活动目录(Active Directory)域故障解决实例
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
Active Directory 备份与还原
Active Directory 备份与还原在域的环境中,要定期的备份AD数据库,当AD数据库出现问题时,可以通过备份的数据还原AD数据库。
备份文件和文件夹的用户必须具有特定权限和权利的用户才可以,如果是本地组中的管理员或Backup Operator,则只能备份本地计算机上本地组所适用的所有文件和文件夹。
同样,如果是域控制器上的管理员或备份操作员,可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。
活动目录的备份第一步:依次打开命令提示符,输入【Ntbackup】回车第二步:选择【高级模式】,显示备份工具界面,也可以下一步通过向导第四步:选择备份选项卡,选中需要备份的磁盘或者System Status。
选择保存的路径注:如果只想备份活动目录的话,那么只需要备份一下系统状态就可以了。
但在这里建立最好是将整个系统盘做一个完整的备份,以防止丢失一些其他的数据。
第五步:开始备份,在选择备份方式时,需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡,这里可以选择你想备份的类型,第六步:单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步:进入目录服务还原模式。
重新启动计算机,在进入Windows Server 2003 的初始画面前,按F8键进入Window高级选项菜单界面。
通过键盘上的方向键选择【目录服务还原模式】第二步:进入还原向导操作。
运行【ntbackup】选择高级模式,选中要还原的数据第三步:点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息,应该妥善保护。
为了安全起见,应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。
如果想进行更深入的保护,可以把AD数据库文件转移到一个有冗余或者镜像的卷,以便磁盘发生错误的时候可以恢复。
第一步:进入【目录服务还原模式】第二步:进入命令提示符:输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车(选择数据库移动的盘符)完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见,还原目录数据库时需设置密码保护步骤如下:首先必须进入【目录服务还原模式】进入命令提示符,输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码,确认密码完成。
Active Directory管理和构架-第3部分(AD数据库的维护与操作主机角色)
PDC Emulator 仿真) (PDC仿真) 仿真
Internet 时间服务器
PDC Emulator
PDC Emulator 域控制器
Pre-Windows 2000客户端 Pre 客户端
Windows NT BDC
Windows 2000客户端 客户端
时间服务器
查看服务器所使用的时间服务器 net time /querysntp (simple network time protocol) 设置服务器所使用的时间服务器 net time /setsntp:服务器名 手动同步时间 W32tm /resync
Infrastructure Master(结构主机) (结构主机)
组嵌套
Group Membership List GUID SID New DN
移动 Infrastructure Master
结构主机
在任何时候, 在任何时候,每个域中只能有一个域控制器作为结 构主机。 构主机。结构主机负责更新从它所在的域中的对象 到其他域中对象的引用。 到其他域中对象的引用。结构主机将其数据与全局 编录的数据进行比较。 编录的数据进行比较。全局编录通过复制操作定期 接受所有域中对象的更新, 接受所有域中对象的更新,从而使全局编录的数据 始终保持最新。如果结构主机发现数据过时, 始终保持最新。如果结构主机发现数据过时,则它 从全局编录申请更新的数据。 从全局编录申请更新的数据。结构主机然后将这些 更新的数据复制到域中的其他域控制器。 更新的数据复制到域中的其他域控制器。
初始化事 务
写入事务 缓冲
写于数据 库文件
写入事务 日志文件 Ntds.dit EDB.log
维护活动目录数据库简介
集群无法启动故障
故障一:事件ID 为 4015 与 4004 :1。
DNS 服务器从 Active Directory 服务 (DS) 中遇到一个严重错误。
检查Active Directory 是否运行正常。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
2。
DNS 服务器无法完成枚举区域 的目录服务。
这台 DNS 服务器配置成使用从 Active Directory 中获得的信息并且没有它就无法加载区域。
请检查 Active Directory 运行正确并重复区域的枚举。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
3。
DNS 服务器无法完成枚举区域 10.168.192.in-addr.arpa 的目录服务。
这台DNS 服务器配置成使用从 Active Directory 中获得的信息并且没有它就无法加载区域。
请检查 Active Directory 运行正确并重复区域的枚举。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
4。
DNS 服务器无法完成枚举区域 _ 的目录服务。
这台 DNS 服务器配置成使用从 Active Directory 中获得的信息并且没有它就无法加载区域。
请检查 Active Directory 运行正确并重复区域的枚举。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
解决方法:1. 在DNS服务器上运行ipconfig /all 检查TCP/IP协议的配置是否正确,请把首选DNS服务器指向自己。
2. 在命令提示符下,运行 ipconfig /flushdns清除本地DNS缓存。
3. 在命令提示符下,运行 ipconfig /registerdns初始化计算机上配置的 DNS 名称和 IP 地址的手工动态注册。
4. 如果DNS区域数据存储在AD中,而DNS服务不能将数据传送到Active Directory的时候,会导致DNS 4004错误。
activedirectory域服务当前不可用是什么意思?
