域控问题

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

客户机不能加入域的终极解决方法

2010-09-28 12:54

解决办法一:

客户机加入域时的错误各种各样,但总的来说,客户机不能加入域的解决方法部外乎以下几种:

1、将客户机的第一DNS设为AD的IP,一般DNS都时和AD集成安装的,清空缓存并重新注册

ipconfig /flushdns 清空DNS

ipconfig /registerdns 重新申请DNS

2、关闭客户端防火墙

3、只留IP为AD的第一DNS,第二DNS设为空

4、在AD服务器的DNS建立客户机的SRV记录

5、启动DNS和TCP/IP NetBIOS Helper Service服务

6、更改主机名并在服务器上删除已经存在的DNS记录,重启

7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)

解决办法二:

不能联系域

1.您无法用NetBois域名加入域。

2.组策略无法正常应用。

3.无法打开网上领居和访问共享文件。

这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查:

建议一:如果您的域中有Wins服务器,请检查客户机的Wins配置看是不是指向Wins服务器。另外,请打开Wins服务器,看记录正确注册。

建议二:如果 TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务)没有在客户端计算机上运行,可能会出现此问题。要解决此问题,请启动 TCP/IP NetBIOS 支持服务。要启动 NetBIOS 支持服务,请按照下列步骤操作:

1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”,单击“运行”,在“打开”框中键入 services.msc,然后单击“确定”。

3. 在服务列表中,双击“TCP/IP NetBIOS Helper Service”。您看到的文章来自活动目录seo

4. 在“启动类型”列表中,单击“自动”,然后单击“应用”。

5. 在“服务状态”下,单击“启动”以启动 TCP/IP NetBIOS 支持服务。

6. 当该服务启动后,请单击“确定”,然后退出“服务”管理单元。

建议三:请检查是否安装了客户机上安装了“Microsoft网络的文件和打印机共享”

1.点击“开始菜单→控制面板→网络连接”。

2.在所出现窗口中的局域网连接(如“本地连接”)上单击右键,选择“属性”。3.勾选常规标签下的“Microsoft网络的文件和打印机共享”项。

解决办法三:

还可以修改本机的host文件,在里面增加一行域控制器名称与其IP地址的对应关系即可.

解决办法四:

“不能联系域XXXX的域控制器”的一种解决系统:Windows server 2003 Enterprise Edition

此方法针对的是Ghost利用一个已经加入过相同域的系统备份还原计算机后出现的不能加入域的情况。因此IP设置、DNS设置是正确无误的。

因为出现系统还原到机器后无法用域账户登录的情况,另外还设置了WINS为DNS 地址,这点也是有做到的。也无数次先行退出域,在系统属性里边儿改了计算机名,重启。依然,加入域的时候提示“不能联系域XXXX的域控制器....”状况。

甚至重复还原了几个不同备份,最后肯定了问题一定出在一直没作改变的一点上面——计算机名。关键是系统属性里边改过,用优化大师也修改过,手动在注册表中几处都修改了,没用!几乎否定了认为问题出在计算机名上的想法。最后作了用超级兔子再修改计算机名的尝试,最终成功。

用系统软件能做的事情一定可以手动,这点是肯定的,因此最有保障有效的解决方法还有待跟进研究。

解决办法五:

更改客户机计算机名再加入试试。

微软官方帮助文件:

“您用的windows与此域无法联系,原因是域控制器存在故障或不可用,或没有找到计算机帐户,请稍后重试,若持续出现,请与系统管理员联系”

该提示的原因绝大多数由于DC中的计算机帐户重名或者被禁用所导致。当您将一台客户端加入域时,默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象,这意味着DC已经和客户端建立起了secure channel,同时会生成一个key,安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000 或 Windows XP,默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步,

意味着客户端与DC的通信被断掉,则会导致您所述的提示信息没有找到计算机账户。而如果secure channel被断掉。导致secure channel出错的原因可能有以下几种:

1. 将客户端加入到域时,域中已经存在与该计算机同名的计算机账户,那么在该计算机加入域后,会将本计算机的名称覆盖与其同名的计算机帐户,这样就会导致备覆盖的哪个计算机在登录域时报错

2. 将ADUC中的计算机账户删除也会导致上述错误

解决该问题,我们需要同步计算机帐户的密码和 LSA 机密,在 Windows 2000 或Windows XP 中重置计算机帐户的四种方法:

1.使用 Netdom.exe 命令行工具

2.使用 Nltest.exe 命令行工具

注意:Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的Support\Tools 文件夹中。要安装这两个工具,请运行 Setup.exe 或从Support.cab 文件中提取文件。

3.使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。4.使用 Microsoft Visual Basic 脚本

具体步骤请参照:/kb/216393/zh-cn

如果希望避免此问题可以参照下面几点建议:

1. 将客户端加入到域时请检查是否与域中的计算机同名

2. 请不要在ADUC中删除域中的有效计算机账户

相关出错对照信息:

1.每个成员都维护着这样的一个 LSA 机密,用于建立安全通道由 Netlogon 服务。如果,出于某种原因,计算机帐户的密码和 LSA 机密不同步,Netlogon 服务记录以下错误:

NETLOGON Event ID 3210:

Failed to authenticate with\\DOMAINDC, a Windows NT domain controller for domain DOMAIN.

2.如果计算机账户被删除,通过成员Netlogon服务会记录下面的错误信息:

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

相关文档
最新文档