域控制器错误及解决方法

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版，单网卡，连接LAN1。

这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。

网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。

提示：Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :The error was: "DNS name does not exist."(error code 0x0000232B RCODE_NAME_ERROR)The query was for the SRV record for _ldap._tcp.dc._Common causes of this error include the following:- The DNS SRV record is not registered in DNS.- One or more of the following zones do not include delegation to itschild zone:com. (the root zone)For information about correcting this problem, click Help.在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

客户机不能加入域的终极解决方法2010-09-28 12:54解决办法一：客户机加入域时的错误各种各样，但总的来说，客户机不能加入域的解决方法部外乎以下几种：1、将客户机的第一DNS设为AD的IP，一般DNS都时和AD集成安装的，清空缓存并重新注册ipconfig /flushdns 清空DNSipconfig /registerdns 重新申请DNS2、关闭客户端防火墙3、只留IP为AD的第一DNS，第二DNS设为空4、在AD服务器的DNS建立客户机的SRV记录5、启动DNS和TCP/IP NetBIOS Helper Service服务6、更改主机名并在服务器上删除已经存在的DNS记录，重启7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)解决办法二：不能联系域1．您无法用NetBois域名加入域。

2．组策略无法正常应用。

3．无法打开网上领居和访问共享文件。

这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。

我建议您做如下的检查：建议一：如果您的域中有Wins服务器，请检查客户机的Wins配置看是不是指向Wins服务器。

另外，请打开Wins服务器，看记录正确注册。

建议二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。

要解决此问题，请启动 TCP/IP NetBIOS 支持服务。

要启动 NetBIOS 支持服务，请按照下列步骤操作：1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”，单击“运行”，在“打开”框中键入 services.msc，然后单击“确定”。

3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。

您看到的文章来自活动目录seo4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。

排除Windows域控复制错误
沈浩
【期刊名称】《网络运维与管理》
【年(卷),期】2014(000)011
【摘要】导读我们在工作中经常会遇到一些Windows Server域控制器的复制错误，如果此时没有正确处理，会导致Windows AD域的灾难发生。

本人最近遇到两起此类故障，使用Windows自带命令得到解决。

【总页数】2页(P110-111)
【作者】沈浩
【作者单位】江苏
【正文语种】中文
【中图分类】TP316.7
【相关文献】
1.用辅助域控顶替主域控 [J], 温庆彬;
2.Windows2000“Stop”——错误信息的分析和排除 [J], 殷凯
3.构筑LDAP＋Samba域单点登录系统：常见错误及排除方法 [J],
4.在Windows Server 2003中使用WMI管理AD复制——使用WMIADRepl．wsf对AD复制进行管理 [J], AlainLissoir;刘海蜀
5.Windows 2000域DC名称错误的解决方案 [J], 李晔
因版权原因，仅展示原文概要，查看原文内容请购买。

域服务当前不可用是什么意思域服务当前不可用是什么意思？在计算机网络中，域服务是一种允许用户在网络上进行身份验证和访问控制的技术。

它通常由专用的服务器提供支持，这些服务器称为域控制器。

域服务不可用是指在特定的网络环境中，无法正常使用域服务来验证用户身份和执行访问控制。

当域服务不可用时，用户可能会遇到各种问题，例如无法登录到域，无法访问网络资源，以及无法执行与域相关的任务。

这可能对用户的工作效率和整个网络的正常运行产生负面影响。

域服务不可用的原因可以有很多，下面我们将详细介绍一些可能的原因以及解决方法：1. 域控制器故障：域控制器是提供域服务的核心服务器，当域控制器发生故障时，域服务将不可用。

