратора. Перейдите в папку, содержащую извлеченные файлы.

  3. Выполните следующую команду:

    TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowait
    

    Примите лицензионное соглашение (EULA), если вам предложат это сделать, и разрешите выполнение, если увидите предупреждение о недоверенном издателе.

    Примечание.

    Если скрипты не разрешены для выполнения из-за политик выполнения, см. about_Execution_Policies.

  4. Выполнение команды занимает несколько минут. После успешного завершения команды попробуйте присоединиться к домену AD, чтобы воспроизвести ошибку. Запишите сообщение об ошибке.

  5. Запустите TSS.ps1 -stop и разрешите выполнение, если предупреждают о недоверенном издателе.

  6. Файлы журналов сохраняются в подпапке C:\MS_DATA и уже архивируются. Название ZIP-файла соответствует формату TSS_<hostname>_<date>-<time>-ADS_AUTH.zip.

  7. Zip-файл включает Netsetup.log и трассировку сети. Файл трассировки сети называется <hostname>_<дата>-<время>-Netsh_packetcapture.etl.