通过

当 Windows Server 2012 R2 中禁用 NetBIOS over TCPIP 时,域控制器升级停止响应

本文提供了在禁用 TCPIP 的 NetBIOS 的环境中使用短凭据时域控制器升级停止响应的问题的解决方案。

原始 KB 数: 2948052

现象

使用Active Directory 域服务配置向导将计算机提升到 Windows Server 2012 R2 中的域控制器时,向导将停止响应。 出现问题时,Active Directory 域服务配置向导指示升级正在进行,并显示以下文本:

Windows Server 2012 R2 域控制器对名为“允许与 Windows NT 4.0 兼容的加密算法”的安全设置具有默认设置,该设置在建立安全通道会话时会阻止较弱的加密算法。

出现问题时,Dcpromo.log文件正确指示升级操作已停止:

[INFO]DnsDomainName chilld contoso.local
[INFO]FlatDomainName 子级
[INFO]SiteName Default-First-Site-Name
[INFO]SystemVolumeRootPath C:\Windows\SYSVOL
INFO] DsDatabasePath C:\Windows\NTDS、DsLogPath C:\Windows\NTDS
[INFO]ParentDnsDomainName contoso.local
[INFO]ParentServer helper <DC.contoso.local>
[INFO]帐户 contoso\administrator
[INFO]选项5243072
[INFO]验证提供的路径
....
[INFO]EVENTLOG (错误): NTDS 复制/ DS RPC 客户端: 1963
内部事件:以下本地目录服务从远程过程调用 (RPC) 连接收到异常。 请求了广泛的 RPC 信息。 这是中间信息,可能不包含可能的原因

[INFO]EVENTLOG (错误): NTDS 复制/DS RPC 客户端: 1962
内部事件:本地目录服务从远程过程调用 (RPC) 连接收到异常。 扩展错误信息不可用。
....错误值:
发生了特定于安全包的错误。 1825directory 服务:
<hostname> Additional Data

错误值:
找不到此域的域控制器。 (1908)

[INFO]EVENTLOG (错误): NTDS 复制/ 安装程序: 1125
Active Directory 域服务安装向导(Dcpromo)无法与以下域控制器建立连接。
域控制器: <DC 名称>。<DNS 域名>。<顶级域名>
其他数据
错误值:
1908 找不到此域的域控制器。

如果满足以下条件,则会出现此问题:

  • 禁用 TCP/IP 的 NetBIOS。 这种情况在以下情况下发生:
    未在“网络”面板中选择“通过 TCP/IP 禁用 NetBIOS”选项,“IPv4 属性的高级 TCP/IP 设置”中的“WINS”选项卡。
    TCP/IP 上的 NetBIOS 在 DHCP 服务器上处于禁用状态。
    计算机仅使用 IPv6 配置。

  • 凭据 UI 或域控制器升级应答文件中使用“短”凭据名称。
    Dcpromo.log本节前面的部分指示当升级过程设置为复制第一个命名上下文时,从 DRS 绑定调用返回ERROR_DOMAIN_CONTROLLER_NOT_FOUND错误。

    在这种情况下,Kerberos 找不到使用指定凭据进行身份验证的域控制器。 例如,指定的凭据是“wolf\administrator”而不是“long”DNS 凭据,例如 wolf.com\administrator。 在凭据中,“wolf”是托管管理员帐户的域的 NetBIOS 名称。

注意

如果在新的子域中升级新的域控制器,则会出现此问题。 还会发生以下问题:

  • 计算机认为它已加入域。
  • 可以选择登录到子域,但登录将失败。
  • 如果在本地登录到计算机,则禁用 ADDS 和 AWDS 服务。 Netlogon.exe进程未启动,启动值设置为手动相同,例如成员工作站的默认设置。

原因

在 NetBIOS-less\WINS-less 环境中运行Active Directory 域服务配置向导时,它会引入一些 DC 定位符限制来了解短域名。 这在未加入域的计算机上尤其如此。 DC 定位符尝试使用受信任的域列表将短域名映射到完全限定的域名(FQDN),这涉及到大部分时间使用 DNS。 如果无法使用 DNS,定位符必须使用 WINS\NetBIOS。 但是,禁用基于 TCP/IP 的 NetBIOS 时,WINS\NetBIOS 不可用。 此问题可由添加到 Windows Server 2012 R2 和 Windows 8.1 中的 DC 定位符的 DNS 后缀功能部分解决,但这并不总是 100% 可靠的解决方案。

解决方法

若要解决该问题,请执行以下步骤:

  1. 在任务管理器中结束服务器管理器进程。

    注意

    此步骤关闭Active Directory 域服务配置向导。 出现问题时,UI 中的取消按钮不起作用。 此外,在任务管理器中结束Active Directory 域服务配置向导也不起作用。

  2. 再次将计算机提升为域控制器时,请使用以下解决方法之一:

    • 升级向导或升级应答文件中的特定“long”凭据, <例如域>\管理员。

    • 在 Windows 8.1 和 Windows Server 2012 R2 计算机上,配置 DNS 搜索后缀,以便在 DNS 搜索后缀与提供的 NetBIOS 域名连接时,它们可解析为托管用于执行身份验证操作的用户帐户的 Active Directory 域的完全限定 DNS 名称。

      注意

      这假定凭据“UI”中指定的 NetBIOS 名称与目标帐户 DNS 域名的最左侧部分匹配。

    • 加入作为目标域中的成员计算机提示的计算机,然后重试升级。

    • 暂时通过 TCP/IP 启用 NetBIOS 以完成升级。