这可能是因为硬件故障、操作系统出错或者其他原因导致的。

解决方法是修复故障的域控制器，或者实施冗余备份域控制器来确保域服务的高可用性。

2. 网络连接问题：域服务的正常运行需要良好的网络连接。

如果网络连接出现问题，例如网络故障、防火墙设置不正确或者网络中断，将导致域服务不可用。

解决方法是检查网络连接并修复任何问题，确保所有必要的端口和协议能够正常通信。

3. 域名称解析问题：域服务使用域名来标识和定位域控制器。

如果域名称解析出现问题，例如域名无法解析、DNS配置不正确或者域名被错误地指向其他服务器，将导致域服务不可用。

解决方法是确保域名解析配置正确，并修复任何域名解析问题。

4. 安全权限问题：域服务涉及到用户身份验证和访问控制，因此与安全权限有关。

如果域控制器的安全权限设置不正确，便可能导致域服务不可用。

解决方法是审查和调整域控制器的安全权限设置，确保其与网络环境和用户需求相匹配。

5. 软件更新问题：域服务的供应商通常会发布软件更新来修复漏洞、增强功能或提高性能。

如果域控制器未及时安装这些更新，可能会导致域服务不可用。

解决方法是定期检查并安装域控制器的软件更新，确保其保持在最新的稳定版本。

总之，域服务当前不可用可能由多种原因导致，包括域控制器故障、网络连接问题、域名称解析问题、安全权限问题以及软件更新问题。

Windows XP系统无法加入Windows Server 2003域
故障现象：某单位局域网域控制器基于Windows Server2003系统，在将一台运行Windows XP的计算机加入域时出现“不能联系域的域控制器”的出错信息，如图2008120308所示。

图2008120308 不能联系指定域控制器
请问造成此故障的原因是什么，应当如何解决？
解决方法：本例出错信息比较常见，主要是客户端计算机无能通过DNS定位域控制器所致。

计算机在加入域时可以采取两种方式：一种方式是使用NETBIOS格式的域名（如），使用这种方式时是利用浏览服务（广播方式）找到域控制器；另一种方式是使用FQDN（完全有效域名）格式的域名（如），使用这种方式时必须通过DNS服务器解析来找到域控制器，如果客户端计算机的DNS服务器地址设置错误就无法加入域。

本例加入域的方式明显是使用了第二种方式，因此应当检查Windows XP计算机是否指定了DNS服务器地址，以及首选的DNS服务器地址是否为Windows Server 2003域控制器的IP地址。

如果没有指定或设置错误则应及时改正并再次实验。

不能联系域控制器的解决方法2007-06-29 15:20:12| 分类：电脑.网络| 标签：|字号大中小订阅不能联系域domain的域控制器其他电脑加入域时没有问题。

只有这一台电脑有问题在这台电脑PING 可以PING通。

PING IP也能PING通。

防火墙是关的。

AD 和DNS中的这台电脑的IP我已删除。

这台已退出域。

提示如下：不能联系域domain的域控制器注意: 此信息主要供网络管理员参考。

如果您不是网络的管理员，请通知网络管理员您收到了此信息，记录在文件C:\WINDOWS\debug\dcdiag.txt 中。

域名domain 可能是一个NetBIOS 域名。

如果是这种情况，请确认域名用WINS 正确注册。

如果您确认此名称不是一个NetBIOS 域名，那么下面的信息将帮助您对DNS 配置进行疑难解答:当查询DNS 以获得服务位置(SRV)资源记录时遇到下列错误，此资源记录用来为域domain 定位域控制器:错误是: "DNS 名称不存在。

"(错误代码0x0000232B RCODE_NAME_ERROR)查询是为_ldap._tcp.dc._msdcs.domain 查询SRV 记录此错误的一般原因包括:- DNS SRV 记录没有在DNS 中注册。