activedirectory域服务当前不可⽤是什么意思?
有时候我们在使⽤打印机打印的时候,出现Active directory域服务当前不可⽤错误,该怎么解决这个问题?下⾯我们就来对症下药,详细请看下⽂介绍。
1、我们⾸先需要知道出现Active directory域服务当前不可⽤错误,⼀般是因为在excel、word使⽤打印机打印,进⾏选择查找共享打印机提⽰错误的,需要先添加打印机,然后再打印,如下图所⽰:
2、进去控制⾯板之后,以⼩图标的⽅式显⽰,点击设备和打印机,点击添加打印机,如下图所⽰:
3、将打印机添加进来,然后⿏标右键设置为默认打印机,再去打印word,excel就不会出现Active directory域服务当前不可⽤,如下图所⽰:
4、需要注意的是,需要检查有没有开启打印机服务,按win+R键打开运⾏,输⼊“services.msc”,如下图所⽰:
5、点击确定之后,进去服务,找到Pint Spooler服务,双击进去,进⾏启动,启动打印机服务之后,就可以成功打印⽂件了,如下图所⽰:
以上就是active directory域服务当前不可⽤是的解决办法,希望⼤家喜欢,请继续关注。
域用户无法登录域故障处理(AD问题)
系统故障记录1. 故障记录日期:2010-01-142. 主机名及IP:3. 主机系统及应用:DC、FileServer4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于以下错误,安全帐户管理器初始化失败,目录服务无法启动。
错误状态:0xc00002e1."5. 检查过程及解决步骤:原因:经微软KB及网上资料信息显示该提示为病毒〔用户上传的文件〕可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。
解决方案1:准备进入目录复原模式,修复Active Directory数据库。
备注:由于系统安装时间比拟已久,复原密码未知,解决方案2:升级其他BDC为PDC,解决用户登陆问题。
备注:现已将FSBDC升级为PDC,用户已可正常登陆。
步骤1:用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。
使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
ntdsutilRolesConnectionsconnect to server FSBDCqseize domain naming masterseize infrastructure masterseize PDCseize RID masterseize schema masterq步骤2:升级FSBDC为GC在管理工具中,打开“Active Directory站点和服务”点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性,选中“全局编目”[此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过]当前状态为[已登记]ekin.liu2010-01-14 20:18:51 其他问题:在升级GC的时候,碰到一个问题,因原有xm.xingfa 的域信息没有完全清除,需要要清除后GC才能升级成功。
Active Directory域服务、域名服务和复制问题的故障排除
• 域控制器性能下降 • 监视系统生成警报 • 域控制器之间没有复制数据
事件排查
• 事件日志报告的事件 • 监视系统(如scom 2007)生产的警报 • 用户报告的问题 • IT人员注意到的问题
• 最佳做法:scom 2007和active directory management pack)
服务器或服务不可用 资源访问控制列表限制 配置问题
组策略
Gpresult.exe gpupdate /force
Netdiag命令
