客戶機(jī)不能加入域的終極解決方法2010-09-28 12:54解決辦法一：客戶機(jī)加入域時(shí)的錯(cuò)誤各種各樣，但總的來說，客戶機(jī)不能加入域的解決方法部外乎以下幾種：1、將客戶機(jī)的第一DNS 設(shè)為AD 的IP

客戶機(jī)不能加入域的終極解決方法

2010-09-28 12:54

解決辦法一：

客戶機(jī)加入域時(shí)的錯(cuò)誤各種各樣，但總的來說，客戶機(jī)不能加入域的解決方法部外乎以下幾種：

1、將客戶機(jī)的第一DNS 設(shè)為AD 的IP ，一般DNS 都時(shí)和AD 集成安裝的，清空緩存并重新注冊(cè)

ipconfig /flushdns 清空DNS

ipconfig /registerdns 重新申請(qǐng)DNS

2、關(guān)閉客戶端防火墻

3、只留IP 為AD 的第一DNS ，第二DNS 設(shè)為空

4、在AD 服務(wù)器的DNS 建立客戶機(jī)的SRV 記錄

5、啟動(dòng)DNS 和TCP/IP NetBIOS Helper Service服務(wù)

6、更改主機(jī)名并在服務(wù)器上刪除已經(jīng)存在的DNS 記錄，重啟

7、域中的客戶機(jī)的系統(tǒng)時(shí)間必須同步或慢于DC 服務(wù)器的系統(tǒng)時(shí)間1分鐘(不得超過10分鐘)

解決辦法二：

不能聯(lián)系域

1．您無法用NetBois 域名加入域。

2．組策略無法正常應(yīng)用。

3．無法打開網(wǎng)上領(lǐng)居和訪問共享文件。

這個(gè)問題有可能是Wins 服務(wù)器沒有正確配置或TCP/IP NetBIOS沒有啟動(dòng)造成的。我建議您做如下的檢查：

建議一：如果您的域中有Wins 服務(wù)器，請(qǐng)檢查客戶機(jī)的Wins 配置看是不是指向Wins 服務(wù)器。另外，請(qǐng)打開Wins 服務(wù)器，看yourdomain.com 記錄正確注冊(cè)。 建議二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服務(wù)）沒有在客戶端計(jì)算機(jī)上運(yùn)行，可能會(huì)出現(xiàn)此問題。要解決此問題，請(qǐng)啟動(dòng) TCP/IP NetBIOS 支持服務(wù)。要啟動(dòng) NetBIOS 支持服務(wù)，請(qǐng)按照下列步驟操作：

1. 使用具有管理員權(quán)限的帳戶登錄到客戶機(jī)。

2. 單擊“開始”，單擊“運(yùn)行”，在“打開”框中鍵入 services.msc，然后單擊“確定”。

3. 在服務(wù)列表中，雙擊“TCP/IP NetBIOS Helper Service”。您看到的文章來自活動(dòng)目錄seo

4. 在“啟動(dòng)類型”列表中，單擊“自動(dòng)”，然后單擊“應(yīng)用”。

5. 在“服務(wù)狀態(tài)”下，單擊“啟動(dòng)”以啟動(dòng) TCP/IP NetBIOS 支持服務(wù)。

6. 當(dāng)該服務(wù)啟動(dòng)后，請(qǐng)單擊“確定”，然后退出“服務(wù)”管理單元。

建議三：請(qǐng)檢查是否安裝了客戶機(jī)上安裝了“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”

1．點(diǎn)擊“開始菜單→控制面板→網(wǎng)絡(luò)連接”。

2．在所出現(xiàn)窗口中的局域網(wǎng)連接（如“本地連接”）上單擊右鍵，選擇“屬性”。

3．勾選常規(guī)標(biāo)簽下的“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”項(xiàng)。

解決辦法三：

還可以修改本機(jī)的host 文件, 在里面增加一行域控制器名稱與其IP 地址的對(duì)應(yīng)關(guān)系即可.

解決辦法四：

“不能聯(lián)系域XXXX 的域控制器”的一種解決 系統(tǒng)：Windows server 2003 Enterprise Edition

此方法針對(duì)的是Ghost 利用一個(gè)已經(jīng)加入過相同域的系統(tǒng)備份還原計(jì)算機(jī)后出現(xiàn)的不能加入域的情況。因此IP 設(shè)置、DNS 設(shè)置是正確無誤的。

因?yàn)槌霈F(xiàn)系統(tǒng)還原到機(jī)器后無法用域賬戶登錄的情況，另外還設(shè)置了WINS 為DNS 地址，這點(diǎn)也是有做到的。也無數(shù)次先行退出域，在系統(tǒng)屬性里邊兒改了計(jì)算機(jī)名，重啟。依然，加入域的時(shí)候提示“不能聯(lián)系域XXXX 的域控制器....”狀況。 甚至重復(fù)還原了幾個(gè)不同備份，最后肯定了問題一定出在一直沒作改變的一點(diǎn)上面——計(jì)算機(jī)名。關(guān)鍵是系統(tǒng)屬性里邊改過，用優(yōu)化大師也修改過，手動(dòng)在注冊(cè)表中幾處都修改了，沒用！幾乎否定了認(rèn)為問題出在計(jì)算機(jī)名上的想法。最后作了用超級(jí)兔子再修改計(jì)算機(jī)名的嘗試，最終成功。