- 下列区域的一个或多个不包括到它的子区域的代理:domain。

(根目录区域)有关怎样更正此错误，请单击“帮助”。

重装客户机操作系统问题肯定解决．事后问朋友得到解决方法如下：（时间关系没有做测试）重新安装TCP/IP协议1、开始——运行——regedit.exe，打开注册表编辑器，删除以下两个键：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinsockHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock22、用记事本打开%winroot%\inf\nettcpip.inf文件，找到：[MS_TCPIP.PrimaryInstall]Characteristics = 0xa0 <------把此处的0Xa0改为0x80 保存退出3、打开本地连接的TCP/IP属性---添加协议——从磁盘——浏览找到刚刚保存的nettcpip.inf(%winroot%\inf\nettcpip.inf)文件，然后选择“TCP/IP协议”（不是选择那个TCP/IP 版本6）。

WindowsServer2016域控制器升级到WindowsServer2022遇到的问。

1. ⾮域控服务器升级将两台Web服务器和数据库服务器(Windows Server 2016, 2019)成功升级⾄到Windows Server 2022，⾮常顺利，⼀次成功。

直接在Windows Server 2022的iso⽂件上点右键，选择装载，然后进⼊新出现的光盘，点击setup, 即可安装。

安装中选择保留应⽤。

序列号输⼊kms的即可。

2. 域控Server 2016升级前准备：2.1. 创建系统备份可以⽤Windows的恢复功能创建U盘启动盘，需要16G容量的U盘。

其实后⾯发现升级失败，系统会⾃⼰回滚，不做这⼀步也可以。

2.2. 域控制器架构升级，重要下⾯红⾊部分为要执⾏的两个命令，⽤于完成域控的架构升级。

F:\support\adprep>adprep.exe /forestprepADPREP 警告:在运⾏ adprep 之前，林中的所有 Windows Active Directory 域控制器都必须运⾏ Windows Server 2003 或更⾼版本。

你将使⽤ Active Directory 域控制器(架构主机)“**.**”，为名为“r**”的 Active Directory 林升级架构。

此操作在完成后将⽆法撤销。

[⽤户操作]如果林中的所有域控制器都运⾏ Windows Server 2003 或更⾼版本，并且你希望升级架构，请键⼊ "C" 进⾏确认，然后按 Enter 继续。

否则，键⼊任何其他键并按 Enter 退出。

C⽬前的架构版本为 87将架构升级到版本 88正在验证⽂件签名连接到“**.ro**”⽤ SSPI 作为当前⽤户登录从“F:\support\adprep\sch88.ldf”⽂件导⼊⽬录加载条⽬........成功地修改了 7 个条⽬。

AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的IP 地址。

在Active Directory 安装期间，在DNS 中动态注册服务(SRV) 和地址(A) 资源记录，这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。

AD域解决方案1. 概述AD（Active Directory）域是微软公司开发的一种目录服务，用于在Windows网络中管理用户身份、资源访问和权限控制。

AD域解决方案是一种将AD域部署在企业网络中的方法，可以实现集中管理和控制用户、计算机和其他网络资源的目的。

本文将介绍AD域解决方案的基本原理、部署步骤和一些常见问题的解决方法。

2. AD域解决方案的基本原理AD域解决方案基于一种底层的目录服务架构，其中包括以下关键组件：2.1. 域控制器（Domain Controller）域控制器是AD域中最关键的组件之一，它负责存储和管理用户账户、组策略、安全策略等信息。

每个AD域至少需要一个域控制器来进行运行，并且可以有多个域控制器来提供冗余与负载均衡。

2.2. 域（Domain）域是AD域的逻辑单元，它包含一组用户账户、计算机账户和安全策略。

在域中，用户可以通过他们的账户认证和访问网络资源。

2.3. 组（Group）组是域中的一种容器，可以用来管理和授权一组用户账户的访问权限。

组可以根据不同的标准进行分类，例如按部门、按角色等。

2.4. 组策略（Group Policy）组策略是一种集中管理和应用于域中用户和计算机的安全设置、应用程序设置和其他配置的机制。

通过组策略，管理员可以轻松地定义和实施网络安全策略、应用程序设置和用户配置。

3. AD域解决方案的部署步骤3.1. 规划在部署AD域解决方案之前，需要进行一些规划工作。

例如，确定域的名称、域控制器的数量和位置、组织单位（OU）的结构等。

此外，还需要考虑到网络拓扑、安全需求和对现有系统的影响。

安装域控制器是部署AD域解决方案的关键步骤之一。

在安装过程中，需要选择域控制器的角色、安全选项和其他配置。

安装完成后，域控制器会自动复制和同步域中的用户、组和策略信息。

3.3. 配置域和组织单位在安装完成后，可以使用AD域管理工具配置域和组织单位的属性和策略。

通过配置域和组织单位，可以实现对用户和计算机账户的精细管理和控制。

加入域后的计算机如果提示“windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。

如果此消息持续再现。

请与系统管理员联系以得到帮助”目前我碰到得原因就是计算机名同名。

退出域，更改计算机名后，再加入域问题解决。

client一旦加入域之后，如果要使用ghost来恢复系统，那么需要这么做：1、安装好client系统，安装完最新的补丁，也可以考虑安装一些基本软件。

2、针对现有系统开始执行sysprep 。

sysprep是一个“系统准备”工具，主要功能是在创建磁盘映像之前删除当前操作系统的所有唯一性信息，便于Ghost之类的工具复制磁盘映像。

3、对这台机器的引导区作ghost，以后恢复就用这个母盘恢复了。

ad在设计的时候，为了保证client与dc之间安全的通信，要求client在加入域后，client的计算机账户需要定期与dc的计算机账户保持同步（这个期限默认是30天），也就是说，当client与dc发生验证动作的时候，其实是先用计算机账户去验证，然后才是用户账户验证（也就是您输入用户名和密码）。

那么，为什么要这么做呢？因为，用户名和密码是比较容易伪造的，如果在任何验证发生之前，先校验计算机账户的安全性，校验通过之后，再校验用户账户，那么整体验证的安全性就得到了保证，相对于用户帐户，计算机账户就比较难以伪造。

微软通过如下两个方法来保障计算机账户验证的安全：其一、ad不允许任何用户模式下的程序或者用户模式下的交互动作，去干预或者设置计算机账户的同步（由这个同步动作建立的通道，微软称之为security channel），其二、计算机账户将会关联计算机硬件信息，然后用形成计算机sid（sysprep的动作就是抽取了这部分信息）。

ok，那么我们重现一下您遇到的问题。

您可能在将client加入域后，没有作sysprep，然后直接ghost。

然后这台计算机启动登录到域，于是dc验证当前client，通过验证，随后与client 计算机账户进行同步（这个动作对用户是透明的），好，这些都没有问题。

本文介绍在域控制器降级失败后，如何删除Acti ve Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本3 客户端，并且不恰当地修改了Active Directory 对象的属性，则可能造成严重问题。

要解决这些问题，您可能需要重新安装Microsoft Windows 2000 Server、Mi crosoft Windows Server 2003、Mi crosoft Exchange 2000 Server 或Microsoft Ex change Server 2003，或者 Windows 和Ex change 二者都需要重新安装。

Microsoft 不保证能够解决因为Acti ve Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导 (Dcprom o.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。

作为降级过程的一部分，此向导会将该域控制器的配置数据从 Active Directory 中删除。

此数据的形式是“N TDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于 Active Directory 的下列位置：CN=NTDSSettings,CN=<servernam e>,CN=Servers,CN=<sitenam e>,CN=Sites,CN=Configuratio n,DC=<dom ain>...“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。

