Ошибка при определении того, принадлежат ли клиентский и серверный процессы одному и тому же компьютеру
Обновлено: 03.07.2024
Независимо от того, занимаетесь ли вы устранением неполадок, оптимизацией производительности или регулярным обслуживанием систем Windows, вам нужен надежный набор инструментов, чтобы увидеть, что происходит внутри. Они должны быть в вашем наборе инструментов.
Легко потерять представление о том, что происходит на сервере Windows, особенно когда что-то идет не так. Одновременно выполняются сотни процессов, запланированных задач, правил, дескрипторов и привилегий. Чем больше вы знаете о том, что происходит на компьютерах, за которые вы отвечаете, будь то Windows, Linux или любая другая операционная система, тем легче будет исправить ситуацию, если что-то пойдет не так.
К счастью, у вас есть помощь. Существует множество утилит командной строки для систем Windows (настольных и серверных), а также небольшие официальные инструменты, которые помогут вам всегда быть в курсе того, что происходит. В этой статье я познакомлю вас с некоторыми из них, о которых вы должны знать. Это может не удивить вас, если вы опытный администратор Windows, но может служить контрольным списком для вашего набора инструментов для исправления.
Я использую как бесплатные инструменты, так и команды командной строки PowerShell или CMD. Естественно, варианты выходят далеко за рамки моего списка здесь.
Если вы не хотите или (вероятно) не можете получить локальный доступ к своему серверу, воспользуйтесь удаленными инструментами, включая удаленное взаимодействие WinRS/WinRM или PowerShell, или придерживайтесь таких вариантов, как решения для удаленного рабочего стола.
Посмотрите, что запускается автоматически
Autoruns от Microsoft входит в список моих инструментов уже более 15 лет. Каждый администратор сервера должен иметь это под рукой. Он дает вам полный обзор всех процессов, которые запускаются при запуске Windows (будь то сервер или клиент), а также всех запланированных задач, служб, драйверов, поставщиков Winsock, библиотек DLL и многого другого.
Раз в месяц я просматриваю исчерпывающий список элементов и ищу новые записи (Почему это здесь? Откуда это берется? Нужно ли мне это?). Я также просматриваю записи, отмеченные желтым или красным цветом (элементы, которые пытаются запустить несуществующий файл — обычно это хороший источник для устранения неполадок).
В частности, я уделяю все внимание сторонним службам и запланированным задачам. Я хочу, чтобы мой сервер работал максимально чисто.
Большой плюс: последние версии позволяют проверить любой файл на наличие вредоносных программ любой формы, известных и особенно неизвестных, с помощью VirusTotal.
Контролировать все процессы в режиме реального времени
Одна из самых интересных вещей для наблюдения за вашим сервером и отличный способ устранения неполадок или проблем с производительностью — это Монитор процессов, который отображает в режиме реального времени все действия с файлами, процессами и реестром. Всего за 10 минут мой сервер Windows записал 8 миллионов событий.
Монитор процесса
Все может стать довольно диким, так как Process Monitor перечисляет каждое отдельное событие или процесс. Но с небольшим ноу-хау вы можете фильтровать информацию. Если вы подозреваете, что определенный процесс или служба перегружает ваш жесткий диск или дает сбой в определенный момент, естественно, вам нужно выяснить, почему. Вы можете изолировать его, щелкнув правой кнопкой мыши и выбрав Включить
<р>. Посмотрите, что происходит (в разделе «Операция»), затем проверьте «Результаты» и «Подробности» для дальнейшей диагностики. Это, вероятно, показывает, что является странным и почему.Сетевые команды, которые необходимо знать
Управлять сетевыми подключениями очень просто: откройте старую знакомую командную строку. Windows Server поставляется с несколькими командами для запуска в окне командной строки, которые должны помочь вам получить представление о сетевом подключении.
Сначала запустите командную строку и введите netstat . Netstat (доступен во всех версиях Windows) перечисляет все активные соединения с вашего локального IP-адреса во внешний мир. Добавьте параметр -b ( netstat -b ), чтобы получить список файлов и служб .exe, чтобы вы точно знали, что вызывает соединение.
