Невозможно изменить имя PDC DNS для этого компьютера
Обновлено: 21.11.2024
Прочитайте разделы этой главы, чтобы решить проблемы с присоединением к домену.
10 основных причин сбоя присоединения к домену
Вот 10 основных причин неудачной попытки присоединения к домену:
- Корневой каталог не использовался для запуска команды присоединения к домену (или для запуска графического пользовательского интерфейса присоединения к домену).
- Неверное имя пользователя или пароль учетной записи, используемой для присоединения к домену.
- Ошибка в имени домена.
- Ошибка в названии организационной единицы.
- Недопустимое локальное имя хоста.
- Контроллер домена недоступен для клиента из-за брандмауэра или из-за того, что на контроллере домена не запущена служба NTP.
- Клиент использует RHEL 2.1 и старую версию SSH.
- В SUSE необходимо перезапустить GDM (dbus). Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с помощью графического пользовательского интерфейса.
- В Solaris необходимо перезапустить dtlogin. Этот демон не может быть перезапущен автоматически, если пользователь вошел в систему с графическим пользовательским интерфейсом Solaris. Чтобы перезапустить dtlogin, выполните следующую команду:
- SELinux настроен либо на принудительное, либо на разрешающее действие, скорее всего, в Fedora. Перед присоединением компьютера к домену необходимо отключить SELinux.
Чтобы отключить SELinux, см. справочную страницу SELinux.
Решение проблем с присоединением к домену
Чтобы устранить проблемы с присоединением компьютера Linux к домену, последовательно выполните следующую серию диагностических тестов на компьютере Linux с учетной записью root.
Эти тесты также можно использовать для устранения неполадок при присоединении к домену на компьютере Unix; однако синтаксис команд в Unix может немного отличаться.
В процедурах, описанных в этом разделе, предполагается, что вы уже проверили, относится ли проблема к 10 основным причинам неудачного присоединения к домену (см. выше). Мы также рекомендуем создать журнал присоединения к домену.
Убедитесь, что сервер имен может найти домен
Выполните следующую команду от имени пользователя root:
Убедитесь, что клиент может подключиться к контроллеру домена
Вы можете убедиться, что ваш компьютер может подключиться к контроллеру домена, отправив ему команду ping:
Проверьте подключение к DNS
Возможно, компьютер использует неправильный DNS-сервер или вообще не использует его. Убедитесь, что запись сервера имен в файле /etc/resolv.conf содержит IP-адрес DNS-сервера, который может разрешать имя домена, к которому вы пытаетесь присоединиться. Скорее всего, это IP-адрес одного из ваших контроллеров домена.
Убедитесь, что nsswitch.conf настроен на проверку имен хостов в DNS
Файл /etc/nsswitch.conf должен содержать следующую строку. (В AIX это файл /etc/netsvc.conf.)
В частности, компьютеры с ОС Solaris могут не содержать эту строку в nsswitch.conf, пока вы ее не добавите.
Убедитесь, что DNS-запросы используют правильную карту сетевого интерфейса
Если компьютер является многосетевым, DNS-запросы могут отправляться не на ту сетевую карту.
Временно отключите все сетевые адаптеры, кроме карты в той же подсети, что и ваш контроллер домена или DNS-сервер, а затем проверьте поиск DNS в домене AD.
Если это работает, снова включите все сетевые адаптеры и отредактируйте локальные или сетевые таблицы маршрутизации, чтобы контроллеры домена AD были доступны с хоста.
Определить, настроен ли DNS-сервер для возврата записей SRV
Ваш DNS-сервер должен быть настроен на возврат записей SRV, чтобы можно было найти контроллер домена. DNS-серверы, отличные от Windows (привязка), часто не настроены на возврат записей SRV.
Проверьте это, выполнив следующую команду:
Убедитесь, что глобальный каталог доступен
Должен быть доступен глобальный каталог Active Directory. Глобальный каталог в другой зоне может не отображаться в DNS. Диагностируйте его, выполнив следующую команду:
Из списка IP-адресов в результатах выберите один или несколько адресов и проверьте, доступны ли они через порт 3268 с помощью telnet.
Убедитесь, что клиент может подключиться к домену через порт 123
Следующий тест проверяет, может ли клиент подключиться к контроллеру домена через порт 123 и запущена ли служба протокола сетевого времени (NTP) на контроллере домена. Чтобы клиент мог присоединиться к домену, NTP, служба времени Windows, должна работать на контроллере домена.
