Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается решение проблемы, из-за которой повышение уровня контроллера домена перестает отвечать на запросы при использовании коротких учетных данных в среде с отключенной средой NetBIOS по протоколу TCPIP.
Исходный номер базы знаний: 2948052
Симптомы
При использовании мастера настройки служб домен Active Directory для повышения уровня компьютера на контроллер домена в Windows Server 2012 R2 мастер перестает отвечать. При возникновении проблемы мастер настройки служб домен Active Directory указывает, что повышение выполняется и отображает следующий текст:
Контроллеры домена Windows Server 2012 R2 имеют значение по умолчанию для параметра безопасности с именем "Разрешить алгоритмы шифрования, совместимые с Windows NT 4.0", что предотвращает более слабые алгоритмы шифрования при установке сеансов канала безопасности.
При возникновении проблемы файл Dcpromo.log правильно указывает, что операция продвижения остановлена:
[INFO] DnsDomainName охладил contoso.local
[INFO] Дочерний элемент FlatDomainName
[INFO] SiteName Default-First-Site-Name
[INFO] SystemVolumeRootPath C:\Windows\SYSVOL
INFO] DsDatabasePath C:\Windows\NTDS, DsLogPath C:\Windows\NTDS
[INFO] ParentDnsDomainName contoso.local
[INFO] Вспомогательный сервер ParentServer <DC.contoso.local>
[INFO] Учетная запись contoso\administrator
[INFO] Параметры 5243072
[INFO] Проверка предоставленных путей
....
[INFO] EVENTLOG (ошибка): репликация NTDS / клиент RPC DS : 1963
Внутреннее событие: следующая локальная служба каталогов получила исключение из удаленного вызова процедуры (RPC). Запрошена обширная информация по RPC. Это промежуточные сведения и может не содержать возможные причины[INFO] EVENTLOG (ошибка): репликация NTDS / клиент RPC DS : 1962
Внутреннее событие: локальная служба каталогов получила исключение из удаленного вызова процедуры (RPC). Дополнительные сведения об ошибке недоступны.
.... Значение ошибки:
Произошла определенная ошибка пакета безопасности. Служба 1825directory:
<Дополнительные данные имени> узлаЗначение ошибки:
Не удалось найти контроллер домена для этого домена. (1908)[INFO] EVENTLOG (ошибка): репликация NTDS / настройка : 1125
Мастер установки служб домен Active Directory (Dcpromo) не удалось установить подключение к следующему контроллеру домена.
Контроллер домена: <имя> контроллера домена.<DNS-имя> домена.<Доменное имя верхнего уровня>
Дополнительные данные
Значение ошибки:
1908 Не удалось найти контроллер домена для этого домена.
Эта проблема возникает при выполнении следующих условий:
NetBIOS по протоколу TCP/IP отключен. Это происходит в следующих ситуациях:
Отключение параметра NetBIOS по протоколу TCP/IP не выбрано на панели "Сети", вкладка WINS в разделе "Дополнительные параметры TCP/IP" свойств IPv4.
NetBIOS по протоколу TCP/IP отключен на DHCP-сервере.
Компьютеры используют только конфигурацию IPv6.Имена учетных данных Short используются в пользовательском интерфейсе учетных данных или в файле ответов контроллера домена.
Dcpromo.logРанее в этом разделе указано, что ошибка ERROR_DOMAIN_CONTROLLER_NOT_FOUND возвращается из вызова привязки DRS при настройке процесса продвижения для репликации первого контекста именования.В этом случае Kerberos не может найти контроллер домена для проверки подлинности с помощью указанных учетных данных. Например, указанные учетные данные являются "wolf\administrator" вместо учетных данных DNS long, таких как wolf.com\administrator. В учетных данных "wolf" — это имя NetBIOS домена, на котором размещена учетная запись администратора.
Примечание.
Если проблема возникает при повышении уровня нового контроллера домена в новом дочернем домене. Также возникают следующие проблемы:
- Компьютер считает, что он присоединен к домену.
- У вас будет возможность войти в дочерний домен, но вход завершится ошибкой.
- При локальном входе на компьютер службы ADDS и AWDS отключены. Процесс Netlogon.exe не запущен, и для параметра запуска задано значение вручную, например параметр по умолчанию для рабочей станции-члена.
Причина
При запуске мастера настройки служб домен Active Directory в среде netBIOS-less\WINS он вводит некоторые ограничения указателя контроллера домена, чтобы учитывать короткие доменные имена. Это особенно верно на компьютере, не присоединенном к домену. Dc-locator пытается сопоставить короткие доменные имена с полными доменными именами (FQDNs) с помощью списка доверенных доменов, который включает DNS для использования большую часть времени. Если не удается использовать DNS, указатель должен использовать WINS\NetBIOS. Однако функция WINS\NetBIOS недоступна при отключении NetBIOS по протоколу TCP/IP. Эта проблема может быть частично связана с функцией DNS-суффикса, которая добавляется в указатель dc-locator в Windows Server 2012 R2 и Windows 8.1, но это не всегда 100 % надежного решения.
Решение
Чтобы разрешить эту проблему, выполните следующие действия:
Завершите процесс диспетчер сервера в диспетчере задач.
Примечание.
Этот шаг закрывает мастер настройки служб домен Active Directory. При возникновении проблемы кнопка отмены в пользовательском интерфейсе не работает. Кроме того, завершение мастера настройки служб домен Active Directory в диспетчере задач также не работает.
При повторном повышении уровня компьютера в качестве контроллера домена используйте одно из следующих обходных решений:
Определенные учетные данные long, например <domain>\administrator, в мастере повышения или файлах ответов на повышение.
На компьютерах Windows 8.1 и Windows Server 2012 R2 настройте суффиксы поиска DNS, чтобы при суффиксах поиска DNS сцеплялись с указанным доменным именем NetBIOS, их можно разрешить на полное DNS-имя домена Active Directory, на котором размещена учетная запись пользователя, используемая для выполнения проверки подлинности.
Примечание.
Предполагается, что имя NetBIOS, указанное в учетных данных UI, соответствует левой части целевой учетной записи DNS-имени.
Присоединяйтесь к компьютеру, запрашиваемого как член компьютера в целевом домене, а затем повторите повышение.
Временно включите NetBIOS по протоколу TCP/IP, чтобы завершить повышение.