常见活动目录AD故障解决集锦(一)
A1
、客户机无法加入到域?
一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为 administrator )身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说 “ 在 2000/03 域中,默认一个普通的域用户( Authenticated Users )即可加 10 台计算机到域。 ” 吗?这时如何在这台计算机上登录到域呀!
显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。 这句话的意思是普通的域用户就有能力在域中创建 10 个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加 第 11 台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如 joindomain 。注意:域管理员不受 10 台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现 “ 拒绝访问 ” 提示。
这个问题的产生是由于 AD 已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或
手动删除,而普通域帐户无权覆盖而产生的。解决办法: 1 、手动在 AD 中删除该计算机帐户; 2 、改用管理员帐户
将计算机加入到域; 3 、在最初预建帐户时就指明可加入域的用户。
四、域 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。
在 2000/03 域中, 2000 及以上客户机主要靠 DNS 来查找域控制器,获得 DC 的 IP 地址 ,然后开始进行网络身份
验证。 DNS 不可用时,也可以利用浏览服务,但会比较慢。 2000 以前老版本计算机,不能利用 DNS 来定位 DC ,只能
利用浏览服务、 WINS 、 lmhosts 文件 来定位 DC 。所以加入域时,为了能找到 DC ,应首先将客户机 TCP/IP 配置中所配
的 DNS 服务器 ,指向 DC 所用的 DNS 服务器。
加入域时,如果输入的域名为 FQDN 格式,形如 mcse.com ,必须利用 DNS 中的 SRV 记录来找到 DC ,如果客户机的
DNS 指的不对,就无法加入到域,出错提示为 “ 域 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。 ”2000 及以
上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是 2000 及以上,且与 DC 不在同一子网时,
应该用此方法。
加入域时,如果输入的域名为 NetBIOS 格式,如 mcse ,也可以利用浏览服务(广播方式)直接找到 DC ,但浏览
服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,
需要等待较长的时间,所以不推荐。再者,由于客户机的 DNS 指的不对,则它无法利用 2000DNS 的动态更新动能,
也就是说无法在 DNS 区域中自动生成关于这台计算机的 A 记录和 PTR 记录。那么同一域另一子网的 2000 及以上计算机
就无法利用 DNS 找到它,这本应该是可以的。
若客户机的 DNS 配置没问题,接下来可使用 nslookup 命令 确认一下客户机能否通过 DNS 查找到 DC (具体见
前)。能找到的话,再 ping 一下 DC 看是否通。
A2、用户无法登录到域?
一、用户名、口令、域
确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。
二、DNS
客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。
三、计算机帐号
基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中,将计算机帐号启用即可。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录
见下一小节的B1。
五、跨域登录中的问题
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。
如何解决本地或域管理员密码丢失?
本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰万能启动盘”或“深山红叶”或“老毛桃WINPE”,大约 230M ;
2、下载后解压缩,将其内容刻录成光盘;
3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;
4、出现选择菜单,选择第一项:ERD Commander 2002;
5、出现类似XP的启动界面
6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;
7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;
8、进入ERD Commander 2002 locksmith向导界面,下一步;
9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
10、选择Start/Logoff,点OK;
11、稍候片刻,点reboot后重新启动计算机
常见WINPE启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版
本。还可以破解NT/2000/03域管理员密码,均已实验证明。 由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。
无法使用域内的共享打印机?
现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),
没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文
件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、
“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。
解决办法有3种,最好还是用方法1。:
1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问
题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。
3、在客户机上每次要使用打印机前,在开始―运行:\\PrintServer,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。
无法访问域内的共享资源?
上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。
一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为 administrator )身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说 “ 在 2000/03 域中,默认一个普通的域用户( Authenticated Users )即可加 10 台计算机到域。 ” 吗?这时如何在这台计算机上登录到域呀!
显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。 这句话的意思是普通的域用户就有能力在域中创建 10 个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加 第 11 台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如 joindomain 。注意:域管理员不受 10 台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现 “ 拒绝访问 ” 提示。
这个问题的产生是由于 AD 已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或
手动删除,而普通域帐户无权覆盖而产生的。解决办法: 1 、手动在 AD 中删除该计算机帐户; 2 、改用管理员帐户
将计算机加入到域; 3 、在最初预建帐户时就指明可加入域的用户。
四、域 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。
在 2000/03 域中, 2000 及以上客户机主要靠 DNS 来查找域控制器,获得 DC 的 IP 地址 ,然后开始进行网络身份
验证。 DNS 不可用时,也可以利用浏览服务,但会比较慢。 2000 以前老版本计算机,不能利用 DNS 来定位 DC ,只能
利用浏览服务、 WINS 、 lmhosts 文件 来定位 DC 。所以加入域时,为了能找到 DC ,应首先将客户机 TCP/IP 配置中所配
的 DNS 服务器 ,指向 DC 所用的 DNS 服务器。
加入域时,如果输入的域名为 FQDN 格式,形如 mcse.com ,必须利用 DNS 中的 SRV 记录来找到 DC ,如果客户机的
DNS 指的不对,就无法加入到域,出错提示为 “ 域 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。 ”2000 及以
上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是 2000 及以上,且与 DC 不在同一子网时,
应该用此方法。
加入域时,如果输入的域名为 NetBIOS 格式,如 mcse ,也可以利用浏览服务(广播方式)直接找到 DC ,但浏览
服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,
需要等待较长的时间,所以不推荐。再者,由于客户机的 DNS 指的不对,则它无法利用 2000DNS 的动态更新动能,
也就是说无法在 DNS 区域中自动生成关于这台计算机的 A 记录和 PTR 记录。那么同一域另一子网的 2000 及以上计算机
就无法利用 DNS 找到它,这本应该是可以的。
若客户机的 DNS 配置没问题,接下来可使用 nslookup 命令 确认一下客户机能否通过 DNS 查找到 DC (具体见
前)。能找到的话,再 ping 一下 DC 看是否通。
A2、用户无法登录到域?
一、用户名、口令、域
确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。
二、DNS
客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。
三、计算机帐号
基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中,将计算机帐号启用即可。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录
见下一小节的B1。
五、跨域登录中的问题
在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。
如何解决本地或域管理员密码丢失?
本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰万能启动盘”或“深山红叶”或“老毛桃WINPE”,大约 230M ;
2、下载后解压缩,将其内容刻录成光盘;
3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;
4、出现选择菜单,选择第一项:ERD Commander 2002;
5、出现类似XP的启动界面
6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;
7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;
8、进入ERD Commander 2002 locksmith向导界面,下一步;
9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
10、选择Start/Logoff,点OK;
11、稍候片刻,点reboot后重新启动计算机
常见WINPE启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版
本。还可以破解NT/2000/03域管理员密码,均已实验证明。 由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。
无法使用域内的共享打印机?
现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),
没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文
件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、
“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。
解决办法有3种,最好还是用方法1。:
1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问
题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。
3、在客户机上每次要使用打印机前,在开始―运行:\\PrintServer,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。
无法访问域内的共享资源?
上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。