域控问题解决意见及调整内容20110724

事件ID 1111如果将打印机配置为使用计算机上的本地端口（如 LPT1、LPT2 或 LPT3），而计算机具有开放的客户端会话，Windows 2000 终端服务便支持通过远程桌面协议 (RDP)

事件ID 1111

如果将打印机配置为使用计算机上的本地端口（如 LPT1、LPT2 或 LPT3），而计算机具有开放的客户端会话，Windows 2000 终端服务便支持通过远程桌面协议 (RDP) 5 客户端对打印机进行自动重定向。这种打印机重定向是在登录时进行的，而且是默认执行的操作。

不过，如果在客户端上使用第三方驱动程序或某些 Microsoft Windows 95/Microsoft Windows 98 驱动程序，打印机重定向无效。在出现这种情况时，服务器的系统事件日志中便会记录以下错误信息：

类型:错误

事件 ID: 1111

描述:打印机 printertype 所需的驱动程序 drivername 未知。登录之前，请与管理员联系，安装驱动程序。

类型:错误

事件 ID: 1105

描述:无法设置打印机 printername/clientcomputername/Session number 的打印机安全信息。

类型:错误

事件 ID: 1106

描述:无法安装打印机。

客户端登录时，基于 Windows 2000 的服务器检查客户端上打印机驱动程序的名称，并在 Windows 2000 Ntprint.inf 文件中查找同一打印机驱动程序名称。如果找不到该驱动程序名称，便会记录错误信息，而不会将打印机重定向。 http://support.microsoft.com/kb/239088

事件ID 5722

域成员电脑登录不了系统:用本地管理员帐户登录, 查看日志有错误, 描述为: Windows 不能确定用户或计算机名称(拒绝访问。) 。组策略处理中止。

登录域控制器，查看域控制器的日志:来源：NETLOGON 事件ID ： 5722,

从计算机 computername 设置的会话无法进行身份验证。 安全数据库中引用的帐户名称是 computername$。发生下列错误:

拒绝访问。

从网上查到的资料：

对于作为域成员的每一台 Windows 2000 或 Windows XP 工作站或服务器，它们都与域控制器有一个离散的通信通道，该通道称为安全通道。 安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000或 Windows XP，默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步，Netlogon 服务就会记录下面一条或两条错误消息：

从计算机 DOMAINMEMBER 设置的会话无法验证。安全数据库中引用的帐户名称是DOMAINMEMBER$。发生下列错误:访问被拒绝。NETLOGON 事件 ID 3210:

无法用域 DOMAIN 的 Windows NT 域控制器 DOMAINDC 进行验证。当密码不同步时，域控制器上的 Netlogon 服务将记录以下错误消息： NETLOGON 事件5722:

从计算机 1 设置的会话无法验证。安全数据库中引用的帐户名称是 2。发生下列错误:n3

由此可见：我的电脑与域控制器的安全通道出现了问题。默认计算机帐户密码的更换周期为 30 天，而我的电脑的还原时间是每30天就还原。域成员电脑回到了从前，由此密码不同步。看来要把还原卡卸载。

事件ID 5723

于event id 5723这个错误事件，建议你执行以下操作：

1. 每一台基于 Windows 的计算机都维护着一个机器帐户密码历史，其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时，如果尚未接收到对当前密码的更改，Windows 将依赖以前的密码。如果密码更改超过两次以上，则所涉及的计算机彼此之间就可能无法通信。您可以使用 Netdom.exe 重置域控制器的机器帐户密码。

关于使用 Netdom 重置机器帐户密码的具体信息，您可以参考以下网站： http://support.microsoft.com/?id=260575

2. 请检查在您的域内是否有与计算机 'XXX' 相同的计算机名，如果有的话，请更改其为其他的计算机名。

3. 请将计算机 'XXX' 退出域，然后重新加入域，察看问题是否依然存在。

事件ID 5805

关于event id 5805这个错误事件，建议你执行以下操作：

1. 每一台基于 Windows 的计算机都维护着一个机器帐户密码历史，其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时，如果尚未接收到对当前密码的更改，Windows 将依赖以前的密码。如果密码更改超过两次以上，则所涉及的计算机彼此之间就可能无法通信。您可以使用 Netdom.exe 重置域控制器的机器帐户密码。