На компьютере с Linux выполните следующую команду от имени пользователя root:
Дополнительную информацию см. в разделе Диагностика NTP на порту 123
Кроме того, проверьте журналы контроллера домена на наличие ошибок из источника с именем w32tm, который является службой времени Windows.
FreeBSD: запустите ldconfig, если не удается перезагрузить компьютер
При установке AD Bridge Enterprise на новый компьютер с FreeBSD, в котором ничего нет в /usr/local, запустите /etc/rc.d/ldconfig запускается после установки, если вы не можете перезагрузить компьютер. В противном случае /usr/local/lib не будет в пути поиска библиотеки.
Игнорировать недоступные доверительные отношения
Недоступное доверие может помешать успешному присоединению к домену. Если вы знаете, что в вашей сети Active Directory есть недоступные доверительные отношения, вы можете настроить AD Bridge Enterprise на игнорирование всех доверительных отношений, прежде чем пытаться присоединиться к домену. Для этого используйте инструмент настройки, чтобы изменить значения параметра DomainManagerIgnoreAllTrusts.
Результаты будут выглядеть примерно так. Параметр, о котором идет речь, — DomainManagerIgnoreAllTrusts.
- Перечислите сведения о параметре DomainManagerIgnoreAllTrusts, чтобы увидеть, какие значения он принимает: ол>
- Измените значение параметра на true, чтобы AD Bridge Enterprise игнорировал доверительные отношения при попытке присоединиться к домену. ол>
- Проверьте, чтобы изменения вступили в силу:
- Флажок «Отключить NetBIOS через TCP/IP» отключен в свойствах IPv4 присоединяемого компьютера.
- Подключение через UDP-порт 137 заблокировано между клиентом и вспомогательным контроллером домена, обслуживающим операцию присоединения в целевом домене.
- Протокол TCP/IPv4 отключен, поэтому присоединяемый клиент или контроллер домена в целевом домене, на который нацелена привязка LDAP, работают только с TCP/IPv6.
- Нажмите "Пуск", выберите "Выполнить", введите ncpa.cpl и нажмите "ОК".
- В разделе "Сетевые подключения" щелкните правой кнопкой мыши "Подключение по локальной сети" и выберите "Свойства".
- Нажмите "Протокол Интернета версии 4 (TCP/IPv4)", а затем нажмите "Свойства".
- В диалоговом окне "Свойства протокола Интернета версии 4 (TCP/IPv4)" нажмите "Дополнительно".
- На вкладке WINS убедитесь, что параметр Включить NetBIOS через TCP/IP включен, а затем нажмите кнопку "ОК" три раза.
- Способ 1. Исправьте ошибки системы доменных имен (DNS).
- Способ 2. Синхронизируйте время между компьютерами.
- Способ 3. Установите флажок Доступ к этому компьютеру из прав пользователя сети.
- Способ 4. Убедитесь, что атрибут userAccountControl контроллера домена имеет значение 532480.
- Способ 5. Исправьте область Kerberos (убедитесь, что раздел реестра PolAcDmN и раздел реестра PolPrDmN совпадают).
- Способ 6. Сбросьте пароль учетной записи компьютера, а затем получите новый билет Kerberos.
- В командной строке введите команду netdiag -v. Эта команда создает файл Netdiag.log в папке, где была запущена команда.
- Прежде чем продолжить, устраните все ошибки DNS в файле Netdiag.log. Инструмент Netdiag находится в составе средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server или доступен для загрузки.
- Убедитесь, что DNS настроен правильно. Одной из наиболее распространенных ошибок DNS является указание контроллера домена на поставщика услуг Интернета (ISP) для DNS вместо указания DNS на самого себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Мы рекомендуем указать контроллер домена на себя или на другой DNS-сервер, который поддерживает динамические обновления и записи SRV. Мы рекомендуем настроить серверы пересылки к провайдеру для разрешения имен в Интернете.
- Нажмите "Пуск", выберите "Выполнить" и введите adsiedit.msc.
- Разверните NC домена, разверните DC=domain, а затем разверните OU=контроллеры домена.
- Щелкните правой кнопкой мыши соответствующий контроллер домена и выберите "Свойства".