用系統(tǒng)軟件能做的事情一定可以手動(dòng)，這點(diǎn)是肯定的，因此最有保障有效的解決方法還有待跟進(jìn)研究。

解決辦法五：

更改客戶機(jī)計(jì)算機(jī)名再加入試試。

微軟官方幫助文件：

“您用的windows 與此域無法聯(lián)系，原因是域控制器存在故障或不可用，或沒有找到計(jì)算機(jī)帳戶，請(qǐng)稍后重試，若持續(xù)出現(xiàn)，請(qǐng)與系統(tǒng)管理員聯(lián)系”

該提示的原因絕大多數(shù)由于DC 中的計(jì)算機(jī)帳戶重名或者被禁用所導(dǎo)致。當(dāng)您將一臺(tái)客戶端加入域時(shí)，默認(rèn)情況下在DC 的computer 的容器中會(huì)自動(dòng)創(chuàng)建一個(gè)以該機(jī)器的用戶名命名的計(jì)算機(jī)對(duì)象，這意味著DC 已經(jīng)和客戶端建立起了secure channel ，同時(shí)會(huì)生成一個(gè)key ，安全通道的密碼和計(jì)算機(jī)的帳戶一起存儲(chǔ)在所有域控制器上。對(duì)于 Windows 2000 或 Windows XP，默認(rèn)計(jì)算機(jī)帳戶密碼的更換周期為 30 天。如果因某種原因?qū)е掠?jì)算機(jī)帳戶的密碼和 LSA 機(jī)密不同步，

意味著客戶端與DC 的通信被斷掉，則會(huì)導(dǎo)致您所述的提示信息沒有找到計(jì)算機(jī)賬戶。而如果secure channel 被斷掉。導(dǎo)致secure channel 出錯(cuò)的原因可能有以下幾種：

1. 將客戶端加入到域時(shí)，域中已經(jīng)存在與該計(jì)算機(jī)同名的計(jì)算機(jī)賬戶，那么在該計(jì)算機(jī)加入域后，會(huì)將本計(jì)算機(jī)的名稱覆蓋與其同名的計(jì)算機(jī)帳戶，這樣就會(huì)導(dǎo)致備覆蓋的哪個(gè)計(jì)算機(jī)在登錄域時(shí)報(bào)錯(cuò)

2. 將ADUC 中的計(jì)算機(jī)賬戶刪除也會(huì)導(dǎo)致上述錯(cuò)誤

解決該問題，我們需要同步計(jì)算機(jī)帳戶的密碼和 LSA 機(jī)密，在 Windows 2000 或 Windows XP 中重置計(jì)算機(jī)帳戶的四種方法：

1. 使用 Netdom.exe 命令行工具

2. 使用 Nltest.exe 命令行工具

注意：Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夾中。要安裝這兩個(gè)工具，請(qǐng)運(yùn)行 Setup.exe 或從 Support.cab 文件中提取文件。

3．使用“Active Directory 用戶和計(jì)算機(jī)”Microsoft 管理控制臺(tái) (MMC)。

4. 使用 Microsoft Visual Basic 腳本

具體步驟請(qǐng)參照：http://support.microsoft.com/kb/216393/zh-cn

如果希望避免此問題可以參照下面幾點(diǎn)建議：

1. 將客戶端加入到域時(shí)請(qǐng)檢查是否與域中的計(jì)算機(jī)同名

2. 請(qǐng)不要在ADUC 中刪除域中的有效計(jì)算機(jī)賬戶

相關(guān)出錯(cuò)對(duì)照信息：

1. 每個(gè)成員都維護(hù)著這樣的一個(gè) LSA 機(jī)密，用于建立安全通道由 Netlogon 服務(wù)。 如果，出于某種原因，計(jì)算機(jī)帳戶的密碼和 LSA 機(jī)密不同步，Netlogon 服務(wù)記錄以下錯(cuò)誤：

NETLOGON Event ID 3210:

Failed to authenticate with DOMAINDC, a Windows NT domain controller for domain DOMAIN.

2. 如果計(jì)算機(jī)賬戶被刪除，通過成員Netlogon 服務(wù)會(huì)記錄下面的錯(cuò)誤信息：

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

have an account for the computer DOMAINMEMBER.

3. 同樣，域控制器上的 Netlogon 服務(wù)密碼不同步時(shí)記錄以下錯(cuò)誤：

NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to

authenticate.

The name of the account referenced in the security database is DOMAINMEMBER$. The following error occurred: Access is denied.

