活動目錄（Active Directory）域故障解決實例這部分內(nèi)容將以實例的形式，介紹活動目錄（Active Directory ）的域故障排除，基本上遵循由易到難，由簡到繁的順序來講解討論。Q1、

活動目錄（Active Directory）域故障解決實例

這部分內(nèi)容將以實例的形式，介紹活動目錄（Active Directory ）的域故障排除，基本上遵循由易到難，由簡到繁的順序來講解討論。

Q1、客戶機無法加入到域？

一、權限問題。

要想把一臺計算機加入到域，必須得以這臺計算機上的本地管理員（默認為administrator ）身份登錄，保證對這臺計算機有管理控制權限。普通用戶登錄進來，更改按鈕為灰色不可用。并按照提示輸入一個域用戶帳號或域管理員帳號，保證能在域內(nèi)為這臺計算機創(chuàng)建一個計算機帳號。

二、不是說“在2000/03域中，默認一個普通的域用戶（Authenticated Users ）即可加10臺計算機到域。”嗎？這時如何在這臺計算機上登錄到域呀！

顯然這位網(wǎng)管誤解了這名話的意思，此時計算機尚未加入到域，當然無法登錄到域。也有人有辦法，在本地上建了一個與域用戶同名同口令的用戶，結果可想而知。這句話的意思是普通的域用戶就有能力在域中創(chuàng)建10個新的計算機帳號，但你想把一臺計算機加入到域，首先你得對這臺計算機的管理權限才行。再有就是當你加第11臺新計算機帳號時，會有出錯提示，此時可在組策略中，將帳號復位，或干脆刪了再新建一個域用戶帳號，如joindomain 。注意：域管理員不受10臺的限制。

三、用同一個普通域帳戶加計算機到域，有時沒問題，有時卻出現(xiàn)“拒絕訪問”提示。 這個問題的產(chǎn)生是由于AD 已有同名計算機帳戶，這通常是由于非正常脫離域，計算機帳戶沒有被自動禁用或手動刪除，而普通域帳戶無權覆蓋而產(chǎn)生的。解決辦法：1、手動在AD 中刪除該計算機帳戶；2、改用管理員帳戶將計算機加入到域；3、在最初預建帳戶時就指明可加入域的用戶。

四、域xxx 不是AD 域，或用于域的AD 域控制器無法聯(lián)系上。

在2000/03域中，2000及以上客戶機主要靠DNS 來查找域控制器，獲得DC 的 IP 地址，然后開始進行網(wǎng)絡身份驗證。DNS 不可用時，也可以利用瀏覽服務，但會比較慢。2000以前老版本計算機，不能利用DNS 來定位DC ，只能利用瀏覽服務、WINS 、lmhosts 文件來定位DC 。所以加入域時，為了能找到DC ，應首先將客戶機TCP/IP配置中所配的DNS 服務器，指向DC 所用的DNS 服務器。

加入域時，如果輸入的域名為FQDN 格式，形如mcse.com ，必須利用DNS 中的SRV 記錄來找到DC ，如果客戶機的DNS 指的不對，就無法加入到域，出錯提示為“域xxx 不是AD 域，或用于域的AD 域控制器無法聯(lián)系上?！?000及以上版本的計算機跨子網(wǎng)（路由）加入域時，也就是說，加入域的計算機是2000及以上，且與DC 不在同一子網(wǎng)時，應該用此方法。

加入域時，如果輸入的域名為NetBIOS 格式，如mcse ，也可以利用瀏覽服務（廣播方式）直接找到DC ，但瀏覽服務不是一個完善的服務，經(jīng)常會不好使。而且這樣雖然也可以把計算機加入到域，但在加入域和以后登錄時，需要等待較長的時間，所以不推薦。再者，由于客戶機的DNS 指的不對，則它無法利用2000DNS 的動態(tài)更新動能，也就是說無法在DNS 區(qū)域中自動生成關于這臺計算機的A 記錄和PTR 記錄。那么同一域另一子網(wǎng)的2000及以上計算機就無法利用DNS 找到它，這本應該是可以的。

若客戶機的DNS 配置沒問題，接下來可使用nslookup 命令確認一下客戶機能否通過DNS 查找到DC （具體見前）。能找到的話，再ping 一下DC 看是否通。

Q2、用戶無法登錄到域？

一、用戶名、口令、域

確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小寫，口令是區(qū)分大小寫的?？匆幌掠卿浀挠蚴欠襁€存在（比如子域被非正常刪除了，域中唯一的DC 未聯(lián)機）。