- В Windows Server 2003 установите флажок Показать обязательные атрибуты и флажок Показать необязательные атрибуты на вкладке Редактор атрибутов. В Windows 2000 Server нажмите "Оба" в поле "Выбор свойств для просмотра".
- В Windows Server 2003 щелкните userAccountControl в поле Атрибуты. В Windows 2000 Server щелкните userAccountControl в поле Выберите свойство для просмотра.
- Если значение не равно 532480, введите 532480 в поле "Изменить атрибут", нажмите "Установить", нажмите "Применить", а затем нажмите "ОК".
- Выйти из редактора ADSI.
- Запустите редактор реестра.
- На левой панели разверните раздел Безопасность.
- В меню "Безопасность" нажмите "Разрешения", чтобы предоставить локальной группе "Администраторы" полный доступ к кусту SECURITY и его дочерним контейнерам и объектам.
- Найдите ключ HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN.
- На правой панели редактора реестра один раз щелкните запись REG_NONE.
- В меню «Вид» нажмите «Отобразить двоичные данные». В разделе "Формат" диалогового окна нажмите "Байт".
- Имя домена отображается в виде строки в правой части диалогового окна "Двоичные данные". Имя домена совпадает с доменом Kerberos.
- Найдите раздел реестра HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN.
- На правой панели редактора реестра дважды щелкните запись REG_NONE.
- В диалоговом окне двоичного редактора вставьте значение из PolPrDmN. (Значение из PolPrDmN будет доменным именем NetBIOS).
- Перезапустите контроллер домена.
- отметить 71 лучший ответ
- thumb_up – 128 благодарных отзывов
Теперь попробуйте снова присоединиться к домену. В случае успеха имейте в виду, что только пользователи и группы, которые находятся в локальном домене, смогут войти в систему на компьютере.
В приведенном выше примере вывода, который показывает текущие значения параметра, указана локальная политика, что означает, что параметр управляется локально через конфигурацию, поскольку параметр групповой политики предприятия AD Bridge не управляет параметром. Как правило, в AD Bridge Enterprise вы должны управлять параметром DomainManagerIgnoreAllTrusts с помощью соответствующего параметра групповой политики, но вы не можете применять объекты групповой политики (GPO) к компьютеру до тех пор, пока он не будет добавлен в домен. Соответствующий параметр политики AD Bridge Enterprise называется Lsass: игнорировать все доверительные отношения при перечислении доменов.
Для получения информации об аргументах config выполните следующую команду:
Устранение распространенных сообщений об ошибках
В этом разделе перечислены решения для распространенных ошибок, которые могут возникнуть при попытке присоединиться к домену.
Конфигурация krb5
Удалите /etc/krb5.conf и попробуйте снова присоединиться к домену.
Ошибка Chkconfig
Эта ошибка может возникнуть, когда вы пытаетесь присоединиться к домену или пытаетесь выполнить команду domain-join с параметром, но демон netlogond еще не запущен.
Описание: Произошла ошибка при использовании chkconfig для обработки демона netlogond, который необходимо добавить в список процессов, запускаемых при перезагрузке компьютера. Проблема может быть вызвана сценариями запуска в дереве /etc/rc.d/, несовместимыми с LSB.
Проверка. Выполнение следующей команды от имени пользователя root может предоставить информацию об ошибке:
Удалите сценарии запуска, не соответствующие LSB, из дерева /etc/rc.d/.
Проблемы репликации
При наличии задержек репликации в вашей среде может возникнуть следующая ошибка. Задержка репликации может возникнуть, если клиент находится на том же сайте, что и контроллер домена только для чтения.
После возникновения ошибки подождите 15 минут, а затем выполните следующую команду, чтобы перезапустить AD Bridge Enterprise:
Диагностика NTP на порту 123
При использовании утилиты присоединения к домену AD Bridge Enterprise для присоединения клиента Linux или Unix к домену эта утилита может быть не в состоянии связаться с контроллером домена через порт 123 с помощью UDP. Агент AD Bridge Enterprise требует, чтобы порт 123 был открыт на клиенте, чтобы он мог получать данные NTP от контроллера домена. Кроме того, на контроллере домена должна быть запущена служба времени.