有關(guān)安全通道的信息，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)中下列文章：

ARTICLE-ID ： 131366 (http://support.microsoft.com/kb/131366/EN-US/) TITLE ： 事件錯(cuò)誤 5712 狀態(tài)訪問被拒絕

ARTICLE-ID: 142869 (http://support.microsoft.com/kb/142869/EN-US/) TITLE ： 同步整個(gè)域時(shí)出現(xiàn)事件 ID 3210 and 5722

ARTICLE-ID ： 149664 (http://support.microsoft.com/kb/149664/EN-US/) TITLE ： 驗(yàn)證域 Netlogon 同步

ARTICLE-ID: 158148 (http://support.microsoft.com/kb/158148/EN-US/) TITLE ： 域安全通道實(shí)用工具--Nltest.exe

客戶端如何設(shè)置

（1）將計(jì)算機(jī)加入到域

首先將客戶機(jī)TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。然后我的電腦/右鍵/屬性/網(wǎng)絡(luò)標(biāo)識(shí)/屬性/隸屬于，選擇域：輸入域名，確定。提示輸入用戶口和口令，確定后提示重啟。

說明：

加入域時(shí)，如果輸入的域名為FQDN 格式，形如mcse.com ，必須利用DNS 中的SRV 記錄來找到DC ，如果客戶機(jī)的DNS 指的不對(duì)，就無法加入到域。

加入域時(shí)，如果輸入的域名為NetBIOS 格式，如mcse ，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC ，但它不是一個(gè)完善的服務(wù)，有時(shí)就會(huì)不好使。

這樣雖然也可把計(jì)算機(jī)加入到域，而且在等較長(zhǎng)時(shí)間后也可以登錄到域上

去，但不推薦。因?yàn)榭蛻魴C(jī)的DNS 指的不對(duì)，則它無法利用2000DNS 的動(dòng)態(tài)更新動(dòng)能，也就是說無法在DNS 區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的A 記錄和PTR 記錄。那么同一域另一子網(wǎng)的2000及以上計(jì)算機(jī)就無法利用DNS 找到它，這本應(yīng)是可以的。

再者，管理員無法在客戶機(jī)上利用域的管理工具來遠(yuǎn)程管理域，因?yàn)檫@些管理工具必須使用DNS ，出錯(cuò)提示：找不到域命名信息（有時(shí)客戶機(jī)的DNS Client 服務(wù)有問題也會(huì)出現(xiàn)上述提示，重啟服務(wù)即可）。這種情況下，要進(jìn)行遠(yuǎn)程管理，就只能利用TS （終端服務(wù)）基于IP 來連了。

當(dāng)然用戶也可以手動(dòng)配置WINS 或Lmhosts 文件，來查找DC 。這主要用于95/98/NT老版本計(jì)算機(jī)跨子網(wǎng)（路由）查找DC 或加入域，因?yàn)檫@些老版本計(jì)算機(jī)無法利用DNS 來查找DC ，瀏覽服務(wù)又是廣播方式，只能在本網(wǎng)段進(jìn)行，因?yàn)閺V播信息是無法通過路由器的，RFC1542標(biāo)準(zhǔn)的路由器，可設(shè)置成允許DHCP 的廣播數(shù)據(jù)通過，僅是一個(gè)特例。需要說明的是：95/98可以使用域用戶帳號(hào)登錄到域，但并不能加入到域，在AD 中也沒有計(jì)算機(jī)帳號(hào)，而NT 可以。

計(jì)算機(jī)加入域成功后，未重啟，即已在AD 用戶和計(jì)算機(jī)/computer容器下生成計(jì)算機(jī)帳號(hào)了，實(shí)驗(yàn)中查看時(shí)，需要手動(dòng)刷新一下。而在DNS 中記錄必須在計(jì)算機(jī)重啟后（不必登錄）或15分鐘后才能自動(dòng)注冊(cè)或更新到DNS 區(qū)域。但若我們平常修改一個(gè)計(jì)算機(jī)的名字或IP ，要馬上更新到DNS 區(qū)域，倒不一定非得重啟，可利用ipconfig /registerdns命令就行。明白以上討論可用于排錯(cuò)，不一定非得重啟登錄后才知道結(jié)果。

加入到NT4域時(shí)，需要有管理特權(quán)才行；從Windows 2000開始，微軟作了改進(jìn)：在Windows 2000/03域中，默認(rèn)Authenticated Users 即可在域中最多創(chuàng)建 10 個(gè)計(jì)算機(jī)帳戶。Authenticated Users 指被驗(yàn)證的用戶組，也就是說任何經(jīng)過身份驗(yàn)證的普通域用戶都可以加最多10臺(tái)計(jì)算機(jī)到域。常見問題：在實(shí)際中用普通域帳號(hào)加計(jì)算機(jī)到域，有時(shí)會(huì)不好使，原因是同名計(jì)算機(jī)帳號(hào)（極可能是它自己已經(jīng)失效的計(jì)算機(jī)帳號(hào)）已存在而無權(quán)覆蓋，這時(shí)就得用域管理員帳號(hào)了。