二、DNS

客戶機所配的DNS 是否指向DC 所用的DNS 服務器，討論同前。

三、計算機帳號

基于安全性的考慮，管理員會將暫時不用的計算機帳號禁用（如財務主管渡假去了），出錯提示為“無法與域連接??，域控制器不可用??，找不到計算機帳戶??”，而不是直接提示“計算機帳號已被禁用”。可到AD 用戶和計算機中，將計算機帳號啟用即可。

對于 Windows 2000/XP/03，默認計算機帳戶密碼的更換周期為 30 天。如果由于某種原因該計算機帳戶的密碼與 LSA 機密不同步，登錄時就會出現(xiàn)出錯提示：“計算機帳戶丟失??”或“此工作站和主域間的信任關系失敗”。解決辦法：重設計算機帳戶，或將該計算機重新加入到域。

四、默認普通域用戶無權在DC 上登錄

見下一小節(jié)的Q1。

五、跨域登錄中的問題

在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據(jù)本機DNS 配置去找DNS 服務器，DNS 根據(jù)SRV 記錄告訴它DC 是誰，客戶機聯(lián)系DC ，驗證后登錄。

如果是在林中跨域登錄，是首先查詢DNS 服務器，問林的GC 是誰。所以要保證林內(nèi)有可用的GC 。如果是要登錄到其它有信任關系的域（不一定是本林的），要保證DNS 能找到對方的域。

Q3、如何解決本地或域管理員密碼丟失？

本地管理員密碼丟失，可通過刪除sam 文件（2000SP3以前）或通過NTpassword 軟件來解決。但要解決域管理員密碼丟失，它們就無能為力了, 這時就需要用到“鳳凰萬能啟動盤”中的ERD Commander 2002了，接下來我們將詳細討論使用此盤解決管理員密碼丟失問題。

1、上網(wǎng)搜索“鳳凰啟動盤”或“鳳凰萬能啟動盤”，大約178M ；

2、下載后解壓縮，將其內(nèi)容刻錄成光盤；

3、用此光盤啟動計算機，顯示XP 安裝界面，Start ERD Commander 2002環(huán)境；

4、出現(xiàn)選擇菜單，選擇第一項：ERD Commander 2002；

5、出現(xiàn)類似XP 的啟動界面

6、進入選擇系統(tǒng)安裝的路徑，一般會自動測出操作系統(tǒng)、版本及是否域控制器；

7、出現(xiàn)類似的XP 桌面：選擇Start/Administrative Tools/Locksmith；

8、進入ERD Commander 2002 locksmith向導界面，下一步；

9、選擇Administrator ，重設其密碼；（此時切不可手動重新啟動計算機，否則此修改將無效）

10、選擇Start/Logoff，點OK ；

11、稍候片刻，點reboot 后重新啟動計算機

鳳凰啟動盤中的ERD Commander 2002功能強大，不僅可破解本地管理員密碼，包括NT/2000/XP/03的各個版本。還可以破解NT/2000/03域管理員密碼，均已實驗證明。 由于可自動識別操作系統(tǒng)和版本，及是否DC ，所以用戶在操作時，重設密碼的方法都是一樣的。對于03，重設密碼時要注意符合密碼策略中要求的符合復雜性要求，且密碼最小長度為7，否則重設的密碼會無效。

Q4、無法使用域內(nèi)的共享打印機？

現(xiàn)象：計算機重啟或注銷，再登錄進來，無法使用以前安裝的域內(nèi)的共享網(wǎng)絡打印機，

為用戶重新安裝打印機，當時可以打印，但不久問題又會出現(xiàn)。用戶反映說有時能打印，有時就是不能打印。

其原因在于用戶沒有登錄到域（很多用戶即使計算機加入到了域，也經(jīng)常習慣性地選擇登錄到本地機），沒有域用戶身份，當然無權訪問域內(nèi)的資源。而且關鍵是Windows 系統(tǒng)在這里有個小毛病，它并不象你訪問共享文件夾那樣，由于沒有身份而提示你輸入用戶名和密碼來進行驗證，而是直接提示你“拒絕訪問，無法連接”、“當前打印機安裝有問題”，“RPC 服務不可用”等等（在不同的操作系統(tǒng)或應用程序中提示會所不同）。 解決辦法有3種，最好還是用方法1。：

