域控制器的问题,大家看看......

域名为https://www.360docs.net/doc/0214680061.html,,以前没有问题.

现在服务器上打开"Active Directory 用户和计算机"时出现以下对话框.怎么回事啊,怎样解决?

是不是你的域控制器在安装的时候出什么错了，或者是指定的不正确呢？

在微软的网站上终于找到了解决方法.就在下面其中某个地方,:),因为我觉得这章太好了,所以就全copy过来了.呵呵!

__________________________________________________________

第11章分支机构环境的疑难解答指南

部署与操作指南

摘要

本章概述了诊断、了解和解决大型Active Directory™ 目录服务分支机构部署中可能出现的问题所要执行的步骤。

简介

TCP/IP 和DNS 配置

active directory 复制疑难解答

“没有入站邻居”的疑难解答

复制错误的疑难解答

后援规划

FRS 疑难解答

非权威性FRS 恢复

总结

简介

本章提供的信息可帮助您解决在Active Directory™ 目录服务环境下可能产生的任何问题。本章所含的信息并非特定于分支机构环境，而是可以用来排除任何类型Active Directory 部署中的Active Directory 故障。

资源需求

需要下列小组中的成员来执行本章中的疑难解答任务：

Microsoft® Windows® 2000 Active Directory 管理

基础结构管理

网络管理

准备事项

除了贵单位的规划和最终部署的配置之外，还需要参考完整的《分支机构部署规划指南》以及《分支机构部署和操作指南》的前几章。此外，建议准备一份Microsoft Windows 2000 Resource Kit，特别是其中的“TCP/IP Core Networking Guide”。

注意事项

必须了解网络疑难解答的基本知识，包括ipconfig、ping、arp 和nslookup 等工具以及“事件查看器”的用法。

排除任何网络故障的首要任务是正确地识别问题。在Active Directory 的大型分支机构部署中，技术上的分布式和分层性质可能使问题诊断更具挑战性。为了有助于进行疑难解答，必须了解各种技术存在于分层结构中的什么地方，如下图所示：

不稳定或不正确的配置会给上图所示的某些分层带来问题。要成功排除这些故障，必须从最底层开始分析，逐层向上，直到所有问题解决为止。

TCP/IP 和DNS 配置

Active Directory 要求传输控制协议/Internet 协议(TCP/IP) 及关联服务（如“域名系统”）必须正确运行。其前提是必须正确配置Internet 协议(IP) 和DNS，让Active Directory 得以正确运行，特别是必须正确配置下列参数：

IP 地址和子网掩码

默认网关

首选和备用DNS 服务器的IP 地址

DNS 转发器

DNS 的可用性直接影响Active Directory 的可用性。DNS 提供Active Directory 所用的名称空间和名称解析机制，因此，每一台计算机都必须有适当DNS 服务器的正确IP 地址。

本地DNS 服务器也必须正确配置。它应当具有其客户端所在的DNS 名称空间的授权，而且DNS 服务器服务本身也应正确配置并正常运行。

TCP/IP 和DNS 疑难解答所需的工具如下：

ipconfig

ping

arp

nslookup

本文假定您熟悉这些工具。有关使用这些工具的详细信息，请参阅Microsoft Windows 2000 Resource Kit 随附的“TCP/IP Core Networking Guide”第3 章“疑难解答”。

active directory 复制疑难解答

在TCP/IP 和DNS 配置成功经过检查之后，还要检查Active Directory 是否正常运行。只有确定Active Directory 可正常运行后，才能开始进行文件复制服务(FRS) 和组策略的疑难解答。检查两个复制伙伴之间Active Directory 复制状态所用的主要工具是“副本管理”工具，或叫Repadmin。

Repadmin 包括在Windows 2000 随附的“支持工具”中，它有许多开关参数，可以让管理员检查域控制器所用的复制伙伴，并显示和修正复制配置。其中有很多开关参数将在复制作业的疑难解答中使用。这里我们将列出常见的复制错误事件，并介绍如何使用Repadmin 来分析和更正这些错误。

检查复制伙伴

在进行复制错误疑难解答时，最好能了解某个特定域控制器的复制伙伴是谁以及每一个复制伙伴的复制状态，这可以通过使用repadmin /showreps 命令来实现。其输出会显示“入站邻居”部分中的复制伙伴，以及三个命名上下文（域、架构和配置）中每一个的复制状态。

案例信息

在本文档的示例中，分支机构域名是https://www.360docs.net/doc/0214680061.html,，根域名是https://www.360docs.net/doc/0214680061.html,，而分支机构域控制器是https://www.360docs.net/doc/0214680061.html,，位于BOSite1 站点。其复制伙伴是https://www.360docs.net/doc/0214680061.html,，位于HubSite 站点。https://www.360docs.net/doc/0214680061.html, 的PDC 模拟器是https://www.360docs.net/doc/0214680061.html,。

Repadmin 工具

如果复制正确运行，可在下面的示例中看到repadmin /showreps 命令的输出。（请注意，加在右边的注解会告诉您命令运行到此处时所提供的信息，这些文本有时候会折到下一行首）。

repadmin /showreps

BOSite1\BODC1 <-- 站点名称和计算机

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2 <-- Globally unique 本地计算机NTDS 设置对象的全局唯一标识符(GUID)

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ======================================

DC=branches,DC=corp,DC=hay-buv,DC=com <-- 域命名上下文的复制链接

HubSite\BH1 via RPC <-- 与复制伙伴进行复制的复制状态

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 复制伙伴的NTDS 设置对象的GUID

复制伙伴的NTDS 设置对象的GUID

Last attempt @ 2000-10-15 20:09.57 was successful. <-- 上次复制的状态

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 架构命名上下文的复制链接

HubSite\BH1 via RPC <-- 与复制伙伴进行复制的复制状态

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 复制伙伴的NTDS 设置对象的GUID

与复制伙伴进行复制的复制状态

Last attempt @ 2000-10-15 19:54.18 was successful. <-- 上次复制的状态

CN=Configuration,DC=corp,DC=hay-buv,DC=com <-- 配置命名上下文的复制链接

HubSite\BH1 via RPC <-- 与复制伙伴进行复制的复制状态

partner

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51 <-- 复制伙伴的NTDS 设置对象的

GUID

与复制伙伴进行复制的复制状态

Last attempt @ 2000-10-15 19:54.10 was successful . <-- 上次复制的状态

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

DC=branches,DC=corp,DC=hay-buv,DC=com

HubSite\BH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSite\BH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

CN=Configuration,DC=corp,DC=hay-buv,DC=com

HubSite\BH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

检查复制失败

通过使用Repadmin 工具，当repadmin /showreps 显示下面的输出时，表示检测到了复制失败：

No inbound neighbors（没有入站邻居）

Replication status error（复制状态错误）

下面我们将分别讨论这两种错误及其代表意义：

没有入站邻居

发生此错误时，Repadmin 工具会显示下面的输出：

BOSite1\BODC1

DSA Options : (none)

objectGuid : c8ffb9f6-94b4-428f-bbf2-749f583737c2

invocationID: 9578742f-ac12-4802-b8fb-ef073d41f370

==== INBOUND NEIGHBORS ======================================

==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============

此错误表明出现了下列情况之一：

没有连接对象可以指出这个域控制器应该从哪一个域控制器复制。

虽有一个或多个连接对象，但是域控制器无法联系源域控制器，因此也无法创建复制链接。

复制状态错误

此错误消息告诉您，在所示的特定命名上下文中与复制伙伴的复制失败：例如：

DC=branches,DC=corp,DC=hay-buv,DC=com

HubSite\BH1 via RPC

objectGuid: 62d85225-76bf-4b46-b929-25a1bb295f51

Last attempt @ 2000-10-16 14:50.05 failed, result 8442:

复制系统遇到一个内部错误。

Last success @ (never).

