不能连接域控制器

windowsAD域故障排除AD域故障汇总Q1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

三、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

加入域时，如果输入的域名为FQDN格式，形如gdb.local，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。

”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。

加入域时，如果输入的域名为NetBIOS格式，如gdb，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。

而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。

这部分内容将以实例的形式，介绍活动目录（Active Directory）的域故障排除，基本上遵循由易到难，由简到繁的顺序来讲解讨论。

Q1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

域控制器无法正常工作查看本文应用于的产品重要说明：本文包含有关修改注册表的信息。

修改注册表之前，一定要先进行备份，并且一定要知道在发生问题时如何还原注册表。

有关如何备份、还原和编辑注册表的信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：256986Microsoft Windows 注册表说明本页∙症状∙解决方案o方法1：修复DNS 错误o方法2：同步各计算机之间的时间o方法3：检查“从网络访问此计算机”用户权限o方法4：验证域控制器的userAccountControl 属性是否为532480o方法5：修复Kerberos 领域（确认PolAcDmN 注册表项和PolPrDmN 注册表项相匹配）o方法6：重设计算机帐户密码，然后获取一个新的Kerberos 票证展开全部| 关闭全部症状当您在基于Microsoft Windows 2000 Server 的域控制器或基于Windows Server 2003 的域控制器上运行Dcdiag 工具时，可能会收到以下错误信息：DC DiagnosisPerforming initial setup:[DC1] LDAP bind failed with error 31当您在域控制器上以本地方式运行REPADMIN/SHOWREPS 实用工具时，可能会收到以下错误信息：[D:\nt\private\ds\src\util\repadmin\repinfo.c, 389] LDAP error 82 (Local Error).当您试图在受影响的域控制器的控制台上使用网络资源（包括“通用命名约定”(UNC) 资源或映射的网络驱动器）时，可能会收到以下错误信息：No logon servers available (c000005e = "STATUS_NO_LOGON_SERVERS")如果您在受影响的域控制器的控制台上启动任何Active Directory 管理工具（包括“Active Directory 站点和服务”以及“Active Directory 用户和计算机”），可能会收到以下错误信息之一：Naming information cannot be located because:No authority could be contacted for authentication.Contact your system administrator to verify that your domain is properly configured and is currently online.Naming information cannot be located because:Target account name isincorrect.Contact your system administrator to verify that your domain is properly configured and is currently online.如果Microsoft Outlook 客户端连接到使用受影响的域控制器进行身份验证的Microsoft Exchange Server 计算机，系统可能会提示该客户端提供登录凭据，即使来自其他域控制器的成功登录验证已经存在。

公司之前的一个域控制器中360up.exe的木马，死活无法删除，再加上原来的域名指定错误。

因此干脆重做一个域控制器（公司300PC左右，是个大工程呀）原IP192.168.0.5,新域控制器IP 192.168.0.10。

做完服务器，安装完AD和DNS服务，设置好用户后，开始进行加域的工作，之前有加域的，退出原域再重加新域，（其实可以直接改域名，不用退出来，省掉一次重启的动作）没加域的添加，却发现个问题，死活无法加入到域中，找了半天后发现是TCP/IP NETBIOS HELPER 服务没有开启，此服务对NetBIOS 名称解析的支持。

打开后才可能解析到域名。

狂晕。

GHOST版的XP关了这个服务。

今天加一台新电脑，之前没加过域的，打开了NETBIOS服务后也加不上去，查了半天，未果，试着改了一下计算机名，重启后再加，可以了，没搞明白是怎么回事。

呵。

无法登录域计算机突然无法登录域。

在windows 2003 的域环境里,有时我突然发现某一个计算机在登录域时提示:您用的windows与此域无法联系，原因是域控制器存在故障或不可用，或没有找到计算机帐户，请稍后重试，若持续出现，请与系统管理员联系.这个时候,我只有重新把该计算机加入域. 该计算机昨天还是可以正常登录域,域控制器没有问题,网络也是正常连通的. 我想问这种情况是由什么原因引起的?如何避免呢?回答：根据您的描述，我对这个问题的理解是：在客户端登录到域时出现“您用的windows与此域无法联系，原因是域控制器存在故障或不可用，或没有找到计算机帐户，请稍后重试，若持续出现，请与系统管理员联系”提示。

您看到的文章来自活动目录seo/c1404552/根据我的经验和研究，出现该提示的原因绝大多数由于DC中的计算机帐户重名或者被禁用所导致。

当您将一台客户端加入域时，默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象，这意味着DC已经和客户端建立起了secure channel，同时会生成一个key，安全通道的密码和计算机的帐户一起存储在所有域控制器上。