1、要求用戶將其域用戶帳號加入到本地管理員組，以后每次都以域用戶帳號登錄。

說明：這本身就是微軟推薦的一種辦法。因為如果不這樣，普通用戶以本地管理員身份登錄時，控制本機沒問題，但訪問域資源時需要輸入域用戶名和口令；而用戶若以域用戶身份登錄，又沒有本機管理特權。比如說：無法關機，無法修改網(wǎng)絡等配置，無法安裝軟件、驅動等。這樣做了以后，用戶以域用戶身份登錄，同時他又是本地管理員。

2、在打印服務器上啟用Guest 用戶，保證everyone 有打印權限。但這樣做不安全，所以不推薦。

3、在客戶機上每次要使用打印機前，在開始—運行：PrintServer，這時會提示你輸入用戶名和密碼。通過驗證后，再去使用打印機。很顯然這樣方法比較麻煩。

Q5、無法訪問域內(nèi)的共享資源？

上例中我們提到過客戶機如果加入到了域，但用戶選擇登錄到本地機。當訪問域內(nèi)共享資源時，會提示輸入用戶名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒絕訪問。一般是由于目標計算機上啟用了guest ，而guest 用戶沒有權限造成的。

接下來的討論實質和域的關系不大，但確實是我們訪問網(wǎng)絡共享資源中經(jīng)常會碰到的問題：基于UNC 路徑的IP 形式來訪問時的故障，如在開始/運行：.63.243.1。 前提：在網(wǎng)卡、協(xié)議、連接沒問題的情況下。即可在ping 通的前提下，若.63.243.1不通，排錯可從下面幾個方面來考慮。

1、目標機的“Microsoft 網(wǎng)絡的文件和打印機共享”服務的問題。

提示：“.63.243.1 文件名、目錄名或卷標語法不正確”。

檢查：服務是否安裝、是否選中，或重裝一下。

操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性

2、由于訪問相關的net logon、server 、workstation 服務務未正常啟動的影響。 提示：

（1）若目標機（為域成員）上的net logon服務停了：“試圖登錄，但網(wǎng)絡登錄服務未啟動”。

（2）若目標機上的server 服務停了：“.63.243.1 文件名、目錄名或卷標語法不正確?！?/p>

（3）若本機的worstation 服務停了：“.63.243.1 網(wǎng)絡未連接或啟動”。連其它計算機，也是一樣的提示。

檢查：相應服務是否已經(jīng)正常啟動。

操作：我的電腦/右鍵/管理/服務和應用程序/服務下

3、由于本機與其它計算機重名（指NetBIOS 名稱）的影響

提示：訪問任何計算機均提示：“找不到網(wǎng)絡路徑”。

檢查：重啟一下，看是否有“網(wǎng)絡中存在重名”的提示。可能上次開機時沒注意給忽略了。 操作：我的電腦/屬性/網(wǎng)絡標識/屬性/計算機名下，修改計算機名。

4、XP/03由于默認安全策略：“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄”的

影響

提示：.63.243.1無法訪問。您可能沒有權限使用網(wǎng)絡資源。請與這臺服務器的管理員聯(lián)系以查明您是否有訪問權限。登錄失?。河脩魩粝拗??？赡艿脑虬ú辉试S空密碼，登錄時間限制，或強制的策略限制。

檢查：改用非空密碼的帳戶試試，或查看XP/03目標機上的本地策略。

操作：開始/運行：gpedit.msc 。計算機配置/Winodws設置/安全設置/本地策略/安全選項下，由默認值“啟用”改為“禁用”。

注意：域帳號訪問不受此策略限制。

5、網(wǎng)絡共享訪問被篩選器的設置所阻止

提示：找不到網(wǎng)絡路徑

檢查： TCP/IP篩選、IPSEC 、RRAS 篩選器是否被啟用，且TCP 端口139和445被禁用。 操作：

（1）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—TCP/IP篩選

（2）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—IP 安全機制

（3）開始/程序/管理/路由和遠程訪問/IP路由選擇/常規(guī)/接口/右鍵屬性/常規(guī)：輸入/輸出篩選器。

說明：

（1）RRAS 篩選器只在2000/03 Server版中才有，IPSEC 只有在2000的上述位置才有。

（2）若你就想設置篩選器，基于端口控制，不讓別人訪問你的網(wǎng)絡共享資源，需要同時禁止TCP ：139和445口。

（3）由于此種原因產(chǎn)生的訪問故障，一般是由于實驗后忘了復原，或別人故意和你開玩笑。 Q6、在AD 域中，如何批量添加域用戶帳號？

作為網(wǎng)管，有時我們需要批量地向AD 域中添加用戶帳戶，這些用戶帳戶既有一些相同的屬性，又有一些不同屬性。如果逐個添加、設置的話，十分地麻煩。一般來說，如果不超 過10個，我們可利用AD 用戶帳戶復制來實現(xiàn)。如果再多的話，我們就應該考慮使用csvde.exe 或ldifde.exe 來減輕我們的工作量了。最后簡單介紹一下利用腳本（可利用循環(huán)功能）批量創(chuàng)建用戶帳號