测试名称 Autonet 绑定 浏览器 DcList DefGw DNS 说明 检查网络适配器是否在使用APIPA(自动专用IP地址)。 列出网络绑定,包括接口名称、下面和上面模块名称,指出这个绑定目前是否启用 并且报告这个绑定的拥有者。 列出浏览器服务和重新定向器的全部网络协议。 获得一个这个域名的域名控制器列表。 用每一个配置的默认网关验证连接。 验证配置的DNS服务器的可用性并且验证客户端的DND注册。 从目录服务中获得任何域名控制器的名称,然后获得PDC仿真器的名称。验证存储 在本地安全认证中的域名GUID与存储在DC中的域名GUID是否一致。 逐个列出每一个网络适配器的TCP/IP设置。 查验每一个适配器的回送地址127.0.0.1 。 检查Ipsec是否启用。如果启用,列出这台计算机的所有现用的IPsec 政策。 列出IPX统计(如果安装的话) 验证Kerberos身份识别软件包是否是最新的。 联系所有可用的域名控制器并且确定哪一个LDAP身份识别协议正在使用。
时间同步nettime域控制器可用性netdiagset组成员身份问题故障排除物理网络问题ipconfigping名称解析问题pingnslookupipconfig登录问题netdiagdsamsc验证选择了正确的域名或本地计算机名验证令牌智能卡证书或配置gpresultnettimerepadmin服务器或服务不可用服务或事件查看器资源访问控制列表限制acladds权限组成员身份配置问题防火墙组策略gpresultexegpupdateforcenetdiag命令测试名称说明autonet检查网络适配器是否在使用apipa自动专用ip地址
交换机端口故障一例
后两次所有交换机端口工作状态都一样,此时开始怀疑该交换机是否
连块,了。
通过了解施工厂家得知,确定交换机的位置并没错。
寻线仪查找
到办公室信息模块,换机上逐个网线查找。
但还故障现象由于然后把数据做上,■ 山东 黄东
看所有端口工作状态,由于端口较多,方便查看,尽量复制下来单独保存。
然后拔下信息模块对应的网线接口,再次查看交换机端口工作状态,正常情况下一定会有一个端口工作状态与前面不一图1 查找交换机端口图2 开通端口
i s t r y、Windows Time、。
第一章 活动目录(Active Directory)综述
第一章活动目录(Active Directory)综述内容摘要Windows 2000 操作系统的功能非常强大,用户要了解如何实现这些功能,以及它对完成企业目标能够提供哪些帮助,首先必须了解其核心:活动目录目录服务。
活动目录在实施组织的网络,进而实现组织的商业目标中占有重要地位。
通过本章学习,您将了解到以下一些主要内容:目录服务和活动目录的概念活动目录的优点活动目录的逻辑结构组织信息在逻辑结构中的流通活动目录的安全机制活动目录的目录服务模块考点提示本章主要概括了活动目录中的主要概念性知识,读者应重点熟悉以下内容:逻辑结构/物理结构的作用和区别信任关系1.1 目录和目录服务一般来说,目录是用来存储信息的信息源,如电话簿用来存储电话号码、文件系统用来存放文件信息。
而在计算机网络上下文环境中,目录(又称数据存储区)是存储网络对象信息的分层结构。
对象包括共享资源,如服务器、共享卷和打印机;网络用户和计算机帐户;域、应用程序、服务、安全策略,以及网络上的其他所有内容。
以下是网络目录可能存储的、与特殊对象类型有关的、特定种类信息的一个示例:一般情况下,目录会存储用户帐户的用户名、密码、电子邮件地址、电话号码等信息。
用户通过目录服务来使用目录中的信息,如用户可能需要使用网络中的某样资源,如打印机,但不知道它在网络上确切位置,有了目录服务,用户只要了解该打印机的一项属性,就可以通过查询活动目录来使用它。
我们可以把目录服务看作既是一个管理工具,同时也是一个面向最终用户的工具。
系统管理员用它可以定义、安排和管理对象(如打印机、用户)及其特征,以使它们能被用户和应用程序使用;而用户可以用它来获得感兴趣的信息。
换一个角度,理解目录服务就是要理解它和目录的不同之处:它既是目录信息源,又是使信息对管理员、用户、网络服务和应用程序有效并可用的服务。
理想情况下,目录服务会使物理拓扑和协议(两个服务间传输数据所用的格式)透明化;这样,即使用户不知道资源的物理连接位置和连接方法,也能够访问资源。
活动目录升级后 AD域登录缓慢
活动目录升级后 AD域登录缓慢
活动目录升级,用户登录缓慢。有这样一个问题:AD升级后(从2003升级到2008 R2),原来用户在客户端上的访问就会变慢,而且很奇怪的是:XP客户端上某些旧的帐号登陆就很慢,在同样的XP客户端上,换另一批旧帐号登录就很快;在 新的win7客户端上登录也很快。通过搜索资料,我们发现可能的一个原因是:该用户的历史SID过大超过协议数据包最大值,然后被强行切断所导致的。 那么关于这个可能的原因,您能够详细而具体的介绍下内部的原因吗?这种问题可以通过哪些手段解决呢?
