3.2.3 活动目录（Active Directory）域故障解决实例（一）

作者: 《网管员世界》杂志 出处:电子工业出版社易飞思公司 　2008-07-07 13:52　   砖    好    评论  条 　进入论坛

阅读提示：《网管员必读——故障排除》收集了《网管员世界》自创刊以来“故障诊断”栏目中的经典故障诊断案例。第三章讲的是Windows网络故障诊断，本节说的是活动目录（Active Directory）域故障解决实例。

3.2.3活动目录（Active Directory）域故障解决实例（一）

这部分内容将以实例的形式，介绍活动目录（Active Directory）的域故障排除，基本上遵循由易到难，由简到繁的顺序来讲解讨论。

Q1、客户机无法加入到域？

一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。”吗？这时如何在这台计算机上登录到域呀！

显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的 IP 地址，然后开始进行网络身份验证。DNS不可用时，也可以利用浏览服务，但会比较慢。2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。

加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。再者，由于客户机的DNS指的不对，则它无法利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它，这本应该是可以的。

若客户机的DNS配置没问题，接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC（具体见前）。能找到的话，再ping一下DC看是否通。

Q2、用户无法登录到域？

一、用户名、口令、域

确保输入正确的用户名和口令，注意用户名不区分大小写，口令是区分大小写的。看一下欲登录的域是否还存在（比如子域被非正常删除了，域中唯一的DC未联机）。

二、DNS

客户机所配的DNS是否指向DC所用的DNS服务器，讨论同前。

三、计算机帐号

基于安全性的考虑，管理员会将暂时不用的计算机帐号禁用（如财务主管渡假去了），出错提示为“无法与域连接……，域控制器不可用……，找不到计算机帐户……”，而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中，将计算机帐号启用即可。

对于 Windows 2000/XP/03，默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步，登录时就会出现出错提示：“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法：重设计算机帐户，或将该计算机重新加入到域。

四、默认普通域用户无权在DC上登录

见下一小节的Q1。

五、跨域登录中的问题

在2000及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS配置去找DNS服务器，DNS根据SRV记录告诉它DC是谁，客户机联系DC，验证后登录。

如果是在林中跨域登录，是首先查询DNS服务器，问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域（不一定是本林的），要保证DNS能找到对方的域。

Q3、如何解决本地或域管理员密码丢失？

本地管理员密码丢失，可通过删除sam文件（2000SP3以前）或通过NTpassword软件来解决。但要解决域管理员密码丢失，它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了，接下来我们将详细讨论使用此盘解决管理员密码丢失问题。

1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”，大约178M；

2、下载后解压缩，将其内容刻录成光盘；

3、用此光盘启动计算机，显示XP安装界面，Start ERD Commander 2002环境；

4、出现选择菜单，选择第一项：ERD Commander 2002；

5、出现类似XP的启动界面

6、进入选择系统安装的路径，一般会自动测出操作系统、版本及是否域控制器；

7、出现类似的XP桌面：选择Start/Administrative Tools/Locksmith；

8、进入ERD Commander 2002 locksmith向导界面，下一步；

9、选择Administrator，重设其密码；（此时切不可手动重新启动计算机，否则此修改将无效）

10、选择Start/Logoff，点OK；

11、稍候片刻，点reboot后重新启动计算机

凤凰启动盘中的ERD Commander 2002功能强大，不仅可破解本地管理员密码，包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码，均已实验证明。

由于可自动识别操作系统和版本，及是否DC，所以用户在操作时，重设密码的方法都是一样的。对于03，重设密码时要注意符合密码策略中要求的符合复杂性要求，且密码最小长度为7，否则重设的密码会无效。

Q4、无法使用域内的共享打印机？

现象：计算机重启或注销，再登录进来，无法使用以前安装的域内的共享网络打印机，为用户重新安装打印机，当时可以打印，但不久问题又会出现。用户反映说有时能打印，有时就是不能打印。

其原因在于用户没有登录到域（很多用户即使计算机加入到了域，也经常习惯性地选择登录到本地机），没有域用户身份，当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病，它并不象你访问共享文件夹那样，由于没有身份而提示你输入用户名和密码来进行验证，而是直接提示你“拒绝访问，无法连接”、“当前打印机安装有问题”，“RPC服务不可用”等等（在不同的操作系统或应用程序中提示会所不同）。

解决办法有3种，最好还是用方法1。：

1、要求用户将其域用户帐号加入到本地管理员组，以后每次都以域用户帐号登录。

说明：这本身就是微软推荐的一种办法。因为如果不这样，普通用户以本地管理员身份登录时，控制本机没问题，但访问域资源时需要输入域用户名和口令；而用户若以域用户身份登录，又没有本机管理特权。比如说：无法关机，无法修改网络等配置，无法安装软件、驱动等。这样做了以后，用户以域用户身份登录，同时他又是本地管理员。

2、在打印服务器上启用Guest用户，保证everyone有打印权限。但这样做不安全，所以不推荐。

3、在客户机上每次要使用打印机前，在开始—运行：\\PrintServer，这时会提示你输入用户名和密码。通过验证后，再去使用打印机。很显然这样方法比较麻烦。

Q5、无法访问域内的共享资源？

上例中我们提到过客户机如果加入到了域，但用户选择登录到本地机。当访问域内共享资源时，会提示输入用户名和口令。若不出现提示，直接出现拒绝访问。一般是由于目标计算机上启用了guest，而guest用户没有权限造成的。
接下来的讨论实质和域的关系不太，但确实是我们访问网络共享资源中经常会碰到的问题：基于UNC路径的IP形式来访问时的故障，如在开始/运行：\\10.63.243.1。

前提：在网卡、协议、连接没问题的情况下。即在可ping通的前提下，若\\10.63.243.1不通，排错可从下面几个方面来考虑。

1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。

提示：“\\10.63.243.1 文件名、目录名或卷标语法不正确”。

检查：服务是否安装、是否选中，或重装一下。

操作：网上邻居/右键/属性/本地连接/右键/属性

2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。

提示：

（1）若目标机（为域成员）上的net logon服务停了：“试图登录，但网络登录服务未启动”。

（2）若目标机上的server服务停了：“\\10.63.243.1 文件名、目录名或卷标语法不正确。”

（3）若本机的worstation服务停了：“\\10.63.243.1 网络未连接或启动”。连其它计算机，也是一样的提示。

检查：相应服务是否已经正常启动。

操作：我的电脑/右键/管理/服务和应用程序/服务下

3、由于本机与其它计算机重名（指NetBIOS名称）的影响

提示：访问任何计算机均提示：“找不到网络路径”。

检查：重启一下，看是否有“网络中存在重名”的提示。可能上次开机时没注意给忽略了。

操作：我的电脑/属性/网络标识/属性/计算机名下，修改计算机名。

4、XP/03由于默认安全策略：“帐户：使用空白密码的本地帐户只允许进行控制台登录”的影响

提示：\\10.63.243.1无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败：用户帐户限制。可能的原因包括不允许空密码，登录时间限制，或强制的策略限制。

检查：改用非空密码的帐户试试，或查看XP/03目标机上的本地策略。

操作：开始/运行：gpedit.msc。计算机配置/Winodws设置/安全设置/本地策略/安全选项下，由默认值“启用”改为“禁用”。

注意：域帐号访问不受此策略限制。

5、网络共享访问被筛选器的设置所阻止

提示：找不到网络路径

检查： TCP/IP筛选、IPSEC、RRAS筛选器是否被启用，且TCP端口139和445被禁用。

操作：

（1）网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—TCP/IP筛选

（2）网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—IP安全机制

（3）开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规：输入/输出筛选器。

说明：

（1）RRAS筛选器只在2000/03 Server版中才有，IPSEC只有在2000的上述位置才有。

（2）若你就想设置筛选器，基于端口控制，不让别人访问你的网络共享资源，需要同时禁止TCP：139和445口。

（3）由于此种原因产生的访问故障，一般是由于实验后忘了复原，或别人故意和你开玩笑。

回书目   上一节   下一节