域控问题
客户机不能加入域的终极解决方法2010-09-28 12:54解决办法一:客户机加入域时的错误各种各样,但总的来说,客户机不能加入域的解决方法部外乎以下几种:1、将客户机的第一DNS 设为AD 的IP
客户机不能加入域的终极解决方法
2010-09-28 12:54
解决办法一:
客户机加入域时的错误各种各样,但总的来说,客户机不能加入域的解决方法部外乎以下几种:
1、将客户机的第一DNS 设为AD 的IP ,一般DNS 都时和AD 集成安装的,清空缓存并重新注册
ipconfig /flushdns 清空DNS
ipconfig /registerdns 重新申请DNS
2、关闭客户端防火墙
3、只留IP 为AD 的第一DNS ,第二DNS 设为空
4、在AD 服务器的DNS 建立客户机的SRV 记录
5、启动DNS 和TCP/IP NetBIOS Helper Service服务
6、更改主机名并在服务器上删除已经存在的DNS 记录,重启
7、域中的客户机的系统时间必须同步或慢于DC 服务器的系统时间1分钟(不得超过10分钟)
解决办法二:
不能联系域
1.您无法用NetBois 域名加入域。
2.组策略无法正常应用。
3.无法打开网上领居和访问共享文件。
这个问题有可能是Wins 服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查:
建议一:如果您的域中有Wins 服务器,请检查客户机的Wins 配置看是不是指向Wins 服务器。另外,请打开Wins 服务器,看yourdomain.com 记录正确注册。 建议二:如果 TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务)没有在客户端计算机上运行,可能会出现此问题。要解决此问题,请启动 TCP/IP NetBIOS 支持服务。要启动 NetBIOS 支持服务,请按照下列步骤操作:
1. 使用具有管理员权限的帐户登录到客户机。
2. 单击“开始”,单击“运行”,在“打开”框中键入 services.msc,然后单击“确定”。
3. 在服务列表中,双击“TCP/IP NetBIOS Helper Service”。您看到的文章来自活动目录seo
4. 在“启动类型”列表中,单击“自动”,然后单击“应用”。
5. 在“服务状态”下,单击“启动”以启动 TCP/IP NetBIOS 支持服务。
6. 当该服务启动后,请单击“确定”,然后退出“服务”管理单元。
,建议三:请检查是否安装了客户机上安装了“Microsoft网络的文件和打印机共享”
1.点击“开始菜单→控制面板→网络连接”。
2.在所出现窗口中的局域网连接(如“本地连接”)上单击右键,选择“属性”。
3.勾选常规标签下的“Microsoft网络的文件和打印机共享”项。
解决办法三:
还可以修改本机的host 文件, 在里面增加一行域控制器名称与其IP 地址的对应关系即可.
解决办法四:
“不能联系域XXXX 的域控制器”的一种解决 系统:Windows server 2003 Enterprise Edition
此方法针对的是Ghost 利用一个已经加入过相同域的系统备份还原计算机后出现的不能加入域的情况。因此IP 设置、DNS 设置是正确无误的。
因为出现系统还原到机器后无法用域账户登录的情况,另外还设置了WINS 为DNS 地址,这点也是有做到的。也无数次先行退出域,在系统属性里边儿改了计算机名,重启。依然,加入域的时候提示“不能联系域XXXX 的域控制器....”状况。 甚至重复还原了几个不同备份,最后肯定了问题一定出在一直没作改变的一点上面——计算机名。关键是系统属性里边改过,用优化大师也修改过,手动在注册表中几处都修改了,没用!几乎否定了认为问题出在计算机名上的想法。最后作了用超级兔子再修改计算机名的尝试,最终成功。
用系统软件能做的事情一定可以手动,这点是肯定的,因此最有保障有效的解决方法还有待跟进研究。
解决办法五:
更改客户机计算机名再加入试试。
微软官方帮助文件:
“您用的windows 与此域无法联系,原因是域控制器存在故障或不可用,或没有找到计算机帐户,请稍后重试,若持续出现,请与系统管理员联系”
该提示的原因绝大多数由于DC 中的计算机帐户重名或者被禁用所导致。当您将一台客户端加入域时,默认情况下在DC 的computer 的容器中会自动创建一个以该机器的用户名命名的计算机对象,这意味着DC 已经和客户端建立起了secure channel ,同时会生成一个key ,安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000 或 Windows XP,默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步,
,意味着客户端与DC 的通信被断掉,则会导致您所述的提示信息没有找到计算机账户。而如果secure channel 被断掉。导致secure channel 出错的原因可能有以下几种:
1. 将客户端加入到域时,域中已经存在与该计算机同名的计算机账户,那么在该计算机加入域后,会将本计算机的名称覆盖与其同名的计算机帐户,这样就会导致备覆盖的哪个计算机在登录域时报错
2. 将ADUC 中的计算机账户删除也会导致上述错误
解决该问题,我们需要同步计算机帐户的密码和 LSA 机密,在 Windows 2000 或 Windows XP 中重置计算机帐户的四种方法:
1. 使用 Netdom.exe 命令行工具
2. 使用 Nltest.exe 命令行工具
注意:Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夹中。要安装这两个工具,请运行 Setup.exe 或从 Support.cab 文件中提取文件。
3.使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。
4. 使用 Microsoft Visual Basic 脚本
具体步骤请参照:http://support.microsoft.com/kb/216393/zh-cn
如果希望避免此问题可以参照下面几点建议:
1. 将客户端加入到域时请检查是否与域中的计算机同名
2. 请不要在ADUC 中删除域中的有效计算机账户
相关出错对照信息:
1. 每个成员都维护着这样的一个 LSA 机密,用于建立安全通道由 Netlogon 服务。 如果,出于某种原因,计算机帐户的密码和 LSA 机密不同步,Netlogon 服务记录以下错误:
NETLOGON Event ID 3210:
Failed to authenticate with DOMAINDC, a Windows NT domain controller for domain DOMAIN.
