Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här guiden innehåller de grundläggande begrepp som används vid felsökning av problem med Active Directory-domänanslutning.
Checklista för felsökning
DNS (Domain Name System): När du har problem med att ansluta till en domän är en av de första sakerna att kontrollera DNS. DNS är hjärtat i Active Directory (AD) och gör att saker och ting fungerar korrekt, inklusive domänanslutning. Se till att följande stämmer:
- DNS-serveradresserna är korrekta.
- Sökordningen för DNS-suffix är korrekt om flera DNS-domäner används.
- Det finns inga inaktuella eller duplicerade DNS-poster som refererar till samma datorkonto.
- Omvänd DNS pekar inte på ett annat namn än A-record.
- Domännamn, domänkontrollanter (DC:er) och DNS-servrar kan pingas.
- Kontrollera om det finns konflikter i DNS-poster för den specifika servern.
Netsetup.log: Filen Netsetup.log är en värdefull resurs när du felsöker ett problem med domänanslutning. Filen netsetup.log finns på C:\Windows\Debug\netsetup.log.
Nätverksspårning: Under en AD-domänanslutning sker flera typer av trafik mellan klienten och vissa DNS-servrar och sedan mellan klienten och vissa domänkontrollanter. Om du ser ett fel i ovanstående trafik följer du motsvarande felsökningssteg för protokollet eller komponenten för att begränsa det. Mer information finns i Använda Netsh för att hantera spårningar.
Härdningsändringar för domänanslutning: Windows-uppdateringar som släppts den 11 oktober 2022 och senare innehåller ytterligare skydd som introduceras av CVE-2022-38042. Dessa skydd förhindrar avsiktligt att domänanslutningsåtgärder återanvänder ett befintligt datorkonto i måldomänen om inget av följande villkor finns:
- Användaren som försöker utföra åtgärden är skaparen av det befintliga kontot.
- Datorn skapades av en domänadministratörsmedlem.
Mer information finns i KB5020276 – Netjoin: Härdningsändringar för domänanslutning.
Portkrav
I följande tabell visas de portar som krävs för att vara öppna mellan klientdatorn och domänkontrollanten.
| Hamn | Protokoll | Programprotokoll | Systemtjänstnamn |
|---|---|---|---|
| 53 | TCP | DNS (Domännamnssystem) | DNS-server |
| 53 | UDP (User Datagram-protokollet) | DNS (Domännamnssystem) | DNS-server |
| 389 | UDP (User Datagram-protokollet) | Lokalisering av domänkontrollanter | LSASS (på engelska) |
| 389 | TCP | LDAP-server | LSASS (på engelska) |
| 88 | TCP | Kerberos | Kerberos nyckeldistributionsserver |
| 135 | TCP | Fjärrprocedureanrop (RPC) | RPC-slutpunktsavbildare |
| 445 | TCP | Små och medelstora företag (SMB) | LanmanServer |
| 1024-65535 | TCP | Fjärrprocedureanrop (RPC) | RPC Endpoint Mapper för DSCrackNames-, SAMR- och Netlogon-anrop mellan klient- och domänkontrollant |
Kända problem och lösningar
| Felkod för domänanslutning | Orsak | Relaterad artikel |
|---|---|---|
| 0x569 | Det här felet beror på att användarkontot för domänanslutning saknar åtkomsten till den här datorn från nätverksanvändaren direkt på domänkontrollanten (DC) som betjänar domänanslutningsåtgärden. | Felkod för felsökning 0x569: Användaren har inte beviljats den begärda inloggningstypen på den här datorn |
| 0xaac eller 0x8b0 | Det här felet uppstår när du försöker använda ett befintligt datorkontonamn för att ansluta en dator till en domän. | Felsöka felkod 0xaac: Fel när du använder ett befintligt datorkonto för att ansluta till en domän |
| 0x6BF eller 0xC002001C | Det här felet uppstår när en nätverksenhet (router, brandvägg eller VPN-enhet) avvisar nätverkspaket mellan klienten som ansluts och domänkontrollanten (DC). | Felsöka statuskod 0x6bf eller 0xc002001c: Fjärrproceduranropet misslyckades och kördes inte |
| 0x6D9 | Det här felet uppstår när nätverksanslutningen blockeras mellan den anslutande klienten och domänkontrollanten (DC). | Felsöka felkoden 0x6D9 "Det finns inga fler slutpunkter tillgängliga från slutpunktsmapparen" |
| 0xa8b | Det här felet uppstår när du ansluter en arbetsgruppsdator till en domän. | Felsöka felkod 0xa8b: Ett försök att matcha DNS-namnet på en domänkontrollant i domänen som ansluts har misslyckats |
| 0x40 | Problemet är relaterat till att erhålla Kerberos-biljetter för en Server Message Block (SMB)-session. | Felsöka felkod 0x40 "Det angivna nätverksnamnet är inte längre tillgängligt" |
| 0x54b | Det här felet beror på att den angivna domänen inte kan kontaktas, vilket pekar på problem med att hitta domänkontrollanter (DCs). | Felsökning av felkod 0x54b |
| 0x0000232A | Det här felet indikerar att DNS-namnet (Domain Name System) inte kan matchas. | Felsöka felkod 0x0000232A |
| 0x3a | Det här felet uppstår när klientdatorn saknar tillförlitlig nätverksanslutning på TCP 389-porten (Transmission Control Protocol) mellan klientdatorn och domänkontrollanten (DC). | Felsökning av statuskod 0x3a: Den angivna servern kan inte utföra den begärda åtgärden |
| 0x216d | Det här felet uppstår när användarkontot har överskridit gränsen på 10 datorer som kan anslutas till domänen, eller när en grupprincip hindrar användare från att ansluta datorer till domänen. | Felsökning av statuskod 0x216d: Det gick inte att ansluta datorn till domänen |
Andra fel som uppstår när du ansluter Windows-baserade datorer till en domän
Mer information finns i:
Datasamlingar för problem med domänanslutning
Om du vill felsöka problem med domänanslutning kan följande loggar hjälpa dig:
Netsetuplogg
Den här loggfilen innehåller mest information om domänanslutningsaktiviteter. Filen finns på klientdatorn på%windir%\debug\netsetup.log.
