AD域加入和认证常见问题处理
文档名称 文档密级安徽电信企业信息化安全项目FAQ 及注意事项:1.为什么用帐号A 加入的机器退出域后,再用帐号B 无法将此计算机加入域?用户的帐号和计算机在加入域后会形成一个绑定关系,此关系在域服务
文档名称 文档密级
安徽电信企业信息化安全项目
FAQ 及注意事项:
1.为什么用帐号A 加入的机器退出域后,再用帐号B 无法将此计算机加入域?
用户的帐号和计算机在加入域后会形成一个绑定关系,此关系在域服务器中保存。如果确需要解决,则要在服务器上将计算机帐号删除。强烈建议“谁使用本计算机就使用谁的帐号加入域”。加入成功后,不要随意退出域。
2.为什么用域帐号登录到域会提示“正在创建列表”?
一般用户加入域后,用域帐号第一次登录到计算机有时会有此提示,此为正常现象,用户需要耐心等待。如果长时间计算机没有帐号应,请重新启动机器。
3.为什么用户在加入域的时候提示“未知的用户名或错误的密码”?
请先确认输入的密码是否正确,如果确认无误,请联系管理员查找该帐号是否存在。
4.Win98的机器可以加入域吗?
Win98的机器可以打上DSclient 补丁,用域帐号登录到域,但由于win98机器没有组策略等组件,接受不到域服务器下发的策略。严格的说,win98机器是不能加入到AD 域中的,用域帐号登录也没有实际的意义。
5.加入域的过程中报错:53号错误代码,是什么意思?
操作系统提示53号错误的含义是:找不到网络路径。请首先确认本计算机上是否开启了防火墙。确定Server 服务、Workstation 服务、TCP/IP NETBIOS Helper和Computer Browser服务已启动;
在Windows 系统中,选中“网上邻居”,右键选择“属性”,在“本地连接”的图标上右键选择“属性”中,确定“Microsoft 网络客户端”、“Microsoft 网络的文件和打印机共享”和“Internet 协议(TCP/IP)”已安装。
2013-3-31
华为机密,未经许可不得扩散 第1页, 共108页
,
文档名称 文档密级
6.为什么使用工具加入域,在改动“用户配置目录”的时候,出现错误提示?
如果是加入域后第一次运行此程序,“更改配置目录”的按钮可能是灰色,这时需要再次运行一次工具,查看按钮颜色,正常情况应该可以点击。但是,此工具不是100%能够将用户的配置目录更改过来。如果在更改后提示错误,则只有将用户的配置目录里的文件拷贝到现有的域目录中了,相应的程序需要重装。
7.为什么有时代理界面会显示“连接Numen 消息服务器中断”?
1. 首先要保证网络是通的,可以ping 通Numen 服务器,正常解析DNS ;
2. 确认代理软件中的“系统信息”中的版本是”1.0.2.11”,如果不是,到134.64.101.104服务器上更新最新版本;
3.确认代理软件中的“系统设置”中的“消息服务器地址”是存在,且正确;
8. 为什么安装代理后,部分应用程序不能访问网络?
查看代理界面中[系统设置/系统设置/是否启用主机防火墙]中是否启用防火墙。如果已启用防火墙,需要在[安全防护/主机防火墙]界面中删除限制该应用程序访问网络的规则。
9. 为什么进行用户认证时,显示“身份认证不通过”?
身份认证不通过的原因有如下几点:
用户选择的认证方式正确,部署域的计算机应该选择“域用户”,直接点认证了。 WIN98及HOME 版的机器及因没有工号未部署域的机器使用“用户名认证”,请输入正确的用户名和密码。目前针对这种情况,给每个地市分配了临时帐号,如下表:
地市
省公司
滁州
合肥
2013-3-31
帐号 L055100 L055001 L055101 密码 地市 帐号 L055801 L055901 L056101 密码 123456 123456 123456 第2页, 共108页 123456 阜阳 123456 黄山 123456 淮北 华为机密,未经许可不得扩散
,
文档名称 文档密级
蚌埠 芜湖 淮南 马鞍山 安庆 宿州
L055201 L055301 L055401 L055501 L055601 L055701
123456 铜陵 123456 宣城 123456 六安 123456 巢湖 123456 池州 123456 亳州
L056201 L056301 L056401 L056501 L056601 L056701
123456 123456 123456 123456 123456 123456
10.当代理提示“未找到注册的网络接入控制器”时,应该如何处理?