2. 如果计算机账户被删除,通过成员Netlogon 服务会记录下面的错误信息:
NETLOGON Event ID 5721:
The session setup to the Windows NT Domain Controller
domain DOMAIN failed because the Windows NT Domain Controller does not
,have an account for the computer DOMAINMEMBER.
3. 同样,域控制器上的 Netlogon 服务密码不同步时记录以下错误:
NETLOGON Event 5722
The session setup from the computer DOMAINMEMBER failed to
authenticate.
The name of the account referenced in the security database is DOMAINMEMBER$. The following error occurred: Access is denied.
有关安全通道的信息,请参阅 Microsoft 知识库中下列文章:
ARTICLE-ID : 131366 (http://support.microsoft.com/kb/131366/EN-US/) TITLE : 事件错误 5712 状态访问被拒绝
ARTICLE-ID: 142869 (http://support.microsoft.com/kb/142869/EN-US/) TITLE : 同步整个域时出现事件 ID 3210 and 5722
ARTICLE-ID : 149664 (http://support.microsoft.com/kb/149664/EN-US/) TITLE : 验证域 Netlogon 同步
ARTICLE-ID: 158148 (http://support.microsoft.com/kb/158148/EN-US/) TITLE : 域安全通道实用工具--Nltest.exe
客户端如何设置
(1)将计算机加入到域
首先将客户机TCP/IP配置中所配的DNS 服务器,指向DC 所用的DNS 服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于,选择域:输入域名,确定。提示输入用户口和口令,确定后提示重启。
说明:
加入域时,如果输入的域名为FQDN 格式,形如mcse.com ,必须利用DNS 中的SRV 记录来找到DC ,如果客户机的DNS 指的不对,就无法加入到域。
加入域时,如果输入的域名为NetBIOS 格式,如mcse ,也可以利用浏览服务(广播方式)直接找到DC ,但它不是一个完善的服务,有时就会不好使。
这样虽然也可把计算机加入到域,而且在等较长时间后也可以登录到域上
,去,但不推荐。因为客户机的DNS 指的不对,则它无法利用2000DNS 的动态更新动能,也就是说无法在DNS 区域中自动生成关于这台计算机的A 记录和PTR 记录。那么同一域另一子网的2000及以上计算机就无法利用DNS 找到它,这本应是可以的。
再者,管理员无法在客户机上利用域的管理工具来远程管理域,因为这些管理工具必须使用DNS ,出错提示:找不到域命名信息(有时客户机的DNS Client 服务有问题也会出现上述提示,重启服务即可)。这种情况下,要进行远程管理,就只能利用TS (终端服务)基于IP 来连了。
当然用户也可以手动配置WINS 或Lmhosts 文件,来查找DC 。这主要用于95/98/NT老版本计算机跨子网(路由)查找DC 或加入域,因为这些老版本计算机无法利用DNS 来查找DC ,浏览服务又是广播方式,只能在本网段进行,因为广播信息是无法通过路由器的,RFC1542标准的路由器,可设置成允许DHCP 的广播数据通过,仅是一个特例。需要说明的是:95/98可以使用域用户帐号登录到域,但并不能加入到域,在AD 中也没有计算机帐号,而NT 可以。
计算机加入域成功后,未重启,即已在AD 用户和计算机/computer容器下生成计算机帐号了,实验中查看时,需要手动刷新一下。而在DNS 中记录必须在计算机重启后(不必登录)或15分钟后才能自动注册或更新到DNS 区域。但若我们平常修改一个计算机的名字或IP ,要马上更新到DNS 区域,倒不一定非得重启,可利用ipconfig /registerdns命令就行。明白以上讨论可用于排错,不一定非得重启登录后才知道结果。
加入到NT4域时,需要有管理特权才行;从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users 即可在域中最多创建 10 个计算机帐户。Authenticated Users 指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题:在实际中用普通域帐号加计算机到域,有时会不好使,原因是同名计算机帐号(极可能是它自己已经失效的计算机帐号)已存在而无权覆盖,这时就得用域管理员帐号了。