Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu kılavuz, Active Directory etki alanına katılma sorunlarını giderirken kullanılan temel kavramları sağlar.
Sorun giderme denetim listesi
Etki Alanı Adı Sistemi (DNS): Etki alanına katılmayla ilgili bir sorun olduğunda denetlenecek ilk şeylerden biri DNS'dir. DNS, Active Directory'nin (AD) kalbidir ve etki alanına katılma dahil olmak üzere işlerin düzgün çalışmasını sağlar. Aşağıdaki öğelere sahip olduğunuzdan emin olun:
- DNS sunucusu adresleri doğru.
- Birden çok DNS etki alanı mevcutsa DNS soneki arama sırası doğru yapılandırılmıştır.
- Aynı bilgisayar hesabına başvuran güncel olmayan veya yinelenen DNS kaydı bulunmamaktadır.
- Ters DNS, A kaydı olarak farklı bir adı işaret etmez.
- Etki alanı adı, etki alanı denetleyicileri (DC) ve DNS sunucularına ping yapılabilir.
- Belirli bir sunucu için DNS kaydı çakışmalarını denetleyin.
Netsetup.log: Netsetup.log dosyası, etki alanına katılma sorununu giderdiğinizde değerli bir kaynaktır. netsetup.log dosyası C:\Windows\Debug\netsetup.log konumunda bulunur.
Ağ izleme: AD etki alanına katılma sırasında, istemci ile bazı DNS sunucuları arasında ve ardından istemci ile bazı DC'ler arasında birden çok trafik türü oluşur. Yukarıdaki trafikten herhangi birinde bir hata görürseniz sorunu daraltmak için o protokol veya bileşenin ilgili sorun giderme adımlarını izleyin. Daha fazla bilgi için bkz Netsh Kullanarak İzlemeleri Yönetme.
Etki alanı katılma güvenliğinde değişiklikler: 11 Ekim 2022 tarihinde ve sonrasında yayımlanan Windows güncelleştirmeleri, CVE-2022-38042 ile getirilen ek korumaları içerir. Bu korumalar, aşağıdaki koşullardan biri mevcut olmadığı sürece, etki alanı birleştirme işlemlerinin hedef etki alanındaki mevcut bir bilgisayar hesabını yeniden kullanmasını kasıtlı olarak engeller:
- İşlemi deneyen kullanıcı, mevcut hesabı oluşturan kullanıcıdır.
- Bilgisayar, etki alanı yöneticilerinin bir üyesi tarafından oluşturulmuştur.
Daha fazla bilgi için bkz. KB5020276—Netjoin: Etki alanı katılımının sağlamlaştırılmasıyla ilgili değişiklikler.
Bağlantı Noktası Gereksinimleri
Aşağıdaki tabloda, istemci bilgisayar ile DC arasında açık olması gereken bağlantı noktaları listelenmiştir.
