域故障解決實例作者： 發(fā)布人： 發(fā)布時間：2005年12月15日 點擊次數(shù)：7這部分內(nèi)容將以實例的形式，介紹活動目錄（Act i ve Dire c tor y ）的域故障排除，基本上遵循由易

域故障解決實例

作者： 發(fā)布人： 發(fā)布時間：2005年12月15日 點擊次數(shù)：7

這部分內(nèi)容將以實例的形式，介紹活動目錄（Act i ve Dire c tor y ）的域故障排除，基本上遵循由易到難，由簡到繁的順序來講解討論。

Q 1、客戶機無法加入到域？

一、權(quán)限問題。

要想把一臺計算機加入到域，必須得以這臺計算機上的本地管理員（默認為a dm inis tr a tor ）身份登錄，保證對這臺計算機有管理控制權(quán)限。普通用戶登錄進來，更改按鈕為灰色不可用。并按照提示輸入一個域用戶帳號或域管理員帳號，保證能在域內(nèi)為這臺計算機創(chuàng)建一個計算機帳號。

二、不是說―在2000/03域中，默認一個普通的域用戶（Au th en ti ca te d Users ）即可加10臺計算機到域?！瑔幔窟@時如何在這臺計算機上登錄到域呀！

顯然這位網(wǎng)管誤解了這名話的意思，此時計算機尚未加入到域，當然無法登錄到域。也有人有辦法，在本地上建了一個與域用戶同名同口令的用戶，結(jié)果可想而知。這句話的意思是普通的域用戶就有能力在域中創(chuàng)建10個新的計算機帳號，但你想把一臺計算機加入到域，首先你得對這臺計算機的管理權(quán)限才行。再有就是當你加第11臺新計算機帳號時，會有出錯提示，此時可在組策略中，將帳號復位，或干脆刪了再新建一個域用戶帳號，如jo ind om ain 。注意：域管理員不受10臺的限制。

三、用同一個普通域帳戶加計算機到域，有時沒問題，有時卻出現(xiàn)―拒絕訪問‖提示。

這個問題的產(chǎn)生是由于AD 已有同名計算機帳戶，這通常是由于非正常脫離域，計算機帳戶沒有被自動禁用或手動刪除，而普通域帳戶無權(quán)覆蓋而產(chǎn)生的。解決辦法：1、手動在AD 中刪除該計算機帳戶；2、改用管理員帳戶將計算機加入到域；3、在最初預建帳戶時就指明可加入域的用戶。

四、域xxx 不是AD 域，或用于域的AD 域控制器無法聯(lián)系上。

在2000/03域中，2000及以上客戶機主要靠D NS 來查找域控制器，獲得DC 的 I P 地址，然后開始進行網(wǎng)絡身份驗證。DN S 不可用時，也可以利用瀏覽服務，但會比較慢。2000以前老版本計算機，不能利用DN S 來定位DC ，只能利用瀏覽服務、W IN S 、lm hos ts 文件來定位D C 。所以加入域時，為了能找到DC ，應首先將客戶機TC P /IP 配置中所配的DNS 服務器，指向DC 所用的DNS 服務器。

加入域時，如果輸入的域名為F Q DN 格式，形如m cs e.com ，必須利用DN S 中的SR V 記錄來找到D C ，如果客戶機的D NS 指的不對，就無法加入到域，出錯提示為―域xxx 不是AD 域，或用于域的AD 域控制器無法聯(lián)系上?！?000及以上版本的計算機跨子網(wǎng)（路由）加入域時，也就是說，加入域的計算機是2000及以上，且與DC 不在同一子網(wǎng)時，應該用此方法。

加入域時，如果輸入的域名為N e tB I OS 格式，如m cs e ，也可以利用瀏覽服務（廣播方式）直接找到DC ，但瀏覽服務不是一個完善的服務，經(jīng)常會不好使。而且這樣雖然也可以把計算機加入到域，但在加入域和以后登錄時，需要等待較長的時間，所以不推薦。再者，由于客戶機的D NS 指的不對，則它無法利用2000D NS 的動態(tài)更新動能，也就是說無法在D NS 區(qū)域中自動生成關(guān)于這臺計算機的A 記錄和P TR 記錄。那么同一域另一子網(wǎng)的2000及以上計算機就無法利用D NS 找到它，這本應該是可以的。

若客戶機的DNS 配置沒問題，接下來可使用ns loo kup 命令確認一下客戶機能否通過DN S 查找到DC （具體見前）。能找到的話，再pin g 一下DC 看是否通。

