客戶機不能加入域的終極解決方法2010-09-28 12:54解決辦法一：客戶機加入域時的錯誤各種各樣，但總的來說，客戶機不能加入域的解決方法部外乎以下幾種：1、將客戶機的第一DNS 設(shè)為AD 的IP

客戶機不能加入域的終極解決方法

2010-09-28 12:54

解決辦法一：

客戶機加入域時的錯誤各種各樣，但總的來說，客戶機不能加入域的解決方法部外乎以下幾種：

1、將客戶機的第一DNS 設(shè)為AD 的IP ，一般DNS 都時和AD 集成安裝的，清空緩存并重新注冊

ipconfig /flushdns 清空DNS

ipconfig /registerdns 重新申請DNS

2、關(guān)閉客戶端防火墻

3、只留IP 為AD 的第一DNS ，第二DNS 設(shè)為空

4、在AD 服務(wù)器的DNS 建立客戶機的SRV 記錄

5、啟動DNS 和TCP/IP NetBIOS Helper Service服務(wù)

6、更改主機名并在服務(wù)器上刪除已經(jīng)存在的DNS 記錄，重啟

7、域中的客戶機的系統(tǒng)時間必須同步或慢于DC 服務(wù)器的系統(tǒng)時間1分鐘(不得超過10分鐘)

解決辦法二：

不能聯(lián)系域

1．您無法用NetBois 域名加入域。

2．組策略無法正常應(yīng)用。

3．無法打開網(wǎng)上領(lǐng)居和訪問共享文件。

這個問題有可能是Wins 服務(wù)器沒有正確配置或TCP/IP NetBIOS沒有啟動造成的。我建議您做如下的檢查：

建議一：如果您的域中有Wins 服務(wù)器，請檢查客戶機的Wins 配置看是不是指向Wins 服務(wù)器。另外，請打開Wins 服務(wù)器，看yourdomain.com 記錄正確注冊。 建議二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服務(wù)）沒有在客戶端計算機上運行，可能會出現(xiàn)此問題。要解決此問題，請啟動 TCP/IP NetBIOS 支持服務(wù)。要啟動 NetBIOS 支持服務(wù)，請按照下列步驟操作：

1. 使用具有管理員權(quán)限的帳戶登錄到客戶機。

2. 單擊“開始”，單擊“運行”，在“打開”框中鍵入 services.msc，然后單擊“確定”。

3. 在服務(wù)列表中，雙擊“TCP/IP NetBIOS Helper Service”。您看到的文章來自活動目錄seo

4. 在“啟動類型”列表中，單擊“自動”，然后單擊“應(yīng)用”。

5. 在“服務(wù)狀態(tài)”下，單擊“啟動”以啟動 TCP/IP NetBIOS 支持服務(wù)。

6. 當(dāng)該服務(wù)啟動后，請單擊“確定”，然后退出“服務(wù)”管理單元。

建議三：請檢查是否安裝了客戶機上安裝了“Microsoft網(wǎng)絡(luò)的文件和打印機共享”

1．點擊“開始菜單→控制面板→網(wǎng)絡(luò)連接”。

2．在所出現(xiàn)窗口中的局域網(wǎng)連接（如“本地連接”）上單擊右鍵，選擇“屬性”。

3．勾選常規(guī)標(biāo)簽下的“Microsoft網(wǎng)絡(luò)的文件和打印機共享”項。

解決辦法三：

還可以修改本機的host 文件, 在里面增加一行域控制器名稱與其IP 地址的對應(yīng)關(guān)系即可.