Тогда есть ipconfig /all — классическая команда командной строки, которая показывает состояние всех сетевых адаптеров.
В командной строке введите сетевую статистику для получения списка основных данных о производительности, таких как сетевые ошибки, зависшие сеансы, полученные байты, полученные/отправленные SMB, ошибки записи/чтения и т. д. Сюда входят все данные с момента последней перезагрузка — о, и это также увеличивает время безотказной работы сервера!
И последнее, но не менее важное: PathPing. Он сочетает в себе Ping и Tracert и позволяет отслеживать и получать статистику по конкретному маршруту. Введите IP-АДРЕС для определения пути, чтобы получить информацию о задержке, потерянных пакетах и т. д. после нескольких секунд отслеживания.
Экспорт серверных приложений или системных журналов в CSV
Журналы событий — не самый быстрый способ проверить системные ошибки или ошибки приложений. С помощью простой команды PowerShell ( Get-EventLog -Log "Application" или Get-EventLog -Log "System") можно получить полный список всех событий в наиболее важных категориях.
Однако файлы журналов часто бывают огромными, и их невозможно прочитать. Вместо этого регулярно экспортируйте эти журналы в файл CSV.Использовать Excel для фильтрации и поиска намного проще, чем возиться со средством просмотра событий.
Не знаете, как начать работу с контейнерами? Да, у нас есть руководство для этого. Получить контейнеры для чайников.
Проверить работоспособность Active Directory
Основной инструмент для диагностики контроллеров домена — это средство диагностики контроллеров домена Microsoft. Запустите его из C:\Program Files (x86)\Resource Kit. Чтобы выполнить комплексную проверку всех Active Directory, запустите команду dcdiag /e /v /c, после чего вы получите информацию о ненормальном поведении системы, например об ошибках жесткого диска и сетевых проблемах. Добавление /fix запускает базовое (безопасное) восстановление DNS. Однако не рассчитывайте на них и не питайте надежд. По моему опыту, большинство проблем приходится решать вручную!
WMIC: основа всех проверок статуса
Еще один полезный встроенный инструмент, предоставляемый корпорацией Майкрософт, — это утилита командной строки Windows Management Instrumentation. Запуск WMIC из командной строки дает вам десятки инструментов для проверки активности аппаратного и программного обеспечения сервера. Я регулярно использую несколько его инструментов:
Помимо панелей мониторинга состояния
Приведенные здесь команды позволяют глубже погрузиться в состояние системы, чем это можно сделать с обзорной панелью состояния сервера Windows. Часто они позволяют исправить ситуацию немедленно. Это более практичный и тщательный подход .
В этой статье представлено решение проблемы, из-за которой приложение COM+ перестает работать в Windows, когда пользователь выходит из системы.
Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 — все выпуски, Windows 7 с пакетом обновления 1
Исходный номер базы знаний: 2287297
Симптомы
На сервере Windows у вас есть серверное приложение COM+, в котором удостоверение настроено для запуска от имени определенного пользователя. После работы в течение некоторого времени приложение может перестать работать и продолжать давать сбои. Для решения проблемы необходимо перезапустить приложение COM+.
Вы можете увидеть ошибку, похожую на следующую, в журнале приложений на клиентском компьютере. Если исполняемый файл клиента работает на том же компьютере, что и серверное приложение COM+, вы увидите эту ошибку на сервере COM+:
Тип события: Ошибка
Источник события: DCOM
Категория события: Нет
Идентификатор события: 10006
Дата:
Время:
Пользователь: Домен\пользователь
Компьютер: *****
Описание:
DCOM получил ошибку "Неопределенная ошибка" от компьютера "имя_сервера" при попытке активировать сервер:
В этом случае в сообщении о событии сообщается, что сервер возвращает ошибку (E_FAIL, 80004005 или неопределенная ошибка). CLSID компонента будет указан в записи журнала событий.
