天啪天天久久天天综合啪,国产精品午夜久久

活動目錄域故障解決實例(上)

2008.09.11

出處：5DMail.Net收集整理作者：5DMail.Net

Q1、客戶機無法加入到域？

一、權限問題。

要想把一臺計算機加入到域，必須得以這臺計算機上的本地管理員（默認為administrator）身份登錄，保證對這臺計算機有管理控制權限。普通用戶登錄進來，更改按鈕為灰色不可用。并按照提示輸入一個域用戶賬號或域管理員賬號，保證能在域內為這臺計算機創(chuàng)建一個計算機賬號。

二、不是說“在2000/03域中，默認一個普通的域用戶（Authenticated Users）即可加10臺計算機到域?！眴?？這時如何在這臺計算機上登錄到域呀！

顯然這位網(wǎng)管誤解了這名話的意思，此時計算機尚未加入到域，當然無法登錄到域。也有人有辦法，在本地上建了一個與域用戶同名同口令的用戶，結果可想而知。這句話的意思是普通的域用戶就有能力在域中創(chuàng)建10個新的計算機賬號，但你想把一臺計算機加入到域，首先你得對這臺計算機的管理權限才行。再有就是當你加第11臺新計算機賬號時，會有出錯提示，此時可在組策略中，將賬號復位，或干脆刪了再新建一個域用戶賬號，如joindomain。注意：域管理員不受10臺的限制。

三、用同一個普通域帳戶加計算機到域，有時沒問題，有時卻出現(xiàn)“拒絕訪問”提示。

這個問題的產生是由于AD已有同名計算機帳戶，這通常是由于非正常脫離域，計算機帳戶沒有被自動禁用或手動刪除，而普通域帳戶無權覆蓋而產生的。解決辦法：1、手動在AD中刪除該計算機帳戶；2、改用管理員帳戶將計算機加入到域；3、在最初預建帳戶時就指明可加入域的用戶。

四、域xxx不是AD域，或用于域的AD域控制器無法聯(lián)系上。

在2000/03域中，2000及以上客戶機主要靠DNS來查找域控制器，獲得DC的 IP 地址，然后開始進行網(wǎng)絡身份驗證。DNS不可用時，也可以利用瀏覽服務，但會比較慢。2000以前老版本計算機，不能利用DNS來定位DC，只能利用瀏覽服務、WINS、lmhosts文件來定位DC。所以加入域時，為了能找到DC，應首先將客戶機TCP/IP配置中所配的DNS服務器，指向DC所用的 DNS服務器。

加入域時，如果輸入的域名為FQDN格式，形如mcse.com，必須利用DNS中的SRV記錄來找到DC，如果客戶機的DNS指的不對，就無法加入到域，出錯提示為“域xxx不是AD域，或用于域的AD域控制器無法聯(lián)系上。”2000及以上版本的計算機跨子網(wǎng)（路由）加入域時，也就是說，加入域的計算機是2000及以上，且與DC不在同一子網(wǎng)時，應該用此方法。

加入域時，如果輸入的域名為NetBIOS格式，如mcse，也可以利用瀏覽服務（廣播方式）直接找到DC，但瀏覽服務不是一個完善的服務，經常會不好使。而且這樣雖然也可以把計算機加入到域，但在加入域和以后登錄時，需要等待較長的時間，所以不推薦。再者，由于客戶機的DNS指的不對，則它無法利用 2000DNS的動態(tài)更新動能，也就是說無法在DNS區(qū)域中自動生成關于這臺計算機的A記錄和PTR記錄。那么同一域另一子網(wǎng)的2000及以上計算機就無法利用DNS找到它，這本應該是可以的。

若客戶機的DNS配置沒問題，接下來可使用nslookup命令確認一下客戶機能否通過DNS查找到DC（具體見前）。能找到的話，再ping一下DC看是否通。

Q2、用戶無法登錄到域？

一、用戶名、口令、域

確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小寫，口令是區(qū)分大小寫的?？匆幌掠卿浀挠蚴欠襁€存在（比如子域被非正常刪除了，域中唯一的DC未聯(lián)機）。

二、DNS

客戶機所配的DNS是否指向DC所用的DNS服務器，討論同前。

三、計算機賬號

基于安全性的考慮，管理員會將暫時不用的計算機賬號禁用（如財務主管渡假去了），出錯提示為“無法與域連接……，域控制器不可用……，找不到計算機帳戶……”，而不是直接提示“計算機賬號已被禁用”?？傻紸D用戶和計算機中，將計算機賬號啟用即可。

對于 Windows 2000/XP/03，默認計算機帳戶密碼的更換周期為 30 天。如果由于某種原因該計算機帳戶的密碼與 LSA 機密不同步，登錄時就會出現(xiàn)出錯提示：“計算機帳戶丟失……”或“此工作站和主域間的信任關系失敗”。解決辦法：重設計算機帳戶，或將該計算機重新加入到域。

四、默認普通域用戶無權在DC上登錄

見下一小節(jié)的Q1。

五、跨域登錄中的問題

在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據(jù)本機DNS配置去找DNS服務器，DNS根據(jù)SRV記錄告訴它DC是誰，客戶機聯(lián)系DC，驗證后登錄。

如果是在林中跨域登錄，是首先查詢DNS服務器，問林的GC是誰。所以要保證林內有可用的GC。如果是要登錄到其它有信任關系的域（不一定是本林的），要保證DNS能找到對方的域。

Q3、如何解決本地或域管理員密碼丟失？

本地管理員密碼丟失，可通過刪除sam文件（2000SP3以前）或通過NTpassword軟件來解決。但要解決域管理員密碼丟失，它們就無能為力了,這時就需要用到“鳳凰萬能啟動盤”中的ERD Commander 2002了，接下來我們將詳細討論使用此盤解決管理員密碼丟失問題。

1、上網(wǎng)搜索“鳳凰啟動盤”或“鳳凰萬能啟動盤”，大約178M；

2、下載后解壓縮，將其內容刻錄成光盤；

3、用此光盤啟動計算機，顯示XP安裝界面，Start ERD Commander 2002環(huán)境；

4、出現(xiàn)選擇菜單，選擇第一項：ERD Commander 2002；

5、出現(xiàn)類似XP的啟動界面

6、進入選擇系統(tǒng)安裝的路徑，一般會自動測出操作系統(tǒng)、版本及是否域控制器；

7、出現(xiàn)類似的XP桌面：選擇Start/Administrative Tools/Locksmith；

8、進入ERD Commander 2002 locksmith向導界面，下一步；

9、選擇Administrator，重設其密碼；（此時切不可手動重新啟動計算機，否則此修改將無效）

10、選擇Start/Logoff，點OK；

11、稍候片刻，點reboot后重新啟動計算機

鳳凰啟動盤中的ERD Commander 2002功能強大，不僅可破解本地管理員密碼，包括NT/2000/XP/03的各個版本。還可以破解NT/2000/03域管理員密碼，均已實驗證明。

由于可自動識別操作系統(tǒng)和版本，及是否DC，所以用戶在操作時，重設密碼的方法都是一樣的。對于03，重設密碼時要注意符合密碼策略中要求的符合復雜性要求，且密碼最小長度為7，否則重設的密碼會無效。

Q4、無法使用域內的共享打印機？

現(xiàn)象：計算機重啟或注銷，再登錄進來，無法使用以前安裝的域內的共享網(wǎng)絡打印機，

為用戶重新安裝打印機，當時可以打印，但不久問題又會出現(xiàn)。用戶反映說有時能打印，有時就是不能打印。

其原因在于用戶沒有登錄到域（很多用戶即使計算機加入到了域，也經常習慣性地選擇登錄到本地機），沒有域用戶身份，當然無權訪問域內的資源。而且關鍵是 Windows系統(tǒng)在這里有個小毛病，它并不象你訪問共享文件夾那樣，由于沒有身份而提示你輸入用戶名和密碼來進行驗證，而是直接提示你“拒絕訪問，無法連接”、“當前打印機安裝有問題”，“RPC服務不可用”等等（在不同的操作系統(tǒng)或應用程序中提示會所不同）。

解決辦法有3種，最好還是用方法1。：

1、要求用戶將其域用戶賬號加入到本地管理員組，以后每次都以域用戶賬號登錄。

說明：這本身就是微軟推薦的一種辦法。因為如果不這樣，普通用戶以本地管理員身份登錄時，控制本機沒問題，但訪問域資源時需要輸入域用戶名和口令；而用戶若以域用戶身份登錄，又沒有本機管理特權。比如說：無法關機，無法修改網(wǎng)絡等配置，無法安裝軟件、驅動等。這樣做了以后，用戶以域用戶身份登錄，同時他又是本地管理員。

2、在打印服務器上啟用Guest用戶，保證everyone有打印權限。但這樣做不安全，所以不推薦。

3、在客戶機上每次要使用打印機前，在開始—運行：\\PrintServer，這時會提示你輸入用戶名和密碼。通過驗證后，再去使用打印機。很顯然這樣方法比較麻煩。

Q5、無法訪問域內的共享資源？

上例中我們提到過客戶機如果加入到了域，但用戶選擇登錄到本地機。當訪問域內共享資源時，會提示輸入用戶名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒絕訪問。一般是由于目標計算機上啟用了guest，而guest用戶沒有權限造成的。

接下來的討論實質和域的關系不太，但確實是我們訪問網(wǎng)絡共享資源中經常會碰到的問題：基于UNC路徑的IP形式來訪問時的故障，如在開始/運行：\\10.63.243.1。

前提：在網(wǎng)卡、協(xié)議、連接沒問題的情況下。即在可ping通的前提下，若\\10.63.243.1不通，排錯可從下面幾個方面來考慮。

1、目標機的“Microsoft網(wǎng)絡的文件和打印機共享”服務的問題。

提示：“\\10.63.243.1 文件名、目錄名或卷標語法不正確”。

檢查：服務是否安裝、是否選中，或重裝一下。

操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性

2、由于訪問相關的net logon、server、workstation服務務未正常啟動的影響。

提示：

（1）若目標機（為域成員）上的net logon服務停了：“試圖登錄，但網(wǎng)絡登錄服務未啟動”。

（2）若目標機上的server服務停了：“\\10.63.243.1 文件名、目錄名或卷標語法不正確。”

（3）若本機的worstation服務停了：“\\10.63.243.1 網(wǎng)絡未連接或啟動”。連其它計算機，也是一樣的提示。

檢查：相應服務是否已經正常啟動。

操作：我的電腦/右鍵/管理/服務和應用程序/服務下

3、由于本機與其它計算機重名（指NetBIOS名稱）的影響

提示：訪問任何計算機均提示：“找不到網(wǎng)絡路徑”。

檢查：重啟一下，看是否有“網(wǎng)絡中存在重名”的提示。可能上次開機時沒注意給忽略了。

操作：我的電腦/屬性/網(wǎng)絡標識/屬性/計算機名下，修改計算機名。

4、XP/03由于默認安全策略：“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄”的影響

提示：\\10.63.243.1無法訪問。您可能沒有權限使用網(wǎng)絡資源。請與這臺服務器的管理員聯(lián)系以查明您是否有訪問權限。登錄失?。河脩魩粝拗??？赡艿脑虬ú辉试S空密碼，登錄時間限制，或強制的策略限制。

檢查：改用非空密碼的帳戶試試，或查看XP/03目標機上的本地策略。

操作：開始/運行：gpedit.msc。計算機配置/Winodws設置/安全設置/本地策略/安全選項下，由默認值“啟用”改為“禁用”。

注意：域賬號訪問不受此策略限制。

5、網(wǎng)絡共享訪問被篩選器的設置所阻止

提示：找不到網(wǎng)絡路徑

檢查： TCP/IP篩選、IPSEC、RRAS篩選器是否被啟用，且TCP端口139和445被禁用。

操作：

（1）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—TCP/IP篩選

（2）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—IP安全機制

（3）開始/程序/管理/路由和遠程訪問/IP路由選擇/常規(guī)/接口/右鍵屬性/常規(guī)：輸入/輸出篩選器。

說明：

（1）RRAS篩選器只在2000/03 Server版中才有，IPSEC只有在2000的上述位置才有。

（2）若你就想設置篩選器，基于端口控制，不讓別人訪問你的網(wǎng)絡共享資源，需要同時禁止TCP：139和445口。

（3）由于此種原因產生的訪問故障，一般是由于實驗后忘了復原，或別人故意和你開玩笑。

Q6、在AD域中，如何批量添加域用戶賬號？

作為網(wǎng)管，有時我們需要批量地向AD域中添加用戶帳戶，這些用戶帳戶既有一些相同的屬性，又有一些不同屬性。如果逐個添加、設置的話，十分地麻煩。一般來說，如果不超過10個，我們可利用AD用戶帳戶復制來實現(xiàn)。如果再多的話，我們就應該考慮使用csvde.exe或ldifde.exe來減輕我們的工作量了。最后簡單介紹一下利用腳本（可利用循環(huán)功能）批量創(chuàng)建用戶賬號

一、AD用戶帳戶復制

1、在“AD域和計算機”中建一個作為樣板的用戶，如S1。

2、設置相關需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。

3、在S1上/右鍵/復制，輸入名字和口令。

說明：

1、只有AD域用戶帳戶才可以復制，對于本地用戶帳戶無此功能。

2、帳戶復制可將在樣板用戶帳戶設置的大多數(shù)屬性帶過來。具體如下：

二、比較csvde與ldifde

三、以csvde.exe為例說明：域用戶帳戶的導出/導入

操作步驟如下：

1、在“AD域和計算機”中建一個用戶，如S1。

2、設置相關需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。

3、在DC上，開始/運行：cmd

4、鍵入：csvde –f demo.csv

說明：

（1）不要試圖將這個文件導回，來驗證是否好使。因為這個文件中的好多字段在導入時是不允許用的，如：ObjectGUID、 objectSID、pwdLastSet 和 samAccountType 等屬性。我們導出這個文件目的只是為了查看相應的字段名是什么，其值應該怎么寫，出錯信息如下：

（2）可通過-d –r參數(shù)指定導出范圍和對象類型。例如：

-d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”

-r “< Objectclass=user>”

1、以上面的文件為參考基礎，創(chuàng)建自己的my.csv，并利用復制、粘貼、修改得到多條記錄。例如：

dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName

"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com

"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcse.com

………………，其它可用字段，我試了一下，見下表（不全）：

6、導入到AD，鍵入 csvde –i –f my.csv –j c:\

說明：-j用于設置日志文件位置，默認為當前路徑。此選項可幫助用戶在導入不成功時排錯。

有一點大家必須明確的是：我們在這里做AD域用戶帳戶復制、做AD域用戶帳戶的導出/導入，并不能代替“AD備份和恢復”。我們只是在批量創(chuàng)建用戶賬號，賬號的SID都是重新生成的，權利權限都得重新設才行。（當然我們可以把導入的用戶，通過memberof字段設到一些用戶組中去，使它有權利權限。但這與利用“AD備份和恢復”到原狀，完全是兩回事）。

四、利用腳本創(chuàng)建批量用戶帳戶

1、利用腳本創(chuàng)建用戶賬號（用戶可參考下例）。

Set objDomain = GetObject("

Set objOU = objDomain.Create("organizationalUnit", "ou=Management")

objOU.SetInfo

說明：在fabrikam.com域創(chuàng)建一個名叫Management的OU。

Set objOU = GetObject("

Set objUser = objOU.Create("User", "cn= AckermanPila")

objUser.Put "sAMAccountName", "AckermanPila"

objUser.SetInfo

objUser.SetPassword "i5A2sj*!"

objUser.AccountDisabled = FALSE