Trong bài viết này, chúng ta sẽ tìm hiểu lý do tại sao bạn không thể kết nối một máy tính mới với Active Directory domain. Thông báo lỗi như sau: “Active Directory Domain Controller could not be contacted”. Nguyên nhân của lỗi này có thể là do cài đặt IP/DNS không chính xác trên máy khách, sự cố với domain controllers hoặc cài đặt DNS cấu hình sai. Hãy cùng chúng tôi tìm hiểu nguyên nhân và cách khắc phục lỗi này nhé.
Sự cố có thể xảy ra khi người dùng hoặc quản trị viên cố gắng kết nối máy trạm/máy chủ Windows mới với domain. Thông thường, các bước sau đây được thực hiện để tham gia một miền:
- Mở System Properties trên máy trạm;
- Nhấn vào Change settings > Change;
- Nhập computer name và chọn domain tại mục Member of
- Nhập AD domain FQDN (Domain Name đầy đủ)
- Nhấn OK
Trong một vài trường hợp, bạn sẽ gặp phải lỗi sau:
An Active Directory Domain Controller (AD DC) for the domain “blogcntt.com” could not be contacted.
Ensure that the domain name is typed correctly.Nếu Active Directory domain name bạn nhập chính xác, hãy nhấp vào Details để biết thông tin khắc phục sự cố
Cách sửa lỗi Active Directory Domain Controller Could Not Be Connected
Sau đây là các bước cơ bản có thể giúp bạn khắc phục lỗi kết nối Active Directory Domain Controller
- Kiểm tra địa chỉ IP và cài đặt DNS của máy trạm;
- Kiểm tra kết nối với Active Directory domain controller;
- Kiểm tra DC Health (SRV DNS records, Netlogon, và Sysvol folders).
Sau đây là chi tiết các bước thực hiện.
Kiểm tra Network Settings trên Client Computer
Bước 1: Kiểm tra địa chỉ IP
Điều đầu tiên cần kiểm tra là máy tính của bạn có đúng dải địa chỉ mà DHCP cấp hay không. Địa chỉ IP có thể được cấp từ máy chủ DHCP hoặc được chỉ định thủ công trong cài đặt network. Bạn có thể hiển thị thông tin địa chỉ IP bằng cách sử dụng lệnh sau:
ipconfig /allNó sẽ hiển thị địa chỉ IPv4 hiện tại của máy tính của bạn.
Bạn cũng có thể chạy ipconfig /release và ipconfig /renew để cố gắng lấy địa chỉ IP mới từ máy chủ DHCP.
Bước 2: Kiểm tra DNS Settings
Cài đặt máy chủ DNS không hợp lệ (không tồn tại hoặc không công khai) được gán cho máy tính là sự cố thường gặp khi kết nối với bộ điều khiển miền AD.
Đảm bảo rằng máy tính của bạn có thể phân giải DNS của miền:
Test-NetConnection -TraceRoute blogcntt.abc
Như hình trên, với cảnh báo “WARNING: Name resolution of theitbros.loc failed PingSucceeded : False“, máy tính không thể phân giải được tên miền blogcntt.abc
Đảm bảo máy chủ DNS nội bộ của bạn được set IP đúng với dải IP network adapter. Bạn có thể hiển thị DNS servers hiện tại bằng lệnh PowerShell sau:
DnsClientServerAddress
Bạn có thể đặt cấu hình DNS mới bằng cách thủ công hoặc tự động từ DHCP trong cài đặt kết nối mạng của mình
- Mở Control Panel > Network and Internet > Network and Sharing Center > Change adapter settings;
- Chọn network adapter mà bạn kết nối, phải chuột vào nó và chọn Properties;
- Chọn Internet Protocol Version 4 (TCP/IPv4), rồi nhấn Properties;
- Nhấn nút Advanced, vào tab DNS;
- Tại tab DNS, nhấn Add và nhập địa chỉ IP của DNS server (domain controller). Không sử dụng các IP DNS công cộng như 8.8.8.8 (google) hay 1.1.1.1 (cloudflare);
- Nhấn OK (Nếu đã có các IP khác tại mục DNS server addresses, hãy di chuyển IP address của máy chủ DC lên trên cùng);
- Lưu các thay đổi và khởi động lại máy;
- Thử join lại AD domain.
Sau đó, chạy lệnh sau và đảm bảo dịch vụ Máy khách DNS đang chạy
Get-Service dnscache
Mở file hosts (C:\Windows\System32\Drivers\etc\hosts) và đảm bảo không có dòng nào chứa domain của bạn. Nếu có, hãy xóa chúng.
Bạn có thể hiển thị nội dung của file hosts bằng lệnh:
get-content C:\Windows\System32\Drivers\etc\hosts
Sau đó xóa DNS cache và khởi động lại dịch vụ bằng lệnh:
ipconfig /flushdns
net stop dnscache && net start dnscacheKiểm tra xem máy tính của bạn có thể phân giải tên miền thành địa chỉ IP chính xác của miền hay không. Sử dụng lệnh Test-NetConnection hoặc lệnh Resolve-DNSName:
Resolve-DNSName blogcntt.com
Lệnh sẽ trả về một hoặc nhiều bản ghi của DNS servers.
Bước 3: Kiểm tra kết nối Domain Controller
Mở command prompt, và chạy lệnh sau:
ping your_domain_nameĐảm bảo domain controller của bạn đang phản hồi và có thể truy cập được
Đảm bảo rằng máy khách có thể định vị domain controller
nltest /dsgetdc:blogcntt.com
Nếu máy tính của bạn phát hiện thành công domain , lệnh sẽ trả về thông tin về domain, các trang Active Directory và dịch vụ đang chạy trên DC:
Bước 4: Kiểm tra xem quyền truy cập vào domain controller có bị firewall chặn không.