“没有入站邻居”的疑难解答

当看到“没有入站邻居”的输出时，首先必须启动“Active Directory 站点和服务”，看看在域控制器及其复制伙伴之间是否创建了连接对象。您可以用鼠标右键单击“Active Directory 站点和服务”，选择“连接到域控制器”，然后选择“站点”（“站点”是站点的名称）、“服务器”（“服务器”是服务器的名称）和“NTDS设置”，以连接到目标域控制器。为了有效地进行疑难解答，请按下述过程操作。

如果没有连接对象存在，则必须创建一个。创建的方式如下：

使用“Active Directory 站点和服务”，以手动方式创建连接对象。

如果启用了“知识一致性检查器”(KCC) 的“站点间拓朴生成器”(ISTG) 功能，就会自动创建连接对象。

使用Mkdsx 脚本。这是在分支机构环境不同站点的域控制器之间创建连接对象的最佳方法。有关Mkdsx 的详细信息，请参阅《Active Directory 分支机构规划指南》第 3 章“规划分支机构环境的复制作业”、《Active Directory 分支机构部署和操作指南》第4 章“集线站点的预接移配置”以及《Active Directory 分支机构部署和操作指南》第7 章“分支机构域控制器的预交付配置”。

在连接对象创建之后（或者如果原本就存在），请运行repadmin /kcc。然后域控制器将联系其复制伙伴，并与它们验证自己的身份。这是创建复制链接的必要步骤。

复制过程执行之后，请在“事件查看器”的目录服务事件日志中查找下列事件：事件ID 1264: 已添加了来自服务器CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分区CN=NTDS Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv ,DC=com 的复制链接。

这个事件是KCC 在正确创建复制链接之后记录的。该事件记录之后，到了下一个计划好的时间，就会自动进行复制。您可以利用下列命令，对本地域控制器的每一个命名上下文，分别用手动方式启动此过程：repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴

GUID> repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

如果事件标识符(ID) 1264 没有记录在“事件查看器”中，则表明复制链接未能建立。然后目录服务事件日志将记录事件ID 1265，说明失败的原因。在这种情况下，请使用与处理运行repadmin /showreps 命令时产生的错误所用的相同过程来解决。

在运行repadmin /showreps 时，可能会显示多种错误。这些错误及其对应的解决机制将在本章下面部分讨论。

复制错误的疑难解答

复制错误由repadmin /showreps 的输出来显示。此命令的输出所显示的是，各命名上下文中通过一个现有复制链接所进行的上一个复制的状态。这些复制失败通常不会记录在“目录服务”事件日志中。

如前一节所述，复制错误是在KCC 无法建立一个与给定复制伙伴的复制链接时发生的。这时候，repadmin /showreps 不显示任何信息。您必须在“事件查看器”的“目录服务”事件日志中，查看事件ID 1265 中对错误的解释。

下面我们将讨论由事件ID 1265 所产生的错误列表以及对应的解决方法列表。

禁止访问

如果本地域控制器在创建复制链接或尝试通过现有链接进行复制时，无法与复制伙伴进行身份验证，就会发生此错误。这种情况通常是在域控制器与网络其余部分断开连接较长一段时间时发生。在这种情形下，计算机帐户密码可能与存储在其复制伙伴的Active Directory 中的对应值不同。下面我们将讨论每一种情况及其对应的输出。

无法建立复制链接

在这种情况下，repadmin /showreps 不显示任何入站邻居。当然，也就不会显示任何错误。请查看“事件查看器”中的“目录服务”事件日志，您会看到下面的事件：dir>事件ID 1265 尝试建立一个用参数分区:DC=branches,DC=corp,DC=hay-buv,DC=com 源DSA DN: CN=NTDS

Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configu

ration,DC=corp,DC=hay-buv,DC=com 源DSA 地址: 62d85225-76bf-4b46-b929-

25a1bb295f51._https://www.360docs.net/doc/0214680061.html, 站点间传输(如果有的话): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 的复制链路失败，状态如下:: 禁止访问。. 记录数据为状态编码。将重试此操作

复制失败并显示错误

当两个域控制器之间有复制链接存在，但复制却无法正确执行时，repadmin /showreps 将显

示所列的一个或多个命名上下文的前一个复制的失败状态。这些信息的格式如下：“上一次尝试<日期- 时间> 失败”，后面跟着“禁止访问”这一错误消息。与建立复制链接失败不同的是，建立复制链接失败的原因在“事件查看器”错误日志中的错误消息中表明，不会在事件日志中记录任何事件。

复制失败的解决方法

解决的方法有许多种，具体取决于给定问题的性质。下面我们将讨论每一种方法。

第一种复制失败解决方法

应先尝试下面这一组步骤。您需要停止密钥发行中心(KDC) 服务，删除Kerberos 票证，然后重设计算机密码。接着需要同步域命名上下文，并确定复制是否正常进行。最后，需要同步每一个命名上下文。

在本地域控制器上的命令提示符下键入“net stop KDC”，以停止KDC 服务。如果KDC 服务没有停止，则将其启动状态设置为“停用”，然后重新启动。

打开命令提示符，并键入下列命令，在域PDC 模拟器上重设计算机帐户的密码：netdom resetpwd /server: /userd:<域>\administrator /passwordd:*

这时会出现下列输出：本地计算机的帐户密码已成功重设。命令成功完成。

如果命令失败，出现“登录失败，目标帐户名称不正确”的错误，表示该域控制器可能不在“域控制器”组织单位中。

同步和检查复制

您可以在命令提示符下键入下列命令，以将复制伙伴的域命名上下文与HUBDC1 PDC 模拟器进行同步：repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com <集线服务器>

这将强制进行计算机帐户的复制。

通过使用下列命令，输出中会显示HUBDC1 PDC 模拟器NTDS 设置对象的GUID（显示为ObjectGUID）：repadmin /showreps < Hubdc1 PDC 模拟器的名称>

如果本地域控制器的复制伙伴本身不是HUBDC1 PDC 模拟器的复制伙伴，则此命令将会失败。在这种情况下，您可以在命令提示符下使用下列命令，以在复制伙伴和HUBDC1 PDC 模拟器之间以手动方式创建一个复制链接。repadmin /add <域NC> <复制伙伴FQDN> /u:<域>\administrator /pw:*

此复制链接的创建将在HUBDC1 PDC 模拟器和复制伙伴之间，自动触发域命名上下文的复制。上述过程执行之后，本地域控制器的计算机帐户就应当与其复制伙伴同步了。现在这两个域控制器之间的复制可以正常运行了。

如果要检查复制是否正常运行，请在命令提示符下键入下列命令：Repadmin /showreps

如果输出结果中出现复制伙伴连接，就表示一切运行正常。如果命令输出空白，请在命令提示符下键入repadmin /kcc。域控制器将联系其对应的复制伙伴，验证自己的身份，以创建复制链接。然后在“目录服务”事件日志中查找下列事件：事件ID 1264 : 已添加了来自服务器CN=Configuration,DC=corp,DC=hay-buv,DC=com的分区

Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configurati

on,DC=corp,DC=hay-buv,DC=com的复制链接。

这个事件是KCC 在正确创建复制链接之后记录的。此事件记录之后，只要到了下一个计划好的时间，就会自动进行复制。如果未记录此事件，请检查错误消息，并参阅本章中相关章节。

同步每一个命名上下文

在复制链接成功创建之后，请使用下列相关命令来同步每一个命名上下文。

“架构”命名上下文最小，因此最先使用。这样才能在最快的时间内确认操作是否成功。请在命令提示符下键入下列命令，以同步本地域控制器上的架构命名上下文：repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

在命令提示符下键入下列命令，也可以触发配置和域命名上下文的复制：repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

如果repadmin /sync 命令因发生新的错误而失败，请参阅本章中的相关章节，以解决新识别的问题。

如果repadmin /sync 命令成功，repadmin /showreps 应不显示任何错误。请在本地域控制器重新启动KDC 服务，方法是在命令提示符下键入下列命令：net start kdc

第二种复制失败解决方法

此方法是在本地域控制器及其命名上下文的复制伙伴之间创建一个临时链接。如果在运行repadmin /kcc 时出现新的禁止访问情况并记录了新的事件ID 1265，或者如果repadmin /sync 失败并显示另一个“禁止访问”消息时，就可以采用这个方法。要创建此链接，请执行下列步骤：

如果是配置命名上下文，请在命令提示符下键入下列命令：repadmin /add <配置NC> <本地DC FQDN> <复制伙伴FQDN> /u:\administrator /pw:*

如，您可以在BODC1 上输入：repadmin /add CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername%.branches.corp.hay-buv.co m https://www.360docs.net/doc/0214680061.html, /u:branches\administrator /pw:*

如果是架构命名上下文，请在命令提示符下键入下列命令：repadmin /add <架构NC> <本地DC FQDN> <复制伙伴FQDN> /u:<域>\administrator /pw:*

例如，您可以在BODC1 上输入：repadmin /add CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername%.branches.cor https://www.360docs.net/doc/0214680061.html, https://www.360docs.net/doc/0214680061.html, /u:branches\administrator /pw:*

如果是域命名上下文，请在命令提示符下键入下列命令：repadmin /add <域NC> <本地DC FQDN> <复制伙伴FQDN> /u:<域>\administrator /pw:*

例如，您可以在BODC1 上输入：repadmin /add DC=branches,DC=corp,DC=hay-buv,DC=com %computername%https://www.360docs.net/doc/0214680061.html, https://www.360docs.net/doc/0214680061.html, /u:branches\administrator /pw:*

如果成功，所有这些命令均应返回下列结果：One-way replication from source:https://www.360docs.net/doc/0214680061.html, to dest:https://www.360docs.net/doc/0214680061.html, established.

注意：如果KCC 在进行此过程期间启动，而且没有对应的连接对象存在，此命令将会失败。如果发生这种情形，KCC 将删除没有对应连接对象存在的任何复制链接。因此您应首先确定是否有连接对象存在。

注意：这些命令因为要触发对应的命名上下文的复制，因此可能需要很长时间来完成。所有命名上下文都必须正确复制。如果一个复制被抢先，请重新运行命令，直到成功完成为止，否则可能再此出现“禁止访问”的错误。

验证是否成功

可以使用前面所用的方法，来检查操作是否成功。请在命令提示符下运行repadmin /showreps。如果此命令的输出没有显示任何对应的复制伙伴，请在命令提示符下运行repadmin /kcc，然后在“事件查看器”的“目录服务”事件日志中查找事件ID 1264。

接着用repadmin /showreps 触发架构命名上下文的复制。请在命令提示符下键入下列命令，在本地DC 上重新启动KDC：net start kdc

如果上述方法成功，到了下一个计划好的时段，这三个命名上下文的复制就会正确进行。在每一个命名上下文复制之后，本地域控制器上的repadmin /showreps 将显示一个成功状态。

验证服务未知

当两个域控制器之间有复制链接存在，但复制无法正确运行时，就会发生验证服务未知的错误。如第一节所述，在这种情形中，虽然repadmin /showreps 显示了入站邻居，但却有一个或多个命名上下文的上一次复制状态返回“上一次尝试<日期- 时间> 失败”及“验证服务未知”的错误。这样，没有任何事件记录在事件日志中。

此错误可能会发生在下列一种情况中：

本地域控制器尝试与其复制伙伴建立复制链接，但却失败。在此情形中，repadmin /showreps 没有显示任何入站邻居，因此也无错误描述。如果要查看此错误，请查看记录了下列事件的“目录服务”事件日志：事件ID 1265

分区: DC=branches,DC=corp,DC=hay-buv,DC=com 源DSA DN: CN=NTDS

Settings,CN=BH1,CN=Servers,CN=HubSite,CN=Sites,CN=Configurati

on,DC=corp,DC=hay-buv,DC=com 源DSA 地址: 62d85225-76bf-4b46-b929

-25a1bb295f51._https://www.360docs.net/doc/0214680061.html, 站点间传输(如果有的话): CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 失败，状态如下: 验证服务未知。记录数据为状态码。将重试此操作。

这两种类型的错误通常与本地KDC 服务有关。发生的原因是下列各项中的一种：

域控制器无法建立复制链接。

两个域控制器之间已有复制链接。

请按下面的适当步骤进行更正。

域控制器无法建立复制链接

在此情形中，您需要停止KDC 服务，清除票证缓存，然后创建复制链接。

要更正域控制器无法创建复制链接的问题，请：

在命令提示符下键入下列命令，停止KDC 服务：net stop KDC

要停止服务可能很难。在此情形中，您可以将KDC 服务启动状态设置为“停用”，然后重新启动。

用“Computer Management Microsoft Management Console (MMC)”工具，将KDC 服务启动状态设置为“停用”，然后重新启动域控制器。

在域控制器的命令提示符下，运行repadmin /kcc。域控制器将联系其复制伙伴，与它们验证自己的身份，以创建复制链接。

在“事件查看器”的“目录服务”事件日志中，查找下列事件：事件ID 1264 :

已添加了来自服务器CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites, CN=Configuration,DC=corp,DC=hay-buv,DC=com 的分区CN=Configuration,DC=corp,DC=hay-buv,DC=com 复制链接。

此事件是KCC 在正确创建复制链接之后记录的。此事件记录之后，只要到了下一个计划好的时间，就会自动进行复制。为了确保它能够正确运行，您可以用下列命令以手动方式对三个命名上下文触发此操作：

repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

如果没有记录任何事件ID 1264，则表明未能建立复制链接。“事件查看器”的“目录服务”事件日志将记录下事件ID 1265，说明失败原因。请找出此事件，并执行本章中介绍的有关疑难解答步骤。

如果此过程没有问题，那么到了下一个计划好的时间，这三个命名上下文就会正确进行复制。请在命令提示符下键入下列命令，重新启动本地域控制器的KDC 服务：net start kdc

复制链接已经存在

在这种情形中，请运行下列过程。

要更正复制链接已经存在的问题，请：

在命令提示符下键入下列命令，停止KDC 服务：net stop kdc

要停止服务可能很难。在此事件中，可以用“Computer Management MMC”工具，将服务的启动状态设置为“停用”，然后重新启动。

用“Computer Management MMC”工具，将KDC 服务启动状态设置为“停用”，

重新启动域控制器。

请在命令提示符下键入下列命令，以同步本地域控制器上的架构命名上下文：repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

架构命名上下文最小，因此最先使用，这样才能在最快的时间内确认操作是否成功。

如果repadmin /sync 命令因发生新的错误而失败，请参阅本文档的相应章节。如果repadmin /sync 命令成功，repadmin /showreps 应不显示任何错误。请在本地域控制器重新启动KDC。方法是在命令提示符下键入下列命令：net start kdc

目标帐户名不正确

发生此错误可能是因为无法创建复制链接，或者因为虽有链接，但目标帐户名不正确。

无法创建复制链接

本地域控制器尝试与其复制伙伴建立复制链接，但却失败。在此事件中，repadmin /showreps 没有显示任何入站邻居，因此也就不会显示错误的原因。要想知道原因，请查看“事件查看器”中的“目录服务”事件日志，检查记录的事件。

事件ID 1645

目录服务在执行到另一个域控制器的已身份验证的RPC 调用时收到一个失败。此失败是因为要求的服务主要名称(SPN) 没有在目标服务器上注册。联系的服务器是62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html,。使用的SPN 是E3514235-4B06-11D1-AB04-00C04FC2DCD2/62d85225

-76bf-4b46-b929-25a1bb295f51/https://www.360docs.net/doc/0214680061.html,@https://www.360docs.net/doc/0214680061.html,。

请确认目标服务器和域的名称正确。同时确认SPN 已经在计算机帐户对象上为目标服务器在KDC 服务请求注册。如果目标服务器最近被提升，在此计算机被身份验证之前，此计算机的身份知识需要被复制到KDC。

虽有复制链接，但目标名称不正确

当两个域控制器之间虽有复制链接，但复制没有正常运行时,就会发生这种情况。如第一节所述，在此事件中，repadmin /showreps 虽显示有入站邻居，但却有一个或多个命名上下文的上一次复制状态返回“上一次尝试<日期- 时间> 失败”及“目标帐户名不正确”的错误。在这种情况下，不会有任何事件记录到事件日志中。此错误是在交换Kerberos 票证时，由于在本地和目标服务器上找不到所需的那一组服务主要名称(SPN) 所造成的。

要更正此错误，请：

ping“事件查看器”中的事件所示的名称，以确定目标域控制器的IP 地址：ping 62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html,

Pinging https://www.360docs.net/doc/0214680061.html, [10.10.20.99] with 32 bytes of data:

Reply from 10.10.20.99:bytes=32 time=94ms TTL=124

...