一、AD 用戶帳戶復制

1、在“AD 域和計算機”中建一個作為樣板的用戶，如S1。

2、設置相關需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。

3、在S1上/右鍵/復制，輸入名字和口令。

說明：

1、 只有AD 域用戶帳戶才可以復制，對于本地用戶帳戶無此功能。

2、 帳戶復制可將在樣板用戶帳戶設置的大多數(shù)屬性帶過來。具體如下：

二、比較csvde 與ldifde

三、以csvde.exe 為例說明：域用戶帳戶的導出/導入

操作步驟如下：

1、 在“AD 域和計算機”中建一個用戶，如S1。

2、 設置相關需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。

3、 在DC 上，開始/運行：cmd

4、 鍵入：csvde –f demo.csv

說明：

（1）不要試圖將這個文件導回，來驗證是否好使。因為這個文件中的好多字段在導入時是不允許用的，如：ObjectGUID 、objectSID 、pwdLastSet 和 samAccountType 等屬性。我

們導出這個文件目的只是為了查看相應的字段名是什么，其值應該怎么寫，出錯信息如下：

（2）可通過-d –r 參數(shù)指定導出范圍和對象類型。例如：

-d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”

-r “< Objectclass=user>”

1、 以上面的文件為參考基礎，創(chuàng)建自己的my.csv ，并利用復制、粘貼、修改得到多條記錄。例如：

dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName

"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com

"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcse.com

??????，其它可用字段，我試了一下，見下表（不全）：

6、導入到AD ，鍵入 csvde –i –f my.csv –j c:

說明：-j 用于設置日志文件位置，默認為當前路徑。此選項可幫助用戶在導入不成功時排錯。

有一點大家必須明確的是：我們在這里做AD 域用戶帳戶復制、做AD 域用戶帳戶的導出/導入，并不能代替“AD 備份和恢復”。我們只是在批量創(chuàng)建用戶帳號，帳號的SID 都是重新生成的，權利權限都得重新設才行。（當然我們可以把導入的用戶，通過memberof 字段設到一些用戶組中去，使它有權利權限。但這與利用“AD 備份和恢復”到原狀，完全是兩回事）。

四、利用腳本創(chuàng)建批量用戶帳戶

1、利用腳本創(chuàng)建用戶帳號（用戶可參考下例）。

Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")

Set objOU = objDomain.Create("organizationalUnit", "ou=Management")

objOU.SetInfo

說明：在fabrikam.com 域創(chuàng)建一個名叫Management 的OU 。

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

Set objUser = objOU.Create("User", "cn= AckermanPila")

objUser.Put "sAMAccountName", "AckermanPila"

objUser.SetInfo

objUser.SetPassword "i5A2sj*!"

objUser.AccountDisabled = FALSE

objUser.SetInfo

說明：在Management OU下創(chuàng)建一個名叫AckermanPila 的用戶，口令為i5A2sj*!，啟用。 Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

Set objGroup = objOU.Create("Group", "cn=atl-users")

objGroup.Put "sAMAccountName", "atl-users"

objGroup.SetInfo

objGroup.Add objUser.ADSPath

objGroup.SetInfo

說明：在Management OU下創(chuàng)建一個名叫atl-users 的用戶組，將用戶AckermanPila 加入到這個組中。

Wscript.echo "Script ended successfully"

說明：顯示“腳本成功結束”信息

2、利用腳本中的循環(huán)功能實現(xiàn)批量創(chuàng)建用戶帳號

Set objRootDSE = GetObject("LDAP://rootDSE")

Set objContainer = GetObject("LDAP://cn=Users," & _

objRootDSE.Get("defaultNamingContext"))

For i = 1 To 1000

Set objUser = objContainer.Create("User", "cn=UserNo" & i)

objUser.Put "sAMAccountName", "UserNo" & i

objUser.SetInfo

objUser.SetPassword "i5A2sj*!"

objUser.AccountDisabled = FALSE

objUser.SetInfo

Next

WScript.Echo "1000 Users created."