7. 重新启动计算机。
更多信息,我们可以参考下面的KB: /kb/244474/zh-cn
o 请注意如果在参数键不存在,现在创建它。
3. 在编辑菜单上,指向新建,然后单击DWORD 值。
4. 键入MaxPacketSize,,然后按 enter 键。
5. 双击MaxPacketSize、 在数值数据框中键入1 、 选择十进制选项,请单击,然后单击确定。
6. 退出注册表编辑器。
回答:根据您的描述,我了解到在活动目录升级后,遇到用户登录缓慢的问题。 根据我的研究,用户登录过慢,可能是用户登录时找DC的过程慢,查找DC与其做身份验证时所使用的协议可以是UDP,也可以是TCP。,默认情况 下,windows server 2003 使用UDP数据包最大大小为1456字节,而对于xp是2000字节,其中受影响较大的是SID历史记录和组成员身份(故障的用户账户大部分是 经常用于组测试的,及反复从不同的组中添加删除),当超过最大值,系统将数据包分段打包发送,由于UDP本身不可靠性,到达目的地的无序性及没有完整性验 证的反馈,最后结果就是丢包。这一切客户端无从得知,只能等待,隔一定时间后重新发送UPD包以及后续改用TCP才成功验证。注册表中的 MaxPacketSize=1可以强制客户端使用TCP发送kerberos验证包,由于面向连接所以不会丢失包(注意,vista和2008以后默认 MaxPacketSize=0,但事实上已经强制使用TCP了)。您看到的文章来自活动目录
安装文件名目录名或卷标语法不正确
安装文件名目录名或卷标语法不正确篇一:(ICS) 服务因下列错误而停止文件名、目录名或卷标语法不正确文库(ICS) 服务因下列错误而停止文件名、目录名或卷标语法不正确文库.txt男人的承诺就像80岁老太太的牙齿,很少有真的。
你嗜烟成性的时候,只有三种人会高兴,医生你的仇人和卖香烟的。
2008-3-11 23:51:6ISA2004服务器升级公司的ISA服务器已经让我头疼很长时间了,单硬盘的兼容机,P4 1.7G+512M内存,带大约300个工作站,大毛病没有,小毛病一直不断,运行一段时间后,隔三差五的MSN上不去,其他都正常,客户端提示错误代码貌似是防火墙问题,用MSN 自带的工具怎么修复也上不去,到ISA服务器上把ADSL断开,等它自己拨上去,什么问题都没有了,一直怀疑是防火墙或者系统的问题,但没环境去测试,干脆申请了台IBM x3550,装了ISA2006,准备有空的时候把兼容机换掉.因后续申请的文件服务器没有批下来,只好将IBM x3550拿去做文件服务器,ISA继续用兼容机来跑,实在无法忍受每天的投诉电话,咬了咬牙,对ISA服务器升级,下面就是我的悲壮升级之路.时间:2008.03.08 17:30-19:30任务:将服务器升级至win2003 sp2过程:1.将WindowsServer2003-KB914961-SP2-x86-CHS.exe 复制到服务器上开始升级,一路顺利,15分钟后,提示重新启动,毫不犹豫地点了确定.2.经过10分钟漫长的等待,远程桌面一直连不上去,PING 也PING不到,头大了.3.跑到机房,插上键盘鼠标显示器,看到有提示"系统启动时至少有一个服务或驱动程序产生错误。
详细信息,请使用事件查看器查看事件日志。
"心想,ISA挂了,登陆进去,查看事件日志,有以下几条错误信息:Distributed Transaction Coordinator 服务因3221229584 (0xC0001010) 服务性错误而停止。
活动目录(ActiveDirectory)域故障解决实例
活动目录(ActiveDirectory)域故障解决实例Q4、无法使用域内的共享打印机?现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机,为用户重新安装打印机,当时可以打印,但不久问题又会出现。
用户反映说有时能打印,有时就是不能打印。
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。
而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。
解决办法有3种,最好还是用方法1。
:1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。
因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。
比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。
这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2、在打印服务器上启用Guest用户,保证everyone有打印权限。
但这样做不安全,所以不推荐。
3、在客户机上每次要使用打印机前,在开始—运行:\\PrintServer,这时会提示你输入用户名和密码。
通过验证后,再去使用打印机。
很显然这样方法比较麻烦。
Q5、无法访问域内的共享资源?上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。
当访问域内共享资源时,会提示输入用户名和口令。
若不出现提示,直接出现拒绝访问。
一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。
接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC路径的IP形式来访问时的故障,如在开始/运行:\\10.63.243.1。
