Исправление ошибки “Невозможно связаться с контроллером домена Active Directory”

Учебники

Каждый администратор IT, управляющий компьютерами в среде Active Directory, сталкивался с этой проблемой. Вы пытаетесь добавить компьютер в домен Active Directory (AD) и получаете страшную ошибку «Не удалось связаться с контроллером домена Active Directory». В этой статье вы узнаете, как диагностировать (и решить) эту проблему раз и навсегда.

A FREE read only tool that scans your AD and generates multiple interactive reports for you to measure the effectiveness of your password policies against a brute-force attack. Download Specops Password Auditor now!

An Active Directory Domain Controller Could not be Contacted

Эта ошибка связана с DNS. Основная проблема в том, что компьютер не смог найти соответствующую SRV запись DNS, которая ему необходима для присоединения к домену AD.

I’ve put together a few steps for you to follow to fix this error and get your computer joined to your domain.

Убедитесь, что вы используете правильные DNS-серверы

Прежде чем углубляться в проблему, убедитесь, что вы используете правильные DNS-серверы.

Active Directory и DNS имеют особые взаимоотношения. Контроллеры домена регистрируют определенные записи в DNS-серверах, о которых они знают. Они находятся в зоне _ldap._tcp.dc.msdcs.<domainname> и помогают устройствам, присоединенным к AD, находить ресурсы, такие как контроллеры домена. Записи SRV не будут существовать на DNS-серверах, которые не являются интегрированными в AD.

Чтобы решить эту проблему, вам необходимо использовать либо:

  • Интегрированный в AD DNS-сервер
  • A DNS server that replicates records from an AD aware DNS server
  • A DNS server that has forwarding set up to query either an AD-integrated DNS server or a DNS server with replicated records

Чтобы проверить, что DNS-сервер, который вы используете, относится к одному из вышеуказанных типов, выполните следующую команду в сеансе PowerShell на компьютере, уже присоединенном к домену:

PS C:\> Get-DnsClientServerAddress

InterfaceAlias               Interface Address ServerAddresses
                             Index     Family
--------------               --------- ------- ---------------
Ethernet                             9 IPv4    {10.0.0.101}
Ethernet                             9 IPv6    {}
Loopback Pseudo-Interface 1          1 IPv4    {}
Loopback Pseudo-Interface 1          1 IPv6    {fec0:0:0:ffff::1, fec0:0:0:ffff::2, fec0:0:0:ffff::3}

Столбец ServerAddesses содержит DNS-серверы, используемые этим компьютером. Если у вас нет другого клиента домена для проверки, вам нужно обратиться к своей сетевой команде за этой информацией.

Вы можете использовать командлет Set-DnsClientServerAddress в PowerShell для изменения настроек DNS-клиента компьютера или через диалоговое окно Свойства IPv4 для сетевой карты компьютера. Для этого перейдите в Панель управления -> Сеть -> Интернет -> Сетевые подключения.

После этого, в окне Сетевые подключения, щелкните правой кнопкой мыши на сетевой карте, выберите Свойства, выберите Интернет-протокол версии 4 (TCP/IPv4) и затем щелкните Свойства.

IPv4 properties dialog

Если сеть использует протокол динамической настройки хоста (DHCP), убедитесь, что выбраны параметры Автоматическое получение IP-адреса и Автоматическое получение адреса DNS-сервера.

Если ваша сеть не использует DHCP, то обновите значения Предпочтительный DNS-сервер и Альтернативный DNS-сервер на корректные, полученные ранее.

Найдите истинную ошибку

Если вы убедились, что у вашего компьютера правильные DNS-серверы, пришло время копнуть немного глубже.

Когда вы пытаетесь присоединить компьютер к домену, появляется ошибка «Не удалось связаться с контроллером домена Active Directory», но это не “истинное” сообщение об ошибке. Вам нужно немного погрузиться в детали.

Вы заметите в диалоговом окне ошибки кнопку Подробности >>. Нажмите на нее. Это позволит получить более детальную информацию, что позволит вам лучше устранить эту ошибку.