Loggfilen är aktiverad som standard. Du behöver inte uttryckligen aktivera den.Nätverksspårning
Nätverksspårningen innehåller kommunikationen mellan klientdatorn och relativa servrar, till exempel DNS-servrar och domänkontrollanter över nätverket. Den bör samlas in på klientdatorn. Flera verktyg kan samla in nätverksspårningar, till exempel Wireshark, netsh.exe som ingår i alla Windows-utgåvor.
Du kan samla in varje logg separat. Du kan också använda vissa verktyg från Microsoft för att samla ihop dem. Följ stegen i följande avsnitt för att göra det.
Samla in manuellt
- Ladda ned och installera Wireshark på den klientdator som ska ansluta till AD-domänen.
- Starta programmet med administratörsbehörighet och börja sedan samla in.
- Försök att ansluta till AD-domänen för att återskapa felet. Registrera felmeddelandet.
- Sluta samla in i appen och spara nätverksspårningen i en fil.
- Samla in den netsetup.log fil som finns på %windir%\debug\netsetup.log.
Använda autentiseringsskript
Autentiseringsskript är ett enkelt PowerShell-skript som utvecklats av Microsoft för att underlätta logginsamling för felsökning av autentiseringsrelaterade problem. Följ dessa steg om du vill använda det:
Ladda ned autentiseringsskript på klientdatorn. Extrahera filerna till en mapp.
Starta ett PowerShell-fönster med administratörsbehörighet. Växla till mappen som innehåller de extraherade filerna.
Kör start-auth.ps1, acceptera licensavtalet om du uppmanas till det och tillåt exekvering om du varnas för en utgivare som inte är betrodd.
Anmärkning
Om skripter inte tillåts köras på grund av körningsprinciper, se about_Execution_Policies.
När kommandot har slutförts försöker du ansluta till AD-domänen för att återskapa felet. Registrera felmeddelandet.
Kör stop-auth.ps1och tillåt körning om du varnas för en utgivare som inte är betrodd.
Loggfiler sparas i undermappen authlogs , som innehåller Netsetup.log-loggen och nätverksspårningsfilen (Nettrace.etl).
Använda TSS-verktyget
TSS-verktyget är ett annat verktyg som utvecklats av Microsoft för att underlätta logginsamlingen. Följ dessa steg om du vill använda det:
Ladda ned TSS-verktyget på klientdatorn. Extrahera filerna till en mapp.
Starta ett PowerShell-fönster med administratörsbehörighet. Växla till mappen som innehåller de extraherade filerna.
Kör följande kommando:
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitAcceptera licensavtalet för slutanvändare om du uppmanas att göra det, och tillåt programkörning om det varnas för en utgivare som inte är betrodd.
Anmärkning
Om skripter inte tillåts köras på grund av körningsprinciper, se about_Execution_Policies.
Det tar några minuter att slutföra kommandot. När kommandot har slutförts försöker du ansluta till AD-domänen för att återskapa felet. Registrera felmeddelandet.
Kör
TSS.ps1 -stopoch tillåt körning om du får en varning om en utfärdare som inte är betrodd.Loggfiler sparas i undermappen C:\MS_DATA och är redan zippade. ZIP-filnamnet följer formatet TSS_<hostname>_<date-time><>-ADS_AUTH.zip.
Zip-filen innehåller Netsetup.log och nätverksspårningen. Nätverksspårningsfilen heter <hostname>_<datum>-<tid>-Netsh_packetcapture.etl.