說明：在當前域的Users 容器中創(chuàng)建UserNo1到UserNo1000，共1000個用戶帳戶 Q7、我的計算機不知道怎么回事，系統(tǒng)時間總是被改快1小時？

加入域的計算機，沒有自己的時間。這是因為時間參數(shù)，在AD 復制中是一個極為重要的因素。如：決定多主控復制時，誰的修改最終生效。所以整個域的時間，都由域的PDC 仿真主控來控制，整個林的時間都由林根域上的PDC 仿真主控來控制。

說明：如果整個林的時間都快1小時，對你AD 的正常工作沒有任何影響。

解決：修改林根域的PDC 仿真主控計算機的時間。實際工作中，要先查看域內(nèi)計算機的時區(qū)設置是否正確。

Q8、建立AD 域，需要有什么樣的權限才行？

1、若是創(chuàng)建林內(nèi)的第一個域，即林根域，只要有目標計算機上的本地管理員權限即可。

2、作為已有域的附加DC ，需要該域的域管理員（Domain Admins）權限。

3、安裝子域的DC ，或新樹的DC ，都涉及到林結構的改變，需要林管理員（Enterprise Admins ）權限才行。

Q9、如何在2000域中添加一臺03的DC ？

03和2000比，功能更強大了，在域和AD 的體系結構上也有了一些變化（參見前面：域、林功能級別）。但微軟的產(chǎn)品十分講究向前兼容，我們可以實現(xiàn)在一個2000域中加入03DC 、加入03DNS ，并且DC 間的AD 復制，DNS 間的區(qū)域傳輸，都好像沒有版本差異一樣。

但要注意：直接就在03計算機上安裝AD 是不行的，會收到出錯提示“Active Directory 版本不同”。我們需要做一些準備工作，在2000DC （SP2及更高）上運行03光盤/I386/adprep，

具體第一步：adprep /forestprep進行林準備，第二步adprep /domainprep進行域準備。 順便說一下：03可以作為2000域的附加DC ，2000也可以作為03域的附加DC ，而直接在2000上安裝AD 即可，不需要準備。

Q10、創(chuàng)建AD 域時，由于沒有NTFS 分區(qū)，導致AD 安裝失敗？

在2000/03成員或獨立服務上上運行dcpromo 命令，安裝AD ，將其提升為DC ，其上必須有一個NTFS 5.0分區(qū)，用來保存AD 的sysvol 文件夾。

注意：2000的NTFS 分區(qū)是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問2000的NTFS 分區(qū)。

如果C 是引導分區(qū)，即系統(tǒng)夾winnt 或windows 所在分區(qū)，采用FAT32分區(qū)，系統(tǒng)會自動查找下一個可用的NTFS 分區(qū)來存放系統(tǒng)卷，如d:sysvol。如果找不到NTFS 分區(qū)，就會出錯，導致AD 安裝失敗。這時可利用convert 命令將某個FAT32分區(qū)轉成NTFS 分區(qū)，

這個轉換會保持數(shù)據(jù)的完好。但要注意這個轉換是單向不可逆，想回復到FAT 分區(qū)，除非重新格式化該分區(qū)。

以轉換D 盤為例，具體操作如下：

1、開始/運行：convert d: /fs:ntfs

2、提示是否轉換，鍵入y 確認轉換。

說明：這時并沒有真正開始轉換，如果后悔，可以到注冊表HLM當前控制控制會話管理BootExecute下，刪除其值Convert d: /fs:ntfs 。

3、重新啟動計算機，將在登錄界面出現(xiàn)前，真正實施FAT 到NTFS 的轉換。

Q11、安裝AD 域時，出現(xiàn)NetBIOS 名稱沖突？

在安裝AD 時，安裝選項會要求輸入：新域的DNS 全名，在這里應該輸入新域的完全有效域名FQDN ，形如：mcse.com 。系統(tǒng)會打算以mcse 作為此域的NetBIOS 名稱，并在網(wǎng)絡中檢查是否存在重名，需要等一會兒。

如果不重名則設為mcse （建議用戶不要修改此名），重名系統(tǒng)則自動設為mcse0，建議用戶最好換個名字，因為你的網(wǎng)絡可能還會有2000以前版本的老系統(tǒng)，考慮到NetBIOS 名稱解析和DNS 名稱解析的互助，保持一致性比較好。

說明：NetBIOS 名稱，只是為95/98/NT等老版本用戶通過“瀏覽服務”或WINS 來識別這個域用的，如果確信域內(nèi)計算機都是2000及以上系統(tǒng)（它們通過DNS 定位域），其實NetBIOS 名稱沖不沖突，都無所謂。