Expanded details view of the error dialog

Вы можете выбрать содержимое текстового поля для копирования и вставки в текстовый просмотрщик, или вы можете найти ту же информацию в файле C:\windows\debug\dcdiag.txt на этой машине. Этот файл создается Windows при возникновении ошибки.

Текст ошибки содержит некоторые ключевые сведения. Я пометил каждое из них номером и выделенным шрифтом в приведенном ниже примере:

  • Имя домена, которое машина считает, что вы запросили для подключения (1)
  • Код ошибки (2)
  • Запрос DNS, который был сделан (3)
  • DNS-серверы, которые машина запросила (если таковые были) (4)

Примечание: Эта информация предназначена для сетевого администратора. Если вы не являетесь администратором сети, сообщите администратору, что вы получили эту информацию, которая была записана в файл C:\windows\debug\dcdiag.txt.

Возникла следующая ошибка при запросе DNS для записи ресурса службы (SRV), используемой для поиска контроллера домена Active Directory (AD DC) для домена “carisbrookelabs.local”(1):

Ошибка: “DNS-имя не существует.”
(код ошибки 0x0000232B RCODE_NAME_ERROR) (2)

Запрос был сделан для записи SRV для _ldap._tcp.dc._msdcs.carisbrookelabs.local (3)

Общие причины возникновения этой ошибки включают в себя следующее:

DNS-записи SRV, необходимые для поиска AD DC для домена, не зарегистрированы в DNS. Эти записи автоматически регистрируются на DNS-сервере при добавлении AD DC в домен. Они обновляются AD DC через определенные интервалы. Этот компьютер настроен на использование DNS-серверов с следующими IP-адресами:

8.8.4.4
8.8.8.8 (4)

Один или несколько из следующих зон не включают делегирование своей дочерней зоне: carisbrookelabs.local

local
. (корневая зона)

0x0000267C DNS_ERROR_NO_DNS_SERVER

Эта ошибка указывает на то, что DNS-сервер не может быть найден даже для попытки запроса. У него даже нет шанса. Это обычно вызвано отсутствием сетевого подключения к DNS-серверу.

Обратите внимание, что вы можете присоединить компьютер без сетевого подключения, известного как offline domain join, но это выходит за рамки данной статьи.

Устранение неполадок в сетевом подключении

Если вы видите это сообщение об ошибке, вам придется начать устранение неполадок в сети.

  1. Проверьте, что ваш сетевой адаптер включен и вы можете подключаться к другим сетевым ресурсам.
  2. Проверьте, что у вас есть IP-адрес и настроены DNS-серверы.

Вы можете проверить IP-адрес и DNS-серверы, запустив команду ipconfig /all.

Если у вас есть IP-адрес и возможность достигнуть других сетевых ресурсов, вам нужно протестировать соединение между компьютером и DNS-сервером.

Для этого вы можете использовать команду ping и cmdlet Test-Connection в PowerShell. Проверьте подключение к DNS-серверам с использованием любого из этих утилит. Если на сети разрешен трафик протокола управления сообщениями Интернета (ICMP), вы должны получить ответ. Если возникает ошибка или тайм-аут, скорее всего у вас есть проблемы с сетевыми настройками, такими как маршрутизация. Обсудите это с вашей сетевой командой для устранения проблемы, а затем повторите попытку подключения.

Проверьте подключение к DNS

Если вы подтвердили, что ваше сетевое подключение работает, вам следует удостовериться, что ваш компьютер может подключиться через TCP/53 к DNS-серверу.

Попробуйте использовать cmdlet PowerShell Resolve-DNSName с полным доменным именем (FQDN) домена, который вы пытаетесь присоединиться. Это должно вернуть одну или несколько записей DNS-сервера:

PS C:\> Resolve-DNSName carisbrookelabs.local


Name                                           Type   TTL   Section	IPAddress
----                                       	----   ---   -------	---------
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.103
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.102
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.101

Если вы получаете ошибку, тогда стоит проверить, нет ли блокировки IP-трафика на порту 53 (порту, используемому для DNS-трафика) между вашим компьютером и DNS-серверами.

