Risolvere i problemi relativi alla posizione del controller di dominio in Windows
Questo articolo illustra come risolvere i problemi relativi alla posizione del controller di dominio in Windows.
La posizione del controller di dominio, nota anche come controller di dominio locator, fa riferimento all'algoritmo usato dal computer client per trovare un controller di dominio appropriato. Il localizzatore di controller di dominio è una funzionalità di base fondamentale in tutti gli ambienti aziendali. Per altre informazioni sul modo in cui si trovano i controller di dominio in Windows, vedere Individuazione dei controller di dominio in Windows e Windows Server.
Se il localizzatore di controller di dominio non funziona come previsto nei domini di Active Directory, risolvere i problemi attenendosi alla procedura seguente:
Note
L'autenticazione è il primo passaggio in quasi tutti gli scenari funzionali in un ambiente aziendale di Active Directory. Tuttavia, l'autenticazione viene eseguita dopo che il client comunica con un controller di dominio di Active Directory.
Controllare i log di sistema, ad esempio l'origine evento è NETLOGON, sia nel client che nel server. Controllare anche i log del servizio directory (ad esempio, l'origine evento è NTDS KCC) nei log server e DNS (Domain Name System) nel server DNS.
Aprire un prompt dei comandi con privilegi elevati e controllare la configurazione IP eseguendo il comando seguente:
ipconfig /all
Usare l'utilità Ping per verificare la connettività di rete e la risoluzione dei nomi. Effettuare il ping dell'indirizzo IP, del nome del server e del nome di dominio.
Usare lo strumento PortQryUI per verificare la disponibilità di importanti servizi controller di dominio. Quando si avvia lo strumento, specificare il nome di dominio completo del controller di dominio (FQDN) ed eseguire una query sul set di domini e trust dei servizi come indicato di seguito:
Lo screenshot mostra una porta importante per l'individuazione del controller di dominio che è UDP/389 e in questo caso ha esito positivo.
Note
UDP/389: questa porta è necessaria per individuare i servizi di Active Directory.
Usare lo
nslookup
strumento per verificare che le voci DNS siano registrate correttamente in DNS. Verificare che i record host del server e i record SRV (GUID) univoci globali possano essere risolti.Ad esempio, per verificare le registrazioni dei record, eseguire i comandi seguenti:
nslookup servername.childofrootdomain.rootdomain.com
nslookup guid._msdcs.rootdomain.com
Se uno di questi comandi non riesce, usare uno dei metodi seguenti per registrare nuovamente i record con DNS:
- Per forzare la registrazione del record host, usare il
ipconfig /registerdns
comando . - Per forzare la registrazione del servizio controller di dominio, arrestare e riavviare il servizio Netlogon.
- Per rilevare i problemi del controller di dominio, eseguire l'utilità DCdiag da un prompt dei comandi. L'utilità esegue molti test per verificare che un controller di dominio sia in esecuzione correttamente. Usare il
dcdiag /v >dcdiag.txt
comando per inviare i risultati a un file di testo.
- Per forzare la registrazione del record host, usare il
Usare lo strumento Ldp.exe per connettersi e associarsi al controller di dominio per verificare la connettività LDAP (Lightweight Directory Access Protocol) appropriata.
Se si sospetta che un determinato controller di dominio abbia problemi, attivare la registrazione di debug netlogon. Usare lo strumento Nltest eseguendo il
nltest /dbflag:0x2000ffff
comando . Le informazioni vengono quindi registrate nel file Netlogon.log nella cartella %windir%\Debug .Se il problema non è ancora stato isolato, usare strumenti di monitoraggio di rete come Wireshark per acquisire e analizzare il traffico di rete tra il client e il controller di dominio.