В журнале приложений компьютера, на котором запущено приложение COM+, вы также увидите события, подобные приведенным ниже:
Имя журнала: Приложение
Источник: Служба профилей пользователей Microsoft-Windows
Дата:
Идентификатор события: 1530
Категория задачи: Нет
Уровень : Предупреждение
Ключевые слова: Классический
Пользователь: СИСТЕМА
Компьютер: ИМЯ_СЕРВЕРА
Описание:
Windows обнаружила, что ваш файл реестра все еще используется другими приложениями или службами. Файл будет выгружен сейчас. После этого приложения или службы, содержащие ваш файл реестра, могут работать неправильно.ДЕТАЛИ –
1 дескриптор реестра пользователя просочился из \Registry\User\S-1-5-21-1049297961-3057247634. -349289542-1004_Classes:
Процесс 2428 (\Device\HarddiskVolume1\Windows\System32\dllhost.exe) открыл ключ \REGISTRY\USER\S-1-5-21-1123456789-3057247634-349289542-1004_CLASSES
Вы можете увидеть, что вызов для создания экземпляра компонента возвращает 0x800703fa.
Причина
Идентификатор пользователя, связанный с приложением COM+, регистрируется при первой инициализации приложения COM+. Если бы этот пользователь вышел из системы, профиль пользователя был бы выгружен, и приложение COM+ больше не могло бы читать ключи реестра в профиле удостоверения пользователя. Начиная с Windows Vista, служба профилей пользователей принудительно выгружает профиль пользователя, когда этот пользователь выходит из системы. Это ситуация, когда функция принудительной выгрузки профиля пользователя может привести к поломке приложения, если в процессе не будут закрыты дескрипторы реестра. Эта новая функция службы профилей пользователей является поведением по умолчанию.
Разрешение
В качестве временного решения может потребоваться изменить стандартное поведение службы профилей пользователей. Параметр политики Не выгружать реестр пользователей принудительно при выходе пользователя из системы противодействует поведению по умолчанию в Vista и более новых операционных системах. Когда эта функция включена, служба профилей пользователей не будет принудительно выгружать реестр, вместо этого она ждет, пока никакие другие процессы не будут использовать реестр пользователей, прежде чем выгрузить его. Политику можно найти в редакторе групповой политики (gpedit.msc).Политика «Не выгружать реестр пользователей принудительно при выходе пользователя из системы» находится в разделе «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Профили пользователей».
Измените параметр с «Не настроено» на «Включено», что отключит новую функцию службы профилей пользователей. DisableForceUnload — это значение, добавленное в реестр.
Подробнее
Windows всегда будет выгружать реестр пользователей, даже если есть какие-либо открытые дескрипторы разделов реестра для каждого пользователя при выходе пользователя из системы. Используя этот параметр политики, администратор может отменить это поведение, не позволяя Windows принудительно выгружать реестр пользователей при выходе пользователя из системы.
Эту политику следует использовать только в тех случаях, когда вы можете столкнуться с проблемами совместимости приложений из-за этого конкретного поведения Windows. Не рекомендуется включать эту политику по умолчанию, так как это может помешать пользователям получать обновленную версию своего перемещаемого профиля пользователя.
Если вы включите этот параметр политики, Windows не будет принудительно выгружать реестр пользователей при выходе из системы, но будет выгружать реестр, когда все открытые дескрипторы разделов реестра для каждого пользователя будут закрыты.
Если вы отключите или не настроите этот параметр политики, Windows всегда будет выгружать реестр пользователей при выходе из системы, даже если при выходе пользователя из системы есть какие-либо открытые дескрипторы разделов реестра для каждого пользователя.
Даже если вы включили параметр политики Не выгружать реестр пользователей принудительно при выходе пользователя из системы, в журнал может записываться предупреждение о событии с кодом 1530. Предупреждение регистрируется после первой попытки выгрузить куст реестра. Если это не удается, политика проверяется, чтобы определить, следует ли принудительно выгрузить куст реестра независимо от открытых дескрипторов реестра.