在远程或通过“终端服务”（如果已安装的话），直接针对两个复制伙伴的域命名上下文启动Adsiedit.msc。

在这两个域控制器上，找到本地域控制器计算机帐户，并获得其属性。

在属性列表中，找出“servicePrincipalName”。您会看到一个由多值项构成的列表。其中一个项具有两个GUID，例如，“E3514235-4B06-11D1-AB04-00C04FC2DCD2/62d85225-76bf-4b46-b929-25a1bb295f51/dom1 https://www.360docs.net/doc/0214680061.html,”

选择此项，然后按“删除”按钮。

在“编辑”控件中，选择所有文本，将它们复制到“剪贴板”，然后按“添加”按钮。

“编辑”控件现在应当是空的。粘贴剪贴板的内容，找到并附加“@https://www.360docs.net/doc/0214680061.html,”，让它匹配下面的字符串：“E3514235-4B06-11D1-AB04-00C04FC2DCD2/62d85225-76bf-4b46-b929-25a1bb295f51/dom1 https://www.360docs.net/doc/0214680061.html,@https://www.360docs.net/doc/0214680061.html,”

将整个字符串复制到剪贴板，然后按“添加”按钮，再单击“确定”。

在另一个域控制器上，将该字符串粘贴到“编辑”控件，然后按“添加”按钮，再单击“确定”。

然后重试复制操作。

有时候您会遇到下列问题：

复制伙伴有一对不同的GUID （第二个不同）。当域控制器已被取消提升，然后又重新提升时，就会发生这个错误。解决办法是在两个域控制器上添加这两个SPN。

其中一个列表实际上是空的。当两个不同的域控制器在同一个复制周期中更新SPN 值时，就会发生这种情况。进行复制时，其中一组SPN 值将会丢失，从而导致复制错误。在此情形中，解决办法是将所有丢失的项，从有这些项的一个域控制器中复制到另一个域控制器（如上所述），但不修改任何项。

RPC 服务器不可用

此错误可能是因为创建复制链接失败，或者因为连接问题所导致。

无法创建复制链接

在此情形中，repadmin /showreps 没有显示任何入站邻居，因此repadmin 输出也没有指出错误类型。要找出失败的原因，请查看“事件查看器”中的“目录服务”事件日志。您会看到下面的事件：事件ID 1265

尝试建立一个用参数

分区:DC=branches,DC=corp,DC=hay-buv,DC=com

源DSA DN:CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=DMZ- Administration,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com

源DSA 地址:62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html,

站点间传输(如果有的话):CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com

的复制链路失败，状态如下:

RPC 服务器不可用。

记录数据为状态编码。将重试此操作。

复制链接存在- 连接问题

当两个域控制器之间存在复制链接，但却没有进行复制作业（如第一节所述）时，可能是有连接问题。repadmin /showreps 的输出虽显示有入站邻居，但有一个或多个命名上下文的上一次复制状态返回“上一次尝试<日期- 时间> 失败”及“目标帐户名不正确”的错误。当输出中显示这些详细信息时，没有任何事件记录到事件日志中。

如果要测试连接问题，请ping 消息内容中显示的基于GUID 的DNS 名称。此名称是由复制伙伴的“NTDS 设置”对象的GUID 后接_https://www.360docs.net/doc/0214680061.html, 所组成。它在目录林根的DNS 服务器上显示为指向域控制器名称的别名。例如，您可以在命令提示符下键入：ping 62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html,

Pinging https://www.360docs.net/doc/0214680061.html, [10.10.20.99] with 32 bytes of data:

Reply from 10.10.20.99:bytes=32 time=94ms TTL=124

...

从ping 命令的输出中，确保_msdcs 记录能够由位于目录林根的DNS 服务器正确解析。假如命令输出显示“Pinging”，后面跟着完全合格的域控制器的域名，就表示没问题。

如果出现“请求超时”错误，请继续查找连接问题。在ping 命令可以正常执行后，复制就应该能够正确运行了。

DNS 查找失败

如果与复制伙伴之间没有复制链接，或者虽然有复制链接存在，但却无法进行DNS 查找，这时候就会发生DNS 查找失败。

无法创建复制链接- DNS 查找失败

当本地域控制器尝试与其复制伙伴建立复制链接但没有成功时，就会出现此错误。在此情形中，repadmin /showreps 没有显示任何入站邻居，因此也不会返回此错误。要想看到此错误，请查看“事件查看器”的“目录服务”事件日志。您会看到下面的事件：事件ID 1265

尝试建立一个用参数

分区:DC=branches,DC=corp,DC=hay-buv,DC=com

源DSA DN:CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=DMZ- Administration,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com 源

DSA 地址:62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html,

站点间传输(如果有的话):CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com

的复制链路失败，状态如下:

DNS 查找失败。

记录数据为状态编码。将重试此操作。

复制链接存在- DNS 查找失败

如第一节所述，repadmin /showreps 虽然显示有入站邻居，但是有一个或多个命名上下文的上一次复制状态返回“上一次尝试<日期- 时间> 失败”及“DNS 查找失败”的错误。事件日志中没有记录任何事件。

此错误表示本地域控制器无法解析其复制伙伴的基于GUID 的DNS 名称（此名称是由复制伙伴的“NTDS 设置”对象的GUID 后接_https://www.360docs.net/doc/0214680061.html, 所组成）。它在目录林的根DNS 服务器上声明为指向复制伙伴名称的别名。

要重新显示这个错误，请ping 其复制伙伴的基于GUID 的DNS 名称。不过这样做一般不会成功。如果成功，就表示在下一间隔的复制应能够正常运行，而不会有错误。如果下一间隔的复制失败，则可以在命令提示符下键入下列命令（没有开关参数)，查询本地DNS 服务器：

nslookup

这时候会显示当前所用的DNS 服务器。确保这个服务器是第一个在本地域控制器的IP 配置中声明的。如果不是，就表示本地域控制器可能已在触发复制时，将初始名称解析请求发给了首选（第一个）DNS 服务器，而导致名称解析失败。此后，名称解析就由备用的（第二个）DNS 服务器执行，它可以解析此名称。在此情形中，必须找到首选DNS 服务器不能解析请求的原因。

如果ping 命令失败，请执行下列操作：

检查DNS 服务器是否具有包含给定名称空间的目录林根的授权。如果名称遗失，请在复制伙伴的事件日志中，查找注册其DNS 名称的失败记录。

如果DNS 服务器没有此名称空间的授权，请验证其转发器列表（进入DNS MMC，选择DNS 服务器的属性，然后进入“转发器”选项卡）。验证声明为转发器的DNS 服务器具有此名称空间的授权。

解决此问题之后，请在本地域控制器重新运行ping 命令。现在应可以正常工作了。等到下一个计划好的时间，或者下次触发复制时，复制就应该可以正常运行了。

如果本地域控制器的ping 命令仍然失败，请在命令提示符下键入下列命令，检查其名称是否已被缓存为负值项：

Ipconfig /displaydns

如果该名称已被缓存为负值项，就表示在上次触发复制时，本地域控制器发送名称解析请求给其DNS 服务器之后，收到了“名称未找到”这一响应。

DNS 服务器只有在下面两种情况下，才会以“名称未找到”的错误作为响应。

它具有该区域的授权（它有该区域的一个副本，其中应包含此名称），但名称遗失。

它没有该区域的授权，无法用根目录提示、也无法用定义的转发器以递归方式解析此名称。在其他情况下（例如，如果它没有该区域的授权，而且没有声明任何根目录提示或转发器），它可能会对查询回答“服务器失败”，而不是“名称未找到”）。客户端不会缓存这个响应。