這種沖突可能源自于網(wǎng)絡中如果已有一個域，名字叫做mcse.org ，DNS 名雖然不沖突，但是NetBIOS 名稱沖突。也可能是你安裝了一個mcse.com 域未能完全成功，又再次安裝導致的，這樣情況倒可以強行將NetBIOS 名稱將為mcse ，而不是mcse0。

Q12、安裝AD 完成后，重啟登錄非常慢，甚至長達20分鐘之久。

這一般是由于用一臺運行了一段時間的2000/03 Server來安裝AD 造成的，故障較難定位。若重啟幾次后就正常了，則不必理會。如果多次重啟后還是非常慢，那就要重裝系統(tǒng)及AD 了。建議：最好在新裝的系統(tǒng)上來安裝AD ，這樣不容易出問題。

Q13、安裝AD 時，選擇了在本機安裝DNS ，但安裝結束后，在DNS 中未生成SRV 記錄？ 如果決定在安裝AD 過程中在本機安裝DNS ，應在安裝前，將本機TCP/IP配置中的DNS 服務器指向自己，這樣在安裝AD 完成后重啟時，SRV 記錄將被自動注冊到DNS 服務器的區(qū)域當中去的，生成四個以下劃線開頭的文件夾，如_msdcs。

03DNS 在這里夾的層次結構有所變化，將_msdcs.域名夾提升了一級，直接放到了查找區(qū)域下，但本質沒變。

如果安裝前忘了將DNS 指向自己，也可以后補上。然后到計算機管理/服務下，重啟Net Logon 服務即可。這樣可以把啟動時未能注冊到DNS 服務器的SRV 記錄（緩存在windowssystem32?che中）寫入DNS 。如果仍然不行的話，那只好重啟DC 了。 Q14、安裝子域失敗。

在保證權限（需要林管理員權限，不要誤以為是父域管理員權限）、DNS 沒問題的情況下，最常見的安裝子域失敗的原因就是域命名主控失效，出錯提示為：“由于以下原因，操作失?。篈D 無法與域命名主機xxx 聯(lián)系。指定的服務器無法運行指定的操作?！?/p>

說明：域命名主控要正常工作，它本身要求GC 必須可用。這是由于：為了保證域的名字在林中唯一，域命名主機需要查詢GC 。若是2000林，GC 必須和域命名主機在同一臺計算機上才行。若是2003林，不要求GC 必須和域命名主機非得在同一臺計算機上。

解決：保證域命名主控聯(lián)機，如果確信其已無法正常工作，可強制傳給（查封seize ）林內(nèi)的任意一臺DC ，子域的DC 也可以。原來的主控必須被重做系統(tǒng)后，才可連入網(wǎng)絡，以保證域命名主控的林唯一性。

Q15、修改用戶密碼需要幾分鐘，甚至更長的時間。

前面我們介紹過：PDC 仿真主控負責最小化密碼變化的復制等待時間，若一臺DC 接受到密碼變化的請求，它必須通知PDC 仿真主控。若是PDC 仿真主機失效，收到該請求的DC 必須經(jīng)過一段時間的查找后，確認真的找不到PDC 仿真主控了，才會自己修改用戶密碼。所以在此情況下，應首先檢查PDC 仿真主控。

如果確信其已無法正常工作，可強制傳給（查封seize ）域內(nèi)的任意一臺DC 。原來的主控必須被重做系統(tǒng)后，才可連入網(wǎng)絡，以保證PDC 仿真主控的域唯一性。

Q16、正常卸載AD 時的常見問題

在實際工作中有時我們需要改變服務器角色，或者將實驗中安裝的DC 回復到普通成員/獨立服務器身份，這就要進行AD 的卸載。

1、卸載時會提示給新的本地管理員設置密碼

2、附加DC 卸載后，仍在域中。

3、如果AD 不能卸載，應從以下幾方面考慮：

（1）網(wǎng)卡是否正常工作

即使你整個林中只有一臺計算機，也要保證網(wǎng)卡正常工作，才能將AD 卸載。網(wǎng)卡不工作或禁用網(wǎng)卡都會導致AD 無法卸載，提示“卸載SYSVOL 文件夾出錯”

（2）權限

權限要求與安裝AD 時類似，若一個林中只有一個域，那么你要卸載的就是林根域，需要林管理員（Enterprise Admins）權限；卸載附加DC 需要該域的域管理員（Domain Admins）權限；卸載子域或樹，涉及到林結構的改變，也需要林管理員權限。

（3）DNS

一般應保證與安裝時所用DNS 一致。如果做了DNS 規(guī)劃，必須保證1中權限所要求的管理員身份能通過DNS 找到相應DC ，進行驗證。

（4）域命名主控

卸載時只要涉及到林結構的改變，就需要保證域命名主控有效；卸載附加DC 時不要求域命名主控有效。

但要注意的是：卸載時，域命名主控失效的出錯信息與安裝時的“AD 無法與域命名主機xxx 聯(lián)系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據(jù)綁定到服務器xxx 失敗。“RPC 服務器不可用”。

（5）卸載的順序

與安裝順序相反，應該先逐級卸載下面的子域，最后卸載樹根域、林根域。否則將導致子域無法卸載，而存在的子域還有問題，找不到林根域、樹根域了。

因為這時極有可能架構和域命名主控及GC 未轉移，林管理員組和架構管理員組（Schema Admins）已經(jīng)隨林根域的刪除而沒有了。為什么這么說呢？因為如果管理員考慮到主控及GC 等的轉移問題，也就不會誤刪除林根域了。

Q17、AD 無法正常卸載，或者說DC 無法正常降級為成員服務器？

1、Dcpromo /forceremoval強制卸載AD

2、重設目錄恢復模式下的管理員密碼：

2000：winntsystem32setpwd.exe

03：使用ntdsutil 實用工具，set dsrm password

如果按照上例的要求，還是無法正常卸載AD ，且出錯提示未提到DNS 方面的故障?？紤]本機上已安裝有的應用程序，你還不想重做系統(tǒng)，可考慮使用如下辦法。

1、開始/運行，在命令行中輸入regedit 或regedt32打開注冊表編輯器。

2、找到以下的鍵值：

HKEY_LOCAL_MACHINESystemCurrentControlSetControlProduct Options 鍵值：ProductType 類型：REG_SZ

3、 將原來的值“LanmanNT ”改為“ServerNT ”。

說明：

（1）LanmanNT 表示本機為域控制器DC ，ServerNT 表示本機為非DC 。

（2）只有當CurrentControlSet1和CurrentControlSet 下的鍵值：ProductType 所等于的數(shù)據(jù)不同時，即一個為ServerNT ，一個為LanmanNT 才允許修改。否則將會出如下提示： ¨ 對于2000：“系統(tǒng)已檢測到干預您的注冊產(chǎn)品類型，這是您對軟件許可證的侵犯。干預產(chǎn)品類型是不允許的?！?/p>

¨ 對于03：“系統(tǒng)檢測到您的注冊的產(chǎn)品類型有篡改現(xiàn)象。這是對軟件許可證的侵犯。篡改產(chǎn)品類型是不允許的。”

（3）教學實踐中可以利用ntdsutil 將子域的server 對象（實質指DC ）手動刪除，然后運行dcpromo 降級，降級失敗后演示此知識點。

接下來，方法一：

1、重新啟動計算機，按F8鍵進入到“目錄服務恢復模式”。

說明：

（1）在此模式下，AD 不工作，以便對AD 庫文件及系統(tǒng)卷sysvol 進行操作。

（2）登錄的口令不同于平時所用的口令，是在安裝AD 時，所設的目錄恢復模式下的口令。保存在本機一個SAM 庫文件中。

2、刪除存放活動目錄數(shù)據(jù)庫的文件夾，默認為C:WinNTNTDS，或C:WindowsNTDS。

3、刪除存放系統(tǒng)卷的文件夾，默認為C:WinNTSYSVOL，或C:WindowsSYSVOL

4、重新啟動計算機。

5、由于還有一些作為域控制器的注冊表鍵值和文件存在，所以在重新啟動完計算機后，還需要使用dcpromo 命令來升級計算機B 到一個臨時的域的域控制器（域名可以任意填寫），然后再用dcpromo 命令降級，這樣才會完整地刪除所有和域控制器相關的注冊表鍵值和文件。

方法二

1、開始/運行，在命令行中輸入dcpromo

2、由于前面已經(jīng)修改了注冊表，此時為AD 安裝界面，而非卸載界面。

3、會遇到如下出錯提示：“由于網(wǎng)絡上名稱沖突，選定默認的NetBIOS 域名‘xxx ’”。 說明：xxx 為你修改注冊表前原來域的NetBIOS 名稱。

