Поделиться через

Устранение неполадок при запуске службы Netlogon

В этой статье описываются симптомы, причины и решения для сценариев, которые приводят к сбоям запуска службы Netlogon. Служба Netlogon выполняется только при присоединении компьютера к Active Directory. При присоединении компьютера только к идентификатору Microsoft Entra служба Netlogon не запускается.

Общие сведения о службе Netlogon

Сервис Netlogon на узлах домена обеспечивает поддержку следующих функций:

  • Запросы на вход в New Technology LAN Manager (NTLM)
  • Проверки сертификата атрибутов привилегий Kerberos (PAC)
  • Обнаружение контроллера домена (DC)
  • Управление именем узла ServicePrincipalNames
  • Управление паролем учетной записи компьютера системы

В ДК служба Netlogon также обрабатывает следующие задачи:

  • Совместное использование общих папок SYSVOL и NETLOGON после запуска
  • Регистрация записей системы доменных имен (DNS) NTDS (A, AAAA и SRV)
  • Управление функцией DC ServicePrincipalNames
  • Обслуживание паролей доверия
  • Чтение и построение сопоставлений подсетей и сайтов, о которых серверная сторона указателя контроллера домена должна информировать клиентов в отношении их сайтов.
  • Сохранение списка известных доверенных доменов для проверки безопасности (сканер доверия)

Зависимости служб

Для выполнения этих операций Netlogon использует возможности других компонентов и служб в рамках операционной системы. Известные как зависимости служб, Netlogon зависит от служб, отмеченных на следующей схеме:

Схема зависимостей службы Netlogon.

Служба Netlogon зависит от службы рабочей станции. Служба рабочей станции зависит от браузера, mrxSMB20, служб NSI и т. д. На контроллерах домена служба Netlogon имеет дополнительные зависимости от службы сервера, которая в свою очередь зависит от служб SAMSS и SRV2. Служба SRV2, в свою очередь, зависит от службы SRVNET и т. д.

Эти отношения зависимости подробно описаны оснасткой MMC служб (Services.msc) на вкладке Зависимости свойств службы. Эта конфигурация зависимости хранится в реестре для каждого ключа службы под HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services ключом реестра. В каждом ключе службы содержится значение DependOnService , определяющее конкретные прямые зависимости этой службы. Например, раздел реестра служб Netlogon контроллера домена определяет значение DependOnService , содержащее данные LanmanWorkstation LanmanServer.

Чтобы просмотреть зависимости службы Netlogon, используйте MMC служб и проверьте свойства службы:

Снимок экрана: свойства службы Netlogon.

Другим способом запроса зависимостей является использование программы настройки Service Control Manager (sc.exe) командной строки. Ниже представлены выходные данные команды QC для запроса конфигурации зависимостей службы Netlogon у контроллера домена:

C:\Windows\System32>sc qc netlogon

[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: netlogon
   TYPE               : 20 WIN32_SHARE_PROCESS
   START_TYPE         : 2 AUTO_START
   ERROR_CONTROL      : 1 NORMAL
   BINARY_PATH_NAME   : C:\Windows\system32\lsass.exe
   LOAD_ORDER_GROUP   : MS_WindowsRemoteValidation
   TAG                : 0
   DISPLAY_NAME       : Netlogon
   DEPENDENCIES       : LanmanWorkstation
                      : LanmanServer
   SERVICE_START_NAME : LocalSystem

Вы также можете перейти к разделу реестра служб Netlogon, чтобы проверить конфигурацию службы:

  1. Откройте редактор реестра.

  2. Перейдите к нужному ключу службы. В этом примере путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon

    Снимок экрана редактора реестра с сведениями о ключе Netlogon.

  3. Убедитесь, что параметры верны. Например, зависимости настраиваются (значение DependOnService), тип запуска определяется (значение Start), а двоичный файл службы определяется (значение ImagePath).

Устранение неполадок

Если зависимой услуге не удается запуститься, эта услуга и все службы, зависящие от нее, также не запускаются. При расследовании сбоя запуска службы Netlogon важно определить, какая служба отвечает за сбои всех других зависимых служб. Например, следующие журналы событий — это ошибки журнала событий системы, сообщаемые при сбое запуска службы Netlogon. Сбой произошел из-за того, что не удалось запустить одну из зависимостей службы Рабочей станции (LanmanWorkstation), а именно (browser).

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7001
Уровень: ошибка
Описание. Служба Netlogon зависит от службы LanmanWorkstation, которая не удалось запустить из-за следующей ошибки:
Не удалось запустить службу зависимостей или группу.

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7001
Уровень: ошибка
Описание: служба LanmanWorkstation зависит от службы боузера, которая не смогла запуститься из-за следующей ошибки:
Не удается запустить службу, так как она отключена или не имеет связанных с ней включенных устройств.

