原域控降级后无法加入到新域中的解决方法

加入域工具常见问题1、未知省份错误工具出现如上图所示提示框的原因是由于用户没有归属省份，请与工程师联系修正此错误。

2、终端加入域问题及解决01、终端加入域报2698错误故障处理：2698错误基础信息是：此版本的Windows不能加入到域。

一般此错误是由于用户尝试在WinXP HOME版上执行加入域造成。

目前无法加入域。

请重新安装商业版的操作系统，有关商业版的安装介质和使用许可请与系统管理员联系。

02、终端加入域报1231错误故障处理：1231错误基础信息是：无法访问网络。

一般此错误是由某个必须启动的服务没有成功启动造成的。

终端加入域前应检查TCP/IP NetBIOS Helper服务是否启动, TCP/IP NetBIOS Helper服务必须启动。

03、终端加入域后无法在桌面创建文件故障处理：由于终端的Profile权限没有被赋予完全控制权限。

请重新配置用户Profile 的权限，将权限配置为完全控制权限。

然后退出域，重新加入域。

04、终端加入域后，域帐号登录无法看到原用户桌面图标等用户配置文件项故障处理：由于终端的Profile权限没有被赋予完全控制权限。

请浏览到C:\document andsettings\，右键点选当前本机用户profile的文件夹，选择“属性”，在文件夹属性对话框中选择“安全”标签页，将本机administrators组添加为完全控制权限。

05、终端加入域后，终端用户帐号被锁定，无法登录域故障处理：由于终端帐号被服务器锁定，所以无法登录到域请终端部署人员联系终端部署管理人员通过工具修改，或在服务器上解除相应帐号的被锁定状态。

06、终端加入域时报系统不支持加入商业网络故障处理：这是产品的本身功能限制问题，WindowsXP Home版与Windows Me这部分操作系统属于家庭版，目前无法加入商业网络。

重新安装商业版的操作系统，有关商业版的安装介质和使用许可请与系统管理员联系。

域控制器降级操作指南1. Windows Server 2003 域控制器在默认情况下支持强制降级。

单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

4. 在“强制删除Active Directory”页中，单击“下一步”。

5. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

6. 在“摘要”中，单击“下一步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。

如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。

如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表(ACL)。

如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。

有关从域控制器中删除Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章。

使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会删除被降级的计算机的元数据。

将域控制器强制降级后，您必须完成以下任务（如果适用）：1. 从域中删除计算机帐户。

客户机不能加入域的终极解决方法2010-09-28 12:54解决办法一：客户机加入域时的错误各种各样，但总的来说，客户机不能加入域的解决方法部外乎以下几种：1、将客户机的第一DNS设为AD的IP，一般DNS都时和AD集成安装的，清空缓存并重新注册ipconfig /flushdns 清空DNSipconfig /registerdns 重新申请DNS2、关闭客户端防火墙3、只留IP为AD的第一DNS，第二DNS设为空4、在AD服务器的DNS建立客户机的SRV记录5、启动DNS和TCP/IP NetBIOS Helper Service服务6、更改主机名并在服务器上删除已经存在的DNS记录，重启7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)解决办法二：不能联系域1．您无法用NetBois域名加入域。

2．组策略无法正常应用。

3．无法打开网上领居和访问共享文件。

这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。

我建议您做如下的检查：建议一：如果您的域中有Wins服务器，请检查客户机的Wins配置看是不是指向Wins服务器。

另外，请打开Wins服务器，看记录正确注册。

建议二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。

要解决此问题，请启动 TCP/IP NetBIOS 支持服务。

要启动 NetBIOS 支持服务，请按照下列步骤操作：1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”，单击“运行”，在“打开”框中键入 services.msc，然后单击“确定”。

3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。

您看到的文章来自活动目录seo4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。

A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员(默认为administrator)身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说"在域中，默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。

〃吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第口台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomaino注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问〃提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1＞手动在ADxx删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域XXX不是AD域，或用于域的AD域控制器无法联系上。

在域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC,只能利用浏览服务、WINS、Imhosts文件来定位DC。

所以加入域时，为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

主域控制器两种故障恢复的处理⽅式主域控制器故障的两种情况：主域控制器出现故障后仍可⽤与主域控制器出现故障后彻底不能⽤的的处理⽅式。

AD：主域控制器⼜简称为PDC，故障通常会出现两种情况，但是都需要额外域控制器的帮助，下⾯是两种故障的解决⽅案。

主域控制器故障，有两种状况：主域控制器故障仍可⽤和主域控制器故障彻底玩完，看看两种故障的处理⽅式咯1、主域控制器故障但仍可⽤主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理⼯具，将服务器B升级为新主域控制器，A将⾃动降级成额外域控制器，然后再原主域控制器服务器A上运⾏dcpromo命令将其本⾝从AD中删除----转移操作主机⾓⾊--连接额外域控制器A、在主域控制器 [管理⼯具]--[AD⽤户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择⼀个可⽤的域控制器]列表中选择当前域的额外控制器[],点击确定。

--转移RID主机⾓⾊A、⽤⿏标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机⾓⾊？”点击是。

--转移PDC主机⾓⾊A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机⾓⾊A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机⾓⾊A、在[管理⼯具]中运⾏[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。

责任编辑：张碧薇投稿信箱：n e t a d m in@365m a s t e r.c o m故障诊断与处理■Trouble Shooting计算机为何无法加入到域■河北王春海编者按：某单位使用Exchange Server做邮件服务器，最近服务器出现无法启动故障。

由于之前将Exchange Server安装在Active Directory域控制器中（Exchange 与Active Directory是同一台服务器），导致文件服务器与员工的邮箱无法使用。

主域某单位使用Ex ch an ge S e r v e r做邮件服务器。

上一任网管将Ex ch an ge S e r v e r安装在Ac tive Directory域控制器中(Exchange 与Active Directory是同一台服务器最近出现问题，Ex ch an ge S e rv er 服务启动不了，所有员工的邮箱不能登录。

当前管理员尝试了多种方法没有解决。

除了 Ex ch an ge 不能使用，单位中的文件服务器（加入到域）也不能使用。

分离Exchange与 A c t i v e D i r e c t o r y这位网管联系到我，我通过如下的思路来解决问题：因为只有一台Acti ve Directory服务器，并且与Exchange在一台服务器中。

而文件服务器也有故障，怀疑是 Acti ve Di re ct or y 有问题。

迁移Acti ve Directory,将ActiveDirectory 与ExchangeS e rv er “分离”。

1.在网络中安装一台新的 Windows S e rv er 2008R2,加入到域，并升级到额外域控制器。

原来的Ex ch an geS e rv er 及Active Dire ct or y称为A，新的域服务器称为B。

2.在B上，使用Acti veDirectory用户和计算机，更改域控制器，并转移Acti veDirectory角色。

主域控制损坏安装新域控制FSMO角色转移详细过程[ 来源：| 作者：| 时间：2008-9-6 10:48:35 | 浏览：13 人次]FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作)由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器.这个过程的实施给写下来:服务器操作软件资源站">下载">系统.2003Entprise Edition客户端系统.XP pro拓朴如下:现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的.购买了一台新的机器,放到这个网络来了,IP:那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来.操作过程如下新机器上操作)检查跟DC的域名解释.建立BDC输入具有权限的用户,我用的是administrator,属于enterprise admins现有DNS名称.数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统.输放还原模式密码,用于目录服务的还原.BDC建立成功.BDC重启.接下来在BDC上建立DNS服务器,同步AD信息.打开控制面版,winodws组件向导.BDC的DNS指向自己.接着在运行输入dnsmgmt.msc新建正向区域.输入域名.允许动态更新.重新加载DNS,目的是让区域生成SRV(资源指针记录).用到命令如图,,或重新启动.接下来可以指自己做为GC.在运行里输放dssite.msc用到的命令是命令符下,ntdsutil具体命令作用,在这我不详述.后接命令,请用问号,有详细的中文说明.以下图是用于建立连接.转移用的是transfer命令以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图)这也问到重点了.跟转移时用法一样,但这时DC是在线的.如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize....这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的)把如4个角色像刚才一样操作,那就5种角色转移成功.。