通过

排查 Windows 中的域控制器位置问题

  • 项目

本文可帮助排查 Windows 中的域控制器位置问题。

域控制器(DC)位置(也称为 DC 定位符)是指客户端计算机用来查找合适的域控制器的算法。 DC 定位器是所有企业环境中的关键基线功能。 有关域控制器在 Windows 中的位置的详细信息,请参阅 在 Windows 和 Windows Server 中查找域控制器。

如果 DC 定位符在 Active Directory 域中未按预期工作,请使用以下步骤排查问题:

注意

身份验证是 Active Directory 企业环境中几乎所有功能方案中的第一步。 但是,在客户端与 Active Directory 域控制器通信后,会发生身份验证。

  1. 检查客户端和服务器上的系统日志(例如,事件源为 NETLOGON)。 此外,检查服务器上的目录服务日志(例如,事件源是 NTDS KCC),以及 DNS 服务器上的域名系统(DNS)日志。

  2. 打开提升的命令提示符,并通过运行以下命令检查 IP 配置:

    ipconfig /all

  3. 使用 Ping 实用工具验证网络连接和名称解析。 Ping IP 地址、服务器名称和域名。

  4. 使用 PortQryUI 工具探测重要域控制器服务的可用性。 启动该工具时,请指定域控制器完全限定的域名(FQDN),并查询 域和信任 服务集,如下所示:

    端口查询工具窗口的屏幕截图,其中显示了带有 UDP 端口 389 的查询结果。

    屏幕截图显示了 DC 发现(UDP/389)的一个重要端口,在本例中成功。

    注意

    UDP/389:发现 AD 服务需要此端口。

  5. 使用该工具 nslookup 验证 DNS 条目是否已在 DNS 中正确注册。 验证是否可以解析服务器主机记录和全局唯一标识符 (GUID) SRV 记录。

    例如,若要验证记录注册,请运行以下命令:

    nslookup servername.childofrootdomain.rootdomain.com

    nslookup guid._msdcs.rootdomain.com

    如果其中任一命令未成功,请使用以下方法之一通过 DNS 重新注册记录:

    • 若要强制主机记录注册,请使用 ipconfig /registerdns 命令。
    • 若要强制域控制器服务注册,请停止并重启 Netlogon 服务。
    • 若要检测域控制器问题,请从命令提示符运行 DCdiag 实用工具。 该实用工具运行许多测试来验证域控制器是否正常运行。 dcdiag /v >dcdiag.txt使用命令将结果发送到文本文件。

  6. 使用Ldp.exe工具连接并绑定到域控制器,以验证适当的轻型目录访问协议(LDAP)连接。

  7. 如果怀疑特定域控制器出现问题,请打开 Netlogon 调试日志记录。 通过运行 nltest /dbflag:0x2000ffff 命令使用 Nltest 工具。 然后,该信息将记录在 %windir%\Debug 文件夹下的Netlogon.log文件中。

  8. 如果仍未隔离此问题,请使用 Wireshark 等网络监视器工具捕获和分析客户端与域控制器之间的网络流量。