“无法联系 Active Directory 域控制器”[已解决]

每个在 Active Directory 环境中管理计算机的 IT 管理员都经历过这种情况。您尝试将计算机添加到 Active Directory (AD) 域，但却收到可怕的“无法联系 Active Directory 域控制器”错误。在本文中，您将了解彻底诊断（和解决）此问题的步骤。

一款免费的只读工具，可扫描您的 AD 并生成多个交互式报告，供您衡量密码策略针对暴力攻击的有效性。立即下载 Specops 密码审核器！

此错误与 DNS 相关。主要问题是计算机无法找到加入 AD 域所需的适当 SRV DNS 记录。

我整理了一些步骤供您遵循来修复此错误并使您的计算机加入您的域。

确保您使用正确的 DNS 服务器

在你陷入困境之前，首先确保你使用的是正确的 DNS 服务器。

Active Directory 和 DNS 有着特殊的关系。域控制器在他们知道的 DNS 服务器中注册特定记录。它们位于 _ldap._tcp.dc.msdcs. 区域中，帮助加入 AD 的设备查找域控制器等资源。 SRV 记录不会存在于未集成 AD 的 DNS 服务器中。

要解决此问题，您需要使用：

• AD集成DNS服务器
• 从 AD 感知 DNS 服务器复制记录的 DNS 服务器
• 设置了转发以查询 AD 集成 DNS 服务器或具有复制记录的 DNS 服务器的 DNS 服务器

要检查您使用的 DNS 服务器是否为上述服务器之一，请在现有加入域的计算机上的 PowerShell 会话中运行以下命令：

PS C:\> Get-DnsClientServerAddress

InterfaceAlias               Interface Address ServerAddresses
                             Index     Family
--------------               --------- ------- ---------------
Ethernet                             9 IPv4    {10.0.0.101}
Ethernet                             9 IPv6    {}
Loopback Pseudo-Interface 1          1 IPv4    {}
Loopback Pseudo-Interface 1          1 IPv6    {fec0:0:0:ffff::1, fec0:0:0:ffff::2, fec0:0:0:ffff::3}

您在 ServerAdesses 列下获得的响应是该计算机正在使用的 DNS 服务器。如果您没有其他域客户端需要检查，则需要联系您的网络团队以获取此信息。

您可以使用 PowerShell 的 Set-DnsClientServerAddress cmdlet 更改计算机的 DNS 客户端设置，也可以通过计算机网卡的 IPv4 属性对话框来更改计算机的 DNS 客户端设置。这是通过进入控制面板 -> 网络 -> Internet -> 网络连接来实现的。

进入“网络连接”窗口后，右键单击网卡，选择“属性”，选择“Internet 协议版本 4 (TCP/IPv4)”，然后然后单击“属性”。

如果网络使用动态主机配置协议 (DHCP)，请确保选择“自动获取 IP 地址”和“自动获取 DNS 服务器地址”选项。

如果您的网络不使用 DHCP，请将首选 DNS 服务器和备用 DNS 服务器值更新为您之前获取的正确值。

找到真正的错误

如果您已确认您的计算机具有正确的 DNS 服务器，那么是时候进一步了解了。

当您尝试将计算机加入域时，会出现错误“无法联系 Active Directory 域控制器”，但这不是“真正的”错误消息。你需要深入一点。

您会在错误对话框中注意到一个详细信息>>按钮。单击该按钮。这将返回更详细的信息，使您能够更好地解决此错误。

您可以选择文本框中的内容复制并粘贴到文本查看器中，也可以在该计算机上的C:\windows\debug\dcdiag.txt 文件中找到相同的信息。该文件是发生错误时由 Windows 创建的。

错误文本包含一些关键信息。我在下面的示例中对每一个都进行了编号和粗体标记：

• 机器认为您要求其加入的域名(1)
• 错误代码(2)
• 进行的 DNS 查询(3)
• 计算机查询的 DNS 服务器（如果有）(4)

注意：此信息供网络管理员使用。如果您不是网络管理员，请通知管理员您已收到此信息，该信息已记录在文件 C:\windows\debug\dcdiag.txt 中。

在 DNS 查询用于查找域“carisbrookelabs.local”的 Active Directory 域控制器 (AD DC) 的服务位置 (SRV) 资源记录时，出现以下错误(1)：

错误是：“DNS 名称不存在。”
（错误代码 0x0000232B RCODE_NAME_ERROR）(2)

查询的是 _ldap._tcp.dc._msdcs.carisbrookelabs.local (3) 的 SRV 记录

导致此错误的常见原因如下：

查找域的 AD DC 所需的 DNS SRV 记录未在 DNS 中注册。当 AD DC 添加到域时，这些记录会自动注册到 DNS 服务器。它们由 AD DC 按设定的时间间隔更新。此计算机配置为使用具有以下 IP 地址的 DNS 服务器：

8.8.4.4
8.8.8.8 (4)