对于Windows 2000 或Windows XP，默认计算机帐户密码的更换周期为30 天。

如果因某种原因导致计算机帐户的密码和LSA 机密不同步，意味着客户端与DC的通信被断掉，则会导致您所述的提示信息没有找到计算机账户。

而如果secure channel被断掉。

导致secure channel出错的原因可能有以下几种：1. 将客户端加入到域时，域中已经存在与该计算机同名的计算机账户，那么在该计算机加入域后，会将本计算机的名称覆盖与其同名的计算机帐户，这样就会导致备覆盖的哪个计算机在登录域时报错2. 将ADUC中的计算机账户删除也会导致上述错误您看到的文章来自活动目录seo/c1404552/解决该问题，我们需要同步计算机帐户的密码和LSA 机密，在Windows 2000 或Windows XP 中重置计算机帐户的四种方法：1.使用Netdom.exe 命令行工具2.使用Nltest.exe 命令行工具注意：Netdom.exe 和Nltest.exe 工具位于Windows Server CD-ROM 上的Support\Tools 文件夹中。

AD域故障汇总Q1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

三、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

加入域时，如果输入的域名为FQDN格式，形如gdb.local，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。

”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。

加入域时，如果输入的域名为NetBIOS格式，如gdb，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。

而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。

1、怎样限制一个域用户登录指定的计算机？（1）、先在域控制器的Active Directory用户和计算机中找到要限制的用户（比如叫insistence）。

（2）、然后右键点击用户insistence的属性，找到账户这一项。

点击登录到，会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only，点击添加即可！注意：如果想立即看到效果，可以在域控制器上使用命令gpupdate /force强制刷新组策略，然后再在域成员机器上使用该命令刷新就ok了！2怎样让域用户拥有本地管理员权限！（1）右键点击我的电脑→管理，出现下图。

（2）点击本地用户和组→组,出现如下图！（3）右键点击administrators→属性。

（4）点击添加（5）确定，然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可！重新用该用户登录就具有本地超级管理员权限了！注意：如果没把该用户加入到本地管理员组中，即使该域用户拥有用控制器上的超级管理员权限，但他在本地计算机上的权限也是guest用户的权限！3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

（1）前提是本机有一个固定的ip地址，并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

（2）开始→程序→管理工具→Internet信息服务（3）右键单击FTP站点→新建FTP站点进行如下操作（4）然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件，双击安装即可（注意：有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件，然后把它放到C:\WINDOWS\system32下，点击注册即可，安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI）（5）然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑，在里面输入only，这是规定only的访问目录。

客户端不能加入域？解决资料整合加入域出现以下错误,windows无法找到网络路径，请确认网络路径正确并且目标计算机不忙或已关闭？核心提示：在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。

故障现象：单位有一台运行Windows XP系统的办公用计算机，由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。

按照正常的操作步骤进行设置，在“系统属性”的“计算机名”选项卡中加入域的时候，系统要求输入有权限将计算机加入域的用户名和密码（这表示已经找到域控制器）。

然而，在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。

解决方法：由于客户端计算机能够找到域控制，因此可以确定网络的物理连接和各种协议没有问题。

此外，由于可以在该计算机上找到域控制器，说明DNS解析方面也是正常的。

那为什么能找到域控制器却又提示无法找到网络路径呢？这很可能是未安装“Microsoft网络客户端”造成的。

在“本地连接属性”窗口的“常规”选项卡中，确保“Microsoft网络客户端”处于选中状态，然后重新执行加入域的操作即可。

“Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一，利用该组件可以使本地计算机访问Microsoft网络上的资源。

如果不选中该项，则本地计算机没有访问Microsoft网络的可用工具，从而导致出现找不到网络路径的提示。

本例故障的解决方法启示用户，为系统安装常用的组件和协议可以避免很多网络故障的发生，计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信.服务端（域控制器）：Microsoft网络文件和打印共享和网络负载平衡没选择上去，一定要选择上Microsoft网络文件和打印共享和网络负载平衡。

客户端要加入域,相关的服务要开始：Computer BrowserWorkstationRemote Procedure Call (RPC)TCP/IP NetBIOS HelperWindows Management Instrumentation这些客户端服务是否开启，TCP/IP NetBIOS Helper和Workstation一定要开启并非都是客户端问题，我的问题出在DC的安全策略上，是因为启用了DC上的组策略－>安全选项中的“帐户: 使用空白密码的本地帐户只允许进行控制台登录”，在客户端加入域时用户名的密码正好是空白的，过了会儿就出现了“找不到网络路径”，所以应该输入有密码的域账户，或者禁用这条安全策略。