AD常见问题解决
1.故障:打开“Active Directory 用户和计算机”新建一个用户时系统报windows 无法验证用户名的
唯一性,因为正在与全局编录联系时发生下列错误
解决:
今天早上由于人事变动,要在域里增加几个用户。
打开“Active Directory 用户和计算机”新建一个用户时系统报windows 无法验证用户名的唯一性,因为正在与全局编录联系时发生下列错误,原因:该服务器不可操作
因为很久没有新建过用户了,而且现在这个域做过FSMO的迁移工作,所以以为是FSMO发生故障,检查五种主机角色都正确。
开GOOGLE查,发现也有人在CSDN上问过同样的问题。
确认是“全局编录”
这个服务没起来。
这个服务在哪配呀,于是又开GOOGLE。
最后终于在“Active Directory 站点和服务”/Sites/Default-First-Site-Name/Server/“服务器”/NTDS Settings中属性中常规中找到并打钩。
然后等待服务器便例之后就可以正常使用了。
另还将“Active Directory 站点和服务”/Sites/Default-First-Site-Name/Server/中废弃的AD控制器删除了!
2.
3.
4.勾选通用类别目录,然后应用
5.当然,将多余的已经不再使用的历史DC删除,比如MISSERVER
6.。
解决active directory域服务问题的方法
解决active directory域服务问题的方法全文共四篇示例,供读者参考第一篇示例:Active Directory(AD)是微软Windows操作系统中常用的目录服务,用于管理网络中的用户、计算机和其他资源。
在使用过程中,有时候会碰到一些问题,如用户无法登录、组策略无效等。
本文将介绍解决这些问题的方法,帮助管理员更好地管理和维护AD域服务。
一、用户无法登录1. 检查网络连接:首先要确保网络连接正常,AD域控制器可以被访问。
可以通过ping命令测试AD服务器的可达性。
2. 检查用户名和密码:确认用户输入的用户名和密码是否正确,如果忘记密码可以重置密码或设置密码策略允许用户自行更改密码。
3. 检查用户帐户是否被锁定:如果用户连续多次输入错误密码,有可能触发帐户锁定策略,解锁用户帐户即可解决登录问题。
4. 检查域控制器日志:查看域控制器的事件日志,可能会有相关登录失败的日志记录,从而找到问题的原因。
二、组策略无效1. 强制更新组策略:可以使用gpupdate /force命令强制更新组策略,使其立即生效。
2. 检查组策略设置:确保组策略设置正确,没有重复或冲突的设置。
可以通过组策略管理工具查看和修改组策略设置。
3. 检查组策略范围:确认组策略应用范围是否覆盖了需要生效的用户或计算机,有时候由于配置错误导致组策略无法正确应用。
4. 重启计算机:有时候组策略更新后需要重新启动计算机才能生效,尝试重启计算机查看是否问题解决。
三、AD域服务异常1. 检查AD域控制器状态:确保AD域控制器正常运行,未出现硬件故障或软件故障,可以通过性能监视器监控AD域控制器的运行状态。
2. 检查AD域服务配置:查看AD域服务的配置是否正确,包括DNS设置、时间同步、网络设置等,这些配置对AD域服务的正常运行至关重要。
3. 检查AD域数据库:如果出现用户丢失或其他异常情况,可能是AD域数据库损坏或存储空间不足,可以尝试修复数据库或清理存储空间。
解决active directory域服务问题的方法
解决active directory域服务问题的方法解决Active Directory域服务问题的方法可以包括以下几个步骤:1.检查网络连接:首先,检查计算机和服务器之间的网络连接是否正常。
可以使用Ping命令来测试连接是否通畅。
如果连接不正常,则需要检查连接设置或修复网络故障。
2.检查网络设置:如果网络连接正常工作,则可能是TCP/IP设置出现了问题。
可以尝试在计算机上使用ipconfig /flushdns命令来刷新DNS缓存,并重新设置网络适配器的设置。
3.检查DNS设置:正确的DNS设置对于Active Directory的正常运行至关重要。
检查网络适配器的DNS设置是否正确,并尝试使用ipconfig /flushdns命令刷新DNS 缓存。
如果DNS问题仍然存在,则可以尝试手动指定DNS服务器的地址以解决问题。
4.检查防火墙设置:如果计算机防火墙被启用,则必须配置以允许Active Directory流量通过。
可以尝试禁用防火墙以查看是否解决了问题。
如果没有解决问题,则需要检查防火墙规则以确保允许Active Directory服务通过。
5.重启服务:可能存在某些服务未启动或已停止导致Active Directory域服务当前不可用的错误。
可以尝试重启Active Directory域服务以解决问题。
此外,对于与打印机相关的问题,需要确保在添加打印机时不要在Word或其他办公软件内添加,而是应该通过控制面板中的设备和打印机选项来添加打印机设备,并确保相关的打印服务(如Print Spooler)已正确配置并启动。
需要注意的是,具体的解决方法可能会因问题的具体情况而有所不同。
无法与域ActiveDirectory域控制器(ADDC)连接(虚机加域出错问题)
无法与域 ActiveDirectory域控制器( ADDC)连接(虚机加域出 错问题)
今天建了两台虚机用的VMWARE,一台做域控,一台做应用服务器,但是部署好域控要把应用服务器加入域时候报错
