域故障解決實(shí)例作者： 發(fā)布人： 發(fā)布時(shí)間：2005年12月15日 點(diǎn)擊次數(shù)：7這部分內(nèi)容將以實(shí)例的形式，介紹活動(dòng)目錄（Act i ve Dire c tor y ）的域故障排除，基本上遵循由易

域故障解決實(shí)例

作者： 發(fā)布人： 發(fā)布時(shí)間：2005年12月15日 點(diǎn)擊次數(shù)：7

這部分內(nèi)容將以實(shí)例的形式，介紹活動(dòng)目錄（Act i ve Dire c tor y ）的域故障排除，基本上遵循由易到難，由簡到繁的順序來講解討論。

Q 1、客戶機(jī)無法加入到域？

一、權(quán)限問題。

要想把一臺(tái)計(jì)算機(jī)加入到域，必須得以這臺(tái)計(jì)算機(jī)上的本地管理員（默認(rèn)為a dm inis tr a tor ）身份登錄，保證對這臺(tái)計(jì)算機(jī)有管理控制權(quán)限。普通用戶登錄進(jìn)來，更改按鈕為灰色不可用。并按照提示輸入一個(gè)域用戶帳號或域管理員帳號，保證能在域內(nèi)為這臺(tái)計(jì)算機(jī)創(chuàng)建一個(gè)計(jì)算機(jī)帳號。

二、不是說―在2000/03域中，默認(rèn)一個(gè)普通的域用戶（Au th en ti ca te d Users ）即可加10臺(tái)計(jì)算機(jī)到域?！瑔?？這時(shí)如何在這臺(tái)計(jì)算機(jī)上登錄到域呀！

顯然這位網(wǎng)管誤解了這名話的意思，此時(shí)計(jì)算機(jī)尚未加入到域，當(dāng)然無法登錄到域。也有人有辦法，在本地上建了一個(gè)與域用戶同名同口令的用戶，結(jié)果可想而知。這句話的意思是普通的域用戶就有能力在域中創(chuàng)建10個(gè)新的計(jì)算機(jī)帳號，但你想把一臺(tái)計(jì)算機(jī)加入到域，首先你得對這臺(tái)計(jì)算機(jī)的管理權(quán)限才行。再有就是當(dāng)你加第11臺(tái)新計(jì)算機(jī)帳號時(shí)，會(huì)有出錯(cuò)提示，此時(shí)可在組策略中，將帳號復(fù)位，或干脆刪了再新建一個(gè)域用戶帳號，如jo ind om ain 。注意：域管理員不受10臺(tái)的限制。

三、用同一個(gè)普通域帳戶加計(jì)算機(jī)到域，有時(shí)沒問題，有時(shí)卻出現(xiàn)―拒絕訪問‖提示。

這個(gè)問題的產(chǎn)生是由于AD 已有同名計(jì)算機(jī)帳戶，這通常是由于非正常脫離域，計(jì)算機(jī)帳戶沒有被自動(dòng)禁用或手動(dòng)刪除，而普通域帳戶無權(quán)覆蓋而產(chǎn)生的。解決辦法：1、手動(dòng)在AD 中刪除該計(jì)算機(jī)帳戶；2、改用管理員帳戶將計(jì)算機(jī)加入到域；3、在最初預(yù)建帳戶時(shí)就指明可加入域的用戶。

四、域xxx 不是AD 域，或用于域的AD 域控制器無法聯(lián)系上。

在2000/03域中，2000及以上客戶機(jī)主要靠D NS 來查找域控制器，獲得DC 的 I P 地址，然后開始進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。DN S 不可用時(shí)，也可以利用瀏覽服務(wù)，但會(huì)比較慢。2000以前老版本計(jì)算機(jī)，不能利用DN S 來定位DC ，只能利用瀏覽服務(wù)、W IN S 、lm hos ts 文件來定位D C 。所以加入域時(shí)，為了能找到DC ，應(yīng)首先將客戶機(jī)TC P /IP 配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。