关于使用 Netdom 重置机器帐户密码的具体信息，您可以参考以下网站： http://support.microsoft.com/?id=260575

2. 请检查在您的域内是否有与计算机 'XXXX-TRACYCHEN' 相同的计算机名，如果有的话，请更改其为其他的计算机名。

3. 请将计算机 ' hs103'退出域，然后重新加入域，察看问题是否依然存在。 每一台基于 Windows 的计算机都维护着一个机器帐户密码历史，其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时，如果尚未接收到对当前密码的更改，Windows 将依赖以前的密码。如果密码更改超过两次以上，则所涉及的计算机彼此之间就可能无法通信，而且您可能会收到错误消息（如发生 Active Directory 复制时出现“访问遭拒”错误消息）。

同一域的域控制器之间进行复制时也会出现这一情况。如果不能进行复制的域控制器驻留在两个不同的域中，那么您就应该仔细检查一下信任关系。

您不能使用“Active Directory 用户和计算机”管理单元更改机器帐户密码，但可以使用 Windows Support Tools 中包括的 Netdom.exe 工具重置密码。 Netdom 工具可在计算机上本地重置帐户密码（也叫“本地机密”）并将此更改写入驻留在同一域中的 Windows 域控制器上该计算机的计算机帐户对象中。

同时将新密码写入两个位置可确保至少操作中涉及的两台计算机得到了同步，并可以启动 Active Directory 复制以便让其他域控制器接收到此更改。

下面的过程讲述了如何使用 netdom 命令重置机器帐户密码。此过程在域控制器上最常用，但也适应于任何 Windows 机器帐户。

因为不能远程使用 Netdom ，所以您必须在要更改其密码的那一 Windows 计算机上运行此工具。另外，为运行 Netdom ，您必须有本地管理权限以及对 Active Directory 中该计算机帐户的对象的管理权限。

使用 Netdom 重置机器帐户密码

在要重置密码的域控制器上安装 Windows CD-ROM 上 SupportTools 文件夹中的 Windows Support Tools。

如果您尝试重置 Windows 域控制器的密码，那么在执行步骤 3 之前，必须停止 Kerberos 密钥分发中心服务并将其“启动”类型设置为“手动”。

备注：在重新启动并确认密码已成功重置后，您可以重新启动 Kerberos 密钥分发中心服务并将其“启动”类型设置回“自动”。这样做可强制有错误计算机帐户密码的域控制器与另一个域控制器联系以获取 Kerberos 票证。 在命令提示符下，键入以下命令：

netdom resetpwd /server: Replication_Partner_Server_Name/userd: domainname�ministrator_id/passwordd:*

其中 Replication_Partner_Server_Name 是与本地计算机在同一域中的某一域控制器的 DNS 或 NetBIOS 名称，domainname�ministrator_id分别是 NetBIOS 域名和管理员 ID ，格式是“安全帐户管理器”(SAM) 帐户名凭据格式。

/PasswordD: 参数的值“*”指定在提交命令时密码应当用隐藏字符键入。例如，本地计算机（恰好是一个域控制器）是 Server1，对等 Windows 域控制器的名称是 Server2。如果您在 Server1 上用下列参数运行 Netdom ，则密码就会在本地更改并同时写入 Server2，而且复制作业将把此更改传播到其他域控制器：

netdom resetpwd /server:server2 /userd: mydomain �ministrator /passwordd:*

其中重新启动密码已更改的服务器（在本例中是 Server1）。

策略添加：

在rmyy OU下启用“禁用更改机器账户密码”策略，用于阻止客户端更改机器账户密码。防止发生账户登录验证报错。对应错误ID 为5805、8722、8723错误。

新建组策略machine account：计算机配置->Windows设置->安全设置->本地策略->安全选项->禁用更改机器账户密码，选择启用。

如果需要停用请删除此策略。

域控状态备份：

使用系统备份工具建立备份域控信息任务。

DC01任务：

任务1名称：DC01systemstate1.job ，每月1号，凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。

任务2名称：DC01systemstate10.job ，每月10号，凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。

任务3名称：DC01systemstate20.job ，每月20号，凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。

DC03任务：

任务1名称：DC03systemstate1.job ，每月1号，凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。

任务2名称：DC03systemstate10.job ，每月10号，凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。

任务3名称：DC03systemstate20.job ，每月20号，凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。