域控制器无法正常工作查看本文应用于的产品重要说明：本文包含有关修改注册表的信息。

修改注册表之前，一定要先进行备份，并且一定要知道在发生问题时如何还原注册表。

有关如何备份、还原和编辑注册表的信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：256986Microsoft Windows 注册表说明本页∙症状∙解决方案o方法1：修复DNS 错误o方法2：同步各计算机之间的时间o方法3：检查“从网络访问此计算机”用户权限o方法4：验证域控制器的userAccountControl 属性是否为532480o方法5：修复Kerberos 领域（确认PolAcDmN 注册表项和PolPrDmN 注册表项相匹配）o方法6：重设计算机帐户密码，然后获取一个新的Kerberos 票证展开全部| 关闭全部症状当您在基于Microsoft Windows 2000 Server 的域控制器或基于Windows Server 2003 的域控制器上运行Dcdiag 工具时，可能会收到以下错误信息：DC DiagnosisPerforming initial setup:[DC1] LDAP bind failed with error 31当您在域控制器上以本地方式运行REPADMIN/SHOWREPS 实用工具时，可能会收到以下错误信息：[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).当您试图在受影响的域控制器的控制台上使用网络资源（包括“通用命名约定”(UNC) 资源或映射的网络驱动器）时，可能会收到以下错误信息：No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")如果您在受影响的域控制器的控制台上启动任何Active Directory 管理工具（包括“Active Directory 站点和服务”以及“Active Directory 用户和计算机”），可能会收到以下错误信息之一：Naming information cannot be located because:No authority could be contacted for authentication.Contact your system administrator to verify that your domain is properly configured and is currently online.Naming information cannot be located because:Target account name isincorrect.Contact your system administrator to verify that your domain is properly configured and is currently online.如果Microsoft Outlook 客户端连接到使用受影响的域控制器进行身份验证的Microsoft Exchange Server 计算机，系统可能会提示该客户端提供登录凭据，即使来自其他域控制器的成功登录验证已经存在。

域控制器错误及相关解决办法１、用户帐户被意外锁定，并在 Windows Server 2003 中记录的事件 ID 12294事件 ID 12294参考：/kb/887433/zh-cn原因当您的网络上的计算机感染了 W32.Randex.F 蠕虫病毒或与它的变量时，可能会发生此问题。

解决方案若要解决此问题，请使用最新的可用的病毒定义在网络上运行完整的病毒扫描。

若要删除 W32.Randex.F 蠕虫病毒使用扫描。

有关如何执行病毒扫描或如何获取最新的病毒定义的信息，请参阅您的防病毒软件文档或与制造商联系。

2、事件 ID 1699 记录许多次并填充基于 Windows Server 2008 的可写域控制器的目录服务事件日志事件 ID 1699参考：/?scid=kb%3Bzh-cn%3B953392&x=12&y=12原因当 Windows Server 2008 RODC 试图缓存的主要用户的密码时，可写域控制器将执行检查以确定是否允许此操作。

如果不允许此操作，是将返回错误代码。

这是预期的行为。

但是，不正确可能返回错误代码时记录事件 1699解决方案若要解决此问题可用的修补程序。

安装此修补程序后，服务器不会在"原因"部分中提到的情况下记录事件 ID 1699。

在其他的方案中仍被记录该事件。

3、Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法事件ID58055722参考：/?scid=kb%3Bzh-cn%3B942564&x=8&y=10原因出现此问题是由于基于 Windows Server 2008 的域控制器上的允许与 Windows NT 4.0 兼容的加密算法策略的默认行为。

若要防止 Windows 操作系统和第三方客户端使用弱加密算法，以建立到基于 Windows Server 2008 的域控制器的NETLOGON 安全通道配置此策略。

如果将打印机配置为使用计算机上的本地端口（如LPT1、LPT2 或LPT3），而计算机具有开放的客户端会话，Windows 2000 终端服务便支持通过远程桌面协议(RDP) 5 客户端对打印机进行自动重定向。

这种打印机重定向是在登录时进行的，而且是默认执行的操作。

不过，如果在客户端上使用第三方驱动程序或某些Microsoft Windows 95/Microsoft Windows 98 驱动程序，打印机重定向无效。

在出现这种情况时，服务器的系统事件日志中便会记录以下错误信息：类型:错误事件ID: 1111描述:打印机printertype 所需的驱动程序drivername 未知。

