W tym artykule przyjrzymy się, dlaczego nowy komputer nie może podłączyć się do domeny Active Directory. Błąd, który pojawi się w takim przypadku: „Nie można skontaktować się z kontrolerem domeny Active Directory” – „Active Directory Domain Controller could not be contacted”.

Active Directory Domain Controller Could Not Be Contacted Error: Co z tym zrobić?

Nie można skontaktować się z kontrolerem domeny usługi Active Directory, w jaki sposób rozwiązać taki problem?

Użytkownik lub administrator próbuje dołączyć do domeny nową stację roboczą lub serwer z systemem Windows. Aby to zrobić, otwórz Właściwości systemu (System Properties) na stacji roboczej i naciśnij Zmień ustawienia > Zmień (Change settings > Change). Wprowadź nową nazwę komputera i wybierz, że ten komputer powinien być członkiem określonej domeny. Wprowadź nazwę FQDN domeny AD. Po kliknięciu przycisku OK może pojawić się błąd:

An Active Directory Domain Controller (AD DC) for the domain “beitadmin.pl” could not be contacted.
Ensure that the domain name is typed correctly.
If the name is correct, click Details for troubleshooting information.

Jak naprawić błąd braku połączenia z kontrolerem domeny AD?

Oto kilka podstawowych kroków, które powinny pomóc w naprawieniu błędu połączenia z kontrolerem domeny:

• Sprawdź swój adres IP i ustawienia DNS.
• Sprawdź łączność kontrolera domeny Active Directory.
• Sprawdź stan DC (rekordy SRV DNS, Netlogon i foldery Sysvol).

Sprawdź ustawienia IP i ustawienia DNS na swoim komputerze

Najczęściej ten problem jest związany z nieprawidłowymi ustawieniami IP lub DNS na twoim komputerze.

Sprawdź adres IP

Najpierw sprawdź, czy Twój komputer ma prawidłowy adres IP na podstawowym interfejsie sieciowym. Adres IP można uzyskać z serwera DHCP lub określić ręcznie w ustawieniach karty sieciowej. Możesz wyświetlić bieżące ustawienia sieciowe komputera za pomocą polecenia:

Upewnij się, że adres IP komputera jest zgodny z siecią, w której się znajduje. Spróbuj ręcznie ustawić statyczny adres IP lub odwrotnie, uzyskaj poprawny adres z serwera DHCP (we właściwościach karty sieciowej wybierz Uzyskaj adres IP automatycznie).

Sprawdź ustawienia klienta DNS

Upewnij się, że ustawienia IP karty sieciowej są ustawione na wewnętrzne serwery DNS. Możesz wyświetlić aktualne serwery DNS dla swojej karty za pomocą programu PowerShell:

Jeśli adres serwera DNS jest nieprawidłowy, zmień go ręcznie lub pobierz ustawienia z DHCP.

Upewnij się, że usługa klienta DNS jest uruchomiona przy użyciu polecenia cmdlet Get-Service:

Otwórz plik hosts (C:\Windows\System32\Drivers\etc\hosts) na komputerze za pomocą programu notepad.exe lub innego edytora tekstu i upewnij się, że nie ma wpisów dotyczących nazwy domeny lub kontrolera domeny. Jeśli takie wpisy istnieją, usuń je.

Możesz wyświetlić zawartość pliku hosts za pomocą polecenia:

Następnie wyczyść pamięć podręczną DNS i uruchom ponownie usługę z wiersza polecenia z podwyższonym poziomem uprawnień (jako Administrator):

Sprawdź, czy komputer może przetłumaczyć nazwę domeny na poprawny adres IP kontrolera domeny. Użyj polecenia cmdlet Resolve-DNSName z nazwą FQDN swojej domeny, do której próbujesz dołączyć swoją stację roboczą:

Polecenie powinno zwrócić jeden lub więcej rekordów serwerów DNS.

Sprawdź łączność kontrolera domeny

Następnie sprawdź, czy kontroler domeny jest dostępny z poziomu klienta. Otwórz wiersz polecenia i uruchom następujące polecenia:

oraz

Upewnij się, że kontroler domeny odpowiada i jest osiągalny.

Jeśli kontroler domeny jest osiągalny, spróbuj dodać otrzymany adres IP jako serwer DNS w zaawansowanych ustawieniach TCP/IP połączenia sieciowego.

• Otwórz Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Zmień ustawienia adaptera (Control Panel > Network and Internet > Network and Sharing Center > Change adapter settings).
• Wybierz kartę sieciową podłączoną do sieci firmowej, kliknij ją prawym przyciskiem myszy i wybierz Właściwości (Properties).

• Wybierz Protokół internetowy w wersji 4 (TCP/IPv4) (Internet Protocol Version 4 (TCP/IPv4) i kliknij Właściwości (Properties).
• Naciśnij przycisk Zaawansowane (Advanced) i przejdź do zakładki DNS (DNS tab).
• Na karcie DNS naciśnij Dodaj i wprowadź adres IP swojego serwera DNS (kontrolera domeny). Nie używaj publicznych adresów IP DNS w preferowanych i alternatywnych polach, takich jak 8.8.8.8 (google) lub 1.1.1.1 (cloudflare).