Вы можете диагностировать подключение NTP, выполнив следующую команду от имени пользователя root в командной строке вашего компьютера с Linux:
Если все в порядке, результат должен выглядеть следующим образом:
Вывод при отсутствии службы NTP
Если контроллер домена не использует NTP на порту 123, команда возвращает ответ, например подходящий сервер для синхронизации не найден, как показано в следующем выводе:
Отключить Apache для присоединения к домену
Веб-сервер Apache блокирует файл keytab, что может заблокировать попытку присоединения к домену. Если на компьютере работает Apache, остановите Apache, присоединитесь к домену и перезапустите Apache.
BeyondTrust — мировой лидер в области управления привилегированным доступом (PAM), который позволяет компаниям защищать и управлять всеми своими привилегиями. Подход BeyondTrust Universal Privilege Management обеспечивает безопасность и защиту привилегий в отношении паролей, конечных точек и доступа, предоставляя организациям прозрачность и контроль, необходимые для снижения рисков, обеспечения соответствия требованиям и повышения операционной производительности.
©2003-2022 Корпорация BeyondTrust. Все права защищены. Другие товарные знаки, указанные на этой странице, принадлежат их соответствующим владельцам. BeyondTrust не является зарегистрированным банком, трастовой компанией или депозитарным учреждением. Он не имеет права принимать депозиты или доверительные счета и не лицензируется и не регулируется каким-либо государственным или федеральным банковским органом. 09.03.2022
В этой статье представлено решение ошибки, возникающей при использовании пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания имени целевого домена DNS.< /p>
Применимо к: Windows 7 с пакетом обновления 1, Windows Server 2012 R2
Исходный номер базы знаний: 2018583
Симптомы
Использование пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания имени целевого домена DNS завершается сбоем со следующей ошибкой на экране:
Не удалось изменить DNS-имя основного домена этого компьютера на "". Имя останется «.».
Ошибка:Указанный сервер не может выполнить требуемую операцию.
Журнал NETSETUP.LOG на присоединяемом компьютере содержит следующий текст:
NetpSetDnsHostNameAndSpn: ошибка NetpLdapBind: 0x3a
где 0x3a соответствует:
Случаи, когда ошибка «Изменение DNS-имени основного домена..» появляется в сочетании с дополнительными ошибками, отличными от «указанный сервер не может выполнить требуемую операцию», в том числе перечисленными в таблице ниже, НЕ связаны с симптомом , причину или текст решения, обсуждаемый в этой статье.
Расширенные ошибки, приводящие к ошибке "Изменение основного DNS-имени", не связанной с этой базой знаний, включают:
Расширенная ошибка |
---|
Произошла ошибка, связанная с пакетом безопасности | Вызов удаленной процедуры завершился неудачно и не был выполнен |
Причина
Когда компьютер присоединяется к домену, он пытается зарегистрировать имя субъекта-службы, чтобы гарантировать, что его DNS-суффикс разрешен в целевом домене. Пользовательский интерфейс присоединения к домену запрашивает информацию из базы данных политик локального администратора безопасности (LSA) для коротких (NetBIOS) и длинных (DNS) имен целевого домена.
Ошибка, описанная в разделе "Симптомы", возникает из-за того, что функция в пользовательском интерфейсе присоединения к домену неправильно выполняет привязку LDAP к контроллеру домена в целевом домене по его короткому имени, что приводит к сбою в одном из следующих условий:
Разрешение
Несмотря на появление на экране ошибки, описанной в разделе "Симптомы", операция присоединения к домену завершается, о чем свидетельствует статус в NETSETUP.LOG.
NetpCompleteOfflineDomainJoin УСПЕШНО: запрошена перезагрузка: 0x0
NetpDoDomainJoin: статус: 0x0
Чтобы устранить ошибку, воспользуйтесь одним из следующих способов:
Убедитесь, что NetBIOS через TCP/IP включен.
Проверьте сквозное сетевое подключение через UDP-порт 137 по сетевому пути, соединяющему клиента и вспомогательный контроллер домена, обслуживающий операцию присоединения.
Если ошибка произошла в среде, где используется только IPv6, или вам требуется исправление для устранения ошибки, обратитесь в службу поддержки клиентов Майкрософт с запросом на исправление после первоначальной первоначальной версии для Windows 7/Windows Server 2008 R2.
В этой статье представлены общие решения проблем, связанных с неправильной работой контроллера домена.
Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 837513
Симптомы
При запуске средства Dcdiag на контроллере домена под управлением Microsoft Windows 2000-Server или на контроллере домена под управлением Windows Server 2003 может появиться следующее сообщение об ошибке:
Диагностика контроллера домена
Выполнение первоначальной настройки:
[DC1] привязка LDAP завершилась ошибкой 31
При локальном запуске утилиты REPADMIN /SHOWREPS на контроллере домена может появиться одно из следующих сообщений об ошибке:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (локальная ошибка).
Последняя попытка @ yyyy-mm-dd hh:mm.ss не удалась, результат 1753: конечные точки больше не доступны в сопоставителе конечных точек.
Последняя попытка @ гггг-мм-дд чч:мм.сс не удалась, результат 5: доступ запрещен.
Если вы используете сайты и службы Active Directory для запуска репликации, вы можете получить сообщение об отказе в доступе.
При попытке использовать сетевые ресурсы из консоли затронутого контроллера домена, включая ресурсы универсального соглашения об именах (UNC) или подключенные сетевые диски, может появиться следующее сообщение об ошибке:
Нет доступных серверов входа (c000005e = "STATUS_NO_LOGON_SERVERS")
Если вы запускаете какие-либо инструменты администрирования Active Directory из консоли затронутого контроллера домена, включая сайты и службы Active Directory и пользователи и компьютеры Active Directory, вы можете получить одно из следующих сообщений об ошибке:
Информация об именах не может быть обнаружена, потому что: Не удалось связаться с уполномоченным органом для аутентификации. Обратитесь к системному администратору, чтобы убедиться, что ваш домен правильно настроен и в настоящее время находится в сети.
Информация об имени не может быть найдена, потому что: Неверное имя целевой учетной записи. Обратитесь к системному администратору, чтобы убедиться, что ваш домен правильно настроен и в настоящее время находится в сети.
Клиентам Microsoft Outlook, подключенным к компьютерам Microsoft Exchange Server, использующим уязвимые контроллеры домена для проверки подлинности, может быть предложено ввести учетные данные для входа, даже если имеется успешная проверка подлинности входа с других контроллеров домена.
Инструмент Netdiag может отображать следующие сообщения об ошибках:
Тест списка DC. . . . . . . . . . . : Ошибка
[ПРЕДУПРЕЖДЕНИЕ] Не удается вызвать DsBind для . (). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Тест Kerberos. . . . . . . . . . . : Ошибка
[FATAL] У Kerberos нет билета для krbtgt/.
[FATAL] У Kerberos нет билета для .
Тест LDAP. . . . . . . . . . . . . : Пройдено
[ПРЕДУПРЕЖДЕНИЕ] Не удалось запросить регистрацию имени участника-службы на контроллере домена.
В журнале системных событий затронутого контроллера домена может быть зарегистрировано следующее событие:
Разрешение
Для этих симптомов существует несколько решений. Ниже приведен список методов, которые можно попробовать. За списком следуют шаги для выполнения каждого метода. Пробуйте каждый метод, пока проблема не будет решена. Статьи базы знаний Майкрософт, описывающие менее распространенные способы устранения этих проблем, перечислены ниже.
Способ 1. Исправление ошибок DNS
Для получения дополнительных сведений о настройке DNS для службы каталогов Active Directory щелкните следующие номера статей базы знаний Майкрософт:
254680 Планирование пространства имен DNS
Способ 2. Синхронизируйте время между компьютерами
Убедитесь, что время правильно синхронизировано между контроллерами домена. Кроме того, убедитесь, что время правильно синхронизировано между клиентскими компьютерами и контроллерами домена.
Способ 3. Проверьте права пользователя "Доступ к этому компьютеру из сети"
Измените файл Gpttmpl.inf, чтобы убедиться, что у соответствующих пользователей есть право Доступ к этому компьютеру из сетевого пользователя на контроллере домена. Для этого выполните следующие действия:
Измените файл Gpttmpl.inf для политики контроллеров домена по умолчанию. По умолчанию в политике контроллеров домена по умолчанию определяются права пользователя для контроллера домена. По умолчанию файл Gpttmpl.inf для политики контроллеров домена по умолчанию находится в следующей папке.
Sysvol может находиться в другом месте, но путь к файлу Gpttmpl.inf-файл будет таким же.
Для контроллеров домена Windows Server 2003:
Для контроллеров домена Windows 2000 Server:
Справа от записи SeNetworkLogonRight добавьте идентификаторы безопасности для администраторов, для прошедших проверку пользователей и для всех. См. следующие примеры.
