диспетчер защиты sam или локальный сервер lsa не смог выполнить требуемую операцию что делать
Диспетчер защиты sam или локальный сервер lsa не смог выполнить требуемую операцию что делать
Проблема
После запуска средства Dcdiag на контроллере домена под управлением Windows 2000 или Windows Server 2003 появляется следующее сообщение об ошибке.
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31
Если запустить команду REPADMIN /SHOWREPS на контроллере домена в локальном режиме, появляется следующее сообщение об ошибке:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
При попытке получить с контроллера домена доступ к сетевому ресурсу (включая ресурсы с именами в формате UNC и подключенные сетевые диски) появляется следующее сообщение об ошибке:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть (c000005e = «STATUS_NO_LOGON_SERVERS»)
После запуска с консоли контроллера домена одного из средств администрирования Active Directory, включая оснастки «Active Directory — сайты и службы» и «Active Directory — пользователи и компьютеры», появляется одно из следующих сообщений об ошибках.
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключающиеся к серверу Exchange, который использует данный контроллер домена для проверки подлинности, получают запрос на указание учетных данных, даже если проверка подлинности при входе на других контроллерах домена прошла успешно.
Средство Netdiag отображает следующие сообщения об ошибках.
В журнале системных событий на контроллере домена регистрируется следующая запись.
Тип: Ошибка
Источник: Диспетчер служб
Код (ID): 7023
Описание: Служба «Центр распространения ключей Kerberos» завершена из-за ошибки: Диспетчер защиты (SAM) или локальный сервер (LSA) не смог выполнить требуемую операцию.
Решение
Далее в этой статье расположен список способов устранения таких ошибок. После списка для каждого способа представлен подробный перечень подлежащих выполнению действий. Используйте способы по очереди до полного устранения проблем. В конце статьи приведен перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.
| Способ 1. Исправление ошибок в службе доменных имен (DNS) |
| Способ 2. Синхронизация времени компьютеров |
| Способ 3. Проверка наличия права Доступ к компьютеру из сети |
| Способ 4. Проверка значения атрибута userAccountControl на контроллере домена |
| Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают) |
| Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos |
Способ 1. Исправление ошибок в DNS
http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.asp
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт.
Способ 2. Синхронизация времени компьютеров
Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.
Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт.
Способ 3. Проверка наличия права «Доступ к компьютеру из сети»
Проверьте файл Gpttmpl.inf и убедитесь, что соответствующим пользователям предоставлено право Доступ к компьютеру из сети на контроллере домена. Для этого выполните следующие действия.
| 1. | Внесите изменения в файл Gpttmpl.inf политики по умолчанию для контроллеров домена. Права пользователей на контроллере домена, как правило, определяются в составе политики по умолчанию для контроллеров домена. Файл Gpttmpl.inf политики по умолчанию для контроллеров домена располагается в следующей папке. |
Контроллеры домена под управлением Windows Server 2003:
C:\WINDOWS\Sysvol\Sysvol\ \Policies\<6AC1786C-016F-11D2-945F-00C04fB984F9>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
Контроллеры домена под управлением Windows 2000 Server:
C:\WINNT\Sysvol\Sysvol\ \Policies\<6AC1786C-016F-11D2-945F-00C04fB984F9>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
2.
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп «Администраторы», «Прошедшие проверку» и «Все». См. следующие примеры.
Контроллеры домена под управлением Windows Server 2003:
Контроллеры домена под управлением Windows 2000 Server:
По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_ произвольная_строка. (Учетная запись Support_ произвольная_строка используется удаленным помощником.) Поскольку учетная запись Support_ произвольная_строка имеет в каждом домене уникальный идентификатор безопасности (SID), ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте идентификатор SID в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (его можно будет скопировать обратно после устранения проблемы).
Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если выполнение описанных выше действий не приводит к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для политики по умолчанию для контроллеров домена.
Способ 4. Проверка значения атрибута userAccountControl на контроллере домена
Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
| 1. | Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска «Вручную». |
| 2. | С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера: |
netdom resetpwd /server: другой контроллер домена /userd:domain\administrator /passwordd: пароль администратора
Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае ожидаемый результат достигнут не был). Для домена Contoso, в котором контроллер домена, где наблюдаются проблемы, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо запустить команду netdom следующего вида:
Диспетчер защиты sam или локальный сервер lsa не смог выполнить требуемую операцию что делать
Давайте здесь будем делиться способами настройки новой ОС средствами самой операционной системы
(без использования сторонних программ).
Всё то, что считаете удобным, нужным, полезным.
| Эти 4 пользователя(ей) сказали cпасибо за это полезное сообщение: |
| Эти 6 пользователя(ей) сказали cпасибо за это полезное сообщение: |
| • | Microsoft Windows Server 2003 Standard Edition |
| • | Microsoft Windows Server 2003 Enterprise Edition |
| • | Microsoft Windows Server 2003 Datacenter Edition |
| • | Microsoft Windows 2000 Datacenter Server |
| • | Microsoft Windows 2000 Advanced Server |
| • | операционная система Microsoft Windows 2000 Server |
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986(http://support.microsoft.com/kb/256986/) Описание реестра Microsoft Windows
Проблема
После запуска средства Dcdiag на контроллере домена под управлением Windows 2000 или Windows Server 2003 появляется следующее сообщение об ошибке.
DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31
Если запустить команду REPADMIN /SHOWREPS на контроллере домена в локальном режиме, появляется следующее сообщение об ошибке:
[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).
При попытке получить с контроллера домена доступ к сетевому ресурсу (включая ресурсы с именами в формате UNC и подключенные сетевые диски) появляется следующее сообщение об ошибке:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть (c000005e = «STATUS_NO_LOGON_SERVERS»)
После запуска с консоли контроллера домена одного из средств администрирования Active Directory, включая оснастки «Active Directory — сайты и службы» и «Active Directory — пользователи и компьютеры», появляется одно из следующих сообщений об ошибках.
Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.
Клиенты Microsoft Outlook, подключающиеся к серверу Exchange, который использует данный контроллер домена для проверки подлинности, получают запрос на указание учетных данных, даже если проверка подлинности при входе на других контроллерах домена прошла успешно.
Средство Netdiag отображает следующие сообщения об ошибках.
В журнале системных событий на контроллере домена регистрируется следующая запись.
Решение
| Способ 1. Исправление ошибок в службе доменных имен (DNS) |
| Способ 2. Синхронизация времени компьютеров |
| Способ 3. Проверка наличия права Доступ к компьютеру из сети |
| Способ 4. Проверка значения атрибута userAccountControl на контроллере домена |
| Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают) |
| Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos |
Способ 1. Исправление ошибок в DNS
Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт.
Способ 2. Синхронизация времени компьютеров
Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.
Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт.
Способ 3. Проверка наличия права «Доступ к компьютеру из сети»
Проверьте файл Gpttmpl.inf и убедитесь, что соответствующим пользователям предоставлено право Доступ к компьютеру из сети на контроллере домена. Для этого выполните следующие действия.
| 1. | Внесите изменения в файл Gpttmpl.inf политики по умолчанию для контроллеров домена. Права пользователей на контроллере домена, как правило, определяются в составе политики по умолчанию для контроллеров домена. Файл Gpttmpl.inf политики по умолчанию для контроллеров домена располагается в следующей папке. Примечание. Папка Sysvol может находиться в другом месте, однако путь к файлу Gpttmpl.inf остается неизменным. Контроллеры домена под управлением Windows Server 2003: C:\WINDOWS\Sysvol\Sysvol\ \Policies\<6AC1786C-016F-11D2-945F-00C04fB984F9>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf Контроллеры домена под управлением Windows 2000 Server: C:\WINNT\Sysvol\Sysvol\ \Policies\<6AC1786C-016F-11D2-945F-00C04fB984F9>\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf |
| 2. | Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп «Администраторы», «Прошедшие проверку» и «Все». См. следующие примеры. Контроллеры домена под управлением Windows Server 2003: Контроллеры домена под управлением Windows 2000 Server: Примечание. Группы «Администраторы» (S-1-5-32-544), «Прошедшие проверку» (S-1-5-11), «Все» (S-1-1-0) и «Контроллеры домена предприятия» (S-1-5-9) имеют хорошо известные одинаковые для любого домена идентификаторы безопасности. |
| 3. | Удалите все данные справа от записи SeDenyNetworkLogonRight (Отказ в доступе к компьютеру из сети). См. следующий пример. Примечание. Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003. По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_ произвольная_строка. (Учетная запись Support_ произвольная_строка используется удаленным помощником.) Поскольку учетная запись Support_ произвольная_строка имеет в каждом домене уникальный идентификатор безопасности (SID), ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте идентификатор SID в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (его можно будет скопировать обратно после устранения проблемы). Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если выполнение описанных выше действий не приводит к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для политики по умолчанию для контроллеров домена. |
Способ 4. Проверка значения атрибута userAccountControl на контроллере домена
Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)
Примечание. Этот способ применим только к Windows 2000 Server.
Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
| 1. | Откройте редактор реестра. |
| 2. | На левой панели разверните узел HKEY_LOCAL_MACHINE\SECURITY. |
| 3. | В меню Безопасность выберите команду Разрешения, чтобы предоставить локальной группе «Администраторы» право полного доступа к кусту SECURITY, а также вложенным в него объектам и контейнерам. |
| 4. | Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolPrDmN. |
| 5. | На правой панели один раз щелкните параметр : REG_NONE |
| 6. | В меню Вид выберите команду Вывод двоичных данных. В разделе Формат выберите вариант 1 байт. |
| 7. | В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos. |
| 8. | Найдите раздел HKEY_LOCAL_MACHINE\SECURITY\Policy\PolACDmN. |
| 9. | На правой панели два раза щелкните параметр : REG_NONE. |
| 10. | В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена). |
| 11. | Перезагрузите контроллер домена. |
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos
| 1. | Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска «Вручную». |
| 2. | С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера: |
netdom resetpwd /server: другой контроллер домена /userd:domain\administrator /passwordd: пароль администратора
Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае ожидаемый результат достигнут не был). Для домена Contoso, в котором контроллер домена, где наблюдаются проблемы, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо запустить команду netdom следующего вида:
Ошибки при запуске команд WinRM для проверки локальных функций в среде Windows Server 2008
В этой статье предоставляется решение ошибок, которые возникают при запуске команд WinRM для проверки локальных функций в среде Windows Server 2008.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2269634
Симптомы
При запуске команд WinRM для проверки локальных функций на сервере в среде Windows Server 2008 вы можете получать сообщения об ошибках, похожие на следующие:
winrm e winrm/config/listener
Сообщение WSManFault = Клиент не может подключиться к пункту назначения, указанному в запросах. Убедитесь, что служба в пункте назначения запущена и принимает запрос. Обратитесь к журналам и документации для WS-Management службы, которая работает в пункте назначения, чаще всего iiS или WinRM. Если предназначена служба WinRM, запустите следующую команду в пункте назначения для анализа и настройки службы WinRM: «winrm quickconfig»
Номер ошибки:
-2144108526 0x80338012
winrm id
Ошибка WSMan
Сообщение = Клиент WinRM получил состояние http bad request (400), но удаленная служба не включала никаких других сведений о причине сбоя. Номер ошибки:
-2144108175 0x80338171
winrm quickconfig
WinRM не настроен для получения запросов на этом компьютере. Необходимо внести следующие изменения:
Запустите службу WinRM.
Внести эти изменения [y/n]? y
WinRM обновлен для получения запросов.
Запущена служба WinRM.
Причина
Эта проблема может возникнуть в случае слома службы удаленного управления окном и ее функций прослушиватель.
Решение
Чтобы устранить эту проблему, выполните следующие действия:
Установка последнего Windows удаленного управления.
Запустите следующую команду для восстановления конфигурации слушателя:
Выполните следующую команду для выполнения конфигурации службы удаленного Windows удаленного управления и ее слушателя по умолчанию:
- диспетчер задач показывает 100 процентов загрузку процессора хотя это не так
- диспетчер контент заблокирован что это значит