| Liman | Protokol | Uygulama protokolü | Sistem hizmeti adı |
|---|---|---|---|
| 53 | TCP | Alan Adı Sistemi (DNS) | DNS Sunucusu |
| 53 | Kullanıcı Datagram Protokolü (UDP) | Alan Adı Sistemi (DNS) | DNS Sunucusu |
| 389 | Kullanıcı Datagram Protokolü (UDP) | DC Bulucu | LSASS |
| 389 | TCP | LDAP Sunucusu | LSASS |
| 88 | TCP | Kerberos Gölü | Kerberos Anahtar Dağıtım Sunucusu |
| 135 | TCP | RPC | RPC Uç Nokta Eşleyici |
| 445 | TCP | KOBİ | LanmanServer |
| 1024-65535 | TCP | RPC | İstemci ve Etki Alanı Denetleyicisi arasında DSCrackNames, SAMR ve Netlogon çağrıları için RPC Uç Noktası Eşleyicisi |
Yaygın sorunlar ve çözümleri
| Alan katılma hata kodu | Nedeni | İlgili makale |
|---|---|---|
| 0x569 | Bu hata, etki alanına katılan kullanıcı hesabının, etki alanına katılma işlemine hizmet eden etki alanı denetleyicisinde (DC) Ağ üzerinden bu bilgisayara erişim kullanıcı hakkına sahip olmaması nedeniyle oluşur. | Hata kodu 0x569 sorunlarını giderme: Kullanıcıya bu bilgisayarda istenen oturum açma türü verilmedi |
| 0xaac veya 0x8b0 | Bu hata, bir bilgisayarı etki alanına katmak için var olan bir bilgisayar hesabı adını kullanmaya çalıştığınızda oluşur. | Hata kodu 0xaac sorunlarını giderme: Bir etki alanına katılmak için var olan bir bilgisayar hesabını kullandığınızda oluşan hata |
| 0x6BF veya 0xC002001C | Bu hata, bir ağ cihazı (yönlendirici, güvenlik duvarı veya sanal özel ağ (VPN) cihazı) katılan istemci ile etki alanı denetleyicisi (DC) arasındaki ağ paketlerini reddettiği zaman oluşur. | 0x6bf veya 0xc002001c durum kodunda sorun giderme: Uzaktan yordam çağrısı başarısız oldu ve yürütülmedi |
| 0x6D9 | Bu hata, katılan istemci ile Etki Alanı Denetleyicisi (DC) arasında ağ bağlantısı engellendiğinde oluşur. | Error kodu 0x6D9 için sorun giderme: "Uç nokta eşleştiricisinde kullanılabilir başka uç nokta yok" |
| 0xa8b | Bu hata, bir çalışma grubu bilgisayarını bir etki alanına kattığınızda oluşur. | Hata kodu 0xa8b sorunlarını giderme: Katılmakta olan etki alanındaki bir DC'nin DNS adını çözümleme girişimi başarısız oldu |
| 0x40 | Sorun, Sunucu İleti Bloğu (SMB) oturumu için Kerberos Biletleri almayla ilgilidir. | "Belirtilen ağ adı artık kullanılamıyor" 0x40 hata kodunda sorun giderme |
| 0x54b | Bu hata, belirtilen etki alanıyla bağlantı kurulamaması nedeniyle oluşur ve etki alanı denetleyicilerini (DC) bulma sorunlarına işaret eder. | Hata kodu 0x54b sorunlarını giderme |
| 0x0000232A | Bu hata, Etki Alanı Adı Sistemi (DNS) adının çözümlenemediğini gösterir. | Hata kodu 0x0000232A sorunlarını giderme |
| 0x3a | Bu hata, istemci bilgisayar ile etki alanı denetleyicisi (DC) arasındaki İletim Denetimi Protokolü (TCP) 389 bağlantı noktasında güvenilir ağ bağlantısına sahip olmadığında oluşur. | Sorun giderme durum kodu 0x3a: Belirtilen sunucu istenen işlemi gerçekleştiremiyor |
| 0x216d | Bu hata, kullanıcı hesabı etki alanına katılabilecek 10 bilgisayar sınırını aştığında veya bir Grup İlkesi kullanıcıların etki alanına bilgisayar katılmasını kısıtladığında oluşur. | Sorun giderme durum kodu 0x216d: Bilgisayarınız etki alanına katılamadı |
Windows tabanlı bilgisayarları bir etki alanına eklediğinizde oluşan diğer hatalar
Daha fazla bilgi için bkz.
Etki alanına katılma sorunları için veri koleksiyonları
Etki alanına katılma sorunlarını gidermek için aşağıdaki günlükler yardımcı olabilir:
Netsetup günlüğü
Bu günlük dosyası, etki alanına katılma etkinlikleriyle ilgili bilgilerin çoğunu içerir. İstemci makinesindeki dosya%windir%\debug\netsetup.logkonumunda bulunur.
Bu günlük dosyası varsayılan olarak etkindir. Açıkça etkinleştirmeniz gerekmez.Ağ izleme
Ağ izlemesi, istemci bilgisayar ile DNS sunucuları ve ağ üzerinden etki alanı denetleyicileri gibi göreli sunucular arasındaki iletişimi içerir. Toplama işlemi istemci bilgisayarda yapılmalıdır. Birden çok araç Wireshark gibi tüm Windows sürümlerinde bulunan netsh.exe ağ izlemeleri toplayabilir.