虚机网卡设置桥接并设置好IP使两台虚机在同一个局域网内,通过ip地址互ping能ping通,通过机器名也能ping通, 但是在应用服务器上ping域控服务器的计算器全名(带域后缀)就ping不通了,显然还是DNS解析有问题,最后把域控服务器 的ip地址和dns设置成一样,把应用服务器的dns设置成域控服务器的ip地址,OK能ping通了也成功加入域。
排查连接域控失败故障
同 时,由 于 交 换 机 接 口 线缆较多,灰尘较多,难免查 不 到。 升 级 后,交 换 机 端 口 工 作 正 常,主 要 是 由 于 操 作 系 统 软 件 重 新 写 入,使 交 换 机 端 口 个 别 参 数 改 变,重 新 启动工作。实际上交换机操 作系统时间长了难免出现问 题,所 以 为 提 高 网 络 设 备 的 工 作 效 率,经 常 升 级 系 统 还 是有必要的。N
责任编辑:赵志远 投稿信箱:netadmin@ 故障诊断与处理 Trouble Shooting
排查连接域控失败故障
■ 河南 刘建臣
故障现象 单位网络部
署了活动目录域 环境,域控使用的
编者按 :近日笔者单位的一些客户反映,在和域控制器 进行连接时,出现无法连接的情况,经检查客户端和域控 制器之间的连通性没有问题,却无法正常加入域环境。
用 于 查 找 _ldap._tcp_dc_ 级信息,该值越低优先级越 start netlogon”命令,重启
de SRVjil ” 高,默认为 100。在“weight” 指定的服务。
等内容。因为在域控中部署 栏 会 显 示 权 重 信 息,默 认
执 行“ i p c o n f i g /
“eventvwr.msc”程 序,在 事 加入域所需的 SRV 记录是否 情况。对于该故在“>”提示符下执行 方 法 在 域 控 中 重 新 注 册 所
信息,果然发现了一些相关 “set q=srv”, “_ldap.tcp. 需 的 DNS 记 录 信 息。 以 域
统 配 置 DNS 服 务 器,错 误 代 域控是否包含在内,并已经 的 DNS 记录信息。执行“net
码 0x0000267C DNS_ERROR_ 使用有效的 IP 地址,例如在 stop netlogon”、 “net stop
活动目录(Active Directory)概念和编程使用
普通目录及其面临的困难谈到计算机目录及其相关技术,总能让我们想到无时不在使用的文件系统目录、灵巧实用的专用工具集目录、海量存储的网络资源目录等等。
是的,这是一个异常熟悉的领域:在文件系统目录里,我们存储文件及其大小、创建日期、类型等信息;在诸如记事本类的专用工具集目录里,我们存放日程安排、联系方式、人员地点等信息;在网络资源目录里,我们以分层架构存放网络上所有对象的相关资料,这些对象包罗了网络里使用的各种资源:共享目录、共享打印机、应用程序、服务、服务器、用户帐号、组、域…可以这样说,从使用计算机的那一刻起,我们就从未离开过目录!曾经,这样的目录让我们随心所欲地处理我们的资源!然而,正是这样的目录,在Internet下却面临许多麻烦:种类繁多、数量日增的目录让我们很难准确定位想要的资源;系统目录、应用程序特定目录、网络资源目录中到底谁存储了我们需要的信息?如何能用一致的方式登录这些不同的资源?怎样能轻松地维护不同系统上的远程资源?能否通过可视化的程序界面在这些资源间交互?初识Active Directory活动目录要解决这些问题,你可以使用Micrsoft提供的活动目录Active Directory 对象,它提供一种构造复杂计算机网络的简单方法,用来存储公共文件夹、对象信息、打印机、服务等数据;Active Directory的适用范围很大,它可以用在小自一台计算机,一个计算机网络,大至数个广域网络(WAN)的结合。
它可以包含这个范围中所有的对象:文件、打印机、应用程序、服务器、域,以及用户等等。
与普通意义上的目录不同的是,Active Directory 活动目录以分层树状结构排列成节点树,每个节点表示网络上的一个资源或服务,并且包含一组可检索和操作的属性。
Active Directory 是提供复杂网络统一视图的Windows目录服务,它减少了开发人员必须处理的目录和命名空间的数量。
Directory Service目录服务同时,专门针对Active Directory活动目录的Directory Services目录服务则让目录中的信息可用,Directory Service(目录服务)是让用户很容易地在目录内寻找到所需要的对象的一种服务。
“ActiveDirectory域服务当前不可用”错误提示怎么解决
“Active Directory域服务当前不可用”错误提示怎么解决有网友反映在打印文件的时候遇到了“Active Directory域服务当前不可用”错误提示,导致无法正常打印,应该怎么解决呢?下面店铺就给大家简单的介绍下解决方法,欢迎大家参考和学习。
具体的解决方法如下:1、按组合键(win+R)打开运行窗口,接着在命令框中输入“control”,回车确认2、进入控制面板页面后,我们将右上方的查看方式设置为“大图标”,然后找到并点击“设备和打印机”3、接着在设备和打印机页面点击“添加打印机”4、接下来选择需要安装的打印机类型,然后继续点击“下一步”,直至安装完成并共享即可5、再次按组合键打开运行窗口,输入“services.msc”,回车确认6、打开服务窗口后,我们在列表中找到并双击“Print Spooler”项7、在弹出的Print Spooler属性设置窗口中,将启动类型设置为“自动”,然后点击下面的“启动”按钮,如果此时已经处于已启动状态,那就先停止再启动,随后点击“确定”按钮保存Win7打印文件时提示Active Directory域服务当前不可用的解决方法就介绍到这了,如果本文的方法还不奏效,就要对打印机进行防火墙的关闭设置了。