Для контроллеров домена Windows Server 2003:
Для контроллеров домена Windows 2000 Server:
Администраторы (S-1-5-32-544), прошедшие проверку пользователи (S-1-5-11), все (S-1-1-0) и контроллеры предприятия (S-1-5-9) ) используйте общеизвестные идентификаторы безопасности, одинаковые во всех доменах.
Удалите все записи справа от записи SeDenyNetworkLogonRight (запретить доступ к этому компьютеру из сети), чтобы соответствовать следующему примеру.
Пример одинаков для Windows 2000 Server и Windows Server 2003.
По умолчанию Windows 2000 Server не имеет записей в записи SeDenyNetworkLogonRight. По умолчанию Windows Server 2003 имеет только строковую учетную запись Support_random в записи SeDenyNetworkLogonRight. (Учетная запись строки Support_random используется удаленным помощником.) Поскольку учетная запись строки Support_random использует разные идентификаторы безопасности (SID) в каждом домене, ее нелегко отличить от обычной учетной записи пользователя, просто взглянув на SID. Вы можете скопировать SID в другой текстовый файл, а затем удалить SID из записи SeDenyNetworkLogonRight. Таким образом, вы сможете вернуть его обратно, когда закончите устранение неполадки.
SeNetworkLogonRight и SeDenyNetworkLogonRight можно определить в любой политике. Если предыдущие шаги не помогли решить проблему, проверьте файл Gpttmpl.inf в других политиках в Sysvol, чтобы убедиться, что там также не определяются права пользователя. Если файл Gpttmpl.inf не содержит ссылки на SeNetworkLogonRight или SeDenyNetworkLogonRight, эти параметры не определены в политике, и эта политика не вызывает эту проблему. Если такие записи существуют, убедитесь, что они соответствуют параметрам, указанным ранее для политики контроллера домена по умолчанию.
Способ 4. Убедитесь, что атрибут userAccountControl контроллера домена имеет значение 532480
Способ 5. Исправьте область Kerberos (убедитесь, что раздел реестра PolAcDmN и раздел реестра PolPrDmN совпадают)
Этот метод подходит только для Windows 2000 Server.
Этот раздел, метод или задача содержат инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о резервном копировании и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как выполнить резервное копирование и восстановление реестра в Windows
Способ 6. Сбросьте пароль учетной записи компьютера, а затем получите новый билет Kerberos
Остановите службу центра распространения ключей Kerberos, а затем установите значение запуска вручную.
Используйте инструмент Netdom из инструментов поддержки Windows 2000 Server или из инструментов поддержки Windows Server 2003, чтобы сбросить пароль учетной записи компьютера контроллера домена:
Убедитесь, что команда netdom успешно завершена. Если это не так, команда не сработала. Для домена Contoso, где затронутым контроллером домена является DC1, а рабочим контроллером домена является DC2, выполните следующую команду netdom из консоли DC1:
Перезапустите затронутый контроллер домена.
Запустите службу центра распространения ключей Kerberos, а затем установите для параметра запуска значение "Автоматически".
Для получения дополнительных сведений об этой проблеме щелкните следующие номера статей, чтобы просмотреть статьи базы знаний Майкрософт:
323542 Не удается запустить средство "Пользователи и компьютеры Active Directory", так как сервер не работает
Я хочу изменить DNS-имя для Windows Server 2016.
Есть ли способ сделать это?
Популярные темы в Windows Server
Стабби
Если это не контроллер домена, вы можете просто изменить имя в окне, которое вы нам показали, а затем перезагрузить сервер. AD будет автоматически обновлено с новым именем, как и DNS.
РЕДАКТИРОВАТЬ: я имел в виду, измените имя на самом сервере, щелкнув правой кнопкой мыши Компьютер и выбрав свойства. То же самое окно, в котором вы должны были бы присоединить его к домену.
3 ответа
Стабби
Если это не контроллер домена, вы можете просто изменить имя в окне, которое вы нам показали, а затем перезагрузить сервер. AD будет автоматически обновлено с новым именем, как и DNS.
РЕДАКТИРОВАТЬ: я имел в виду, измените имя на самом сервере, щелкнув правой кнопкой мыши Компьютер и выбрав свойства. То же самое окно, в котором вы должны были бы присоединить его к домену.