如果名称已被缓存为负值项，请在命令提示符下键入下列命令，将本地域控制器上的DNS 缓存数据清除：

ipconfig /flushdns

然后，再次尝试ping 基于GUID 的DNS 名称。如果可以解析该名称，就表示到下一个计划好的时间，或者下次触发时，复制应该能正常运行了。

如果希望以后避免此问题，请：

找出上次触发复制时，DNS 服务器没有解析名称的原因。

检查位于HKEY_LOCALMACHINE/SYSTEM/CurrentControlSet/Services/Dnscache/Parameters 的“NegativeCacheTime”项的值。默认的情况下，该值设置为0x12C（=300 秒=5 分钟）。如果此值太高，下次触发复制时，域控制器便无法进入DNS 服务器查找名称，因而无法正确运行，即使名称可以解析也一样。

如果ping 命令仍不成功，请在命令提示符下键入下列命令，停止并重新启动DNS 客户端服务：Net stop dns client

Net start dns client

再次ping 基于GUID 的DNS 名称。

如果此举成功，就表示在触发复制时，域控制器无法连到其首选的DNS 服务器（第一个在其IP 配置中声明的DNS 服务器）。因此，复制将会失败并返回到另一个DNS 服务器（列表中声明的第二个或后续的服务器），而这个DNS 服务器也无法解析名称。此外，在DNS 客户端失败后返回到一个备用DNS 服务器时，不会再返至最初的那一个，因此每次触发复制时，都会以相同的状态失败。

注意：在域控制器停止和重新启动DNS 客户端服务，可以让它转换回其首选DNS 服务器。如果此服务器有了响应并能够解析名称，那么到下一个计划好的时间，或是下次触发复制时，复制应可以正常运行了。

目录服务太忙- 连接对象重复

发生此错误时，通常会在“目录服务”事件日志中记录下面的事件：事件ID: 1083

事件类型: 警告

事件源: NTDS 复制

事件类别: 复制

事件ID: 1083

日期: 10/12/2000

时间: 9:56:19 AM

用户: 每个人

计算机: BODC1

描述:

复制警告:目录正忙。无法用目录62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html, 所做的更改来更新对象CN=DC2,CN=Servers,CN=Bad-Site,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=co m。稍后将重试一次。

此错误通常在目标复制伙伴的Active Directory 中有重复连接对象时发生。由于这个连接对象用于促进与本地域控制器的复制，因此在复制时，是不可能进行更新的。

在事件ID 1083 的描述中含有：

造成问题的对象的辨别名称。

复制伙伴的基于GUID 的DNS 名称。此名称是由复制伙伴的“NTDS 设置”对象的GUID 后接_https://www.360docs.net/doc/0214680061.html, 所组成。

要解决这个问题，请执行下列操作：

Ping 基于GUID 的DNS 名称，以获得复制伙伴的IP 地址。

从“Windows 2000 支持工具”运行Ldp.exe，然后使用“连接”菜单的连接选项，连接到这个IP 地址。接着从“连接”菜单选择“绑定”选项，输入管理员帐户的凭据。从“浏览”菜单选择“搜索”选项，再从“搜索”对话框选择“子目录树”选项，然后在“基本Dn”选项中，输入下列信息：

域的辨别名称，用来搜索用户或计算机：dc=branches、dc=company、dc=com 或配置容器的辨别名称，用来搜索连接对象。

单击“运行”。窗口的右窗格会显示对象所在的不同位置。请从列表中选择适当的结果。在“浏览”菜单选择“删除”选项，删除返回的其他选项。然后输入要删除的对象的辨别名称：CN=DC2,CN=Servers,CN=Bad-Site,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=co m

确保在Ldp.exe 窗口右窗格中的对象已正确删除。如果没有重复对象存在，请将该对象移到不同的站点或组织单位。请将这项作业记录下来，以便以后需要再次移动该对象时进行参考。接着请在命令提示符下键入下列命令，以同步配置和域命名上下文：repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID> repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

如果复制成功完成，事件日志应不会显示事件ID 1083的任何新范例。

必要的话，请将该对象移回原始位置，然后用上述命令，重新同步配置和域命名上下文。

时间差/ LDAP 错误82

此错误通常在本地域控制器无法同步其时间时发生，而且一般都是由禁止访问造成的。

如果如前所述，没有复制链接的话，repadmin /showreps 将不会显示任何入站邻居，因此也不会显示错误的原因。如果要查找原因，请进入“事件查看器”的“目录服务”事件日志，您会看到下面的事件：事件ID 1265

尝试建立一个用参数

分区:DC=branches,DC=corp,DC=hay-buv,DC=com

源DSA DN:CN=NTDS Settings,CN=HubDC1,CN=Servers,CN=HubSite,CN=Sites,CN=Configuration,DC=corp,DC=hay -buv,DC=com

源DSA 地址:62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html,

站点间传输(如果有的话):CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=corp,DC=hay-buv,DC=com

的复制链路失败，状态如下:

在客户机和服务器之间有一个时间差。

记录数据为状态编码。将重试此操作。

如果有复制链接存在（如第一节所述），repadmin /showreps 虽然会显示入站邻居，但是有一个或多个命名上下文的上一次复制状态返回“上一次尝试<日期- 时间> 失败”及“在客户机和服务器之间有一个时间差”的错误。事件日志没有记录任何事件。

这时候，您必须在命令提示符下键入下列命令，以同步域控制器的本地时间：

Net time \\server /set

不过此操作将会失败并显示“禁止访问”这一错误。请执行本章前面“禁止访问”一节所述的恢复步骤，继续进行。

复制系统遇到一个内部错误

发生此错误的原因有下列几种：

本地域控制器尝试与其复制伙伴建立复制链接，但却失败。在这种情形中，repadmin /showreps 没有显示任何入站邻居，因此也不会显示此错误。

两个域控制器之间虽有复制链接，但复制却无法正常运行。在这种情形中，repadmin /showreps 虽显示有入站邻居，但有一个或多个命名上下文的上一次复制状态返回“上一次尝试<日期- 时间> 失败”及“复制系统遇到一个内部错误”的错误。

在这两种情况下，“目录服务”事件日志将会记录下列事件：事件ID 1084

复制错误:目录复制代理(DRA) 无法更新此系统上的对象CN="8f03823f-410c-4483-86cc-8820b4f2103f

DEL:66aab46a-2693-4825-928f-05f6cd12c4e6",CN=Deleted

Objects,CN=Configuration,DC=corp,DC=hay-buv,DC=com (GUID 66aab46a-2693-4825-928f-05f6cd12c4e6)，用从源服务器62d85225-76bf-4b46-b929-25a1bb295f51._https://www.360docs.net/doc/0214680061.html, 收到的更改。在将更改应

用于此系统上的目录数据库时出错。

如果要从此错误中恢复，请执行下列操作：

在事件日志中，找出上一个事件ID 1084，然后选择失败对象的GUID （在此例中是：66aab46a-2693-4825-928f-05f6cd12c4e6），然后选择“复制”。

运行Ldp.exe，然后连接到本地域控制器（例如，10.10.20.1）

再以管理员权限绑定到本地目录。

选择“浏览”，然后选择“删除”

输入作为域控制器，然后删除此项。

如果错误是在域控制器尝试创建复制链接时发生的，请在命令提示符下运行repadmin /kcc。如果错误是在通过现有的复制链接进行复制时发生的，请在命令提示符下键入下列命令，以同步三个命名上下文：repadmin /sync CN=Schema,CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