相关阅读:打印机常见故障与分析1.故障现象:发出打印命令后,打印机无反应,系统提示打印机是否联机及电缆连接是否正常。
分析与维修:这可能是打印机电源线末插好、打印电缆未正确连接或接触不良、计算机并口损坏等原因造成的。
先按打印机开关,看打印机能不能启动。
如不能启动(电源灯不亮),先检查打印机电源线是否与电源及打印机后的电源插孔正确连接。
在关机状态下把电源线重插一遍,并换一个电源插座试一下,看能否解决问题。
如果按下电源开关后,打印机能正常启动,就进CMOS设置里看一下并口设置是否设置正确。
一般的打印机用的是ECP模式,也有些打印机不支持ECP 模式,此时可用“ECP+EPP”,或“NORMAL”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
活动目录(Active Directory)域故障解决实例[转贴2005-10-18 11:17:00 | 发表者: yuan615]这部分内容将以实例的形式,介绍活动目录(Active Directory)的域故障排除,基本上遵循由易到难,由简到繁的顺序来讲解讨论。
Q1、客户机无法加入到域?一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。
普通用户登录进来,更改按钮为灰色不可用。
并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。
”吗?这时如何在这台计算机上登录到域呀!显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。
也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。
这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。
再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。
注意:域管理员不受10台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。
解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
四、域xxx不是AD域,或用于域的AD域控制器无法联系上。
在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份验证。
DNS不可用时,也可以利用浏览服务,但会比较慢。
2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。
所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。
加入域时,如果输入的域名为FQDN格式,形如,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。
”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。
而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。
再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。
那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。
若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC (具体见前)。
能找到的话,再ping一下DC看是否通。
Q2、用户无法登录到域?一、用户名、口令、域确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。
看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。
二、DNS客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。
三、计算机帐号基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。
可到AD用户和计算机中,将计算机帐号启用即可。
对于Windows 2000/XP/03,默认计算机帐户密码的更换周期为30 天。
如果由于某种原因该计算机帐户的密码与LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。
解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录见下一小节的Q1。
五、跨域登录中的问题在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS 根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。
所以要保证林内有可用的GC。
如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。