Her günlüğü ayrı ayrı toplayabilirsiniz. Alternatif olarak, Microsoft tarafından sağlanan bazı araçları kullanarak bunları bir araya getirebilirsiniz. Bunu yapmak için aşağıdaki bölümlerde yer alan adımları izleyin.
El ile toplama
- Wireshark'ı AD etki alanına katılacak istemci bilgisayara indirin ve yükleyin.
- Uygulamayı yönetici ayrıcalıklarıyla başlatın ve yakalamaya başlayın.
- AD etki alanına katılarak hatayı yeniden oluşturmayı deneyin. Hata iletisini kaydedin.
- Uygulamada yakalamayı durdurun ve ağ izlemesini bir dosyaya kaydedin.
- %windir% \debug\netsetup.log konumunda bulunan netsetup.log dosyasını toplayın.
Kimlik Doğrulama Betikleri Kullanma
Kimlik Doğrulama Betikleri, kimlik doğrulamasıyla ilgili sorunları gidermek üzere günlük toplamayı kolaylaştırmak için Microsoft tarafından geliştirilen basit bir PowerShell betiğidir. Bunu kullanmak için şu adımları izleyin:
kimlik doğrulama betiklerini istemci bilgisayara indirin. Dosyaları bir klasöre ayıklayın.
Yönetici ayrıcalıklarıyla bir PowerShell penceresi başlatın. Ayıklanan dosyaların olduğu klasöre geçin.
start-auth.ps1 çalıştırın, istenirse EULA'yı kabul edin ve güvenilmeyen bir yayıncı konusunda uyarı alırsanız çalıştırmaya izin verin.
Uyarı
Yürütme politikaları nedeniyle betiklerin çalışmasına izin verilmiyorsa bkz. about_Execution_Policies.
Komut başarıyla tamamlandıktan sonra, hatayı tekrar meydana getirmeye çalışmak için AD etki alanına katılın. Hata iletisini kaydedin.
stop-auth.ps1'ı çalıştırın, ve güvenilmeyen bir yayımcı hakkında uyarılırsa yürütmeye izin verin.
Günlük dosyaları, Netsetup.log günlüğünü ve ağ izleme dosyasını (Nettrace.etl) içeren authlogs alt klasörüne kaydedilir.
TSS Aracı'nı kullanma
TSS aracı, Microsoft tarafından günlük toplamayı kolaylaştırmak için geliştirilen bir diğer araçtır. Bunu kullanmak için şu adımları izleyin:
İstemci bilgisayara TSS aracını indirin. Dosyaları bir klasöre ayıklayın.
Yönetici ayrıcalıklarıyla bir PowerShell penceresi başlatın. Ayıklanan dosyaların olduğu klasöre geçin.
Aşağıdaki komutu çalıştırın:
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowaitİstenirse EULA'yı kabul edin ve güvensiz bir yayımcı ile ilgili uyarı alırsanız çalıştırmaya izin verin.
Uyarı
Yürütme politikaları nedeniyle betiklerin çalışmasına izin verilmiyorsa bkz. about_Execution_Policies.
Komutun tamamlanması birkaç dakika sürer. Komut başarıyla tamamlandıktan sonra, hatayı yeniden oluşturmak için AD etki alanına katılmayı deneyin. Hata iletisini kaydedin.
TSS.ps1 -stopkomutunu çalıştırın ve güvenilmeyen bir yayımcı hakkında uyarı verilirse yürütmeye izin verin.Günlük dosyaları C:\MS_DATA alt klasörüne kaydedilir ve zaten sıkıştırılmıştır. ZIP dosya adı, TSS_<hostname>_<date-time><>-ADS_AUTH.zipbiçimini izler.
Zip dosyası Netsetup.log ve ağ izlemesini içerir. Ağ izleme dosyası <hostname>_<date>-<time>-Netsh_packetcapture.etl olarak adlandırılır.