由于终端用户计算机未接入相应的网络所致。请再次确认计算机是否已接入相应网络。如果依然不能解决该问题,请与网络管理员联系。
11.为什么正式接入后,认证未通过,访问不了网络?
NUMEN 代理的认证分为身份认证和安全策略检查两部分。身份认证通过,但强制策略检查结果不达标,仍然显示为不能够通过认证,用户网络不通。解决办法,必须依照提示,使本机达到安全标准。
12.加入AD 域的计算机名称和网络识别都是灰色的,无法更改计算机名称,也无法退域,并且网络共享资源无法使用
首先在Windows 系统中选择“我的电脑”,然后点击鼠标右键选择“管理”,再选择“本地用户和组”,展开该项后点击“组”,在右侧内容中选中“Administrators ”组,双击打开后确定当前用户已属于该组;
如果当前用户已属于管理员组,请参考以下提供方法解决:
造成以上现象是由某些系统服务未能正常启用引起的,可以通过以下几步:
● 在Windows 系统中点击“开始>>运行”,输入“Services.msc ”,然后点击“确定”打开系统服务;
● 检查Server 服务、Workstation 服务、TCP/IP NETBIOS Helper服务和Computer Browser 服务是否启动;
● 如上述服务有任何一个没有启动,请点击“启动”选项,使服务启动; ● 再次查看计算机名和网络识别,发现已经可以对计算机名称、网络识别等进行正常的操作了
2013-3-31
华为机密,未经许可不得扩散
第3页, 共108页
,
文档名称 文档密级
13. Windows XP无法通过网络连接共享打印机
● 首先检查安装了打印机的计算机防火墙软件是否处于关闭状态要,建议安装有打印机的并启用了打印机共享的计算机不安装个人防火墙软件;
● 检查Server 服务、Workstation 服务和TCP/IP NETBIOS Helper服务是否已正常启动,如果没有启动,请按照第1道问题给出的方法解决;
● 使用杀毒软件清除病毒;
● 用运行Net Share命令检查IPC$默认共享是否启动,如果没有启用,请使用Net Share IPC$命令来启动(一般Windows XP系统不存在此问题);
● 如要在AD 中发布打印机,必须确保所有域中的打印机共享名唯一,即打印机名称也应该像计算机名一样统一规范。
14. 已加入域的计算机,用户无法登入到AD 域,提示为计算机帐号遗失或指定的域不存在
出现这种问题是由于终端计算机与AD 域之间的认证无法通过,必须重新加入到AD 域,恢复与AD 域的认证关系,操作步骤如下:
在Windows 系统中,选中“我的电脑”,然后右键选择“属性”,在弹出的系统属性中,选择“计算机名”页;
点击“更改”,在弹出的计算机名称更改中,选择工作组,输入工作组名称为“Workstation ” 点击“确定”后将计算机退入域,然后重新启动,再用加入域的工具执行加入AD 域的操作。
15. 终端计算机无法加入到AD 域,提示找不到网络路径
● 确定DNS 正确设置,可以正常解析终端计算机名,方法如下:
● 在Windows 系统中,点击“开始>>运行”,输入“CMD ”后按确定,在弹出的命令提示字元中,输入“nslookup ”,可以正常解析DNS 的名称;
● 确定用户拥有加入域的权限,此权限由域管理员统一管理,在未对其设定群组策略的情况下,默认情况下所有的用户帐号都可以加入到AD 域中;
● 确定相关服务启动正常,同时默认共享开启: Workstation 服务,TCP/IP NETBIOS Helper 服务和Server 服务为启动状态;默认的共享IPC$及ADMIN$启用(前面提到的使用Net Share命令来检查);
● 检查是否病毒感染:通过清除病毒,发现很多计算机可以加入到域中,因此必须有统一的防毒体系的部署,同时及时更新病毒定义码。
16. 客户端使用domain user登陆后权限不足,使用很不方便,请问怎么才能提升权限
在使用加入域工具进行加入域操作后,默认情况下,加入域的使用者帐号会自动加入到本地管理员组中;如果未使用工具或使用者帐号不在本地管理员组中,可以通过以下方法解决:
⏹ 在Windows 系统中选择“我的电脑”,然后点击鼠标右键选择“管理”,再选择“本地用户和组”,展开该项后点击“组”,在右侧内容中选中“Administrators ”组,双击2013-3-31
华为机密,未经许可不得扩散 第4页, 共108页
,
文档名称 文档密级
打开。
⏹ 在Administrators 组中,如果没有当前使用者帐号,请使用本地管理员帐号登录到本机中,然后按照以上方法打开Administrators 属性内容,点击“添加”,增加使用者域帐号到本地管理员组中。
⏹ 或在命令提示字元中使用“net localgroup administrators domainuser1 /add”来添加。
17.一台机器,使用NTFS 分区,提示“和Numen 服务器中断“,不能认证通过;
看诊断日志,是代理不能够到Numen 服务器提取配置数据, 由于NTFS 有安全保护机制,终端用户使用权限不够,解决方法是在numen 代理安装目录下,把使用者加入到管理组中。
18.操作系统是windows2000, 加入域后,网络打印机不可用,找不到此网络打印机;
在DOS 命令下输入”net share”, 发现是IPC$没有启用;由于IPC$是用来作共享文件用的,把IPC$打开,问题解决;
19.PC 的操作系统是windows2000, 提示“未被Numen 服务器接管“
首先要确认版本和消息服务器地址都是正确的,windows 补丁是最新的,然后在DOS 里面输入“telnet Numen服务器地址 1788”,发现1788端口被封掉,由于代理和消息服务器通讯使用1788端口,故一直显示“未被Numen 服务器接管”,经定位是病毒导致.
20.地市反应电信”网上大学”有部分模块不能使用.
对于此类问题, 首先关闭所有网页,重新打开一个空白网页,在IE 浏览器中输入要解 析的网址,打开这个网页,然后用 netstat -n |more 命令查看本机和对端服务器80或 8080端口建立连接的IP ,记录这些IP ,将这些IP 在MA5200F 中开放,用户就可打开这个主 页面的连接了。
21.PC 重装系统, 在软件中”安全代理ID ”显示为乱码, 认证不能通过.
正常情况下”安全代理ID ”应该显示字母和数字的组全, 如果显示为乱码, 是代理软件和操作系统有冲突, 不能在数据库中正常提取安全代理ID. 处理办法:卸载代理软件, 重新安装代理, 再次获取正确的安全代理ID.
22. 关于加入域后原来的桌面文件找不到的处理办法。
2013-3-31
华为机密,未经许可不得扩散 第5页, 共108页
,
文档名称 文档密级
有用户反应加入域后,原来管理者的桌面文件找不到,由于加入域在winxp 操作系统相当于新建一用户,为保持原有桌面设置及个性化设置,工具会提示用户是否采用当前用户的配置目录,如果使用原有的用户目录,请点击是,否则新建一个用户目录,原有桌面上的文件将不能转移过来。
23. 网络类和安全类问题分类。
安全系统问题主要如下:
1. 用户密码错,认证不通过;
2. 用户重装系统,需删除其计算机名;
3. 用户不能加入域;
4. 用户认证不通过(排除网络故障后)
网络类问题
1. 不能ping 通anhuidx.com, 不能解析anhuidx.com 地址;看能不能ping 通网关,DNS 有没有
设置;
2. ping 公私网地址有大量丢包;因为可以ping 通,认证可以通过,公私网都走BAS 侧,认
证可以通过,BAS 认证问题,一般是上层出口(例如防火墙)问题
3. 可以认证通过,不能上公网;有可能是DNS 没有设置好,或者PC 作了代理;
4. 地市增加新的使用网段(MA5200F 做配合);BAS 增加相关三层认证数据。 两者要分开,各自找相关的处理人,不能混淆
24. 对于加入域提示“未和网络控制器连接”问题处理。
对于此类问题,首先要按照操作指导书里面的步骤启用四个服务,然后保证网络连通,解析anhuidx.com 地址要正确,如果不正确,要把网卡禁用,重新安装网卡驱动。
25.微软官方加入域代码,供参考:
Platform SDK: Debugging and Error Handling
1 System Error Codes
2013-3-31
华为机密,未经许可不得扩散 第6页, 共108页
,
文档名称 文档密级
The following table provides a list of system error codes. They are returned by the GetLastError function when many functions fail. Code Description 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
The operation completed successfully. Incorrect function.