Спасибо. Это сработало!
ТФЛ
Вы также можете использовать командлет Rename-Computer. Он переименовывает либо локальный компьютер, либо именованный удаленный компьютер.
Эта тема заблокирована администратором и больше не открыта для комментариев.
Чтобы продолжить это обсуждение, задайте новый вопрос.
Щелкни! Chrome Zero-Day, Каталог CISA, Kaspersky, Sun Images, Обычный текст в Интернете
Ваша ежедневная доза технических новостей. Вы должны это услышать. Экстренное обновление Google Chrome исправляет уязвимость нулевого дня, используемую в атаках В Chrome обнаружена еще одна уязвимость нулевого дня, поэтому пришло время установить исправление. По данным BleepingComputer: .
Искра! Серия Pro — 28 марта 2022 г.
Прекрасный понедельник! С возвращением на работу и с возвращением в Spark! Я надеюсь, что ваш день превратится во все, что может быть! В любом случае, сделайте селфи и опубликуйте его ниже. Просто напоминание, если вы читаете.
Странные маршруты в таблице маршрутизации
Привет, ребята! Итак, у меня есть вопрос относительно некоторых действительно странных маршрутов в моей таблице маршрутизации. Недавно я перевел свой маршрутизатор Huawei B818 4G в режим моста за pfSense, который теперь является моим основным маршрутизатором. При этом я замечаю эти статические записи, которые появляются и.
Сколько ИБП у вас дома?
Я просто осматривал батареи (на предмет вздутия и уменьшения времени работы) и решил, что пришло время спросить: Сколько у вас дома? Я использую все APC, потому что так уж получилось 😂: 1500 ВА в подвале 2. - разместить стойку Chatsworth 650 в моем домашнем офисе 600 в w.
Что бы вы сделали?
Итак, я работаю в MSP, который работает круглосуточно и без выходных. Старший инженер в нежелательную смену с 23:00 до 8:00 уходит. Теперь у меня есть возможность перейти на эту должность, насколько больше это должно потребовать компенсации в процентах от того, что я зарабатываю сейчас? и я скажу это.
Моя текущая проблема заключается в том, что я не могу войти в DC (только DC в сети). Вход в другие компьютеры не является проблемой. Ошибка: «База данных безопасности на сервере не имеет учетной записи компьютера для доверительных отношений этой рабочей станции». Хорошей новостью является то, что все другие компьютеры в сети разрешают вход в систему.
a) Измените DNS-имя: или b) Вручную добавьте другой сервер с правильным именем.
Отсюда и мой вопрос: как изменить DNS-имя на контроллере домена Windows 2012?
Кроме того, я лаю не на то дерево? Есть ли что-то еще, на что я должен обратить внимание?
Я предполагаю, что кто-то получил свои шорты в кучу, потому что я не указал все вещи, которые я исследовал и пробовал.
2 ответа 2
Эту процедуру можно использовать для переименования контроллеров домена после операции переименования домена. Имена хостов системы доменных имен (DNS) контроллеров домена в переименованных доменах не изменяются автоматически в результате операции переименования домена. . Другими словами, суффикс DNS в полном имени хоста DNS контроллера домена в переименованном домене продолжает отражать старое доменное имя. Вы можете изменить DNS-имена хостов контроллеров домена в переименованном домене позднее с помощью специальной процедуры.
Изменение имени компьютера приводит к обновлению баз данных DNS и Active Directory. Компьютер выполняет эти обновления автоматически. После распространения обновленных данных на DNS-серверы и контроллеры домена Active Directory, используемые клиентским компьютером, клиентский компьютер может найти и пройти проверку подлинности на переименованном компьютере контроллера домена. Однако задержка репликации DNS и Active Directory (время, необходимое для репликации изменения имени во всех базах данных) может привести к тому, что клиенты временно не смогут найти или аутентифицировать переименованный контроллер домена. Таким образом, переименование критически важного сервера, например контроллера домена, требует выполнения процедуры подготовки к переименованию компьютера перед переименованием контроллера домена. Эта подготовительная процедура гарантирует, что клиентские компьютеры не смогут найти или аутентифицировать переименованный контроллер домена. Дополнительные сведения о том, как переименовать контроллер домена, см. в разделе Переименование контроллера домена.
Читайте также: