活动目录（Directory）域故障解决实例(活动目录（ActiveDirectory）域故障解决实例(上)Q1、客户机无法加入到域Q1、客户机无法加入到域一、权限问题。权限问题。要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。administrator）身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐保证能在域内为这台计算机创建一个计算机帐号。号，保证能在域内为这台计算机创建一个计算机帐号。域中，默认一个普通的域用户（Users）二、不是说“在2000/03域中，默认一个普通的域用户（AuthenticatedUsers）不是说“台计算机到域这时如何在这台计算机上登录到域呀！即可加10台计算机到域。”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。也有人有办法，在本地上建了一个与域用户同名同口令的用户，到域。也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。台新计算机帐号时，会有出错提示，此时可在组策略中，再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，joindomain。注意：将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。注意：域管台的限制。理员不受10台的限制。三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”域帐户加计算机到域提示。提示。这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。解决办法：中删除该计算机帐户；决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；在最初预建帐户时就指明可加入域的用户。到域；3、在最初预建帐户时就指明可加入域的用户。域控制器无法联系上。四、域xxx不是AD域，或用于域的AD域控制器无法联系上。域中，来查找域控制器，在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得地址，然后开始进行网络身份验证身份验证。不可用时，DC的IP地址，然后开始进行网络身份验证。DNS不可用时，也可以利用浏览服务，但会比较慢。以前老版本计算机，DC，服务，但会比较慢。2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、DC。所以加入域时，DC，用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时，为了能找到DC，服务器，服务器。应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。加入域时，格式，mcse.com，加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的DC，指的不对，就无法加入到域，SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示域控制器无法联系上。为“域xxx不是AD域，或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。不在同一子网时，应该用此方法。加入域时，格式，mcse，加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）DC，但浏览服务不是一个完善的服务，服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，使。而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。再者，指的不对，等待较长的时间，所以不推荐。再者，由于客户机的DNS指的不对，则它无法的动态更新动能，利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR