Kerberos 取決於域控制器來進行驗證、授權和委派功能。 如果客戶端電腦或目標伺服器嘗試使用 Kerberos 進行驗證,且無法連絡域控制器,您會收到類似下列其中一則訊息的訊息:
嘗試加入網域 "Contoso" 時發生下列錯誤:
指定的網域不存在或連不上。
找不到網域 contoso.com 的域控制器。
無法連絡域控制器 1355。
雖然這些訊息與應用程式的觀點不同,但錯誤的意義在於用戶端或伺服器無法探索域控制器。
這種錯誤通常有下列其中一個原因:
- 用戶端與域控制器之間會封鎖埠。
- 客戶端的網域名稱系統(DNS)設定不正確。
- 域控制器上的 DNS 伺服器設定不正確。
針對找不到網域或域控制器的錯誤進行疑難解答
檢查客戶端計算機、域控制器和目標伺服器之間的所有防火牆(包括每部計算機上的 Windows 防火牆)。 請確定 UDP 連接埠 389 (LDAP) 和 UDP 連接埠 53 (DNS) 允許流量。 如需詳細資訊,請參閱如何設定 Active Directory 網域及信任的防火牆 (部分為機器翻譯)。
如果您做了變更,請在用戶端電腦上開啟系統管理命令提示字元視窗,然後執行下列命令:
nltest /dsgetdc:<DomainName> /force /kdc備註
在此命令中, <DomainName> 代表用戶端電腦的網域名稱。
命令
nltest會擷取一或多個可用的域控制器清單。 如果客戶端或目標伺服器無法連絡域控制器,您會收到錯誤訊息。備註
此清單可能不會包含所有可用的域控制器。
如果域控制器仍然無法使用,請移至下一個步驟。
在用戶端電腦上的命令提示字元中,執行下列命令:
nslookup <TargetName>備註
在此命令中, <TargetName> 代表目標伺服器的 NetBIOS 名稱。
nslookup如果命令正確解析目標伺服器名稱,DNS 組態是正確的。如果命令未解析目標伺服器名稱,請遵循下列步驟來檢查用戶端電腦的網路適配器組態:
在用戶端電腦上,執行下列命令:
ipconfig /all在命令輸出中,判斷正在使用的網路適配器。 檢查下列配接器設定:
用戶端IP位址
子網路遮罩
預設閘道
線上特定 DNS 後綴
DNS 伺服器 IP 位址
記錄IP位址,並記下慣用的 DNS 伺服器,以及次要伺服器。 這項資訊適用於稍後的疑難解答。
如果有任何網路適配器設定不正確,請修正這些設定,或連絡 DNS 系統管理員以取得協助。
如果您進行任何變更,請再次執行
nslookup <TargetName>。如果
nslookup仍然無法正確解析名稱,您可能會有較大的 DNS 問題。 請連絡 DNS 系統管理員,或自行針對此問題進行疑難解答。 如需更多疑難解答指引,請參閱 針對 DNS 伺服器進行疑難解答。如果
nslookup現在正確解析名稱,請再次執行nltest。 視結果而定,執行下列其中一個動作:如果
nltest傳回至少一個域控制器的名稱,請檢查是否已解決原始 Kerberos 問題。如果
nltest仍然無法識別至少一個域控制器,您可能會有較大的網路或 Active Directory 問題。 請連絡您的網路管理員。