解決辦法四：

“不能聯(lián)系域XXXX 的域控制器”的一種解決 系統(tǒng)：Windows server 2003 Enterprise Edition

此方法針對的是Ghost 利用一個已經(jīng)加入過相同域的系統(tǒng)備份還原計算機后出現(xiàn)的不能加入域的情況。因此IP 設(shè)置、DNS 設(shè)置是正確無誤的。

因為出現(xiàn)系統(tǒng)還原到機器后無法用域賬戶登錄的情況，另外還設(shè)置了WINS 為DNS 地址，這點也是有做到的。也無數(shù)次先行退出域，在系統(tǒng)屬性里邊兒改了計算機名，重啟。依然，加入域的時候提示“不能聯(lián)系域XXXX 的域控制器....”狀況。 甚至重復(fù)還原了幾個不同備份，最后肯定了問題一定出在一直沒作改變的一點上面——計算機名。關(guān)鍵是系統(tǒng)屬性里邊改過，用優(yōu)化大師也修改過，手動在注冊表中幾處都修改了，沒用！幾乎否定了認(rèn)為問題出在計算機名上的想法。最后作了用超級兔子再修改計算機名的嘗試，最終成功。

用系統(tǒng)軟件能做的事情一定可以手動，這點是肯定的，因此最有保障有效的解決方法還有待跟進研究。

解決辦法五：

更改客戶機計算機名再加入試試。

微軟官方幫助文件：

“您用的windows 與此域無法聯(lián)系，原因是域控制器存在故障或不可用，或沒有找到計算機帳戶，請稍后重試，若持續(xù)出現(xiàn)，請與系統(tǒng)管理員聯(lián)系”

該提示的原因絕大多數(shù)由于DC 中的計算機帳戶重名或者被禁用所導(dǎo)致。當(dāng)您將一臺客戶端加入域時，默認(rèn)情況下在DC 的computer 的容器中會自動創(chuàng)建一個以該機器的用戶名命名的計算機對象，這意味著DC 已經(jīng)和客戶端建立起了secure channel ，同時會生成一個key ，安全通道的密碼和計算機的帳戶一起存儲在所有域控制器上。對于 Windows 2000 或 Windows XP，默認(rèn)計算機帳戶密碼的更換周期為 30 天。如果因某種原因?qū)е掠嬎銠C帳戶的密碼和 LSA 機密不同步，

意味著客戶端與DC 的通信被斷掉，則會導(dǎo)致您所述的提示信息沒有找到計算機賬戶。而如果secure channel 被斷掉。導(dǎo)致secure channel 出錯的原因可能有以下幾種：

1. 將客戶端加入到域時，域中已經(jīng)存在與該計算機同名的計算機賬戶，那么在該計算機加入域后，會將本計算機的名稱覆蓋與其同名的計算機帳戶，這樣就會導(dǎo)致備覆蓋的哪個計算機在登錄域時報錯

2. 將ADUC 中的計算機賬戶刪除也會導(dǎo)致上述錯誤

解決該問題，我們需要同步計算機帳戶的密碼和 LSA 機密，在 Windows 2000 或 Windows XP 中重置計算機帳戶的四種方法：

1. 使用 Netdom.exe 命令行工具

2. 使用 Nltest.exe 命令行工具

注意：Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夾中。要安裝這兩個工具，請運行 Setup.exe 或從 Support.cab 文件中提取文件。

3．使用“Active Directory 用戶和計算機”Microsoft 管理控制臺 (MMC)。

4. 使用 Microsoft Visual Basic 腳本

具體步驟請參照：http://support.microsoft.com/kb/216393/zh-cn

如果希望避免此問題可以參照下面幾點建議：

1. 將客戶端加入到域時請檢查是否與域中的計算機同名

2. 請不要在ADUC 中刪除域中的有效計算機賬戶

相關(guān)出錯對照信息：

1. 每個成員都維護著這樣的一個 LSA 機密，用于建立安全通道由 Netlogon 服務(wù)。 如果，出于某種原因，計算機帳戶的密碼和 LSA 機密不同步，Netlogon 服務(wù)記錄以下錯誤：

NETLOGON Event ID 3210:

Failed to authenticate with DOMAINDC, a Windows NT domain controller for domain DOMAIN.

2. 如果計算機賬戶被刪除，通過成員Netlogon 服務(wù)會記錄下面的錯誤信息：

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

have an account for the computer DOMAINMEMBER.

3. 同樣，域控制器上的 Netlogon 服務(wù)密碼不同步時記錄以下錯誤：

NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to

authenticate.

The name of the account referenced in the security database is DOMAINMEMBER$. The following error occurred: Access is denied.