• Kliknij OK (jeśli na liście serwerów DNS znajduje się kilka adresów IP, przenieś adres IP swojego DC na początek listy).

• Zapisz zmiany i zrestartuj stację roboczą.
• Spróbuj dołączyć swoją stację roboczą do domeny AD.

Sprawdź, czy połączenia kontrolera domeny nie są blokowane przez zaporę

Sprawdź, czy dostęp do usługi DNS na kontrolerze domeny nie jest blokowany przez zapory. Najłatwiejszym sposobem sprawdzenia dostępności portu 53 na DC jest użycie PowerShell:

W naszym przykładzie TcpTestSucceeded: True oznacza, że usługa DNS na kontrolerze domeny jest dostępna.

Upewnij się również, że komputer może kontaktować się z serwerem DNS obsługującym strefę DNS lub rozpoznawać nazwy DNS w tej domenie. Upewnij się, że właściwy serwer DNS jest skonfigurowany na tym kliencie zgodnie z preferencjami, a klient jest połączony z tym serwerem. Potwierdź, że możesz znaleźć domenę i uzyskać dostęp do kontrolera domeny z komputera za pomocą polecenia:

Jeśli komputer pomyślnie wykrył domenę i kontroler domeny, polecenie powinno zwrócić informacje o domenie, witrynie AD i usługach uruchomionych na kontrolerze domeny:

DC: \DC01.beitadmin.pl
Address: \192.168.1.15
Dom Guid: 4216f343-2949-21c3-8caa-6d7cbcdb1690
Dom Name: beitadmin.pl
Forest Name: beitadmin.pl
Dc Site Name: PL
Our Site Name: PL
Flags: PDC GC DS LDAP KDC TIMESERV GTIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS
The command completed successfully.

Spróbuj także tymczasowo wyłączyć wbudowaną Zaporę systemu Windows i wszystkie aplikacje innych firm z modułami antywirusowymi/zapór ogniowych (Symantec, MacAfee, Windows Defender itp.), które mogą blokować porty sieciowe w celu uzyskania dostępu do kontrolera domeny. Po wyłączeniu zapór spróbuj dołączyć komputer do domeny.

Oto minimalna lista protokołów sieciowych, portów i usług, które nie mogą być blokowane w zaporach między klientem a kontrolerem domeny, aby pomyślnie dołączyć urządzenie do domeny Active Directory:

• UDP 53 — DNS traffic;
• TCP and UDP 88 — Kerberos authentication;
• UDP 123 — Windows Time Sync with DC;
• TCP 135 — Remote Procedure Call RPC Locator;
• TCP and UDP 139 — NetBIOS Session Service;
• TCP and UDP 389 (LDAP, DC Locator, Net Logon) or TCP 636 (LDAP over SSL);
• TCP 445 (SMB/CIFS, Net Logon);
• TCP 49152-65535 — RPC ports, randomly allocated high TCP ports.

Sprawdź rekordy DNS SRV na kontrolerze domeny

Sprawdź rekordy DNS na swoim DC

Jeśli powyższa metoda nie pomogła, sprawdź, czy w strefie DNS Twojego kontrolera domeny znajduje się rekord SRV lokalizacji DC.

Otwórz wiersz polecenia z podwyższonym poziomem uprawnień (admin) i uruchom następujące polecenia:

Sprawdź, czy określony serwer DNS ma rekord SRV w następującej formie:

Jeśli brakuje określonego rekordu SRV, oznacza to, że komputer jest skonfigurowany do korzystania z serwera DNS, który nie ma poprawnego rekordu SRV z lokalizacją kontrolera domeny.

Zaktualizuj/ponownie zarejestruj rekordy DNS SRV na DC

Jeśli nie możesz zmienić ustawień DNS na swoim komputerze, możesz ręcznie dodać dwa rekordy (SRV i A) do istniejącego serwera DNS, które pomogą Ci rozpoznać adres IP kontrolera domeny:

• _ldap._tcp.dc.msdcs.nazwa_domeny.com – jest rekordem zasobu SRV wskazującym na kontroler domeny obsługujący rolę ADDS.
• Rekord A – identyfikuje adres IP dla kontrolera domeny wymienionego w pliku _ldap._tcp.dc.msdcs.nazwa_domeny.com Rekord zasobu SRV.

Uruchom ponownie usługę Netlogon na kontrolerze domeny za pomocą polecenia:

(lub po prostu spróbuj zrestartować DC)

Podczas uruchamiania spróbuje zarejestrować niezbędne rekordy SRV na serwerze DNS.

Możesz także ponownie zarejestrować rekordy DNS kontrolera domeny za pomocą polecenia:

Poczekaj chwilę, aż rekordy pojawią się w DNS i zostaną zreplikowane w domenie.

Upewnij się również, że aktualizacje dynamiczne są dozwolone w ustawieniach strefy DNS systemu Windows.

