Отсутствуют серверы, которые могут обработать запрос на вход в сеть

При входе на компьютер Windows в домене Active Directory пользователь может увидеть следующее сообщение:

There are currently no logon servers available to service the logon request

Отсутствуют серверы, которые могли бы обрабатывать запрос на вход в сеть

Это сообщение говорит о том, что с компьютера не доступен ни один контроллер домена AD (logonserver), на котором можно выполнить аутентификацию пользователя.

Проблема может связана как с самим клиентом Windows, или с более глобальной проблемой с работоспособностью контроллеров домена и Active Directory.

Рассмотрим типовые причины, из-за которых может возникнуть такая ошибка и как их исправить.

1. Проверьте, что ваш компьютер подключен к компьютерной сети. Отключите и подключите сетевой кабель (если используется Ethernet) или перезагрузите вашу точку доступа Wi-Fi;
2. Попробуйте войти под локальным администратором на компьютер. Это может быть как встроенная учетная запись administrator, так и дополнительный администратор, созданный вручную или с помощью Microsoft LAPS. Если вы не знаете пароль локального администратора, его можно сбросить.
   Также можно попробовать войти на компьютер, под доменной учетной записью пользователя, который логинился на этот компьютер ранее. Windows по умолчанию сохраняет в локальный кэш компьютера учетные данные последних 10 пользователей (cached credentials). Это настраивается с помощью параметра групповых политик Interactive logon: Number of previous logons to cache (in case domain controller is not available в разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Количество пользователей, учетные данные которых кэшируются на компьютере можно получить из реестра с помощью PowerShell: ( Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon").CachedLogonsCount
   Если значение этого параметра 0, значит доменный пользователь не сможет войти на компьютер, если контроллеры домена не доступны или компьютер не подключен к корпоративной сети.
   
3. Проверьте, что Windows видит сетевые адаптеры;
4. Проверьте, что ваш компьютер получил корректный IP адрес от вашего DHCP сервера с помощью команды ipconfig /all или с помощью PowerShell: Get-NetIPConfiguration . Сбросьте настройки сети с помощью команд:
   netsh winsock reset
   
   netsh int ip reset
5. Если DHCP сервер не доступен, компьютер получит IP адрес формата 169.254.x.x . Обновите IP адрес ipconfig /release & ipconfig /renew . Если компьютер не получит IP адрес, нужно попробовать указать IP адрес и DNS сервера вручную;
6. Проверьте, что на компьютере запущены службы DNS client, DHCP client и netlogon. Перезапустите службы с помощью PowerShell: get-service Dhcp, Dnscache, Netlogon | restart-service
7. Проверьте, доступны ли DNS сервера, указанные в настройках вашего сетевого адаптера с помощью команды nslookup -> your_domain_name . Проверьте, что вам отвечает корректный DNS сервер. Если DNS сервера не доступны, проверьте с помощью утилиты portquery, что доступ к ним не блокируется файерволом по порту 53 UDP: PortQry.exe –n your_dns_server -p both -e 53
   Проверьте, нет ли статических DNS записей для вашего домена в файле hosts: Get-Content $env:SystemRoot\System32\Drivers\etc\hosts . Удалите лишние записи из файла.
8. Выполните трассировку маршрута до вашего DNS сервера: tracert your_dns_server
9. Попробуйте выполнить поиск контроллера домена в DNS: nltest /dnsgetdc:winitpro.ru . Проверьте что клиент может найти контроллер домена с помощью поиска: nltest /dsgetdc:winitpro.ru
10. Попробуйте вручную переключить Windows на использование другого контроллера домена AD: nltest /SC_RESET:WINITPRO\MSK-DC02.winitpro.ru

Если проблема с недоступностью DC возникает у множества пользователей, нужно проверить контроллеры домена и состояние AD.

1. Проверьте здоровье контроллеров домена и репликации AD;
2. Проверьте службу W32Time(NTP) и время на DC и на клиентах. Оно не должно отличаться более чем на 5 минут;
3. Проверьте, что политики Windows Defender Firewall на контроллерах домена не блокируют входящий трафик от клиентов;
4. Проверьте, что на контроллере домена запущена служба netlogon и опубликованы административные сетевые каталоги SYSVOL и NETLOGON: net share (могут быть проблемы с sysvol и netlogon при восстановлении Active Directory из бэкапа);
5. Если вы недавно удаляли контроллер домена, проверьте что он был удален корректно;
6. Проверьте наличие SRV записей для контроллеров домена AD в DNS (https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/verify-srv-dns-records-have-been-created). Если записи DC были удалены, это вызовет проблемы с поиском контроллера домена клиентами и установкой защищенного канала;

В этой статье я постарался собрать типовые шаги при диагностике ошибки с недоступностью логон серверов Windows.