以下一个或多个区域不包括对其子区域的委派：carisbrookelabs.local

本地
。 （根区域）

0x0000267C DNS_ERROR_NO_DNS_SERVER

此错误表明无法找到 DNS 服务器，甚至无法尝试查询。甚至连机会都没有得到。这通常是由于没有与 DNS 服务器的网络连接造成的。

请注意，您可以在没有网络连接的情况下加入计算机（称为离线域加入），但这超出了本文的讨论范围。

排除网络连接故障

如果您看到此错误消息，则需要开始进行一些网络故障排除。

1. 检查您的网络适配器是否已启用并且您可以连接到其他网络资源。
2. 检查您是否已配置 IP 地址和 DNS 服务器。

您可以通过运行 ipconfig /all 来检查 IP 地址和 DNS 服务器。

如果您有 IP 地址并且可以访问其他网络资源，则需要测试计算机和 DNS 服务器之间的连接。

为此，您可以使用 ping 和 PowerShell 的 Test-Connection cmdlet。使用这两个实用程序之一测试与 DNS 服务器的连接。如果网络上允许互联网控制消息协议 (ICMP) 流量，您应该会收到响应。如果出现错误或超时，则很可能存在某种网络问题，例如路由问题。请与您的网络团队联系以解决问题，然后再次尝试加入。

检查 DNS 连接

如果您确认网络连接正常，接下来需要确保您的计算机可以通过 TCP/53 连接到 DNS 服务器。

尝试使用 Resolve-DNSName PowerShell cmdlet 以及您尝试加入的域的 FQDN。这应该返回一个或多个 DNS 服务器记录：

PS C:\> Resolve-DNSName carisbrookelabs.local


Name                                           Type   TTL   Section	IPAddress
----                                       	----   ---   -------	---------
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.103
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.102
carisbrookelabs.local                      	A  	600   Answer 	10.0.0.101

如果出现错误，则需要检查是否没有任何东西阻止您的计算机和 DNS 服务器之间的端口 53（用于 DNS 流量的端口）上的 IP 流量。

您可以使用 Test-NetConnection cmdlet（不要与 Test-Connection cmdlet 混淆）对端口 53 上的连接进行简单检查：

PS C:\> Test-NetConnection -Port 53 -ComputerName <DNSSERVERHERE>
True

如果连接成功，您将收到 True 响应；如果连接失败，您将收到 False 响应。失败可能是由于 DNS 服务器上的网络或基于主机的防火墙造成的。

0x0000232B RCODE_NAME_ERROR

此错误意味着它能够找到 DNS 服务器，但找不到 SRV 记录。此错误需要更多的故障排除。

确保您使用的是域 FQDN

这看起来很简单，但请验证您键入的名称是否与您尝试加入的域的完全限定域名 (FQDN) 匹配。这应该只是域名，而不是服务器名称。例如，使用 carisbrookelabs.local 而不是 WIN-3467RQTHJH5.carisbrookelabs.local。

如果有任何疑问，请检查现有域客户端的域名。您可以通过在现有域客户端上运行此 PowerShell 命令来查找适当的域名。

PS51> (Get-CimInstance Win32_ComputerSystem).Domain
carisbrookelabs.local

如果您尝试使用 NETBIOS 名称 (contoso) 与 FQDN (contoso.local)，计算机可能会找到该域，但 Windows 无论如何都会将该名称视为 FQDN。

如果您键入 NETBIOS 名称并且没有 WINS 基础设施，您将会收到我们正在尝试修复的错误。始终使用 FQDN 而不是 NETBIOS 名称。

检查 DNS 记录

对于此步骤，您将再次使用 Resolve-DNSName。这次使用的是在您尝试将计算机加入域时未检索到的准确 DNS 记录。从简介中提到的 dcdiag.txt 文件或您之前获取的错误文本的副本中复制并粘贴它。这将避免任何带有下划线和破折号的拼写错误。

你的命令应该是这样的：

PS C:\> Resolve-DNSName _ldap._tcp.dc._msdcs.carisbrookelabs.local


Name                    	Type TTL   Section	PrimaryServer           	NameAdministrator       	SerialNumber
----                    	---- ---   -------	-------------           	-----------------       	------------
_msdcs.carisbrookelabs.loca SOA  3600  Authority  WIN-3467RQTHJH5.carisbrooke hostmaster.carisbrookelabs. 419
l                                             	labs.local              	local

使用免费的 Specops 密码审核器工具扫描您的 Active Directory 并识别与密码相关的漏洞，包括超过 9.3 亿个已知的泄露密码。立即下载！

如果您收到此命令的响应 DNS 名称不存在，则问题出在 DNS 上。

• 确保您使用正确的 DNS 服务器
• 确保相关记录没有被删除

如果您收到对 Resolve-DNSName _msdcs. 的肯定响应，但从 Resolve-DNSName _ldap._tcp.dc 收到 DNS 名称不存在。 _msdcs.，则记录丢失。

在每个 DC 上使用命令 ipconfig /registerdns 重新注册域控制器的 DNS 记录。记录可能需要几分钟才会显示。

一旦您可以使用 Resolve-DNSName 确认是否存在所需的 DNS 记录，那么您就可以开始了。

概括

在本文中，您了解了解决“无法联系 Active Directory 域控制器”错误时可尝试的一些步骤。在这样的文章中不可能涵盖每一个场景，但我希望这个过程对您有用，并让您走上正确的道路！

进一步阅读

• Microsoft Docs 上的 DNS 和 AD DS
• 测试连接：以 PowerShell 方式 Ping 远程主机
• Microsoft Docs 上的 Resolve-DNSName cmdlet
• 在 Windows 上使用 PowerShell Test-NetConnection Cmdlet