Вы можете выполнить простую проверку подключения к порту 53 с использованием командлета Test-NetConnection (не путать с командлетом Test-Connection):

PS C:\> Test-NetConnection -Port 53 -ComputerName <DNSSERVERHERE>
True

Вы получите ответ True, если соединение успешно, или False, если оно не удалось. Сбой может быть вызван сетевым или хост-блокировщиком на DNS-сервере.

0x0000232B RCODE_NAME_ERROR

Эта ошибка означает, что DNS-сервер был найден, но запись SRV не была обнаружена. Эта ошибка требует дополнительного анализа.

Убедитесь, что вы используете полное доменное имя (FQDN)

Кажется, что это просто, но убедитесь, что введенное вами имя соответствует полному доменному имени (FQDN) домена, к которому вы пытаетесь присоединиться. Это должно быть только имя домена, а не имя сервера. Например, используйте carisbrookelabs.local, а не WIN-3467RQTHJH5.carisbrookelabs.local.

Если есть сомнения, проверьте имя домена существующего клиента. Вы можете найти соответствующее имя домена, выполнив эту команду PowerShell на существующем клиенте домена.

PS51> (Get-CimInstance Win32_ComputerSystem).Domain
carisbrookelabs.local

Если вы пытаетесь использовать имя NETBIOS (contoso) вместо FQDN (contoso.local), компьютер может найти домен, но Windows все равно будет обрабатывать его как FQDN.

Если вы вводите имя NETBIOS и у вас нет инфраструктуры WINS, то вы получите ошибку, которую мы пытаемся исправить. Всегда используйте полное доменное имя (FQDN), а не имя NETBIOS.

Typing an FQDN in the Computer/Domain Changes dialog

Проверьте записи DNS

На этом этапе вы снова будете использовать команду Resolve-DNSName. На этот раз используйте точную запись DNS, которая не была получена при попытке присоединить ваш компьютер к домену. Скопируйте и вставьте ее из файла dcdiag.txt, упомянутого во введении, или из копии текста ошибки, которую вы взяли ранее. Это избежит любых ошибок при вводе подчеркиваний и тире.

Ваша команда должна выглядеть примерно так:

PS C:\> Resolve-DNSName _ldap._tcp.dc._msdcs.carisbrookelabs.local


Name                    	Type TTL   Section	PrimaryServer           	NameAdministrator       	SerialNumber
----                    	---- ---   -------	-------------           	-----------------       	------------
_msdcs.carisbrookelabs.loca SOA  3600  Authority  WIN-3467RQTHJH5.carisbrooke hostmaster.carisbrookelabs. 419
l                                             	labs.local              	local

Используйте бесплатный инструмент Specops Password Auditor для сканирования вашего Active Directory и выявления уязвимостей, связанных с паролями, включая более 930 миллионов известных скомпрометированных паролей. Скачать сегодня!

Если в ответ на эту команду вы получаете DNS name does not exist, то проблема с DNS.

  • Убедитесь, что вы используете правильный DNS-сервер
  • Убедитесь, что соответствующие записи не были удалены

Если вы получили положительный ответ на Resolve-DNSName _msdcs.<domainname>, но получили DNS-имя не существует от Resolve-DNSName _ldap._tcp.dc._msdcs.<domainname>, то записи отсутствуют.

Перерегистрируйте записи DNS контроллера домена с помощью команды ipconfig /registerdns на каждом контроллере домена. Это может занять несколько минут, пока записи не появятся.

Как только вы сможете подтвердить наличие необходимой DNS-записи(ей) с помощью Resolve-DNSName, вы будете готовы продолжить.

Сводка

В этой статье вы узнали некоторые шаги, которые можно предпринять при устранении ошибки ” Не удалось связаться с контроллером домена Active Directory“. Невозможно рассмотреть каждый отдельный сценарий в статье, но я надеюсь, что этот процесс сработает для вас и поможет вам на правильном пути!

Дальнейшее чтение

Source:
https://adamtheautomator.com/an-active-directory-domain-controller-could-not-be-contacted/