因?yàn)闆](méi)有硬件環(huán)境，因此我使用的是VMware Workstation 5.5.3創(chuàng)造了一個(gè)組，電腦配置不高，暫時(shí)只建立兩臺(tái)電腦，一個(gè)運(yùn)行WIN2003中文版，雙網(wǎng)卡，一個(gè)用NAT 和物理網(wǎng)絡(luò)相互連接，

因?yàn)闆](méi)有硬件環(huán)境，因此我使用的是VMware Workstation 5.5.3創(chuàng)造了一個(gè)組，電腦配置不高，暫時(shí)只建立兩臺(tái)電腦，一個(gè)運(yùn)行WIN2003中文版，雙網(wǎng)卡，一個(gè)用NAT 和物理網(wǎng)絡(luò)相互連接，一個(gè)連接LAN1虛擬網(wǎng)絡(luò)部分。一個(gè)運(yùn)行XP SP3英文版，單網(wǎng)卡，連接LAN1。這樣可以盡量和物理網(wǎng)絡(luò)區(qū)分開(kāi)來(lái)，并且可以適用于大部分實(shí)驗(yàn)。

VMware 建立組的方法很簡(jiǎn)單FILE-->NEW-->Team，后邊的一看就會(huì)，不說(shuō)了。

1、DNS 設(shè)置不正確的問(wèn)題

安裝活動(dòng)目錄，就在選擇DNS 的時(shí)候，忘了選擇了什么選項(xiàng)，像是本機(jī)什么什么的。反正就是沒(méi)有設(shè)置DNS 就過(guò)去了。后來(lái)也證明，DNS 服務(wù)器沒(méi)有正常啟動(dòng)。

打開(kāi)DNS 服務(wù)器，開(kāi)啟DNS 服務(wù)，看了看正向搜索區(qū)域，里邊有Server.test.com -->192.168.0.1的項(xiàng)，應(yīng)該正常吧。網(wǎng)上順便看了看MX 記錄的問(wèn)題，發(fā)覺(jué)DNS 服務(wù)器有很多類(lèi)型，但是WIN2003的DNS 沒(méi)有這樣的記錄類(lèi)型（比如主機(jī)類(lèi)型，TXT 類(lèi)型，郵箱或通信信息），微軟真菜，蓋子的決心不夠??！^_^

打開(kāi)XP 虛擬機(jī)，將他加入域的時(shí)候，發(fā)覺(jué)只能用NETBIOS 名稱(chēng)加入域，而不能用完整域名加入。提示：

Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:WINDOWS?bug?diag.txt.

The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain sunda.com:

The error was: "DNS name does not exist."

(error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._msdcs.test.com

Common causes of this error include the following:

- The DNS SRV record is not registered in DNS.

- One or more of the following zones do not include delegation to its

child zone:

test.com

com

. (the root zone)

For information about correcting this problem, click Help.

在網(wǎng)上找了很多地方，沒(méi)有找到答案，都只是提示了說(shuō)DNS 配置錯(cuò)誤。最多說(shuō)了沒(méi)有SRV 記錄，不過(guò)這個(gè)SRV 鬼才知道怎么搞（當(dāng)然是沒(méi)有找到）。那就用NETBIOS 名稱(chēng)先加進(jìn)去，先看看域到底是什么東西再說(shuō)。

然后查找了一些資料，發(fā)覺(jué)使用NSLOOKUP 判斷DNS 是否正確的。下邊是查詢(xún)結(jié)果：

不小心找到了微軟的知識(shí)中心：使用NSLOOKUP 找到了解決問(wèn)題的辦法。

原來(lái)是反向區(qū)域沒(méi)有記錄，新建主要區(qū)域，選中下邊的在Active Directory 手動(dòng)添加中存儲(chǔ)區(qū)域，反向區(qū)域添加記錄192.168.0.1-->server.test.com，成功。由此上邊Can't find server 等等不見(jiàn)了，成了正常的域名解析。在計(jì)算機(jī)里也可以使用域名把計(jì)算機(jī)添加的域了。

2、windows 無(wú)法與此域連接原因是域控制存在故障或不可用, 或者沒(méi)有找到計(jì)算機(jī)帳戶(hù) 經(jīng)典的windows 無(wú)法與此域連接原因是域控制存在故障或不可用, 或者沒(méi)有找到計(jì)算機(jī)帳戶(hù)俺也遇到了