Sprawdź kondycję kontrolera domeny

Zaleca się również sprawdzenie, czy udostępnione foldery sieciowe SYSVOL i NETLOGON są tworzone i dostępne na kontrolerze domeny (uruchom polecenie net share na najbliższym kontrolerze domeny).

Jeśli na liście udziałów brakuje katalogów SYSVOL i NETLOGON:

• Sprawdź ustawienia IP i DNS na swoim DC (kontroler domeny nie powinien otrzymywać adresu IP z serwera DHCP, używaj tylko statycznego adresu IP).
• Sprawdź, czy katalog domeny C:\Windows\SYSVOL zawiera foldery Zasady (Policies) i Skrypty (Scripts).

• Jeśli nie przeprowadzono migracji replikacji Sysvol z FRS do DFS, aby replikować Sysvol z PDC do wszystkich kontrolerów domeny w domenie, należy zatrzymać usługę replikacji plików (net stop NtFrs). Następnie uruchom Regedit i przejdź do klucza rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/RestoreProcess at Startup, tutaj zmień wartość parametru BurFlags DWORD na D4 (hex) na PDC i na D2 (hex) na wszystkich dodatkowych kontrolerach domeny. Następnie uruchom usługę:

I sprawdź, czy katalog DCName SYSVOL pojawia się i jest dostępny na problematycznym kontrolerze domeny.

“an Active Directory Domain Controller Could not be Contacted”

„Nie można skontaktować się z kontrolerem domeny usługi Active Directory”. Jeśli żadna z powyższych metod nie pomogła rozwiązać problemu, musisz przejść do bardziej zaawansowanego rozwiązywania problemów. Zwróć uwagę, że przycisk Szczegóły jest dostępny w komunikacie o błędzie.

Kliknij przycisk Szczegóły, aby uzyskać więcej informacji o błędzie. W większości przypadków zobaczysz tam błąd:

“DNS name does not exist” or one of the following error codes 0x0000232B RCODE_NAME_ERROR, 0x0000267C DNS_ERROR_NO_DNS_SERVER, and 0x00002746 WSAECONNRESET).

Otwórz plik tekstowy C:\windows\debug\dcdiag.txt na komputerze użytkownika. Uważnie przestudiuj najnowsze błędy w tym pliku. Być może wskażą Ci właściwy kierunek.

Najczęściej można napotkać takie błędy w pliku dcdiag.txt:

• 0x0000232B — RCODE_NAME_ERROR („Nazwa DNS nie istnieje”) – Twój komputer nie może znaleźć rekordu SRV na serwerze DNS. Upewnij się, że ustawienia DNS komputera są ustawione na adres IP kontrolera domeny. Sprawdź rekordy SRV na DC;
• 0x0000267C — DNS_ERROR_NO_DNS_SERVER („Brak skonfigurowanych serwerów DNS dla systemu lokalnego”). W takim przypadku zaleca się sprawdzenie ustawień IP i DNS oraz łączności sieciowej;
• 0x00002746 — WSAECONNRESET („Istniejące połączenie zostało przymusowo zamknięte przez zdalnego hosta”) — sprawdź łączność sieciową i reguły zapory. Spróbuj ponownie uruchomić usługę DNS na DC lub całkowicie zrestartuj hosta.

Czasami w pliku Netsetup.log można znaleźć przydatne informacje o błędach przy dołączaniu komputera do domeny Active Directory. To klienci systemu Windows rejestrują szczegóły operacji dołączania do domeny. Ten dziennik można znaleźć tutaj %windir%\debug\Netsetup.log. Dokładnie sprawdź błędy w pliku Netsetup.log, mogą one pomóc w znalezieniu problemu braku możliwości połączenia z domeną Active Directory.

Najbardziej typowe błędy to:

• Próba rozpoznania nazwy DNS kontrolera domeny w dołączanej domenie nie powiodła się. Sprawdź, czy ten klient jest skonfigurowany do łączenia się z serwerem DNS, który może rozpoznawać nazwy DNS w domenie docelowej;
• Próbowano wykonać operację na nieistniejącym połączeniu sieciowym — uruchom ponownie komputer, upewnij się, że wpisujesz nazwę DNS, a nie nazwę NetBIOS;
• Wielokrotne połączenia z serwerem lub udostępnionym zasobem przez tego samego użytkownika, przy użyciu więcej niż jednej nazwy użytkownika, są niedozwolone. Rozłącz wszystkie poprzednie połączenia z serwerem lub udostępnionym zasobem i spróbuj ponownie — uruchom ponownie urządzenie;
• Nie można znaleźć nazwy sieci — upewnij się, że Twój komputer ma dostęp do serwera DNS obsługującego strefę DNS domeny;
• W tej chwili nie można nawiązać więcej połączeń z tym komputerem zdalnym, ponieważ istnieje już tyle połączeń, ile komputer może zaakceptować — usuń wszystkie zmapowane dyski i uruchom ponownie komputer.

Podsumowanie

Active Directory jest jedną najważniejszych usług w środowisku IT opartym o rozwiązania Microsoft. Dlatego należy dołożyć wszelkich starań, aby AD oraz wszyskie zależne usługi działały poprawnie.

---

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).