В этой статье описывается несколько распространенных сообщений об ошибках, которые могут появиться при присоединении клиентских компьютеров под управлением Windows к домену. В этой статье также приводятся рекомендации по устранению этих ошибок.
Применимо к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 4341920
Где найти файл Netsetup.log
Клиенты Windows регистрируют сведения об операциях присоединения к домену в файле %windir%\debug\Netsetup.log.
Сообщения об сетевых ошибках и решения
Ошибка 1
Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.
Разрешение
При вводе имени домена убедитесь, что вы вводите имя системы доменных имен (DNS), а не имя сетевой базовой системы ввода-вывода (NetBIOS). Например, если DNS-имя целевого домена — contoso.com , убедитесь, что вы вводите contoso.com вместо имени домена NetBIOS «contoso».
Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
Ошибка 2
Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.
Разрешение
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
Ошибка 3
Попытка выполнения операции с несуществующим сетевым подключением.
Разрешение
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Кроме того, перезагрузите компьютер, прежде чем пытаться присоединить его к домену.
Ошибка 4
Не допускается многократное подключение к серверу или общему ресурсу одним и тем же пользователем с использованием более одного имени пользователя. Отключите все предыдущие подключения к серверу или общему ресурсу и повторите попытку.
Разрешение
Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Ошибка 5
Разрешение
Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене.Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Кроме того, вы можете обновить драйвер сетевого адаптера.
Ошибка 6
В настоящее время к этому удаленному компьютеру больше нельзя установить никаких подключений, потому что уже установлено столько подключений, сколько компьютер может принять.
Разрешение
Прежде чем присоединять компьютер к домену, убедитесь, что вы удалили все сопоставленные подключения к любым дискам.
Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Ошибка может быть временной. Попробуйте позже. Если проблема не устранена, проверьте состояние контроллера домена, к которому подключается клиент (активные подключения, сетевое подключение и т. д.). Вы можете перезапустить контроллер домена, если проблема не устранена.
Ошибка 7
Недопустимый формат указанного имени сети.
Разрешение
Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Убедитесь, что у вас установлены самые последние версии драйверов для сетевого адаптера клиентского компьютера. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.
Ошибка 8
Служба каталогов исчерпала пул относительных идентификаторов.
Разрешение
Убедитесь, что контроллер домена, на котором размещен мастер операций с относительным идентификатором (RID), находится в сети и работает. Дополнительные сведения см. в разделе Событие с кодом 16650: не удалось инициализировать распределитель идентификаторов учетных записей в Windows Server.
Вы можете использовать команду netdom query fsmo, чтобы определить, какой контроллер домена имеет роль хозяина RID.
Убедитесь, что Active Directory реплицируется между всеми контроллерами домена. Вы можете использовать следующую команду для обнаружения ошибок:
Ошибка 9
Вызов удаленной процедуры завершился неудачно и не был выполнен.
Разрешение
Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние версии драйверов. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.
Эта проблема также может быть вызвана одним из следующих условий:
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между подключаемым клиентом и контроллером домена.
Ошибка 10
Не удалось изменить DNS-имя основного домена этого компьютера на "". Имя останется ".". Указанный сервер не может выполнить операцию.
Разрешение
Эта ошибка возникает при использовании пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания целевого домена DNS. Чтобы исправить эту ошибку, см. 2018583. При присоединении к домену Windows 7 или Windows Server 2008 R2 отображается ошибка «Не удалось изменить DNS-имя основного домена этого компьютера на «».
Сообщения об ошибках аутентификации и решения
Ошибка 1
Вы превысили максимальное количество учетных записей компьютеров, которые вам разрешено создавать в этом домене.
Разрешение
Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что вы не превысили квоту, установленную вашим администратором домена.
Чтобы присоединить компьютер к домену, учетной записи пользователя должны быть предоставлены разрешения на создание объектов компьютеров в Active Directory.
По умолчанию пользователь без прав администратора может присоединять к домену Active Directory не более 10 компьютеров.
