活动目录(Active Directory)域故障解决实例[转贴2005-10-18
11:17:00| 发表者: yuan615]
这部分内容将以实例的形式,介绍活动目录(Active Directory)的域故障排除,基本上遵循由
易到难,由简到繁的顺序来讲解讨论。
Q1、客户机无法加入到域?
一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为 administrator)身份登
录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输
入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说“在 2000/03 域中,默认一个普通的域用户(Authenticated Users)即可加 10 台计
算机到域。”吗?这时如何在这台计算机上登录到域呀!
显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,
在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能
力在域中创建 10 个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权
限才行。再有就是当你加第 11 台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,
或干脆删了再新建一个域用户帐号,如 joindomain。注意:域管理员不受 10 台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于 AD 已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自
动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在 AD 中删除该计算机帐
户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
四、域 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。
在 2000/03 域中,2000 及以上客户机主要靠 DNS 来查找域控制器,获得 DC 的IP 地址,然
后开始进行网络身份验证。DNS 不可用时,也可以利用浏览服务,但会比较慢。2000 以前老版本计
算机,不能利用 DNS 来定位 DC,只能利用浏览服务、WINS、lmhosts 文件来定位 DC。所以加入
域时,为了能找到 DC,应首先将客户机 TCP/IP 配置中所配的 DNS 服务器,指向 DC 所用的 DNS
服务器。
加入域时,如果输入的域名为 FQDN 格式,形如 mcse.com,必须利用 DNS 中的 SRV 记录来找到
DC,如果客户机的 DNS 指的不对,就无法加入到域,出错提示为“域 xxx 不是 AD 域,或用于域的
AD 域控制器无法联系上。”2000 及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域
的计算机是 2000 及以上,且与 DC 不在同一子网时,应该用此方法。
加入域时,如果输入的域名为 NetBIOS 格式,如 mcse,也可以利用浏览服务(广播方式)直接
找到 DC,但浏览服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,
评论0