加入域時(shí)，如果輸入的域名為F Q DN 格式，形如m cs e.com ，必須利用DN S 中的SR V 記錄來找到D C ，如果客戶機(jī)的D NS 指的不對，就無法加入到域，出錯(cuò)提示為―域xxx 不是AD 域，或用于域的AD 域控制器無法聯(lián)系上?！?000及以上版本的計(jì)算機(jī)跨子網(wǎng)（路由）加入域時(shí)，也就是說，加入域的計(jì)算機(jī)是2000及以上，且與DC 不在同一子網(wǎng)時(shí)，應(yīng)該用此方法。

加入域時(shí)，如果輸入的域名為N e tB I OS 格式，如m cs e ，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC ，但瀏覽服務(wù)不是一個(gè)完善的服務(wù)，經(jīng)常會(huì)不好使。而且這樣雖然也可以把計(jì)算機(jī)加入到域，但在加入域和以后登錄時(shí)，需要等待較長的時(shí)間，所以不推薦。再者，由于客戶機(jī)的D NS 指的不對，則它無法利用2000D NS 的動(dòng)態(tài)更新動(dòng)能，也就是說無法在D NS 區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的A 記錄和P TR 記錄。那么同一域另一子網(wǎng)的2000及以上計(jì)算機(jī)就無法利用D NS 找到它，這本應(yīng)該是可以的。

若客戶機(jī)的DNS 配置沒問題，接下來可使用ns loo kup 命令確認(rèn)一下客戶機(jī)能否通過DN S 查找到DC （具體見前）。能找到的話，再pin g 一下DC 看是否通。

Q 2、用戶無法登錄到域？

一、用戶名、口令、域

確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小寫，口令是區(qū)分大小寫的。看一下欲登錄的域是否還存在（比如子域被非正常刪除了，域中唯一的DC 未聯(lián)機(jī)）。

二、DN S

客戶機(jī)所配的DN S 是否指向D C 所用的DN S 服務(wù)器，討論同前。

三、計(jì)算機(jī)帳號

基于安全性的考慮，管理員會(huì)將暫時(shí)不用的計(jì)算機(jī)帳號禁用（如財(cái)務(wù)主管渡假去了），出錯(cuò)提示為―無法與域連接……，域控制器不可用……，找不到計(jì)算機(jī)帳戶……‖，而不是直接提示―計(jì)算機(jī)帳號已被禁用‖?？傻紸D 用戶和計(jì)算機(jī)中，將計(jì)算機(jī)帳號啟用即可。

對于 Win dows 2000/XP /03，默認(rèn)計(jì)算機(jī)帳戶密碼的更換周期為 30 天。如果由于某種原因該計(jì)算機(jī)帳戶的密碼與 LS A 機(jī)密不同步，登錄時(shí)就會(huì)出現(xiàn)出錯(cuò)提示：―計(jì)算機(jī)帳戶丟失……‖或―此工作站和主域間的信任關(guān)系失敗‖。解決辦法：重設(shè)計(jì)算機(jī)帳戶，或?qū)⒃撚?jì)算機(jī)重新加入到域。

四、默認(rèn)普通域用戶無權(quán)在DC 上登錄

見下一小節(jié)的Q1。

五、跨域登錄中的問題

在2000及以上計(jì)算機(jī)上登錄到域的過程是這樣的：域成員計(jì)算機(jī)根據(jù)本機(jī)DN S 配置去找DNS 服務(wù)器，DN S 根據(jù)SR V 記錄告訴它DC 是誰，客戶機(jī)聯(lián)系DC ，驗(yàn)證后登錄。

如果是在林中跨域登錄，是首先查詢DNS 服務(wù)器，問林的GC 是誰。所以要保證林內(nèi)有可用的GC 。如果是要登錄到其它有信任關(guān)系的域（不一定是本林的），要保證D NS 能找到對方的域。

Q 3、如何解決本地或域管理員密碼丟失？

本地管理員密碼丟失，可通過刪除s am 文件（2000S P3以前）或通過N Tpas s wo rd 軟件來解決。但要解決域管理員密碼丟失，它們就無能為力了, 這時(shí)就需要用到―鳳凰萬能啟動(dòng)盤‖中的E R D Com m ande r 2002了，接下來我們將詳細(xì)討論使用此盤解決管理員密碼丟失問題。