Ошибка 2
Разрешение
Убедитесь, что контроллеры домена (DC) зарегистрированы с использованием правильных IP-адресов на DNS-сервере, а их имена участников-служб (SPN) правильно зарегистрированы в их учетных записях Active Directory.
Ошибка 3
Разрешение
Убедитесь, что у вас есть права на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя должно быть предоставлено разрешение на создание объекта компьютера в Active Directory.
Кроме того, убедитесь, что указанной учетной записи пользователя разрешен локальный вход на клиентский компьютер. Для этого настройте параметр Разрешить локальный вход в групповую политику в разделе Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя.
Ошибка 4
Разрешение
Убедитесь, что вы используете правильную комбинацию имени пользователя и пароля существующей учетной записи пользователя Active Directory, когда вам будет предложено ввести учетные данные для добавления компьютера в домен.
Ошибка 5
Сопоставление имен учетных записей и идентификаторов безопасности не выполнялось.
Разрешение
Эта ошибка, скорее всего, является временной ошибкой, которая регистрируется, когда присоединение к домену выполняет поиск в целевом домене, чтобы определить, была ли уже создана соответствующая учетная запись компьютера или операция присоединения должна динамически создавать учетную запись компьютера в целевом домене.
Ошибка 6
Недостаточно памяти для выполнения этой операции.
Разрешение
Эта ошибка может возникнуть, если размер токена Kerberos превышает максимальный размер по умолчанию. В этой ситуации необходимо увеличить размер токена Kerberos компьютера, который вы пытаетесь присоединить к домену. Дополнительные сведения см. в следующих статьях базы знаний:
935744 Сообщение об ошибке «Недостаточно памяти для выполнения этой операции» при использовании контроллера домена для присоединения компьютера к домену
327825 Проблемы с Kerberos аутентификация, когда пользователь принадлежит ко многим группам
Ошибка 7
Учетная запись не авторизована для входа с этой станции.
Разрешение
Эта проблема связана с несоответствием параметров подписи SMB между клиентским компьютером и контроллером домена, с которым связываются для операции присоединения к домену. Просмотрите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в вашей среде:
281648 Сообщение об ошибке: учетная запись не авторизована для входа с этой станции 823659 Проблемы с клиентом, службой и программой могут возникнуть, если вы измените настройки безопасности и назначение прав пользователя
Ошибка 8
Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.
Разрешение
Убедитесь, что на контроллере домена, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.
В этой статье представлено решение проблемы, из-за которой приложение COM+ перестает работать в Windows, когда пользователь выходит из системы.
Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 — все выпуски, Windows 7 с пакетом обновления 1
Исходный номер базы знаний: 2287297
Симптомы
На сервере Windows у вас есть серверное приложение COM+, в котором удостоверение настроено для запуска от имени определенного пользователя. После работы в течение некоторого времени приложение может перестать работать и продолжать давать сбои. Для решения проблемы необходимо перезапустить приложение COM+.
Вы можете увидеть ошибку, похожую на следующую, в журнале приложений на клиентском компьютере. Если исполняемый файл клиента работает на том же компьютере, что и серверное приложение COM+, вы увидите эту ошибку на сервере COM+:
Тип события: Ошибка
Источник события: DCOM
Категория события: Нет
Идентификатор события: 10006
Дата:
Время:
Пользователь: Домен\пользователь
Компьютер: *****
Описание:
DCOM получил ошибку "Неопределенная ошибка" от компьютера "имя_сервера" при попытке активировать сервер:
В этом случае в сообщении о событии сообщается, что сервер возвращает ошибку (E_FAIL, 80004005 или неопределенная ошибка). CLSID компонента будет указан в записи журнала событий.