登录之前，请与管理员联系，安装驱动程序。

类型:错误事件ID: 1105描述:无法设置打印机printername/clientcomputername/Session number 的打印机安全信息。

类型:错误事件ID: 1106描述:无法安装打印机。

客户端登录时，基于Windows 2000 的服务器检查客户端上打印机驱动程序的名称，并在Windows 2000 Ntprint.inf 文件中查找同一打印机驱动程序名称。

如果找不到该驱动程序名称，便会记录错误信息，而不会将打印机重定向。

/kb/239088域成员电脑登录不了系统:用本地管理员帐户登录,查看日志有错误,描述为: Windows不能确定用户或计算机名称(拒绝访问。

)。

组策略处理中止。

登录域控制器，查看域控制器的日志:来源：NETLOGON 事件ID：5722,从计算机computername 设置的会话无法进行身份验证。

安全数据库中引用的帐户名称是computername$。

发生下列错误:拒绝访问。

从网上查到的资料：对于作为域成员的每一台Windows 2000 或Windows XP 工作站或服务器，它们都与域控制器有一个离散的通信通道，该通道称为安全通道。

症状:现公司域为windows2003域，共有两台DC（同时这两台DC也是DNS服务器），一直工作正常在两个月之前第一台DC（暂时称之为DC1）因为主板出现故障无法启动，故由第二台DC（暂时称之为DC2）夺取FSMO角色，等DC1恢复工作之后，再让DC1获取FSMO角色，恢复原工作环境但在恢复正常工作之后的一个月以后，不知何故，在DC2的事件日志中，应用程序纪录中开始出现大量的ID 1030、1058的错误信息，二十天后DC1上面也开始出现这两个错误信息，平均每隔5分钟纪录一次错误信息：类型: 错误来源: Userenv类别: 无事件 ID: 1058描述:Windows 无法访问 GPOcn={0D16F706-E6F8-41E8-BBDB-4A5C4952F024},cn=policies,cn=system,DC=qu ande,DC=qd 的文件 gpt.ini。

此文件必须在<\\xxx.xxx\SysVol\xxx.xxx\Policies\{0D16F706-E6F8-41E8-BBDB-4A5C4952F 024}\gpt.ini>。

(拒绝访问。

（最早是找不到网络路径） )。

组策略处理中止。

有关更多信息，请参阅在/fwlink/events.asp的帮助和支持中心。

类型: 错误来源: Userenv类别: 无事件 ID:1030描述:Windows 不能查询组策略对象列表。

请查看事件日志，从中寻找策略引擎以前可能记录的描述此原因的消息。

有关更多信息，请参阅在/fwlink/events.asp的帮助和支持中心。

处理过程：解决方法一：*按照Microsoft的客服支持网页/kb/290647/zh-cn上的思路认为主要是由于将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment（跳过遍历检查用户权利指派），可能会发生此问题。

域控计算机脱域的问题
域控计算机脱域的问题可能是由于以下原因导致的：
1. 网络连接问题：如果域控计算机无法连接到域控制器，它将无法验证用户的凭据并与域进行通信。