解決方法，用本地管理員身份進(jìn)入域，選擇退出域，改成工作組，然后再加入域，即可。

這個(gè)問(wèn)題的原解釋如下：

該提示的原因絕大多數(shù)由于DC 中的計(jì)算機(jī)帳戶(hù)重名或者被禁用 所導(dǎo)致。當(dāng)您將一臺(tái)客戶(hù)端加入域時(shí)，默認(rèn)情況下在DC 的computer 的容器中會(huì)自動(dòng)創(chuàng)建一個(gè)以該機(jī)器的用戶(hù)名命名的計(jì)算機(jī)對(duì)象，這意味著DC 已經(jīng)和客 戶(hù)端建立起了secure channel ，同時(shí)會(huì)生成一個(gè)key ，安全通道的密碼和計(jì)算機(jī)的帳戶(hù)一起存儲(chǔ)在所有域控制器上。對(duì)于 Windows 2000 或 Windows XP，默認(rèn)計(jì)算機(jī)帳戶(hù)密碼的更換周期為 30 天。如果因某種原因?qū)е掠?jì)算機(jī)帳戶(hù)的密碼和 LSA 機(jī)密不同步，意味著客戶(hù)端與DC 的通信被斷掉，則會(huì)導(dǎo)致您所述的提示信息沒(méi)有找到計(jì)算機(jī)賬戶(hù)。而如果secure channel 被斷掉。導(dǎo)致secure channel 出錯(cuò)的原因可能有以下幾種：

1. 將客戶(hù)端加入到域時(shí)，域中已經(jīng)存在與該計(jì)算機(jī)同名的計(jì)算機(jī)賬戶(hù)，那么在該計(jì)算機(jī)加入域后，會(huì)將本計(jì)算機(jī)的名稱(chēng)覆蓋與其同名的計(jì)算機(jī)帳戶(hù)，這樣就會(huì)導(dǎo)致備覆 蓋的哪個(gè)計(jì)算機(jī)在登錄域時(shí)報(bào)錯(cuò)

2. 將ADUC 中的計(jì)算機(jī)賬戶(hù)刪除也會(huì)導(dǎo)致上述錯(cuò)誤

解決該問(wèn)題，我們需要同步計(jì)算機(jī)帳戶(hù)的密碼和 LSA 機(jī)密，在 Windows 2000 或 Windows XP 中重置計(jì)算機(jī)帳戶(hù)的四種方法：

1. 使用 Netdom.exe 命令行工具

2. 使用 Nltest.exe 命令行工具

注意：Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夾中。要安裝這兩個(gè)工具，請(qǐng)運(yùn)行 Setup.exe 或從 Support.cab 文件中提取文件。

3．使用“Active Directory 用戶(hù)和計(jì)算機(jī)”Microsoft 管理控制臺(tái) (MMC)。

4. 使用 Microsoft Visual Basic 腳本

具體步驟請(qǐng)參照：http://support.microsoft.com/kb/216393/zh-cn

如果希望避免此問(wèn)題可以參照下面幾點(diǎn)建議：

1. 將客戶(hù)端加入到域時(shí)請(qǐng)檢查是否與域中的計(jì)算機(jī)同名

2. 請(qǐng)不要在ADUC 中刪除域中的有效計(jì)算機(jī)賬戶(hù)

相關(guān)出錯(cuò)對(duì)照信息：

1. 每個(gè)成員都維護(hù)著這樣的一個(gè) LSA 機(jī)密，用于建立安全通道由 Netlogon 服務(wù)。 如果，出于某種原因，計(jì)算機(jī)帳戶(hù)的密碼和 LSA 機(jī)密不同步，Netlogon 服務(wù)記錄以下錯(cuò)誤： NETLOGON Event ID 3210:

Failed to authenticate with DOMAINDC, a Windows NT domain controller

for domain DOMAIN.

2. 如果計(jì)算機(jī)賬戶(hù)被刪除，通過(guò)成員Netlogon 服務(wù)會(huì)記錄下面的錯(cuò)誤信息：

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

have an account for the computer DOMAINMEMBER.

3. 同樣，域控制器上的 Netlogon 服務(wù)密碼不同步時(shí)記錄以下錯(cuò)誤：

NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.

The name of the account referenced in the security database is

DOMAINMEMBER$. The following error occurred: Access is denied.

有關(guān)安全通道的信息，請(qǐng)參閱 Microsoft 知識(shí)庫(kù)中下列文章：

ARTICLE-ID ： 131366 (http://support.microsoft.com/kb/131366/EN-US/)

TITLE ： 事件錯(cuò)誤 5712 狀態(tài)訪(fǎng)問(wèn)被拒絕

ARTICLE-ID:

(http://support.microsoft.com/kb/142869/EN-US/)

TITLE ： 同步整個(gè)域時(shí)出現(xiàn)事件 ID 3210 and 5722 142869