В журнале приложений компьютера, на котором запущено приложение COM+, вы также увидите события, подобные приведенным ниже:
Имя журнала: Приложение
Источник: Служба профилей пользователей Microsoft-Windows
Дата:
Идентификатор события: 1530
Категория задачи: Нет
Уровень : Предупреждение
Ключевые слова: Классический
Пользователь: СИСТЕМА
Компьютер: ИМЯ_СЕРВЕРА
Описание:
Windows обнаружила, что ваш файл реестра все еще используется другими приложениями или службами. Файл будет выгружен сейчас. После этого приложения или службы, содержащие ваш файл реестра, могут работать неправильно.ДЕТАЛИ –
1 дескриптор реестра пользователя просочился из \Registry\User\S-1-5-21-1049297961-3057247634. -349289542-1004_Classes:
Процесс 2428 (\Device\HarddiskVolume1\Windows\System32\dllhost.exe) открыл ключ \REGISTRY\USER\S-1-5-21-1123456789-3057247634-349289542-1004_CLASSES
Вы можете увидеть, что вызов для создания экземпляра компонента возвращает 0x800703fa.
Причина
Идентификатор пользователя, связанный с приложением COM+, регистрируется при первой инициализации приложения COM+. Если бы этот пользователь вышел из системы, профиль пользователя был бы выгружен, и приложение COM+ больше не могло бы читать ключи реестра в профиле удостоверения пользователя. Начиная с Windows Vista, служба профилей пользователей принудительно выгружает профиль пользователя, когда этот пользователь выходит из системы. Это ситуация, когда функция принудительной выгрузки профиля пользователя может привести к поломке приложения, если в процессе не будут закрыты дескрипторы реестра. Эта новая функция службы профилей пользователей является поведением по умолчанию.
Разрешение
В качестве временного решения может потребоваться изменить стандартное поведение службы профилей пользователей. Параметр политики Не выгружать реестр пользователей принудительно при выходе пользователя из системы противодействует поведению по умолчанию в Vista и более новых операционных системах. Когда эта функция включена, служба профилей пользователей не будет принудительно выгружать реестр, вместо этого она ждет, пока никакие другие процессы не будут использовать реестр пользователей, прежде чем выгрузить его. Политику можно найти в редакторе групповой политики (gpedit.msc). Политика «Не выгружать реестр пользователей принудительно при выходе пользователя из системы» находится в разделе «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Профили пользователей».
Измените параметр с «Не настроено» на «Включено», что отключит новую функцию службы профилей пользователей. DisableForceUnload — это значение, добавленное в реестр.
Подробнее
Windows всегда будет выгружать реестр пользователей, даже если есть какие-либо открытые дескрипторы разделов реестра для каждого пользователя при выходе пользователя из системы. Используя этот параметр политики, администратор может отменить это поведение, не позволяя Windows принудительно выгружать реестр пользователей при выходе пользователя из системы.
Эту политику следует использовать только в тех случаях, когда вы можете столкнуться с проблемами совместимости приложений из-за этого конкретного поведения Windows. Не рекомендуется включать эту политику по умолчанию, так как это может помешать пользователям получать обновленную версию своего перемещаемого профиля пользователя.
Если вы включите этот параметр политики, Windows не будет принудительно выгружать реестр пользователей при выходе из системы, но будет выгружать реестр, когда все открытые дескрипторы разделов реестра для каждого пользователя будут закрыты.
Если вы отключите или не настроите этот параметр политики, Windows всегда будет выгружать реестр пользователей при выходе из системы, даже если при выходе пользователя из системы есть какие-либо открытые дескрипторы разделов реестра для каждого пользователя.
Даже если вы включили параметр политики Не выгружать реестр пользователей принудительно при выходе пользователя из системы, в журнал может записываться предупреждение о событии с кодом 1530. Предупреждение регистрируется после первой попытки выгрузить куст реестра. Если это не удается, политика проверяется, чтобы определить, следует ли принудительно выгрузить куст реестра независимо от открытых дескрипторов реестра.
В этой статье описывается несколько распространенных сообщений об ошибках, которые могут появиться при присоединении клиентских компьютеров под управлением Windows к домену. В этой статье также приводятся рекомендации по устранению этих ошибок.
Применимо к: Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 4341920
Где найти файл Netsetup.log
Клиенты Windows регистрируют сведения об операциях присоединения к домену в файле %windir%\debug\Netsetup.log.
Сообщения об сетевых ошибках и решения
Ошибка 1
Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.
Разрешение
При вводе имени домена убедитесь, что вы вводите имя системы доменных имен (DNS), а не имя сетевой базовой системы ввода-вывода (NetBIOS). Например, если DNS-имя целевого домена — contoso.com , убедитесь, что вы вводите contoso.com вместо имени домена NetBIOS «contoso».
Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
Ошибка 2
Не удалось разрешить DNS-имя контроллера домена в присоединяемом домене. Убедитесь, что этот клиент настроен на доступ к DNS-серверу, который может разрешать DNS-имена в целевом домене.
Разрешение
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Кроме того, убедитесь, что компьютер может подключиться к DNS-серверу, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене.Убедитесь, что правильный DNS-сервер настроен на этом клиенте в качестве предпочтительного DNS и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
Ошибка 3
Попытка выполнения операции с несуществующим сетевым подключением.
Разрешение
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Кроме того, перезагрузите компьютер, прежде чем пытаться присоединить его к домену.
Ошибка 4
Не допускается многократное подключение к серверу или общему ресурсу одним и тем же пользователем с использованием более одного имени пользователя. Отключите все предыдущие подключения к серверу или общему ресурсу и повторите попытку.
Разрешение
Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Ошибка 5
Разрешение
Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Кроме того, вы можете обновить драйвер сетевого адаптера.
Ошибка 6
В настоящее время к этому удаленному компьютеру больше нельзя установить никаких подключений, потому что уже установлено столько подключений, сколько компьютер может принять.
Разрешение
Прежде чем присоединять компьютер к домену, убедитесь, что вы удалили все сопоставленные подключения к любым дискам.
Перезагрузите компьютер, который вы пытаетесь присоединить к домену, чтобы убедиться в отсутствии скрытых подключений ни к одному из серверов домена.
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS.
Ошибка может быть временной. Попробуйте позже. Если проблема не устранена, проверьте состояние контроллера домена, к которому подключается клиент (активные подключения, сетевое подключение и т. д.). Вы можете перезапустить контроллер домена, если проблема не устранена.
Ошибка 7
Недопустимый формат указанного имени сети.
Разрешение
Убедитесь, что компьютер может связаться с DNS-сервером, на котором размещена зона DNS целевого домена, или может разрешать DNS-имена в этом домене. Убедитесь, что правильный DNS-сервер был настроен на этом клиенте в качестве предпочтительного DNS, и что клиент имеет возможность подключения к этому серверу. Чтобы убедиться в этом, вы можете запустить одну из следующих команд:
При вводе имени домена убедитесь, что вы вводите имя DNS, а не имя NetBIOS. Убедитесь, что у вас установлены самые последние версии драйверов для сетевого адаптера клиентского компьютера. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.
Ошибка 8
Служба каталогов исчерпала пул относительных идентификаторов.
Разрешение
Убедитесь, что контроллер домена, на котором размещен мастер операций с относительным идентификатором (RID), находится в сети и работает. Дополнительные сведения см. в разделе Событие с кодом 16650: не удалось инициализировать распределитель идентификаторов учетных записей в Windows Server.
Вы можете использовать команду netdom query fsmo, чтобы определить, какой контроллер домена имеет роль хозяина RID.
Убедитесь, что Active Directory реплицируется между всеми контроллерами домена. Вы можете использовать следующую команду для обнаружения ошибок:
Ошибка 9
Вызов удаленной процедуры завершился неудачно и не был выполнен.
Разрешение
Убедитесь, что для сетевого адаптера клиентского компьютера установлены самые последние версии драйверов. Проверьте подключение между подключаемым клиентом и целевым контроллером домена через требуемые порты и протоколы. Отключите функцию разгрузки TCP Chimney и разгрузку IP.
Эта проблема также может быть вызвана одним из следующих условий:
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) блокирует подключение через порты и протоколы, используемые протоколом MSRPC.
- Сетевое устройство (маршрутизатор, брандмауэр или VPN-устройство) отклоняет сетевые пакеты между подключаемым клиентом и контроллером домена.