The system cannot find the file specified.
The system cannot find the path specified. Access is denied. The handle is invalid. The storage control blocks were destroyed.
Name
ERROR_SUCCESS
ERROR_INVALID_FUNCTION ERROR_FILE_NOT_FOUND ERROR_PATH_NOT_FOUND
The system cannot open the file. ERROR_TOO_MANY_OPEN_FILES
ERROR_ACCESS_DENIED ERROR_INVALID_HANDLE ERROR_ARENA_TRASHED
Not enough storage is available to ERROR_NOT_ENOUGH_MEMORY process this command.
The storage control block address is ERROR_INVALID_BLOCK invalid.
The environment is incorrect.
ERROR_BAD_ENVIRONMENT
An attempt was made to load a program ERROR_BAD_FORMAT with an incorrect format. The access code is invalid. The data is invalid.
ERROR_INVALID_ACCESS ERROR_INVALID_DATA
Not enough storage is available to ERROR_OUTOFMEMORY complete this operation. The system cannot find the drive specified.
ERROR_INVALID_DRIVE
The directory cannot be removed. ERROR_CURRENT_DIRECTORY The system cannot move the file to a ERROR_NOT_SAME_DEVICE different disk drive. There are no more files. The media is write protected.
ERROR_NO_MORE_FILES ERROR_WRITE_PROTECT
The system cannot find the device ERROR_BAD_UNIT specified.
The device is not ready.
ERROR_NOT_READY
The device does not recognize the ERROR_BAD_COMMAND
2013-3-31
华为机密,未经许可不得扩散
第7页, 共108页
,
文档名称 文档密级
command.
23
24
25
26
27
28
29
30
31
32 Data error (cyclic redundancy check). ERROR_CRC The program issued a command but the ERROR_BAD_LENGTH command length is incorrect. The drive cannot locate a specific ERROR_SEEK area or track on the disk. The specified disk or diskette cannot ERROR_NOT_DOS_DISK be accessed. The drive cannot find the sector requested. The printer is out of paper. The system cannot write to the specified device. The system cannot read from the specified device. ERROR_SECTOR_NOT_FOUND ERROR_OUT_OF_PAPER ERROR_WRITE_FAULT ERROR_READ_FAULT A device attached to the system is not ERROR_GEN_FAILURE functioning. The process cannot access the file ERROR_SHARING_VIOLATION
because it is being used by another
process.
The process cannot access the file ERROR_LOCK_VIOLATION
because another process has locked a
portion of the file.
The wrong diskette is in the drive. ERROR_WRONG_DISK
Insert 2 (Volume Serial Number: 3)
into drive 1.
Too many files opened for sharing. ERROR_SHARING_BUFFER_EXCEEDED Reached the end of the file.
The disk is full.
The request is not supported. ERROR_HANDLE_EOF ERROR_HANDLE_DISK_FULL ERROR_NOT_SUPPORTED 33 34 36 38 39 50
51 Windows cannot find the network path. ERROR_REM_NOT_LIST
Verify that the network path is
correct and the destination computer
is not busy or turned off. If Windows
still cannot find the network path,
contact your network administrator.
You were not connected because a ERROR_DUP_NAME
duplicate name exists on the network.
Go to System in the Control Panel to
2013-3-31 华为机密,未经许可不得扩散 第8页, 共108页 52
,
文档名称 文档密级
change the computer name and try
again.
53
54
55
56
57
58
59
60
61
62 The network path was not found. The network is busy. ERROR_BAD_NETPATH ERROR_NETWORK_BUSY The specified network resource or ERROR_DEV_NOT_EXIST device is no longer available. The network BIOS command limit has ERROR_TOO_MANY_CMDS been reached. A network adapter hardware error occurred. ERROR_ADAP_HDW_ERR The specified server cannot perform ERROR_BAD_NET_RESP the requested operation. An unexpected network error occurred. ERROR_UNEXP_NET_ERR The remote adapter is not compatible. ERROR_BAD_REM_ADAP The printer queue is full. ERROR_PRINTQ_FULL Space to store the file waiting to be ERROR_NO_SPOOL_SPACE
printed is not available on the
server.
Your file waiting to be printed was ERROR_PRINT_CANCELLED deleted.
The specified network name is no
longer available.
Network access is denied.
The network resource type is not
correct. ERROR_NETNAME_DELETED ERROR_NETWORK_ACCESS_DENIED ERROR_BAD_DEV_TYPE 63 64 65 66
67
68
69
70
71 The network name cannot be found. ERROR_BAD_NET_NAME The name limit for the local computer ERROR_TOO_MANY_NAMES network adapter card was exceeded. The network BIOS session limit was ERROR_TOO_MANY_SESS exceeded. The remote server has been paused or ERROR_SHARING_PAUSED is in the process of being started. No more connections can be made to ERROR_REQ_NOT_ACCEP
this remote computer at this time
because there are already as many
connections as the computer can
accept.
The specified printer or disk device ERROR_REDIR_PAUSED has been paused.
2013-3-31 华为机密,未经许可不得扩散 第9页, 共108页 72
,
文档名称 文档密级
80
82
83
84
85
86
87
88
89 The file exists. The directory or file cannot be created. Fail on INT 24. ERROR_FILE_EXISTS ERROR_CANNOT_MAKE ERROR_FAIL_I24 Storage to process this request is not ERROR_OUT_OF_STRUCTURES available. The local device name is already in ERROR_ALREADY_ASSIGNED use. The specified network password is not ERROR_INVALID_PASSWORD correct. The parameter is incorrect. The system cannot start another
process at this time. ERROR_INVALID_PARAMETER ERROR_NO_PROC_SLOTS
ERROR_TOO_MANY_SEMAPHORES A write fault occurred on the network. ERROR_NET_WRITE_FAULT 100 Cannot create another system
semaphore.
101 The exclusive semaphore is owned by ERROR_EXCL_SEM_ALREADY_OWNED
another process.
102 The semaphore is set and cannot be ERROR_SEM_IS_SET
closed.
103 The semaphore cannot be set again. ERROR_TOO_MANY_SEM_REQUESTS
104 Cannot request exclusive semaphores ERROR_INVALID_AT_INTERRUPT_TIME
at interrupt time.
105 The previous ownership of this
semaphore has ended. ERROR_SEM_OWNER_DIED
106 Insert the diskette for drive 1. ERROR_SEM_USER_LIMIT
107 The program stopped because an ERROR_DISK_CHANGE
alternate diskette was not inserted.
108 The disk is in use or locked by another ERROR_DRIVE_LOCKED
process.
109 The pipe has been ended. ERROR_BROKEN_PIPE
110 The system cannot open the device or ERROR_OPEN_FAILED
file specified.
111 The file name is too long. ERROR_BUFFER_OVERFLOW
112 There is not enough space on the disk. ERROR_DISK_FULL
113 No more internal file identifiers ERROR_NO_MORE_SEARCH_HANDLES
available.
114 The target internal file identifier ERROR_INVALID_TARGET_HANDLE
2013-3-31
华为机密,未经许可不得扩散 第10页, 共108页