Cách dễ nhất để kiểm tra tính khả dụng của cổng 53 trên DC là sử dụng PowerShell:
Test-Netconnection 192.168.1.11 -port 53Trong ví dụ này, dòng TcpTestSucceeded: True có nghĩa là DNS service trên DC có thể truy cập được.
Ngoài ra, hãy thử tạm thời tắt Firewall của Microsoft Defender và tất cả các ứng dụng của bên thứ ba có tích hợp antivirus/firewalls (Symantec, MacAfee, Windows Defender, v.v.),. Sau khi tắt Firewall, hãy thử kết nối máy tính với domain.
Dưới đây là danh sách các giao thức mạng, cổng và dịch vụ cần được mở trong Firewall giữa máy khách và domain controller để máy khách có thể tham gia vào Active Directory domain :
- UDP 53 — DNS traffic;
- TCP and UDP 88 — Kerberos authentication;
- UDP 123 — Windows Sync time with Domain Controller;
- TCP 135 — Remote Procedure Call RPC Locator;
- TCP and UDP 139 — NetBIOS Session Service;
- TCP and UDP 389 (LDAP, DC Locator, Net Logon) or TCP 636 (LDAP over SSL);
- TCP 445 (SMB/CIFS, Net Logon);
Kiểm tra cài đặt DNS trên Domain Controller
Nếu tất cả các lần kiểm tra trước đó không giải quyết được lỗi kết nối với domain, bạn cần kiểm tra cấu hình DNS trong Active Directory.
Bước 1: Kiểm tra DNS SRV Records trên Active Directly
Kiểm tra SRV record (DNS server record) bằng cách chạy lệnh sau:
nslookup
set type=all
_ldap._tcp.dc._msdcs.Domain_NameKiểm tra xem DNS server được chỉ định có bản ghi SRV ở dạng sau hay không:
_ldap._tcp.dc._msdcs.your_domain_name.com SRV service location:
Nếu bản ghi SRV được chỉ định bị thiếu, điều này có nghĩa là máy chủ DNS của bạn không có bản ghi SRV chính xác.
Bước 2. Update/Re-Register DNS SRV Records trên DC
Khởi động lại dịch vụ Netlogon trên DC với câu lệnh sau:
net stop netlogon && net start netlogonDC sẽ cố gắng đăng ký các bản ghi SRV cần thiết trong DNS khi khởi động.
Bạn cũng có thể đăng ký lại DNS records bằng câu lệnh:
ipconfig /registerdnsĐợi một lúc để các bản ghi xuất hiện trong DNS và áp dụng trên toàn miền
Khắc phục lỗi “Active Directory Domain Controller Could not be Contacted”
Nếu không có phương pháp nào ở trên giúp bạn khắc phục sự cố, bạn có thể xem trong mục Details để hiểu rõ hơn về lỗi bạn gặp phải.
Nhấn nút Details để biết thêm thông tin về lỗi. Trong hầu hết các trường hợp, bạn sẽ thấy lỗi “DNS name does not exist” hoặc một trong các mã lỗi sau 0x0000232B RCODE_NAME_ERROR, 0x0000267C DNS_ERROR_NO_DNS_SERVER, 0x00002746 WSAECONNRESET).
Mở text file C:\Windows\debug\dcdiag.txt và nghiên cứu các lỗi nằm trong file này.
Thông thường, bạn có thể gặp phải những lỗi như sau trong file dcdiag.txt:
- 0x0000232B — RCODE_NAME_ERROR (“DNS name does not exist”) – máy tính của bạn không thể tìm thấy bản ghi SRV trên máy chủ DNS. Đảm bảo cài đặt DNS trên máy tính của bạn được đặt thành địa chỉ IP của domain controller. Kiểm tra bản ghi SRV trên DC;
- 0x0000267C — DNS_ERROR_NO_DNS_SERVER (“Không có máy chủ DNS nào được cấu hình cho hệ thống cục bộ”). Trong trường hợp này, bạn nên kiểm tra cài đặt IP và DNS cũng như kết nối mạng;
- 0x00002746 — WSAECONNRESET (“Kết nối hiện có đã bị máy chủ đóng”) — kiểm tra kết nối mạng và firewall rules. Hãy thử khởi động lại DNS service trên DC hoặc khởi động lại hoàn toàn máy chủ
Đồng thời có thể kiểm tra lỗi Join miền thông qua file
windir%\debug\Netsetup.log
Các lỗi phổ biến trong file Netsetup.log:
- An attempt to resolve the DNS name of a DC in the domain being joined has failed. Xác minh lại rằng ứng dụng đã được cấu hình để truy cập DNS Server và có thể phân giải DNS thành công
- An operation was attempted on a nonexistent network connection — khởi động lại máy tính, đảm bảo rằng bạn nhập tên DNS chứ không phải NetBIOS name;
- Multiple connections to a server or shared resource by the same user, using more than one user name, are not allowed. Disconnect all previous connections to the server or shared resource and try again — Khởi động lại thiết bị;
- The network name cannot be found — đảm bảo máy tính của bạn có thể truy cập vào DNS server lưu trữ DNS zone;
- No more connections can be made to this remote computer at this time because there are already as many connections as the computer can accept — xóa tất cả các ổ đĩa được ánh xạ và khởi động lại máy tính.
Có nhiều lý do không thể kết nối tới Active Directory Domain controller. Vấn đề này thường liên quan đến kết nối TCP/IP hoặc các vấn đề về DNS ở phía máy khách, dẫn đến các lỗi khi kết nối và tham gia vào Active Directory domain. Hy vọng bài viết này sẽ cung cấp cho bạn những kiến thức cần thiết để khắc phục lỗi trên.