Ошибка 10
Не удалось изменить DNS-имя основного домена этого компьютера на "". Имя останется ".". Указанный сервер не может выполнить операцию.
Разрешение
Эта ошибка возникает при использовании пользовательского интерфейса присоединения к домену для присоединения компьютера рабочей группы Windows 7 или Windows Server 2008 R2 к домену Active Directory путем указания целевого домена DNS. Чтобы исправить эту ошибку, см. 2018583. При присоединении к домену Windows 7 или Windows Server 2008 R2 отображается ошибка «Не удалось изменить DNS-имя основного домена этого компьютера на «».
Сообщения об ошибках аутентификации и решения
Ошибка 1
Вы превысили максимальное количество учетных записей компьютеров, которые вам разрешено создавать в этом домене.
Разрешение
Убедитесь, что у вас есть разрешения на добавление компьютеров в домен и что вы не превысили квоту, установленную вашим администратором домена.
Чтобы присоединить компьютер к домену, учетной записи пользователя должны быть предоставлены разрешения на создание объектов компьютеров в Active Directory.
По умолчанию пользователь без прав администратора может присоединять к домену Active Directory не более 10 компьютеров.
Ошибка 2
Разрешение
Убедитесь, что контроллеры домена (DC) зарегистрированы с использованием правильных IP-адресов на DNS-сервере, а их имена участников-служб (SPN) правильно зарегистрированы в их учетных записях Active Directory.
Ошибка 3
Разрешение
Убедитесь, что у вас есть права на добавление компьютеров в домен. Чтобы присоединить компьютер к домену, учетной записи пользователя должно быть предоставлено разрешение на создание объекта компьютера в Active Directory.
Кроме того, убедитесь, что указанной учетной записи пользователя разрешен локальный вход на клиентский компьютер. Для этого настройте параметр Разрешить локальный вход в групповую политику в разделе Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя.
Ошибка 4
Разрешение
Убедитесь, что вы используете правильную комбинацию имени пользователя и пароля существующей учетной записи пользователя Active Directory, когда вам будет предложено ввести учетные данные для добавления компьютера в домен.
Ошибка 5
Сопоставление имен учетных записей и идентификаторов безопасности не выполнялось.
Разрешение
Эта ошибка, скорее всего, является временной ошибкой, которая регистрируется, когда присоединение к домену выполняет поиск в целевом домене, чтобы определить, была ли уже создана соответствующая учетная запись компьютера или операция присоединения должна динамически создавать учетную запись компьютера в целевом домене.
Ошибка 6
Недостаточно памяти для выполнения этой операции.
Разрешение
Эта ошибка может возникнуть, если размер токена Kerberos превышает максимальный размер по умолчанию. В этой ситуации необходимо увеличить размер токена Kerberos компьютера, который вы пытаетесь присоединить к домену. Дополнительные сведения см. в следующих статьях базы знаний:
935744 Сообщение об ошибке «Недостаточно памяти для выполнения этой операции» при использовании контроллера домена для присоединения компьютера к домену
327825 Проблемы с Kerberos аутентификация, когда пользователь принадлежит ко многим группам
Ошибка 7
Учетная запись не авторизована для входа с этой станции.
Разрешение
Эта проблема связана с несоответствием параметров подписи SMB между клиентским компьютером и контроллером домена, с которым связываются для операции присоединения к домену. Просмотрите следующую документацию для дальнейшего изучения текущих и рекомендуемых значений в вашей среде:
281648 Сообщение об ошибке: учетная запись не авторизована для входа с этой станции 823659 Проблемы с клиентом, службой и программой могут возникнуть, если вы измените настройки безопасности и назначение прав пользователя
Ошибка 8
Учетная запись, указанная для этой службы, отличается от учетной записи, указанной для других служб, работающих в том же процессе.
Разрешение
Убедитесь, что на контроллере домена, через который вы пытаетесь присоединиться к домену, запущена служба времени Windows.
Читайте также: