常见活动目录AD故障解决集锦(上)

A1 、客户机无法加入到域?
一、权限问题。
   
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为 administrator )身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

二、不是说 2000/03 域中,默认一个普通的域用户( Authenticated Users )即可加 10 台计算机到域。 吗?这时如何在这台计算机上登录到域呀!
   
显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。 这句话的意思是普通的域用户就有能力在域中创建 10 个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加 11 台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如 joindomain 。注意:域管理员不受 10 台的限制。


三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现 拒绝访问 提示。
   
这个问题的产生是由于 AD 已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或
手动删除,而普通域帐户无权覆盖而产生的。解决办法: 1 、手动在 AD 中删除该计算机帐户; 2 、改用管理员帐户
将计算机加入到域; 3 、在最初预建帐户时就指明可加入域的用户。
四、域 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。
   
2000/03 域中, 2000 及以上客户机主要靠 DNS 来查找域控制器,获得 DC IP 地址 ,然后开始进行网络身份
验证。 DNS 不可用时,也可以利用浏览服务,但会比较慢。 2000 以前老版本计算机,不能利用 DNS 来定位 DC ,只能
利用浏览服务、 WINS lmhosts 文件 来定位 DC 。所以加入域时,为了能找到 DC ,应首先将客户机 TCP/IP 配置中所配
DNS 服务器 ,指向 DC 所用的 DNS 服务器。
   
加入域时,如果输入的域名为 FQDN 格式,形如 mcse.com ,必须利用 DNS 中的 SRV 记录来找到 DC ,如果客户机的
DNS
指的不对,就无法加入到域,出错提示为 xxx 不是 AD 域,或用于域的 AD 域控制器无法联系上。 ”2000 及以
上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是 2000 及以上,且与 DC 不在同一子网时,
应该用此方法。
   
加入域时,如果输入的域名为 NetBIOS 格式,如 mcse ,也可以利用浏览服务(广播方式)直接找到 DC ,但浏览
服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,
需要等待较长的时间,所以不推荐。再者,由于客户机的 DNS 指的不对,则它无法利用 2000DNS 的动态更新动能,
也就是说无法在 DNS 区域中自动生成关于这台计算机的 A 记录和 PTR 记录。那么同一域另一子网的 2000 及以上计算机
就无法利用 DNS 找到它,这本应该是可以的。
   
若客户机的 DNS 配置没问题,接下来可使用 nslookup 命令 确认一下客户机能否通过 DNS 查找到 DC (具体见
前)。能找到的话,再 ping 一下 DC 看是否通。

<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->
 
 
A2 、用户无法登录到域?
一、用户名、口令、域
   
确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的 DC 未联机)。
二、 DNS
   
客户机所配的 DNS 是否指向 DC 所用的 DNS 服务器,讨论同前。
三、计算机帐号
   
基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为 无法与域连接 …… ,域控制器不可用 …… ,找不到计算机帐户 ……” ,而不是直接提示 计算机帐号已被禁用 。可到 AD 用户和计算机中,将计算机帐号启用即可。
   
对于 Windows 2000/XP/03 ,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示: 计算机帐户丢失 ……” 此工作站和主域间的信任关系失败 。解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在 DC 上登录
   
见下一小节的 B1
五、跨域登录中的问题
   
2000 及以上计算机上登录到域的过程是这样的:域成员计算机根据本机 DNS 配置去找 DNS 服务器, DNS 根据 SRV 记录告诉它 DC 是谁,客户机联系 DC ,验证后登录。
  如果是在林中跨域登录,是首先查询 DNS 服务器,问林的 GC 是谁。所以要保证林内有可用的 GC 。如果是要登录到其它有信任关系的域(不一定是本林的),要保证 DNS 能找到对方的域。

如何解决本地或域管理员密码丢失?
  本地管理员密码丢失,可通过删除 sam 文件( 2000SP3 以前)或通过 NTpassword 软件 来解决。但要解决域管理员密码丢失,它们就无能为力了 , 这时就需要用到 凤凰万能启动盘 中的 ERD Commander 2002 了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1
上网搜索 凤凰万能启动盘 深山红叶 老毛桃 WINPE” ,大约 230M
2
下载后解压缩,将其内容刻录成光盘;
3
、用此光盘启动计算机,显示 XP 安装界面, Start ERD Commander 2002 环境;
4
、出现选择菜单,选择第一项: ERD Commander 2002
5
、出现类似 XP 的启动界面
6
、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;
7
、出现类似的 XP 桌面:选择 Start/Administrative Tools/Locksmith
8
、进入 ERD Commander 2002 locksmith 向导界面,下一步;
9
、选择 Administrator ,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)
10
、选择 Start/Logoff ,点 OK
11
、稍候片刻,点 reboot 后重新启动计算机
   
常见 WINPE 启动盘中的 ERD Commander 2002 功能 强大,不仅可破解本地管理员密码,包括 NT/2000/XP/03 的各个版
本。还可以破解 NT/2000/03 域管理员密码,均已实验证明。 由于可自动识别操作系统和版本,及是否 DC ,所以用户在操作时,重设密码的方法都是一样的。对于 03 ,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为 7 ,否则重设的密码会无效。

无法使用域内的共享打印机?
   
现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机, 为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。
   
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),
没有域用户身份,当然无权访问域内的资源。而且关键是 Windows 系统在这里有个小毛病,它并不象你访问共享文
件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你 拒绝访问,无法连接
当前打印机安装有问题 “RPC 服务不可用 等等(在不同的操作系统或应用程序中提示会所不同)。
     
解决办法有 3 种,最好还是用方法 1 。:
1
、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问
题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2
、在打印服务器上启用 Guest 用户,保证 everyone 有打印权限。但这样做不安全,所以不推荐。
3
、在客户机上每次要使用打印机前,在开始 运行: \\PrintServer ,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。

无法访问域内的共享资源?
   
上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了 guest ,而 guest 用户没有权限造成的。
   
接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于 UNC 路径的 I 形式来访问时的故障,如在开始 / 运行: \\10.63.243.1 前提:在网卡、协议、连接没问题的情况下。即在可 ping 通的前提下,若 \\10.63.243.1 不通,排错可从下面几个方面来考虑。
1
、目标机的 “Microsoft 网络的文件和打印机共享 服务的问题。
提示: “\\10.63.243.1 文件名、目录名或卷标语法不正确
检查:服务是否安装、是否选中,或重装一下。
操作:网上邻居 / 右键 / 属性 / 本地连接 / 右键 / 属性
2
、由于访问相关的 net logon server workstation 服务务未正常启动的影响。
提示:
1 )若目标机(为域成员)上的 net logon 服务停了: 试图登录,但网络登录服务未启动
2 )若目标机上的 server 服务停了: “\\10.63.243.1 文件名、目录名或卷标语法不正确。
3 )若本机的 worstation 服务停了: “\\10.63.243.1 网络未连接或启动 。连其它计算机,也是一样的提示。
检查:相应服务是否已经正常启动。
操作:我的电脑 / 右键 / 管理 / 服务和应用程序 / 服务下
3
、由于本机与其它计算机重名(指 NetBIOS 名称)的影响
提示:访问任何计算机均提示: 找不到网络路径
检查:重启一下,看是否有 网络中存在重名 的提示。可能上次开机时没注意给忽略了。
操作:我的电脑 / 属性 / 网络标识 / 属性 / 计算机名下,修改计算机名。
4
XP/03 由于默认安全策略: 帐户:使用空白密码的本地帐户只允许进行控制台登录 的影响 提示: \\10.63.243.1 无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败:用户帐户限制。 可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。
检查:改用非空密码的帐户试试,或查看 XP/03 目标机上的本地策略。
操作:开始 / 运行: gpedit.msc 。计算机配置 /Winodws 设置 / 安全设置 / 本地策略 / 安全选项下,由默认值
启用 改为 禁用
注意:域帐号访问不受此策略限制。
5
、网络共享访问被筛选器的设置所阻止
提示:找不到网络路径
检查: TCP/IP 筛选、 IPSEC RRAS 筛选器是否被启用,且 TCP 端口 139 445 被禁用。
操作:
1 )网上邻居 / 属性 / 本地连接 / 属性: TCP/IP― 高级 选项 ―TCP/IP 筛选
2 )网上邻居 / 属性 / 本地连接 / 属性: TCP/IP― 高级 选项 ―IP 安全机制
3 )开始 / 程序 / 管理 / 路由和远程访问 /IP 路由选择 / 常规 / 接口 / 右键属性 / 常规:输入 / 输出筛选器。
说明:
1 RRAS 筛选器只在 2000/03 Server 版中才有, IPSEC 只有在 2000 的上述位置才有。
2 )若你就想设置筛选器,基于端口控制,不让别人访问你的网络共享资源,需要同时禁止 TCP 139 445 口。
3 )由于此种原因产生的访问故障,一般是由于实验后忘了复原,或别人故意和你开玩笑。

 

你可能感兴趣的:(职场,休闲,活动目录故障)