建立域服务器时候遇到问题的解决方法

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT 和物理网络相互连接，

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT 和物理网络相互连接，一个连接LAN1虚拟网络部分。一个运行XP SP3英文版，单网卡，连接LAN1。这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware 建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS 设置不正确的问题

安装活动目录，就在选择DNS 的时候，忘了选择了什么选项，像是本机什么什么的。反正就是没有设置DNS 就过去了。后来也证明，DNS 服务器没有正常启动。

打开DNS 服务器，开启DNS 服务，看了看正向搜索区域，里边有Server.test.com -->192.168.0.1的项，应该正常吧。网上顺便看了看MX 记录的问题，发觉DNS 服务器有很多类型，但是WIN2003的DNS 没有这样的记录类型（比如主机类型，TXT 类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^

打开XP 虚拟机，将他加入域的时候，发觉只能用NETBIOS 名称加入域，而不能用完整域名加入。提示：

Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:WINDOWS�bug�diag.txt.

The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain sunda.com:

The error was: "DNS name does not exist."

(error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._msdcs.test.com

Common causes of this error include the following:

- The DNS SRV record is not registered in DNS.

- One or more of the following zones do not include delegation to its

child zone:

test.com

com

. (the root zone)

For information about correcting this problem, click Help.

在网上找了很多地方，没有找到答案，都只是提示了说DNS 配置错误。最多说了没有SRV 记录，不过这个SRV 鬼才知道怎么搞（当然是没有找到）。那就用NETBIOS 名称先加进去，先看看域到底是什么东西再说。

然后查找了一些资料，发觉使用NSLOOKUP 判断DNS 是否正确的。下边是查询结果：

不小心找到了微软的知识中心：使用NSLOOKUP 找到了解决问题的办法。

原来是反向区域没有记录，新建主要区域，选中下边的在Active Directory 手动添加中存储区域，反向区域添加记录192.168.0.1-->server.test.com，成功。由此上边Can't find server 等等不见了，成了正常的域名解析。在计算机里也可以使用域名把计算机添加的域了。

2、windows 无法与此域连接原因是域控制存在故障或不可用, 或者没有找到计算机帐户 经典的windows 无法与此域连接原因是域控制存在故障或不可用, 或者没有找到计算机帐户俺也遇到了

解决方法，用本地管理员身份进入域，选择退出域，改成工作组，然后再加入域，即可。

这个问题的原解释如下：

该提示的原因绝大多数由于DC 中的计算机帐户重名或者被禁用 所导致。当您将一台客户端加入域时，默认情况下在DC 的computer 的容器中会自动创建一个以该机器的用户名命名的计算机对象，这意味着DC 已经和客 户端建立起了secure channel ，同时会生成一个key ，安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000 或 Windows XP，默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步，意味着客户端与DC 的通信被断掉，则会导致您所述的提示信息没有找到计算机账户。而如果secure channel 被断掉。导致secure channel 出错的原因可能有以下几种：

1. 将客户端加入到域时，域中已经存在与该计算机同名的计算机账户，那么在该计算机加入域后，会将本计算机的名称覆盖与其同名的计算机帐户，这样就会导致备覆 盖的哪个计算机在登录域时报错

2. 将ADUC 中的计算机账户删除也会导致上述错误

解决该问题，我们需要同步计算机帐户的密码和 LSA 机密，在 Windows 2000 或 Windows XP 中重置计算机帐户的四种方法：

1. 使用 Netdom.exe 命令行工具

2. 使用 Nltest.exe 命令行工具

注意：Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夹中。要安装这两个工具，请运行 Setup.exe 或从 Support.cab 文件中提取文件。

3．使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。

4. 使用 Microsoft Visual Basic 脚本

具体步骤请参照：http://support.microsoft.com/kb/216393/zh-cn

如果希望避免此问题可以参照下面几点建议：

1. 将客户端加入到域时请检查是否与域中的计算机同名

2. 请不要在ADUC 中删除域中的有效计算机账户

相关出错对照信息：

1. 每个成员都维护着这样的一个 LSA 机密，用于建立安全通道由 Netlogon 服务。 如果，出于某种原因，计算机帐户的密码和 LSA 机密不同步，Netlogon 服务记录以下错误： NETLOGON Event ID 3210:

Failed to authenticate with DOMAINDC, a Windows NT domain controller

for domain DOMAIN.

2. 如果计算机账户被删除，通过成员Netlogon 服务会记录下面的错误信息：

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

have an account for the computer DOMAINMEMBER.

3. 同样，域控制器上的 Netlogon 服务密码不同步时记录以下错误：

NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.

The name of the account referenced in the security database is

DOMAINMEMBER$. The following error occurred: Access is denied.

有关安全通道的信息，请参阅 Microsoft 知识库中下列文章：

ARTICLE-ID ： 131366 (http://support.microsoft.com/kb/131366/EN-US/)

TITLE ： 事件错误 5712 状态访问被拒绝

ARTICLE-ID:

(http://support.microsoft.com/kb/142869/EN-US/)

TITLE ： 同步整个域时出现事件 ID 3210 and 5722 142869