Проблемы со сбоем при запуске службы netlogon

Сбои запуска netlogon (или любые зависимые сбои запуска службы) могут потребовать одного или нескольких действий для исправления проблемы. Эти действия могут включать (но не ограничиваются):

  • Исправьте отключенные зависимые службы.
  • Исправьте недопустимые или отсутствующие значения реестра конфигурации службы.
  • Восстановление отсутствующих или поврежденных исполняемых файлов или DLL-файлов.
  • Исправьте ограничительные разрешения реестра.

В следующих разделах описываются некоторые ошибки журнала событий, указывающие, что Netlogon не удалось запустить.

Симптом 1

Зависимая служба не запускается:

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7001
Уровень: ошибка
Описание: Служба Netlogon зависит от службы <ИМЯ СЛУЖБЫ>, которая не смогла запуститься из-за следующей ошибки:
Не удалось запустить службу зависимостей или группу.

Резолюция

Проверьте зависимые службы, чтобы определить, какие службы не удалось запустить. Убедитесь, что службы имеют правильную конфигурацию запуска службы с помощью оснастки MMC служб для просмотра и изменения конфигурации службы.

В следующем примере служба рабочей станции настроена с отключенным типом запуска и поэтому находится в состоянии "Остановлено ".

Снимок экрана: services.msc с отключенной службой рабочей станции.

Снимок экрана: свойства службы рабочей станции с отключенным типом запуска.

При установке типа запуска на Автоматически и запуске службы восстанавливается работа службы рабочей станции.

Симптом 2

Для службы Netlogon или зависимой службы определена недействительная или недопустимая служба:

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7003
Уровень: ошибка
Описание: Служба Netlogon зависит от следующей службы: <ОТСУТСТВУЕТ ИЛИ НЕДОПУСТИМАЯ СЛУЖБА>. Эта служба может быть не установлена.

Резолюция

Недопустимая служба может быть настроена в значении реестра DependOnService службы Netlogon, или служба, указанная в этом значении, может быть отсутствует в качестве установленной службы. В следующем примере служба Netlogon на сервере-члене не удалось запустить, так как она не может проверить зависимые службы.

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7003
Уровень: ошибка
Описание. Служба Netlogon зависит от следующей службы: Contoso_Service. Эта служба может быть не установлена.

Удалите неоправданную запись, найденную в значении реестра DependOnService :

Снимок экрана: изменение значения реестра DependOnService.

Снимок экрана: удаление записи из значения реестра DependOnService.

Симптом 3

Неверная или отсутствующая библиотека динамической компоновки (DLL) указывает на невозможность запуска зависимой службы:

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7001
Уровень: ошибка
Описание: Служба Netlogon зависит от службы <ИМЯ_>СЛУЖБЫ, которая не смогла запуститься из-за следующей ошибки:
Не найден указанный модуль.

При попытке запустить службу Netlogon с помощью MMC служб отображается следующее сообщение об ошибке:

Windows не удалось запустить службу Netlogon на локальном компьютере. Ошибка 126. Не удалось найти указанный модуль.

Резолюция

Каждое приложение службы должно успешно инициализировать библиотеки DLL, чтобы функционировать. Чтобы устранить эту проблему, выполните проверку системных файлов с помощью средства проверки файлов системы (SFC.exe), восстановите отсутствующие библиотеки DLL из резервной копии или восстановите или переустановите операционную систему.

Дополнительные сведения см. в разделе "Средство проверки файлов системы" для восстановления отсутствующих или поврежденных системных файлов.

Симптом 4

Недопустимый или отсутствующий исполняемый файл службы приводит к тому, что зависящая служба не запускается.

Имя журнала: Система
Источник: Диспетчер управления службами
Идентификатор события: 7000
Уровень: ошибка
Описание. Не удалось запустить службу Netlogon из-за следующей ошибки:
Системе не удается найти указанный файл.

При попытке запустить службу Netlogon с помощью MMC служб отображается следующее сообщение об ошибке:

Windows не удалось запустить службу Netlogon на локальном компьютере. Ошибка 2. Система не может найти указанный файл.

Резолюция

При просмотре свойств службы с помощью MMC служб убедитесь, что службы, которые не удалось запустить, имеют допустимое значение, настроенное в поле "Путь к исполняемому файлу ". Кроме того, убедитесь, что значение ImagePath правильно в реестре для затронутых служб.

Симптом 5

Служба Netlogon сообщает, что служба вошла в остановленное состояние во время загрузки системы. При попытке вручную запустить службу отображается следующее сообщение об ошибке:

Служба Netlogon на локальном компьютере запущена, а затем остановлена. Некоторые службы останавливаются автоматически, если они не используются другими службами или программами.

Резолюция

Убедитесь, что разрешения службы в реестре задаются соответствующими значениями. Разрешения зависят от системной роли, например контроллеров домена и рабочих станций или серверов-членов. Убедитесь, что отсутствуют записи, указывающие право «Запретить» для SYSTEM или Administrators. По умолчанию разрешения реестра наследуются от родительского раздела реестра, а владелец установлен как SYSTEM.

