針對 Netlogon 服務啟動失敗進行疑難解答 - Windows Server

本文說明導致 Netlogon 服務啟動失敗之案例的徵兆、原因和解決方案。 只有在計算機加入 Active Directory 時，Netlogon 服務才會執行。 當計算機僅聯結至 Microsoft Entra 識別符時，Netlogon 服務不會執行。

Netlogon 服務簡介

網域成員上的 Netlogon 服務提供下列功能的支援：

New Technology LAN Manager （NTLM） 登入要求

Kerberos 許可權屬性憑證（PAC）驗證過程

域控制器 (DC) 發現

管理主機的 ServicePrincipalNames

管理系統的電腦帳戶密碼

在 DC 上，Netlogon 服務也會處理下列工作：

啟動後共享SYSVOL和NETLOGON資料夾

功能變數名稱系統（DNS）中 NTDS 記錄（A、AAAA 和 SRV）的註冊

管理域控制器功能的服務主體名稱

維護信任密碼

讀取和建置伺服器端DC定位器需要告訴用戶端其站台的子網路/站台對應

維護已知信任網域的清單以進行安全性檢查 （信任掃描器）

服務相依性

若要完成這些作業，Netlogon 需要操作系統中其他元件和服務的支援。 Netlogon 稱為服務相依性，取決於下圖中指出的服務：

Netlogon 服務取決於工作站服務。 工作站服務取決於 Browser、MrxSMB20、NSI 服務等等。 在DC上，Netlogon 服務對伺服器服務有額外的相依性，這相依於 SAMSS 和 SRV2 服務，而 SRV2 服務則相依於 SRVNET 服務等等。

這些相依關係由 Services MMC 嵌入式管理單元（Services.msc）的「相依性」索引標籤屬性中詳細說明。每個服務的這種相依性設定都儲存在各自的登錄機碼中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services登錄機碼。 包含在每個服務金鑰內是 DependsOnService 值，可定義該服務的特定直接相依性。 例如，DC 的 Netlogon 服務登錄機碼會定義包含 LanmanWorkstation LanmanServer 數據的 DependOnService 值。

若要檢視 Netlogon 服務的相依性，請使用 Services MMC 並檢查服務屬性：

查詢相依性的另一種方法是使用 Service Control Manager 組態工具 （sc.exe） 命令行公用程式。 以下是 QC 命令的輸出，查詢 DC 的 Netlogon 服務相依性配置：

C:\Windows\System32>sc qc netlogon

[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: netlogon

TYPE : 20 WIN32_SHARE_PROCESS

START_TYPE : 2 AUTO_START

ERROR_CONTROL : 1 NORMAL

BINARY_PATH_NAME : C:\Windows\system32\lsass.exe

LOAD_ORDER_GROUP : MS_WindowsRemoteValidation

TAG : 0

DISPLAY_NAME : Netlogon

DEPENDENCIES : LanmanWorkstation

: LanmanServer

SERVICE_START_NAME : LocalSystem

或者，您可以瀏覽至 Netlogon 服務登錄機碼來檢查服務組態：

開啟註冊表 編輯器 。

流覽至所需的服務金鑰。 在這裡範例中，路徑為 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon：

確認設定正確無誤。 例如，已設定相依性 （DependOnService 值）、開始類型已定義 （Start value），且服務二進位檔已定義 （ImagePath 值）。

故障排除

如果相依服務無法啟動，則該服務和依賴服務的任何服務不會啟動。 調查 Netlogon 服務啟動失敗時，請務必識別哪些服務負責所有其他相依服務的失敗。 例如，下列事件記錄檔是 Netlogon 服務無法啟動時回報的系統事件記錄檔錯誤。 失敗是因為工作站（LanmanWorkstation）服務的其中一個相依功能（browser）無法啟動。