Q3、如何解决本地或域管理员密码丢失?本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。
但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”,大约178M;2、下载后解压缩,将其内容刻录成光盘;3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;4、出现选择菜单,选择第一项:ERD Commander 2002;5、出现类似XP的启动界面6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;8、进入ERD Commander 2002 locksmith向导界面,下一步;9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)10、选择Start/Logoff,点OK;11、稍候片刻,点reboot后重新启动计算机凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。
还可以破解NT/2000/03域管理员密码,均已实验证明。
由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。
对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。
Q4、无法使用域内的共享打印机?现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机,为用户重新安装打印机,当时可以打印,但不久问题又会出现。
用户反映说有时能打印,有时就是不能打印。
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。
而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。
解决办法有3种,最好还是用方法1。
:1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。
因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。
比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。
这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2、在打印服务器上启用Guest用户,保证everyone有打印权限。
但这样做不安全,所以不推荐。
3、在客户机上每次要使用打印机前,在开始—运行:\\PrintServer,这时会提示你输入用户名和密码。
通过验证后,再去使用打印机。
很显然这样方法比较麻烦。
Q5、无法访问域内的共享资源?上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。
当访问域内共享资源时,会提示输入用户名和口令。
若不出现提示,直接出现拒绝访问。
一般是由于目标计算机上启用了guest,而guest 用户没有权限造成的。
接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC 路径的IP形式来访问时的故障,如在开始/运行:\\10.63.243.1。
前提:在网卡、协议、连接没问题的情况下。
即在可ping通的前提下,若\\10.63.243.1不通,排错可从下面几个方面来考虑。
1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。
提示:“\\10.63.243.1 文件名、目录名或卷标语法不正确”。
检查:服务是否安装、是否选中,或重装一下。
操作:网上邻居/右键/属性/本地连接/右键/属性2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。
提示:(1)若目标机(为域成员)上的net logon服务停了:“试图登录,但网络登录服务未启动”。
(2)若目标机上的server服务停了:“\\10.63.243.1 文件名、目录名或卷标语法不正确。
”(3)若本机的worstation服务停了:“\\10.63.243.1 网络未连接或启动”。
连其它计算机,也是一样的提示。
检查:相应服务是否已经正常启动。
操作:我的电脑/右键/管理/服务和应用程序/服务下3、由于本机与其它计算机重名(指NetBIOS名称)的影响提示:访问任何计算机均提示:“找不到网络路径”。
检查:重启一下,看是否有“网络中存在重名”的提示。
可能上次开机时没注意给忽略了。
操作:我的电脑/属性/网络标识/属性/计算机名下,修改计算机名。
4、XP/03由于默认安全策略:“帐户:使用空白密码的本地帐户只允许进行控制台登录”的影响提示:\\10.63.243.1无法访问。
您可能没有权限使用网络资源。
请与这台服务器的管理员联系以查明您是否有访问权限。
登录失败:用户帐户限制。
可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。
检查:改用非空密码的帐户试试,或查看XP/03目标机上的本地策略。
操作:开始/运行:gpedit.msc。
计算机配置/Winodws设置/安全设置/本地策略/安全选项下,由默认值“启用”改为“禁用”。
注意:域帐号访问不受此策略限制。