1、上網(wǎng)搜索―鳳凰啟動(dòng)盤‖或―鳳凰萬能啟動(dòng)盤‖，大約178M ；

2、下載后解壓縮，將其內(nèi)容刻錄成光盤；

3、用此光盤啟動(dòng)計(jì)算機(jī)，顯示XP 安裝界面，S t ar t ERD Com m ande r 2002環(huán)境；

4、出現(xiàn)選擇菜單，選擇第一項(xiàng)：ERD Com m ande r 2002；

5、出現(xiàn)類似XP 的啟動(dòng)界面

6、進(jìn)入選擇系統(tǒng)安裝的路徑，一般會(huì)自動(dòng)測出操作系統(tǒng)、版本及是否域控制器；

7、出現(xiàn)類似的XP 桌面：選擇S ta r t/Adm i nis t ra ti ve To ols /Locks m i th ；

8、進(jìn)入E RD Comm and er 2002 loc ks m ith 向?qū)Ы缑妫乱徊剑?/p>

9、選擇Adm in is t ra to r ，重設(shè)其密碼；（此時(shí)切不可手動(dòng)重新啟動(dòng)計(jì)算機(jī)，否則此修改將無效）

10、選擇S tar t /Logo f f ，點(diǎn)O K ；

11、稍候片刻，點(diǎn)r ebo ot 后重新啟動(dòng)計(jì)算機(jī)

鳳凰啟動(dòng)盤中的ERD Com m ande r 2002功能強(qiáng)大，不僅可破解本地管理員密碼，包括N T /2000/XP /03的各個(gè)版本。還可以破解N T /2000/03域管理員密碼，均已實(shí)驗(yàn)證明。

由于可自動(dòng)識(shí)別操作系統(tǒng)和版本，及是否D C ，所以用戶在操作時(shí)，重設(shè)密碼的方法都是一樣的。對于03，重設(shè)密碼時(shí)要注意符合密碼策略中要求的符合復(fù)雜性要求，且密碼最小長度為7，否則重設(shè)的密碼會(huì)無效。

Q 4、無法使用域內(nèi)的共享打印機(jī)？

現(xiàn)象：計(jì)算機(jī)重啟或注銷，再登錄進(jìn)來，無法使用以前安裝的域內(nèi)的共享網(wǎng)絡(luò)打印機(jī)，

為用戶重新安裝打印機(jī)，當(dāng)時(shí)可以打印，但不久問題又會(huì)出現(xiàn)。用戶反映說有時(shí)能打印，有時(shí)就是不能打印。

其原因在于用戶沒有登錄到域（很多用戶即使計(jì)算機(jī)加入到了域，也經(jīng)常習(xí)慣性地選擇登錄到本地機(jī)），沒有域用戶身份，當(dāng)然無權(quán)訪問域內(nèi)的資源。而且關(guān)鍵是Wi ndo ws 系統(tǒng)在這里有個(gè)小毛病，它并不象你訪問共享文件夾那樣，由于沒有身份而提示你輸入用戶名和密碼來進(jìn)行驗(yàn)證，而是直接提示你―拒絕訪問，無法連接‖、―當(dāng)前打印機(jī)安裝有問題‖，―RPC 服務(wù)不可用‖等等（在不同的操作系統(tǒng)或應(yīng)用程序中提示會(huì)所不同）。

解決辦法有3種，最好還是用方法1。：

1、要求用戶將其域用戶帳號加入到本地管理員組，以后每次都以域用戶帳號登錄。

說明：這本身就是微軟推薦的一種辦法。因?yàn)槿绻贿@樣，普通用戶以本地管理員身份登錄時(shí)，控制本機(jī)沒問題，但訪問域資源時(shí)需要輸入域用戶名和口令；而用戶若以域用戶身份登錄，又沒有本機(jī)管理特權(quán)。比如說：無法關(guān)機(jī)，無法修改網(wǎng)絡(luò)等配置，無法安裝軟件、驅(qū)動(dòng)等。這樣做了以后，用戶以域用戶身份登錄，同時(shí)他又是本地管理員。

2、在打印服務(wù)器上啟用Gues t 用戶，保證e ver yon e 有打印權(quán)限。但這樣做不安全，所以不推薦。

3、在客戶機(jī)上每次要使用打印機(jī)前，在開始—運(yùn)行：P rin t Ser ve r ，這時(shí)會(huì)提示你輸入用戶名和密碼。通過驗(yàn)證后，再去使用打印機(jī)。很顯然這樣方法比較麻煩。