如果新连接对象又发生同样错误，请从步骤1 重新开始。

不再有终结点

此错误是由repadmin /showreps 命令返回的，其可能原因如下：

已经不再有终结点可以与复制伙伴建立传输控制协议(TCP) 会话了。如果要验证当前建立的会话，请在命令提示符下使用NETSTAT 工具。消除此错误的唯一方法是释放当前的TCP 会话。

虽然有复制伙伴，但是其“目录复制服务”远程过程调用(RPC) 界面没有注册。通常这表示域控制器的DNS 名称是以错误的IP 地址注册的。

LDAP 错误49

此错误通常与本地KDC 服务有关。在这种情形中，请在命令提示符下键入下列命令，停止KDC 服务：

Net Stop KDC

架构命名上下文最小，因此最先使用，这样才能在最快的时间内确认操作成功。

在命令提示符下键入下列命令，也可以触发配置和域命名上下文的复制：repadmin /sync CN=Configuration,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

repadmin /sync DC=branches,DC=corp,DC=hay-buv,DC=com %computername% <复制伙伴GUID>

如果repadmin /sync 命令因发生新的错误而失败，请参阅本章的相关章节。如果成功，repadmin /showreps 应该不会显示任何错误。请在本地域控制器重新启动KDC 服务，方法是在命令提示符下键入下列命令：

net start kdc

如果repadmin /showreps 返回新的错误，请参阅本章中的相关章节。

无法运行管理工具

如果Active Directory 不可用，则无法启动Active Directory 管理工具。

例如：

当repadmin /showreps 从命令提示符运行时，将不会完成，或者会返回“无法打开到本地主机的LDAP 连接”的错误。

当Active Directory Sites and Services 启动时，会返回下列错误：

找不到命名信息，因为:

找不到网络路径。

请与系统管理员联系，以确认您的域是否配置正确

而且处于联机状态。

此问题可能是因为本地域控制器的TCP/IP 配置不正确，网络连接有问题，DNS 服务器有问题，或者因为NETLOGON 服务未在本地运行所致。

在上述任何一种情形中，请：

确定DNS 服务器是否不可用。

尝试从本地域控制器ping 目标复制伙伴。

使用Nslookup 命令，确定本地域控制器上DNS 服务器的配置是否正确。

如果问题与DNS 有关，请使用ipconfig /flushdns 命令，清除本地域控制器的DNS 缓存，或者停止再重新启动DNS 客户端服务。有关名称解析失败方面的详细信息，请参阅本章前面的“DNS 查找失败”一节。

确定NetLogon 服务在“管理工具”、“服务”中是否正确运行。同时也请检查“事件查看器”的“系统和目录服务”事件日志，找出表明发生NetLogon 错误的事件。

非错误状态

在使用repadmin /showreps 命令时，有几个输出可能指出上一个复制没有成功完成，不过这些输出不一定表明有错误。下面是一些示例：

Active Directory 复制被抢先。这个状态表示某个进行中的入站复制，被另一个更高优先级的复制请求所中断（所有的入站复制都是串行式的）。

复制已公布，正在等待中。这表示域控制器已经公布一个复制请求，正在等待回答。这还表示从这个源进行的复制正在进行中。

使用域管理的优点

1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享用户和管理员可以不知道他们所需要的对象的确切名称，但是他们可能知道这个对象的一个或多个属性，他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表，通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问，如登录、验证、访问目录和共享资源。为了简化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上进行修改，这种更新可以复制到域中所有的其他域控制器上。

B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录，管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中，当用户一次登陆一个域服务器后，就可以访问该域中已经开放的全部资源，而无需对同一域进行多次登陆。但在需要共享不同域中的服务时，对每个域都必须要登陆一次，否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性在活动目录中，目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此，目录可以随着组织的增长而一同扩展，允许用户从一个具有几百个对象的小的安装环境发展成拥有几百万对象的大型安装环境。 9、安全性域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。 10、可冗余性每个域控制器保存和维护目录的一个副本。在域中，你创建的每一个用户帐号都会对应目录的一个记录。当用户登录到域中的计算机时，域控制器将按照目录检查用户名、口令、登录限制以验证用户。当存在多个域控制器时，他们会定期的相互复制目录信息，域控制器间的数据复制，促使用户信息发生改变时（比如用户修改了口令），可以迅速的复制到其他的域控制器上，这样当一台域控制器出现故障时，用户仍然可以通过其他的域控制进行登录，保障了网络的顺利运行。三、公司域的详细规划

计算机无法加入域

计算机无法加入域|不能联系域控制器计算机无法加入域|不能联系域控制器 1．您无法用NetBois域名加入域。 2．组策略无法正常应用。 3．无法打开网上领居和访问共享文件。这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查：建议一：如果您的域中有Wins服务器，请检查客户机的Wins配置看是不是指向Wins服务器。另外，请打开Wins服务器，看https://www.360docs.net/doc/0214680061.html,记录正确注册。建议二：如果TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。要解决此问题，请启动TCP/IP NetBIOS 支持服务。要启动NetBIOS 支持服务，请按照下列步骤操作： 1. 使用具有管理员权限的帐户登录到客户机。 2. 单击“开始”，单击“运行”，在“打开”框中键入services.msc，然后单击“确定”。 3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。您看到的文章来自活动目录seo 4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。 5. 在“服务状态”下，单击“启动”以启动TCP/IP NetBIOS 支持服务。 6. 当该服务启动后，请单击“确定”，然后退出“服务”管理单元。建议三：请检查是否安装了客户机上安装了“Microsoft网络的文件和打印机共享” 1．点击“开始菜单→控制面板→网络连接”。 2．在所出现窗口中的局域网连接（如“本地连接”）上单击右键，选择“属性”。 3．勾选常规标签下的“Microsoft网络的文件和打印机共享”项。 ************************************************************************************************** 客户机不能加入域的终极解决方法客户机加入域时的错误各种各样，但总的来说，客户机不能加入域的解决方法部外乎以下几种： 1、将客户机的第一DNS设为AD的IP，一般DNS都时和AD集成安装的，清空缓存并重新注册( OK 啦) ipconfig /flushdns 清空DNS ipconfig /registerdns 重新申请DNS 2、关闭客户端防火墙

域控制器建立完整教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

(整理)《域管理》教程一些基础知识.

?域和工作组域和工作组是针对网络环境中的两种不同的网络资源管理模式。在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。在由Windows 9x构成的对等网中，数据是非常不安全的。一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。你也可以退出某个工作组，只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确，域控制器就拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，只能以对等网用户的方式访问Windows共享出来

需要注意的域控制器五种错误操作

需要注意的域控制器五种错误操作一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时，如果没有安装DNS，系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试，不装DNS，而用WINS是可以的，但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机，但其实是无法使用域资源的。这是因为在域环境网络中，DNS起到的不仅仅是一个域名解析的作用，更主要的是DNS服务器起到一个资源定位的作用，大家对于DNS的A记录应该有很深的了解，实际上，在A记录之外，还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问，也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。二、随意安装软件由于域控制器在域构架网络中的作用是举足轻重的，所以一台域控制器的高可能性是必须的，但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件，甚至包括一些网络游戏之类的软件，如边锋、传奇等，还有一些MP3播放器，VCD播放器等。这样直接导致的结果就是软件冲突加重，而且即使是软件卸载，也会在注册表中存有大量无用信息，这些信息完全无法用手工方法卸载。于是，借助第三方软件，比如超级兔子、优化大师的，虽然这些软件都有清理注册表和提速的功能，但是域控制器毕竟不是个人PC，重装一次之后，很多网络的计算机名和域名都有可能更改，影响相当大。对于服务器而言，稳定大于一切。三、操作方法不正确网络管理员往往都是技术爱好者，所以对于自己机器的设置往往更加“个性化”。比如，有的网管一时兴起，增加一台额外域控制器，然后再增加一个子域，而哪天因为系统问题或者心情不爽，往往也不降级，直接把那些子域域控制器，额外域控制器等统统格式化，然后重装。这样反复操作，往往会导致活动目录出错，直到无法添加为止。笔者曾帮助一个网管修复域控制器，在检查中发现里面莫明其妙的有很多的域控制器，但是网络上却又没有这些域控制器，而且活动目录经常出错。查过日志却发现全是报错信息，都是一些无法复制，找不到相应的域控制器等。最终，笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的，如果用Ntdsutil清除活动目录还是不正常时，那基本没有什么解决方法，无论多么费时，都只能“重建”。四、FSMO角色的任意分配一般来说，FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话，那么无非就是两种情况：一是服务器的正常维护；二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。但是目前很多网管碰到上述两种情况，会采取很极端的作法，就是只要原来的FSMO角色所在的域控制器一旦离线，就一定要把FSMO角色转移到其它的域控制器上，能传送就传送，不能传送就夺取。但是笔者在这儿要建议大家一个字：等！除了PDC仿真器这个角色以外，其它角

WnowServer R 创建D域详细教程

Windows Server 2012 R2 创建AD域前言我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。环境网络子网掩码网关域名创建域的必备条件 DNS域名：先要想好一个符合dns格式的域名，如 DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。创建网络中的第一台域控制器修改机器名和ip 先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成安装域功能选择服务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。选择林功能级别，域功能级别。、此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能设置目录还原密码。目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码出现此警告无需理会系统会自动创建一个netbios名称，可以更改。不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信数据库文件夹：用了存储AD数据库日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用了存储域共享文件（例如组策略）

域服务器概念及作用

域服务器概念及作用域（Domain）是相对工作组（Workgroup）的概念，形象的说，域就像中央集权，由一台或数台域控制器（Domain Controller）管理域内的其他计算机；工作组就像各自为政，组内每一台计算机自己管理自己，他人无法干涉。域是一个计算机群体的组合，是一个相对严格的组织，而域控制器则是这个域内的管理核心。域控制器的作用相当一个门卫，它包含了由这个域的账户密码、管理策略等信息构成的数据库。当一台计算机登录域时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号和密码是否正确。如果正确则允许计算机登入这个域，使用该域内其有权限访问的任何资源，像文件服务器，打印服务器（也就是说域控制器仅起到一个验证作用，访问其他资源并不需要再跟域控制器扯上关系）；如果不正确则不允许计算机登入，这时计算机将无法访问域内任何资源，这在一定程度上保护了企业网络资源。另外，域控制器可以对域内计算机进行集中管理，比如在域控制器上可以定义所有用户不能更改桌面，或者所有用户的密码长度必须8位以上，而工作组环境的计算机则无法做到这些。一般情况下，域控制器集成了DNS服务，可以解析域内的计算机名称（基于TCP/IP），解决了工作组环境不同网段计算机不能使用计算机名互访的问题。域控制器自身所需配置非常低，对网络带宽的占用也几乎微不足道，另外正常情况下域控制器是不可能发布到外网使用的，因为它的安全关系到整个域组织的安全，如果用户希望他在外网也能够登入企业域使用内部资源，最常用的解决方式是在网关处开通VPN功能，这样既能保证账号密码传输的安全性，又能像在局域网一样便捷地访问网络资源。

windowsserver2012服务器建立域控详细过程_图文.

Active Directory概述：使用 Active Directory(R 域服务 (AD DS 服务器角色，可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构，并可以提供对启用目录的应用程序（如 Microsoft(R Exchange Server）的支持。 AD DS 提供了一个分布式数据库，该数据库可以存储和管理有关网络资源的信息，以及启用了目录的应用程序中特定于应用程序的数据。运行 AD DS 的服务器称为域控制器。管理员可以使用 AD DS 将网络元素（如用户、计算机和其他设备）整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU。 1、使用本地管理员登录。 2、修改计算机名为“DC” 3、更改计算机名后，需要重新启动服务器。

4、设置服务器固定IP。 5、通过服务器管理器中添加角色，进行域服务角色安装。（注windows server 2012中已不能使用dcpromo 进入域安装向导） 6、默认选择“下一步”。

7、选择“基于角色或基于功能的安装”。下一步。 8、选择本地服务器“DC”。下一步。 9、选择“Active Directory域服务。

10、默认选项。下一步。 11、默认选项。下一步。

12、选择“如果需要，自动重新启动目标服务器”。按“安装”。（备注：指定备用源路径，指向windows server 2012安装盘） 13、安装完成。按“关闭”。 14、选择服务器任务详细信息，选择“部署后配置”按：将此服务器提升为域控制器。

如何建立域

如何建立域下面是一篇是如何建立域，如何加入域的分配域成员的教程，希望对大家有所帮助。目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:

如图1 向下搬运右边的滚动条，找到“网络服务”，选中: 如图2

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 如图3 安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”: 这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:

为什么我们需要域讲解

对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。从今天开始，我们将推出Active Directory系列博文，希望对广大学习AD的朋友有所帮助。今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。服务器的职能大家都知道，无非是提供资源和分配资源。服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。首先，如下图所示，我们在服务器上为张建国创建了用户账号。

网络管理员需注意的域控制器五种错误操作

管好域控制器对于一个网络管理员来说，是专业性的技术体现。笔者通过多年经验，以及论坛上朋友们的种种方案，总结了域控制器的常见五种错误操作，希望能够与广大技术爱好者共享。一、不安装DNS 犯这种错误的大多数新手。因为一般在安装活动目录时，如果没有安装DNS，系统会给出相应的警告。只有新手才会直接忽略。也有朋友做过尝试，不装DNS，而用WINS是可以的，但是用户会发现登陆的时候速度相当慢。虽然还是可以用Netbios名访问网上邻居中的计算机，但其实是无法使用域资源的。这是因为在域环境网络中，DNS起到的不仅仅是一个域名解析的作用，更主要的是DNS服务器起到一个资源定位的作用，大家对于DNS的A记录应该有很深的了解，实际上，在A记录之外，还有很多其它的如SRV之类的记录。而这些资源没办法用IP直接访问，也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS。二、随意安装软件由于域控制器在域构架网络中的作用是举足轻重的，所以一台域控制器的高可能性是必须的，但是太多的管理员朋友忽视了这一点。笔者曾见一个酒店网络的域控制器上装了不下三十个软件，甚至包括一些网络游戏之类的软件，如边锋、传奇等，还有一些MP3播放器，VCD播放器等。这样直接导致的结果就是软件冲突加重，而且即使是软件卸载，也会在注册表中存有大量无用信息，这些信息完全无法用手工方法卸载。于是，借助第三方软件，比如超级兔子、优化大师的，虽然这些软件都有清理注册表和提速的功能，但是域控制器毕竟不是个人PC，重装一次之后，很多网络的计算机名和域名都有可能更改，影响相当大。所以，笔者认为“预防永远大于急救”。笔者的域控制器上除了活动目录和DNS，只安装了一个SUS服务器，运行已经有一年半了，没有发生过任何软件问题。毕竟，对于服务器而言，稳定大于一切。三、操作方法不正确网络管理员往往都是技术爱好者，所以对于自己机器的设置往往更加“个性化”。比如，有的网管一时兴起，增加一台额外域控制器，然后再增加一个子域，而哪天因为系统问题或者心情不爽，往往也不降级，直接把那些子域域控制器，额外域控制器等统统格式化，然后重装。这样反复操作，往往会导致活动目录出错，直到无法添加为止。笔者曾帮助一个网管修复域控制器，在检查中发现里面莫明其妙的有很多的域控制器，但是网络上却又没有这些域控制器，而且活动目录经常出错。查过日志却发现全是报错信息，都是一些无法复制，找不到相应的域控制器等。最终，笔者用Ntdsutil把这些垃圾信息全部清除才解决问题。不过这种情况是比较轻微的，如果用Ntdsutil清除活动目录还是不正常时，那基本没有什么解决方法，无论多么费时，都只能“重建”。四、FSMO角色的任意分配一般来说，FSMO一般是不需要去管理的。正常情况下如果需要对FSMO的角色进行转移的话，那么无非就是两种情况：一是服务器的正常维护；二是原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机。