这可能是由于网络故障、防火墙设置或DNS配置错误等原因引起的。

2. 用户凭据问题：如果用户的凭据（用户名和密码）发生更改或失效，域控计算机将无法验证用户的身份并与域进行通信。

3. 域控制器故障：如果域控制器发生故障或不可用，域控计算机将无法连接到域控制器并与域进行通信。

4. 计算机账户问题：如果域控计算机的计算机账户发生更改或失效，它将无法使用该账户与域进行身份验证和通信。

如果域控计算机脱域，可以尝试以下解决方法：
1. 检查网络连接：确保域控计算机能够正常连接到域控制器，在网络连接方面没有任何问题。

2. 检查用户凭据：确保使用正确的用户名和密码进行登录，并确保这些凭据在域内有效。

3. 检查域控制器状态：确认域控制器是否正常运行并可用。

4. 重置计算机账户：尝试重新加入域，重新生成计算机账户，
并确保账户在域内有效。

如果以上解决方法无法解决问题，建议与网络管理员或系统管理员联系以获取更进一步的支持和解决方案。

[转]不能联系域控制器的解决方法重新安装TCP/IP协议2011-07-20 09:36不能联系域控制器的解决方法不能联系域domain的域控制器其他电脑加入域时没有问题。

只有这一台电脑有问题在这台电脑PING 可以PING通。

PING IP也能PING通。

防火墙是关的。

AD 和 DNS中的这台电脑的IP我已删除。

这台已退出域。

提示如下：不能联系域domain的域控制器注意: 此信息主要供网络管理员参考。

如果您不是网络的管理员，请通知网络管理员您收到了此信息，记录在文件C:\WINDOWS\debug\dcdiag.txt 中。

域名 domain 可能是一个 NetBIOS 域名。

如果是这种情况，请确认域名用 WINS 正确注册。

如果您确认此名称不是一个 NetBIOS 域名，那么下面的信息将帮助您对 DNS 配置进行疑难解答:当查询 DNS 以获得服务位置(SRV)资源记录时遇到下列错误，此资源记录用来为域 domain 定位域控制器:错误是: "DNS 名称不存在。

"(错误代码 0x0000232B RCODE_NAME_ERROR)查询是为 _ldap._tcp.dc._msdcs.domain 查询 SRV 记录此错误的一般原因包括:- DNS SRV 记录没有在 DNS 中注册。

- 下列区域的一个或多个不包括到它的子区域的代理:domain。

(根目录区域)有关怎样更正此错误，请单击“帮助”。

重装客户机操作系统问题肯定解决．事后问朋友得到解决方法如下：（时间关系没有做测试）重新安装TCP/IP协议1、开始——运行——regedit.exe，打开注册表编辑器，删除以下两个键：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2。

在现代企业网络中，Active Directory（AD）域控制器扮演着至关重要的角色，它负责存储和管理组织中的用户、计算机和其他资源。

然而，有时候在使用AD域控的过程中，用户可能会遇到各种错误代码。

了解这些错误代码的含义和解决方法对于保持域控的稳定运行至关重要。

1. Error Code 5: "Access is denied"当用户在与AD域控进行交互时，如果出现错误代码5，意味着用户没有足够的权限来执行特定操作。

这可能是由于用户没有正确的权限分配，或者是由于域策略规定了用户的操作权限。

解决这个问题的方法包括检查用户的权限设置、确保用户所在的安全组拥有必要的权限等。

2. Error Code 1326: "Logon failure: unknown user name or bad password"这个错误代码表明用户登录到AD域控时使用了错误的用户名或密码。

解决这个问题的方法包括确保用户输入的凭据是正确的、检查域控的密码策略是否允许该用户的密码强度等。

3. Error Code 1909: "The referenced account is currently locked out and may not be logged on to"如果用户的账户由于多次登录失败而被锁定，就会出现这个错误代码。

解决这个问题的方法包括解锁用户账户、重置用户密码等。

总结与回顾：在与AD域控进行交互的过程中，用户可能会遇到各种错误代码。

了解这些错误代码的含义和解决方法对于保持域控的稳定运行至关重要。

除了上述提到的错误代码，还有许多其他错误代码可能会出现，因此在使用AD域控时，用户应该时刻保持警惕，并对可能出现的错误有所准备。

个人观点和理解：作为文章写手，我认为深入了解和解决AD域控错误是非常必要的。

只有在面对问题时，我们才能更好地掌握和管理AD域控，确保网络系统的稳定运行。