記錄檔名稱：系統

來源：服務控制管理員

事件標識碼：7001

層級：錯誤

描述：Netlogon 服務取決於無法啟動的 LanmanWorkstation 服務，因為發生下列錯誤：

相依性服務或群組無法啟動。

記錄檔名稱：系統

來源：服務控制管理員

事件標識碼：7001

層級：錯誤

描述：LanmanWorkstation 服務取決於因為下列錯誤而無法啟動的 bowser 服務：

無法啟動服務，原因可能是服務已停用，或服務沒有已啟用的裝置與其相關聯。

Netlogon 啟動失敗問題

Netlogon 啟動失敗（或任何相依的服務啟動失敗）可能需要一或多個動作來更正問題。 這些動作可以包含 （但不限於）：

更正已停用的相依服務。

更正無效或遺失的服務組態登錄值。

還原遺失或損毀的可執行檔或 DLL 檔案。

更正限制性登錄許可權。

下列各節說明一些事件記錄檔錯誤，指出 Netlogon 無法啟動。

徵兆 1

相依服務無法啟動

記錄檔名稱：系統

來源：服務控制管理員

事件標識碼：7001

層級：錯誤

描述：Netlogon 服務取決於 <因為下列錯誤而無法啟動的服務名稱> 服務：

相依性服務或群組無法啟動。

解決辦法

檢查相依服務，以判斷哪些服務無法啟動。 使用 Services MMC 嵌入式管理單元來檢視和修改服務組態，確認服務具有正確的服務啟動設定。

在下列範例中，工作站服務會設定為 已停用 的啟動類型，因此處於 「已停止 」狀態：

將 [ 啟動類型 ] 設定為 [ 自動 ] 並啟動服務，以還原工作站服務作業。

徵兆 2

Netlogon 服務或相依服務定義不存在或無效的服務：

記錄檔名稱：系統

來源：服務控制管理員

事件標識碼：7003

層級：錯誤

描述：Netlogon 服務取決於下列服務： <遺漏或無效的服務>。 可能無法安裝此服務。

解決辦法

Netlogon 服務的 DependOnService 登錄值中可能設定了一個無效的服務，或者此值中所引用的服務可能遺失，即該服務並未安裝。 在下列範例中，成員伺服器上的 Netlogon 服務無法啟動，因為它無法驗證相依服務。

記錄檔名稱：系統

來源：服務控制管理員

事件標識碼：7003

層級：錯誤

描述：Netlogon 服務取決於下列服務：Contoso_Service。 可能無法安裝此服務。

移除 DependOnService 登錄值中找到的問題項目：

徵兆 3

指定的無效或遺漏服務動態連結庫 （DLL） 會導致相依服務無法啟動：

記錄檔名稱：系統

來源：服務控制管理員

事件標識碼：7001

層級：錯誤

描述：Netlogon 服務取決於 <因為下列錯誤而無法啟動的服務名稱> 服務：

找不到指定的模組。

當您試著使用服務 MMC 啟動 Netlogon 服務時，會顯示下列錯誤訊息：

Windows 無法在本機計算機上啟動 Netlogon 服務。 錯誤 126：找不到指定的模組。

解決辦法

每個服務應用程式都必須成功初始化 DLL 才能運作。 若要解決此問題，請使用系統檔案檢查程式（SFC.exe）工具來執行系統檔案掃描、從備份還原遺失的 DLL，或修復或重新安裝作系統。

如需詳細資訊，請參閱 使用系統檔案檢查程式工具來修復遺失或損毀的系統檔案。

徵兆 4

指定的無效或遺漏服務可執行檔案會導致相依服務無法啟動：

記錄檔名稱：系統

來源：服務控制管理員

事件識別碼：7000

層級：錯誤

描述：Netlogon 服務因為下列錯誤而無法啟動：

系統找不到指定的檔案。

當您嘗試使用 Services MMC 啟動 Netlogon 服務時，會顯示下列錯誤訊息：

Windows 無法在本機計算機上啟動 Netlogon 服務。 錯誤 2：系統找不到指定的檔案。

解決辦法

透過 Services MMC 檢視服務屬性時，請驗證無法啟動的服務在 [可執行文件路徑 ] 欄位中設定有效的值。 或者，驗證受影響服務的登錄中 ImagePath 值是否正確。

徵兆 5

Netlogon 服務會報告服務在系統開機期間進入停止狀態。 當您嘗試手動啟動服務時，會顯示下列錯誤訊息：

本機電腦上的 Netlogon 服務已啟動，然後停止。 某些服務若未由其他服務或程式使用，則會自動停止。

解決辦法

驗證登錄內的服務許可權是否設定為適當的值。 許可權會根據系統角色而有所不同，例如網域控制站 (DC) 與工作站或成員伺服器。 請確保沒有任何項目對SYSTEM或Administrators設定拒絕許可權。 根據預設，登錄許可權會繼承自父登錄機碼，且擁有者會設定為 SYSTEM。