有關(guān)安全通道的信息，請參閱 Microsoft 知識庫中下列文章：

ARTICLE-ID ： 131366 (http://support.microsoft.com/kb/131366/EN-US/) TITLE ： 事件錯誤 5712 狀態(tài)訪問被拒絕

ARTICLE-ID: 142869 (http://support.microsoft.com/kb/142869/EN-US/) TITLE ： 同步整個域時出現(xiàn)事件 ID 3210 and 5722

ARTICLE-ID ： 149664 (http://support.microsoft.com/kb/149664/EN-US/) TITLE ： 驗證域 Netlogon 同步

ARTICLE-ID: 158148 (http://support.microsoft.com/kb/158148/EN-US/) TITLE ： 域安全通道實用工具--Nltest.exe

客戶端如何設(shè)置

（1）將計算機加入到域

首先將客戶機TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。然后我的電腦/右鍵/屬性/網(wǎng)絡(luò)標(biāo)識/屬性/隸屬于，選擇域：輸入域名，確定。提示輸入用戶口和口令，確定后提示重啟。

說明：

加入域時，如果輸入的域名為FQDN 格式，形如mcse.com ，必須利用DNS 中的SRV 記錄來找到DC ，如果客戶機的DNS 指的不對，就無法加入到域。

加入域時，如果輸入的域名為NetBIOS 格式，如mcse ，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC ，但它不是一個完善的服務(wù)，有時就會不好使。

這樣雖然也可把計算機加入到域，而且在等較長時間后也可以登錄到域上

去，但不推薦。因為客戶機的DNS 指的不對，則它無法利用2000DNS 的動態(tài)更新動能，也就是說無法在DNS 區(qū)域中自動生成關(guān)于這臺計算機的A 記錄和PTR 記錄。那么同一域另一子網(wǎng)的2000及以上計算機就無法利用DNS 找到它，這本應(yīng)是可以的。

再者，管理員無法在客戶機上利用域的管理工具來遠(yuǎn)程管理域，因為這些管理工具必須使用DNS ，出錯提示：找不到域命名信息（有時客戶機的DNS Client 服務(wù)有問題也會出現(xiàn)上述提示，重啟服務(wù)即可）。這種情況下，要進行遠(yuǎn)程管理，就只能利用TS （終端服務(wù)）基于IP 來連了。

當(dāng)然用戶也可以手動配置WINS 或Lmhosts 文件，來查找DC 。這主要用于95/98/NT老版本計算機跨子網(wǎng)（路由）查找DC 或加入域，因為這些老版本計算機無法利用DNS 來查找DC ，瀏覽服務(wù)又是廣播方式，只能在本網(wǎng)段進行，因為廣播信息是無法通過路由器的，RFC1542標(biāo)準(zhǔn)的路由器，可設(shè)置成允許DHCP 的廣播數(shù)據(jù)通過，僅是一個特例。需要說明的是：95/98可以使用域用戶帳號登錄到域，但并不能加入到域，在AD 中也沒有計算機帳號，而NT 可以。

計算機加入域成功后，未重啟，即已在AD 用戶和計算機/computer容器下生成計算機帳號了，實驗中查看時，需要手動刷新一下。而在DNS 中記錄必須在計算機重啟后（不必登錄）或15分鐘后才能自動注冊或更新到DNS 區(qū)域。但若我們平常修改一個計算機的名字或IP ，要馬上更新到DNS 區(qū)域，倒不一定非得重啟，可利用ipconfig /registerdns命令就行。明白以上討論可用于排錯，不一定非得重啟登錄后才知道結(jié)果。

加入到NT4域時，需要有管理特權(quán)才行；從Windows 2000開始，微軟作了改進：在Windows 2000/03域中，默認(rèn)Authenticated Users 即可在域中最多創(chuàng)建 10 個計算機帳戶。Authenticated Users 指被驗證的用戶組，也就是說任何經(jīng)過身份驗證的普通域用戶都可以加最多10臺計算機到域。常見問題：在實際中用普通域帳號加計算機到域，有時會不好使，原因是同名計算機帳號（極可能是它自己已經(jīng)失效的計算機帳號）已存在而無權(quán)覆蓋，這時就得用域管理員帳號了。