Симптом 6

Netlogon запущен успешно, но состояние службы не сообщается как "Запущено " или " Запущено ", но как "Приостановлено". Для членов домена статус можно задать администраторами, выполнив Net pause netlogon и Net continue netlogon. В оснастке services.msc службы отображаются на следующем снимке экрана:

Снимок экрана: состояние служб Netlogon.

Вы также можете приостановить и продолжить (или возобновить) службу Netlogon на контроллерах домена.

Замечание

Когда служба Netlogon приостановлена, КД (контроллер домена) не отвечает на запросы DC Locator (на порте LDAP UDP/389). Затем компьютер не используется для проверки подлинности NTLM или новых билетов Kerberos.

Резолюция

Службы Netlogon на контроллерах данных могут быть приостановлены из-за проблем с конфигурацией. Netlogon.log содержит следующие записи о причинах:

  • Служба Netlogon приостановлена

    Служба Netlogon приостановлена администратором.

  • NlInit: DS приостановлено

    Служба каталогов приостановлена.

  • Ожидание RPCSS

    Ожидается запуск подсистемы RPC.

  • SysVol не готов

    Начальная репликация DFSR не завершена.

Последнее условие возникает, если подсистема репликации DFSR не сигнализирует о том, что начальная репликация SYSVOL успешно завершена и готова для общего использования. Таким образом, служба Netlogon находится в приостановленном состоянии до завершения репликации, а после завершения репликации используется только sysVOL и Netlogon. Для устранения этой проблемы см. Устранение проблем отсутствия общих папок SYSVOL и Netlogon для репликации распределенной файловой системы (DFS)

Дополнительные симптомы

  1. Другие службы, такие как служба времени Windows или служба групповой политики, могут сообщать о неудачных операциях из-за того, что служба Netlogon не запущена:

    Имя журнала: Система
    Источник: Microsoft-Windows-Time-Service
    Идентификатор события: 159
    Уровень: предупреждение
    Описание: W32time не может взаимодействовать со службой Netlogon. Эта ошибка препятствует тому, чтобы NTPClient обнаруживал и использовал одноранговые узлы домена, а также вызывает проблемы с корректным объявлением Netlogon состояния службы W32time. Это может быть временное состояние, которое пройдет само по себе в скором времени. Если это предупреждение повторяется в течение продолжительного времени, убедитесь, что служба Netlogon выполняется и реагирует, и перезапустите службу W32time, чтобы повторно инициализировать общее состояние. Ошибка была 0x80070700: предпринята попытка входа в систему, но служба входа в сеть не была запущена.

    Имя журнала: Система
    Источник: Microsoft-Windows-Time-Service
    Идентификатор события: 130
    Уровень: предупреждение
    Описание. NtpClient не удалось задать одноранговый узел домена для использования в качестве источника времени из-за сбоя при установке отношения доверия между этим компьютером и доменом litware.com для безопасной синхронизации времени. Ntp-клиент повторит попытку через 15 минут, а затем удвоит интервал между попытками. Ошибка: сервер RPC недоступен. (0x800706BA)

    Имя журнала: Система
    Источник: Microsoft-Windows-GroupPolicy
    Идентификатор события: 1110
    Уровень: ошибка
    Описание. Обработка групповой политики завершилась ошибкой. Windows не удалось определить, находятся ли учетные записи пользователей и компьютеров в одном лесу. Убедитесь, что имя домена пользователя соответствует имени доверенного домена, который находится в том же лесу, что и учетная запись компьютера.

  2. Управление или другие операции, использующие службу Netlogon, также завершаются сбоем, если служба Netlogon не запущена:

    nltest /sc_query:litware.com

I_NetLogonControl failed: Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE

    net use \\192.168.1.11 /user:litware\administrator

System error 1792 has occurred.

An attempt was made to logon, but the network logon service was not started.

  3. Указатель контроллера домена не может обнаружить контроллер домена с ошибкой 1355 или сообщением "Указанный домен либо не существует, либо не удалось установить связь".

  4. Отношения доверия к домену могут завершиться ошибкой, если у всех доступных контроллеров домена остановлены службы Netlogon.

    Имя журнала: Система
    Источник: NETLOGON
    Идентификатор события: 5719
    Уровень: ошибка
    Описание. Этот компьютер не смог настроить безопасный сеанс с контроллером домена в домене <> из-за следующего:
    Мы не можем войти с помощью этих учетных данных, так как ваш домен недоступен. Убедитесь, что устройство подключено к сети организации, и повторите попытку. Если вы ранее вошли в систему на этом устройстве с другими учетными данными, вы можете войти, используя эти учетные данные.
    Это может привести к проблемам проверки подлинности. Убедитесь, что этот компьютер подключен к сети. Если проблема сохранится, обратитесь к администратору домена.

    Замечание

    Если этот компьютер является контроллером домена для указанного домена, он настраивает безопасный сеанс с эмулятором основного контроллера домена (PDC) в указанном домене. В противном случае этот компьютер настраивает безопасный сеанс с любым контроллером домена в указанном домене.