徵兆 6

Netlogon 已成功啟動，但服務狀態不會回報為已 啟動 或 執行 中，而是回報為 已暫停。 針對網域成員，您可以藉由執行 Net pause netlogon 和 Net continue netlogon來設定狀態。 在 services.msc 嵌入式管理單元中，服務會顯示為下列螢幕快照：

您也可以在網域控制器上暫停並繼續 Netlogon 服務。

備註

當 Netlogon 服務暫停時，DC 不會回應 DC 定位器要求（在 LDAP 埠 UDP/389 上）。 然後電腦不再用於NTLM身份驗證或新的Kerberos票證。

解決辦法

DC 上的 Netlogon 服務可能會因為設定問題而暫停。 Netlogon.log包含以下有關原因的條目：

Netlogon 服務已暫停

系統管理員會暫停 Netlogon 服務。

NlInit：DS 已暫停

目錄服務已暫停。

等待 RPCSS

RPC 子系統啟動擱置中。

SysVol 尚未就緒

DFSR 初始複寫尚未完成。

如果 DFSR 複寫引擎沒有表示 SYSVOL 的初始複寫已成功並可以共享，則可能會導致最後一個條件發生。 因此，Netlogon 服務處於暫停狀態，直到複寫完成為止，而且只有在複寫完成後才會共用SVOL和 Netlogon。 若要針對此問題進行疑難解答，請參閱 分散式檔案系統 (DFS) 複寫中遺失的 SYSVOL 和 Netlogon 共用疑難排解

其他徵兆

其他服務，例如 Windows 時間服務或組策略服務，可能會報告失敗的作業，因為 Netlogon 服務未啟動：

記錄檔名稱：系統

來源：Microsoft-Windows-Time-Service

事件標識碼：159

級別：警告

描述：W32time 無法與 Netlogon 服務通訊。 此失敗不僅防止 NTPClient 探索及使用網域互稽，還會導致 Netlogon 在公告正確 W32time 服務狀態時出現問題。 這可能是一種暫時性狀況，可自行解決。 如果這個警告在相當長的時間內重複，請確定 Netlogon 服務正在執行並回應並重新啟動 W32time 服務，以重新設定整體狀態。 錯誤0x80070700：嘗試登入，但未啟動網路登入服務。

記錄檔名稱：系統

來源：Microsoft-Windows-Time-Service

事件標識碼：130

級別：警告

描述：NtpClient 無法將網域同級設定為時間來源，因為無法建立這台電腦與「litware.com」網域之間的信任關係，以便安全地同步時間。 NtpClient 會在 15 分鐘內再試一次，並在之後將重新嘗試間隔加倍。 錯誤是：RPC 伺服器無法使用。 （0x800706BA）

記錄檔名稱：系統

來源：Microsoft-Windows-GroupPolicy

事件標識碼：1110

層級：錯誤

描述：群組原則的處理失敗。 Windows 無法判斷使用者和計算機帳戶是否位於相同的樹系中。 確保使用者網域名稱符合在同一樹系中與電腦帳戶相關的受信任網域名稱。

當 Netlogon 服務未啟動時，依賴 Netlogon 服務的管理或其他作業也會失敗：

nltest /sc_query:litware.com

I_NetLogonControl failed: Status = 1722 0x6ba RPC_S_SERVER_UNAVAILABLE

net use \\192.168.1.11 /user:litware\administrator

System error 1792 has occurred.

An attempt was made to logon, but the network logon service was not started.

DC 定位器找不到錯誤 1355 或「指定的網域不存在或無法連絡」的 DC。

如果所有可連線的 DC 已停止其 Netlogon 服務，網域信任關係可能會失敗：

記錄檔名稱：系統

來源：NETLOGON

事件標識碼：5719

層級：錯誤

描述：由於下列原因，此計算機無法在網域 <網域> 中設定域控制器的安全會話：

我們無法使用此認證登入，因為您的網域無法使用。 請確定您的裝置已連線到您組織的網路，然後再試一次。 如果您先前已使用另一個認證登入此裝置，您可以使用該認證登入。

這可能會導致驗證問題。 請確定這部電腦已連線到網路。 如果問題持續發生，請連絡您的網域管理員。

備註

如果這部計算機是指定網域的DC，它會在指定的網域中設定具有主要域控制器 （PDC） 模擬器的安全會話。 否則，此計算機會使用指定網域中的任何 DC 來設定安全工作階段。