域控制器建立完整教程

域控制器建立完整教程 Company number：【0089WT-8898YT-W8CCB-BUUT-202108】

[上海360宽带网] [制作人：360宽带网] [] [360宽带网口号：为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中: 默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”

域的功能作用

一工作组与域的区别现公司所有电脑采用工作组的管理模式，域管理与工作组管理的主要区别在于： 1、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。这就是两者最大的不同。 2、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。 3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。二公司采用域管理的好处 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如Windows Updates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。 8、资源共享

域用户无法登录域故障处理(AD问题)

(AD 域用户无法登录域故障处理问题）

系统故障记录 1. 故障记录日期：2010-01-14 2. 主机名及IP ：FS03(192.168.2.246) 3. 主机系统及应用：DC、FileServer 4. 系统状态及错误信息：Win2003 系统启动到登陆界面时出现以下错误提示：“由于下列错误，安全帐户管理器初始化失败，目录服务无法启动。错误状态：0xc00002e1." 5. 检查过程及解决步骤：原因：经微软KB及网上资料信息显示该提示为病毒（用户上传的文件）可能破坏了系统文件，导致 2.246 无法正常启动目录服务，所以客户端的域用户无法正常登陆。解决方案1：准备进入目录还原模式，修复Active Directory 数据库。备注：由于系统安装时间比较已久，还原密码未知，解决方案2：升级其他BDC为PDC，解决用户登陆问题。备注：现已将FSBDC升级为PDC，用户已可正常登陆。步骤1：用Domain Admin 用户登陆FSBDC，打开运行，输入“ CMD”进入命令行状态使用Ntdsutil 工具，将FSMO中PDC角色抢夺过来。

ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2：升级FSBDC为GC 在管理工具中，打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” ［此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过］当前状态为［已登记］ekin?IiU 2010-01-14 20:18:51其他问题：在升级GC的时候，碰到一个问题，因原有Xin. Xingfa. Cn的域信息没有完全清除，需要要清除后GC才能升级成功。错误提示信息为： 1、

一、局域网中工作组和域的区分

公司局域网中的电脑有工作组管理与域管理,其主要区别在于：工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。我们公司实行域管理,电脑需要加入域TRZZ,并申请个人域账号,登陆电脑时用域账号登陆, 公司采用域管理的直接好处： 1、方便管理，权限管理比较集中，管理人员可以较好的管理计算机资源。 2、安全性高，有利于企业保密资料的管理，比如一个文件只能让某一个人看,或者指定人的一员可以看,但不可以删/改/移等。 3、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。 4、方便用户使用各种共享资源，访问同一个域中的共享就无需再进行账号密码验证。 5、安全性域为用户提供了单一的登录过程来访问网络资源，如所有他们具有权限的文件、打印机和应用程序资源。也就是说，用户可以登录到一台计算机来使用网络上另外一台计算机上的资源，只要用户具有对资源的合适权限。域通过对用户权限合适的划分，确定了只有对特定资源有合法权限的用户才能使用该资源，从而保障了资源使用的合法性和安全性。如何区分电脑是否加域？ 1.右击“我的电脑”，点“属性”，如下图1.1 图1.1 2.在“系统属性”对话框中，选“计算机名”标签页，如果显示“域：TRZZ”，说明已经加域，如下图1.2；如果显示“工作组：workgroup”，说明未加域，还在工作组模式，如图1.3。如何加域，请参照“二、如何修改计算机名及加域”文件。

建立域服务器时候遇到问题的解决方法

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。一个运行XP SP3英文版，单网卡，连接LAN1。这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。 VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。 1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。反正就是没有设置DNS就过去了。后来也证明，DNS服务器没有正常启动。打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有https://www.360docs.net/doc/0214680061.html, -->192.168.0.1的项，应该正常吧。网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^

打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。提示： Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt. The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain https://www.360docs.net/doc/0214680061.html,: The error was: "DNS name does not exist." (error code 0x0000232B RCODE_NAME_ERROR) The query was for the SRV record for _ldap._tcp.dc._https://www.360docs.net/doc/0214680061.html, Common causes of this error include the following: - The DNS SRV record is not registered in DNS. - One or more of the following zones do not include delegation to its

最全的域控教程

把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面: 向下搬运右边的滚动条，找到“网络服务”，选中:

局域网中域和工作组的差别介绍

局域网中域和工作组的差别介绍局域网中域和工作组是局域网环境中产生的两种不同的网络资源管理模式。那么究竟什么是域，什么是工作组呢?它们的区别又是什么呢?下面由小编给你做出详细的局域网中域和工作组的差别介绍!希望对你有帮助! 局域网中域和工作组的差别介绍：局域网中域和工作组的差别：“自由”的工作组工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中，以方便管理。比如在一个网络内，可能有成百上千台工作电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧)。为了解决这一问题，Windows 9x/NT/2000才引用了“工作组”这个概念，比如一所高校，会分为诸如数学系、中文系之类的，然后数学系的电脑全都列入数学系的工作组中，中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源，就在“网上邻居”里找到那个系的工作组名，双击就可以看到那个系别的电脑了。

那么怎么样才能加入到工作组中呢?其实方法很简单，只需要右击Windows桌面上的“网上邻居”，在弹出的菜单出选择“属性”，点击“标识”，在“计算机名”一栏中添入你想好的名字，在“工作组”一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组，那么就相当于新建一个工作组，当然也只有你自己的电脑在里面。不过要注意，计算机名和工作组的长度都不能超过15个英文字符，可以输入汉字，但是也不能超过7个汉字。“计算机说明”是附加信息，不填也可以，但是最好填上一些这台电脑主人的信息，如“数学系主机”等。单击“确定”按钮后，Windows 98提示需要重新启动，按要求重新启动之后，再进入“网上邻居”，就可以看到你所在工作组的成员了。相对而言，所处在同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。如果要访问其他工作组的成员，需要双击“整个网络”，然后你才会看到网络上其他的工作组，双击其他工作组的名称，这样你才可以看到里面的成员，与之实现资源交换。除此之外，你也可以退出某个工作组，方法也很简单，只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。也就是说，你可以随便加入同一网络上的任何工作组，也可以随时离开一个工作组。“工作组”就

主域控制器损坏后

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果.. 其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明： ....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！ AD、DC说明： .域名：https://www.360docs.net/doc/0214680061.html, ..主域：DC-ISA-NLB-1 ..副域：DC-ISA-NLB-2 .系统：2003企业版故障情况：（真实环境跑完全过程..） ..主域崩溃，副域无法正常工作，如： ....无法浏览https://www.360docs.net/doc/0214680061.html, 中 Active Directory用户和计算机，提示无法连接错误； ....AD管理项目均报错，组策略.....等； ....域用户无法登录；解决方法：（以上是在副域上操作） ..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录； ..使用命令：ntdsutil.....AD工具 ..过程：（大概6-8分钟） . 登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。建議您登入要指派FSMO 角色的網域控制站。登入的使用者必須是要傳輸架構主機，或網域命名主機角色的企業系統管理員群組成員；或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色，其所在網域的網域系統管理員群組之成員。 . 按一下[開始]，按一下[執行]，在[開啟]方塊中輸入ntdsutil，然後按一下[確定]。. 輸入roles，再按下ENTER。 . 輸入connections，再按下ENTER。 . 輸入connect to server servername，然後按ENTER，其中servername是您要指派FSMO 角色的網域控制站之名稱。 . 在server connections提示字元中輸入q，然後按下ENTER。 . 輸入seize role，其中role是您要抓取的角色。如需可以抓取的角色之清單，請在fsmo main tenance提示字元中輸入?，然後按下ENTER；或直接查看本文件開頭所列的角色清單。例如，如果要抓取RID 主機角色，請輸入seize rid master。唯一的例外是PDC 模擬器角色，該角色的語法是