Q 2、用戶無法登錄到域？

一、用戶名、口令、域

確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小寫，口令是區(qū)分大小寫的?？匆幌掠卿浀挠蚴欠襁€存在（比如子域被非正常刪除了，域中唯一的DC 未聯(lián)機）。

二、DN S

客戶機所配的DN S 是否指向D C 所用的DN S 服務器，討論同前。

三、計算機帳號

基于安全性的考慮，管理員會將暫時不用的計算機帳號禁用（如財務主管渡假去了），出錯提示為―無法與域連接……，域控制器不可用……，找不到計算機帳戶……‖，而不是直接提示―計算機帳號已被禁用‖。可到AD 用戶和計算機中，將計算機帳號啟用即可。

對于 Win dows 2000/XP /03，默認計算機帳戶密碼的更換周期為 30 天。如果由于某種原因該計算機帳戶的密碼與 LS A 機密不同步，登錄時就會出現(xiàn)出錯提示：―計算機帳戶丟失……‖或―此工作站和主域間的信任關(guān)系失敗‖。解決辦法：重設(shè)計算機帳戶，或?qū)⒃撚嬎銠C重新加入到域。

四、默認普通域用戶無權(quán)在DC 上登錄

見下一小節(jié)的Q1。

五、跨域登錄中的問題

在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據(jù)本機DN S 配置去找DNS 服務器，DN S 根據(jù)SR V 記錄告訴它DC 是誰，客戶機聯(lián)系DC ，驗證后登錄。

如果是在林中跨域登錄，是首先查詢DNS 服務器，問林的GC 是誰。所以要保證林內(nèi)有可用的GC 。如果是要登錄到其它有信任關(guān)系的域（不一定是本林的），要保證D NS 能找到對方的域。

Q 3、如何解決本地或域管理員密碼丟失？

本地管理員密碼丟失，可通過刪除s am 文件（2000S P3以前）或通過N Tpas s wo rd 軟件來解決。但要解決域管理員密碼丟失，它們就無能為力了, 這時就需要用到―鳳凰萬能啟動盤‖中的E R D Com m ande r 2002了，接下來我們將詳細討論使用此盤解決管理員密碼丟失問題。

1、上網(wǎng)搜索―鳳凰啟動盤‖或―鳳凰萬能啟動盤‖，大約178M ；

2、下載后解壓縮，將其內(nèi)容刻錄成光盤；

3、用此光盤啟動計算機，顯示XP 安裝界面，S t ar t ERD Com m ande r 2002環(huán)境；

4、出現(xiàn)選擇菜單，選擇第一項：ERD Com m ande r 2002；

5、出現(xiàn)類似XP 的啟動界面

6、進入選擇系統(tǒng)安裝的路徑，一般會自動測出操作系統(tǒng)、版本及是否域控制器；

7、出現(xiàn)類似的XP 桌面：選擇S ta r t/Adm i nis t ra ti ve To ols /Locks m i th ；

8、進入E RD Comm and er 2002 loc ks m ith 向?qū)Ы缑?，下一步?/p>

9、選擇Adm in is t ra to r ，重設(shè)其密碼；（此時切不可手動重新啟動計算機，否則此修改將無效）

10、選擇S tar t /Logo f f ，點O K ；

11、稍候片刻，點r ebo ot 后重新啟動計算機

鳳凰啟動盤中的ERD Com m ande r 2002功能強大，不僅可破解本地管理員密碼，包括N T /2000/XP /03的各個版本。還可以破解N T /2000/03域管理員密碼，均已實驗證明。

由于可自動識別操作系統(tǒng)和版本，及是否D C ，所以用戶在操作時，重設(shè)密碼的方法都是一樣的。對于03，重設(shè)密碼時要注意符合密碼策略中要求的符合復雜性要求，且密碼最小長度為7，否則重設(shè)的密碼會無效。

Q 4、無法使用域內(nèi)的共享打印機？

現(xiàn)象：計算機重啟或注銷，再登錄進來，無法使用以前安裝的域內(nèi)的共享網(wǎng)絡打印機，

為用戶重新安裝打印機，當時可以打印，但不久問題又會出現(xiàn)。用戶反映說有時能打印，有時就是不能打印。

其原因在于用戶沒有登錄到域（很多用戶即使計算機加入到了域，也經(jīng)常習慣性地選擇登錄到本地機），沒有域用戶身份，當然無權(quán)訪問域內(nèi)的資源。而且關(guān)鍵是Wi ndo ws 系統(tǒng)在這里有個小毛病，它并不象你訪問共享文件夾那樣，由于沒有身份而提示你輸入用戶名和密碼來進行驗證，而是直接提示你―拒絕訪問，無法連接‖、―當前打印機安裝有問題‖，―RPC 服務不可用‖等等（在不同的操作系統(tǒng)或應用程序中提示會所不同）。

解決辦法有3種，最好還是用方法1。：

1、要求用戶將其域用戶帳號加入到本地管理員組，以后每次都以域用戶帳號登錄。

說明：這本身就是微軟推薦的一種辦法。因為如果不這樣，普通用戶以本地管理員身份登錄時，控制本機沒問題，但訪問域資源時需要輸入域用戶名和口令；而用戶若以域用戶身份登錄，又沒有本機管理特權(quán)。比如說：無法關(guān)機，無法修改網(wǎng)絡等配置，無法安裝軟件、驅(qū)動等。這樣做了以后，用戶以域用戶身份登錄，同時他又是本地管理員。

2、在打印服務器上啟用Gues t 用戶，保證e ver yon e 有打印權(quán)限。但這樣做不安全，所以不推薦。

3、在客戶機上每次要使用打印機前，在開始—運行：P rin t Ser ve r ，這時會提示你輸入用戶名和密碼。通過驗證后，再去使用打印機。很顯然這樣方法比較麻煩。

Q 5、無法訪問域內(nèi)的共享資源？

上例中我們提到過客戶機如果加入到了域，但用戶選擇登錄到本地機。當訪問域內(nèi)共享資源時，會提示輸入用戶名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒絕訪問。一般是由于目標計算機上啟用了g ues t ，而gu es t 用戶沒有權(quán)限造成的。

接下來的討論實質(zhì)和域的關(guān)系不太，但確實是我們訪問網(wǎng)絡共享資源中經(jīng)常會碰到的問題：基于U NC 路徑的I P 形式來訪問時的故障，如在開始/運行：.63.243.1。

前提：在網(wǎng)卡、協(xié)議、連接沒問題的情況下。即在可ping 通的前提下，若.63.243.1不通，排錯可從下面幾個方面來考慮。

1、目標機的―Mic ros o f t 網(wǎng)絡的文件和打印機共享‖服務的問題。

提示：―.63.243.1 文件名、目錄名或卷標語法不正確‖。

檢查：服務是否安裝、是否選中，或重裝一下。

操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性

2、由于訪問相關(guān)的ne t logo n 、s er ve r 、wo r ks ta t ion 服務務未正常啟動的影響。

提示：

（1）若目標機（為域成員）上的ne t logon 服務停了：―試圖登錄，但網(wǎng)絡登錄服務未啟動‖。

（2）若目標機上的s er ver 服務停了：―. 63.243.1 文件名、目錄名或卷標語法不正確?！?/p>

（3）若本機的wors ta ti on 服務停了：―.63. 243.1 網(wǎng)絡未連接或啟動‖。連其它計算機，也是一樣的提示。

檢查：相應服務是否已經(jīng)正常啟動。

操作：我的電腦/右鍵/管理/服務和應用程序/服務下

3、由于本機與其它計算機重名（指N e tB I O S 名稱）的影響

提示：訪問任何計算機均提示：―找不到網(wǎng)絡路徑‖。

檢查：重啟一下，看是否有―網(wǎng)絡中存在重名‖的提示。可能上次開機時沒注意給忽略了。

操作：我的電腦/屬性/網(wǎng)絡標識/屬性/計算機名下，修改計算機名。

4、XP /03由于默認安全策略：―帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄‖的影響

提示：.63.243.1無法訪問。您可能沒有權(quán)限使用網(wǎng)絡資源。請與這臺服務器的管理員聯(lián)系以查明您是否有訪問權(quán)限。登錄失?。河脩魩粝拗啤？赡艿脑虬ú辉试S空密碼，登錄時間限制，或強制的策略限制。

檢查：改用非空密碼的帳戶試試，或查看XP /03目標機上的本地策略。

操作：開始/運行：gpe di t.m s c 。計算機配置/Win odws 設(shè)置/安全設(shè)置/本地策略/安全選項下，由默認值―啟用‖改為―禁用‖。

注意：域帳號訪問不受此策略限制。

5、網(wǎng)絡共享訪問被篩選器的設(shè)置所阻止

提示：找不到網(wǎng)絡路徑

檢查： TCP /I P 篩選、I PS EC 、RR AS 篩選器是否被啟用，且TC P 端口139和445被禁用。

操作：

（1）網(wǎng)上鄰居/屬性/本地連接/屬性：TC P /IP —高級—選項—TC P /IP 篩選