Q 5、無法訪問域內(nèi)的共享資源？

上例中我們提到過客戶機(jī)如果加入到了域，但用戶選擇登錄到本地機(jī)。當(dāng)訪問域內(nèi)共享資源時(shí)，會(huì)提示輸入用戶名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒絕訪問。一般是由于目標(biāo)計(jì)算機(jī)上啟用了g ues t ，而gu es t 用戶沒有權(quán)限造成的。

接下來的討論實(shí)質(zhì)和域的關(guān)系不太，但確實(shí)是我們訪問網(wǎng)絡(luò)共享資源中經(jīng)常會(huì)碰到的問題：基于U NC 路徑的I P 形式來訪問時(shí)的故障，如在開始/運(yùn)行：.63.243.1。

前提：在網(wǎng)卡、協(xié)議、連接沒問題的情況下。即在可ping 通的前提下，若.63.243.1不通，排錯(cuò)可從下面幾個(gè)方面來考慮。

1、目標(biāo)機(jī)的―Mic ros o f t 網(wǎng)絡(luò)的文件和打印機(jī)共享‖服務(wù)的問題。

提示：―.63.243.1 文件名、目錄名或卷標(biāo)語法不正確‖。

檢查：服務(wù)是否安裝、是否選中，或重裝一下。

操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性

2、由于訪問相關(guān)的ne t logo n 、s er ve r 、wo r ks ta t ion 服務(wù)務(wù)未正常啟動(dòng)的影響。

提示：

（1）若目標(biāo)機(jī)（為域成員）上的ne t logon 服務(wù)停了：―試圖登錄，但網(wǎng)絡(luò)登錄服務(wù)未啟動(dòng)‖。

（2）若目標(biāo)機(jī)上的s er ver 服務(wù)停了：―. 63.243.1 文件名、目錄名或卷標(biāo)語法不正確。‖

（3）若本機(jī)的wors ta ti on 服務(wù)停了：―.63. 243.1 網(wǎng)絡(luò)未連接或啟動(dòng)‖。連其它計(jì)算機(jī)，也是一樣的提示。

檢查：相應(yīng)服務(wù)是否已經(jīng)正常啟動(dòng)。

操作：我的電腦/右鍵/管理/服務(wù)和應(yīng)用程序/服務(wù)下

3、由于本機(jī)與其它計(jì)算機(jī)重名（指N e tB I O S 名稱）的影響

提示：訪問任何計(jì)算機(jī)均提示：―找不到網(wǎng)絡(luò)路徑‖。

檢查：重啟一下，看是否有―網(wǎng)絡(luò)中存在重名‖的提示。可能上次開機(jī)時(shí)沒注意給忽略了。

操作：我的電腦/屬性/網(wǎng)絡(luò)標(biāo)識(shí)/屬性/計(jì)算機(jī)名下，修改計(jì)算機(jī)名。

4、XP /03由于默認(rèn)安全策略：―帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄‖的影響

提示：.63.243.1無法訪問。您可能沒有權(quán)限使用網(wǎng)絡(luò)資源。請與這臺(tái)服務(wù)器的管理員聯(lián)系以查明您是否有訪問權(quán)限。登錄失敗：用戶帳戶限制。可能的原因包括不允許空密碼，登錄時(shí)間限制，或強(qiáng)制的策略限制。

檢查：改用非空密碼的帳戶試試，或查看XP /03目標(biāo)機(jī)上的本地策略。

操作：開始/運(yùn)行：gpe di t.m s c 。計(jì)算機(jī)配置/Win odws 設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)下，由默認(rèn)值―啟用‖改為―禁用‖。

注意：域帳號訪問不受此策略限制。

5、網(wǎng)絡(luò)共享訪問被篩選器的設(shè)置所阻止

提示：找不到網(wǎng)絡(luò)路徑

檢查： TCP /I P 篩選、I PS EC 、RR AS 篩選器是否被啟用，且TC P 端口139和445被禁用。

操作：

（1）網(wǎng)上鄰居/屬性/本地連接/屬性：TC P /IP —高級—選項(xiàng)—TC P /IP 篩選