4、不必介意出錯提示，手動設置你想要的名稱。比如你此次的域為abc.com ，則手動設xxx 改為ABC 即可。

5、再接下來會遇到提示：“c:winntntds文件夾不是空的，當升級處理開始時，要刪除文件夾中所有的文件嗎？（如果不，請指定另一個文件夾。）”

6、選擇：是

說明：

（1）在選擇系統(tǒng)卷的夾，如c:winnntsysvol后，時間可能會比較長，請耐心等待。

（2）和正常安裝時一樣，可能會碰到DNS 錯誤提示，一般選擇在本機安裝DNS 即可。

（3）也可能會出現(xiàn)“計算機已脫離域，帳號未被禁用”的提示，不必理會。

（4）最重要的一點是：這第一次非?？赡懿怀晒?，再重來一遍dcpromo 即可。

7、如果這次安裝是為了清除殘余的注冊表鍵值和垃圾文件，可再次運行dcpromo 進行卸載。當然直接使用這臺DC ，也是可以的。

最后強調一下，此方法并不是萬能的。一是前面我們已經(jīng)提到的，有時注冊表不允許修改或者改完了存不上。再有就是如果在卸載的一開始，就出現(xiàn)有關DNS 的出錯信息，必須首先排除DNS 故障才行。

Q18、如何清理AD 數(shù)據(jù)庫中的垃圾對象。

如果我們非正常卸載AD 子域、DC 等，就會在AD 元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經(jīng)AD 卸載就把DC 計算機的系統(tǒng)重做了。這些垃圾對象一般來講無礙大局，但如果我們想優(yōu)化AD 的性能，不想給用戶帶來不必要的麻煩（比如用戶選擇登錄到已經(jīng)不存在的子域），就可以利用ntdsutil 工具進行元數(shù)據(jù)庫清理（metadata cleanup），來刪除垃圾對象。具體操作如下：

1、開始/運行：cmd ，在命令行下鍵入 ntdsutil 。

說明：

（1）直接，開始/運行：ntdsutil ，也可以。

（2）進行元數(shù)據(jù)庫清理，不要進到目錄恢復模式下。

（3）進行元數(shù)據(jù)庫清理，可以在非DC 的2000/XP/03計算機上進行。但有些操作（如使用ntdsutil 工具進行授權恢復、整理移動AD 庫文件）必須在DC 上進行。

（4）在ntdsutil 的每級菜單下都可以通過鍵入：？或HELP ，查看本級菜單下可用的命令。

2、在 ntdsutil: 提示符下，鍵入 metadata cleanup ，然后按 ENTER 。

說明：ntdsutil 是個分層的多級命令行工具，用戶在鍵入名字時，可簡寫，只要不同于本級命令中的其它命令即可。比如上面的命令metadata cleanup可簡寫為m c。

3、在 metadata cleanup: 提示符下，鍵入 connections ，然后按 ENTER 。

4、在 server connections: 提示符下，鍵入 connect to server servername，然后按 ENTER 。 說明：

（1）其中 servername 是指域控制器的DNS 名稱，用主機名或FQDN 均可。注意：雖然聯(lián)機說明中提到了可以用IP 去連，但實際上發(fā)現(xiàn)用IP 去連接，會出現(xiàn)參數(shù)不正確的出錯提示。

（2）在這里要連接的DC ，應是一個正常工作的、可操作的DC ，而不是你要清理的那個DC 對象。

5、鍵入 quit ，然后按 ENTER 回到 metadata cleanup: 提示符。

6、鍵入 select operation target ，然后按 ENTER 。

7、鍵入 list domains ，然后按 ENTER 。

說明：此操作將列出林中的所有域，每一域附帶與其相關聯(lián)的一個數(shù)字。

8、鍵入 select domain number，然后按 ENTER 。

說明：其中 number 是與故障服務器所在的域相關的數(shù)字。

9、鍵入 list sites ，然后按 ENTER 。

10、鍵入 select site number，然后按 ENTER 。

說明：其中 number 是指域控制器所屬的站點號碼。

11、鍵入 list servers in site ，然后按 ENTER 。

說明：這將列出站點上所有服務器，每一服務器附帶一個相關的數(shù)字。

12、鍵入 select server number，然后按 ENTER 。

說明：其中 number 是指要刪除的域控制器。

13、鍵入 quit ，然后按 ENTER ，退回到Metadata cleanup 菜單。

接下來，根據(jù)需要，刪除相應的垃圾對象：

14、鍵入 remove selected server ，然后按 ENTER 。

此時，Active Directory 確認域控制器已成功刪除。若收到無法找到對象的錯誤報告，Active