Идентификатор события 5719, ошибка 1311 или ошибка 1355 — контроллер домена или домен не найден

Kerberos зависит от контроллеров домена для функций проверки подлинности, авторизации и делегирования. Если клиентский компьютер или целевой сервер пытается пройти проверку подлинности с помощью Kerberos и не может связаться с контроллером домена, вы получите сообщение, похожее на одно из следующих сообщений:

При попытке присоединиться к домену "Contoso" произошла следующая ошибка:

указанный домен не существует, либо к нему нет доступа.

Не удалось найти контроллер домена для contoso.com домена.

Не удалось связаться с контроллером домена 1355.

Хотя эти сообщения отличаются от точки зрения приложения, смысл ошибки заключается в том, что клиент или сервер не могут обнаружить контроллер домена.

Эта ошибка обычно имеет одну из следующих причин:

• Порты блокируются между клиентом и контроллером домена.
• Конфигурация системы доменных имен клиента (DNS) не является правильной.
• Конфигурация DNS-сервера на контроллере домена не является правильной.

Устранение ошибки «домен или контроллер домена не найден»

1. Проверьте все брандмауэры (включая брандмауэр Windows на каждом компьютере) между клиентским компьютером, контроллером домена и целевым сервером. Убедитесь, что трафик разрешен через порт UDP 389 (LDAP) и порт UDP 53 (DNS). Дополнительные сведения см. в статье "Настройка брандмауэра для доменов и доверия Active Directory".

2. Если вы внесли изменения, откройте окно командной строки администратора на клиентском компьютере и выполните следующую команду:

   nltest /dsgetdc:<DomainName> /force /kdc
   

   Замечание

   В этой команде <DomainName> представляет имя домена клиентского компьютера.

   Команда nltest извлекает список одного или нескольких доступных контроллеров домена. Если клиент или целевой сервер не может связаться с контроллером домена, появится сообщение об ошибке.

   Замечание

   Список может не включать все доступные контроллеры домена.

   Если контроллер домена по-прежнему недоступен, перейдите к следующему шагу.

3. В командной строке на клиентском компьютере выполните следующую команду:

   nslookup <TargetName>
   

   Замечание

   В этой команде <TargetName> представляет имя NetBIOS целевого сервера.

   Если команда nslookup корректно определяет имя целевого сервера, то конфигурация DNS правильная.

   Если команда не может определить имя целевого сервера, выполните следующие действия, чтобы проверить конфигурацию сетевого адаптера клиентского компьютера:

4. На клиентском компьютере выполните следующую команду:

   ipconfig /all
   

5. В выходных данных команды определите используемый сетевой адаптер. Проверьте следующие параметры адаптера:

   • IP-адрес клиента

   • Маска подсети

   • Шлюз по умолчанию

   • DNS-суффикс для подключения

   • IP-адреса DNS-сервера

     Запишите IP-адреса и запишите, какой DNS-сервер предпочтителен и который является вторичным. Эта информация полезна для последующего устранения неполадок.

6. Если какие-либо из параметров сетевого адаптера неверны, исправьте их или обратитесь к администратору DNS за помощью.

7. Если вы внесли какие-либо изменения, запустите nslookup <TargetName> еще раз.

   Если nslookup имя по-прежнему не устранено правильно, может возникнуть более большая проблема с DNS. Обратитесь к администратору DNS или устраните эту проблему самостоятельно. Дополнительные сведения об устранении неполадок см. в разделе "Устранение неполадок DNS-серверов".

8. Если nslookup теперь разрешает имя правильно, выполните nltest еще раз. В зависимости от результата выполните одно из следующих действий:

   • Если nltest возвращает имя по крайней мере одного контроллера домена, проверьте, устранена ли исходная проблема Kerberos.

   • Если nltest по-прежнему не идентифицирует хотя бы один контроллер домена, может возникнуть проблема с большей сетью или Active Directory. Обратитесь к администратору сети.