解决将计算机提升至域控制器时的问题

合集下载

建立域服务器时候遇到问题的解决方法

建立域服务器时候遇到问题的解决方法

因为没有硬件环境,因此我使用的是VMware Workstation 5.5.3创造了一个组,电脑配置不高,暂时只建立两台电脑,一个运行WIN2003中文版,双网卡,一个用NAT和物理网络相互连接,一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版,单网卡,连接LAN1。

这样可以尽量和物理网络区分开来,并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team,后边的一看就会,不说了。

1、DNS设置不正确的问题安装活动目录,就在选择DNS的时候,忘了选择了什么选项,像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明,DNS服务器没有正常启动。

打开DNS服务器,开启DNS服务,看了看正向搜索区域,里边有 -->192.168.0.1的项,应该正常吧。

网上顺便看了看MX记录的问题,发觉DNS服务器有很多类型,但是WIN2003的DNS没有这样的记录类型(比如主机类型,TXT类型,邮箱或通信信息),微软真菜,盖子的决心不够啊!^_^打开XP虚拟机,将他加入域的时候,发觉只能用NETBIOS名称加入域,而不能用完整域名加入。

提示:Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :The error was: "DNS name does not exist."(error code 0x0000232B RCODE_NAME_ERROR)The query was for the SRV record for _ldap._tcp.dc._Common causes of this error include the following:- The DNS SRV record is not registered in DNS.- One or more of the following zones do not include delegation to itschild zone:com. (the root zone)For information about correcting this problem, click Help.在网上找了很多地方,没有找到答案,都只是提示了说DNS配置错误。

域控问题

域控问题

客户机不能加入域的终极解决方法2010-09-28 12:54解决办法一:客户机加入域时的错误各种各样,但总的来说,客户机不能加入域的解决方法部外乎以下几种:1、将客户机的第一DNS设为AD的IP,一般DNS都时和AD集成安装的,清空缓存并重新注册ipconfig /flushdns 清空DNSipconfig /registerdns 重新申请DNS2、关闭客户端防火墙3、只留IP为AD的第一DNS,第二DNS设为空4、在AD服务器的DNS建立客户机的SRV记录5、启动DNS和TCP/IP NetBIOS Helper Service服务6、更改主机名并在服务器上删除已经存在的DNS记录,重启7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)解决办法二:不能联系域1.您无法用NetBois域名加入域。

2.组策略无法正常应用。

3.无法打开网上领居和访问共享文件。

这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。

我建议您做如下的检查:建议一:如果您的域中有Wins服务器,请检查客户机的Wins配置看是不是指向Wins服务器。

另外,请打开Wins服务器,看记录正确注册。

建议二:如果 TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务)没有在客户端计算机上运行,可能会出现此问题。

要解决此问题,请启动 TCP/IP NetBIOS 支持服务。

要启动 NetBIOS 支持服务,请按照下列步骤操作:1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”,单击“运行”,在“打开”框中键入 services.msc,然后单击“确定”。

3. 在服务列表中,双击“TCP/IP NetBIOS Helper Service”。

您看到的文章来自活动目录seo4. 在“启动类型”列表中,单击“自动”,然后单击“应用”。

解决Windows域管理的几个经典问题

解决Windows域管理的几个经典问题

解决Windows域管理的几个经典问题2008-05-30 10:57近日在为公司配置域管理架构的时候,遇到了一些问题,上网google发现这些问题的提问者众多,堪称“经典”问题。

Windows域管理已经不是什么新鲜玩意儿了,可网上各类答案很多驴唇不对马嘴,互相抄来抄去,让提问者不得要领。

特撰此文,将我实际解决问题的小小经历记录下来与大家分享,避免大家遇到相同问题的时候走弯路。

我公司的网络结构采用VLAN划分部门,服务器单独一个VLAN,通过在核心交换机上配置路由和ACL实现各部门之间不可互访,通过访问服务器进行数据交换。

服务器是Win2003企业版,不记得用什么光盘装的了,反正网上下的,装完后打过SP2补丁,安装的Win2000域控制器模式(有Win2000的服务器)。

域名:binhu.local主域控制器:192.168.0.6/24 192.168.0.254/24(双网卡)这个网段只有网管部门可访问,本来是调试用的,还没有正式迁移到服务器网段,不过可以和服务器网段建立通信。

额外域控制器:192.168.2.254/24 服务器网段DNS:192.168.2.254DHCP :192.168.2.254 已经通过交换机的UDPHelp把各个VLAN的DHCP网段都做好了,只配置了IP、网关、DNS。

局域网计算机有Win2k Pro和WinXP Pro,W2k是用自己封装的ghost批量安装的,xp 是用的YlmF_GhostXP_SP3_Y1.0,当然都是会随机产生SID啦,全部采用自动获取IP地址,安装后默认设置不变,XP自带防火墙开启,配置如图1。

(图1)在客户端可以Ping通服务器IP地址以及binhu.local。

总之网络层的互联互通是OK的,下面的问题全都不是由网络配置问题造成的,如果您确定您的网络配置都正确,并且网络结构和我大致相同或比我的还简单,可以继续往下看!问题1:新计算机在添加到域的过程中,按提示输入了域帐户和密码后,系统提示“找不到网络路径”。

如何在 Windows Server 2003 中提升域和目录林功能级别

如何在 Windows Server 2003 中提升域和目录林功能级别
Windows 2000 本机模式
页面工具
打印此页 将此页通过电子邮件发送 Microsoft Worldwide 保存到我的支持收藏夹 我的支持收藏夹
• 支持的域控制器:Windows 2000、Windows Server 2003 •
激活的功能:组嵌套、通用组、SidHistory、安全组与通讯组之间的转换、您可以通过提高目录林级别的设置来提升域级别
• 支持的域控制器:Windows NT 4.0、Windows 2000、Windows Server 2003 • 新功能:部分列表中包含了通用组缓存、应用程序分区、从媒体安装、配额,快速全局目录降级、系统访问控制列表(SACL)在 Jet 数据库引擎中的单一实例存储(SIS),改进的事件日志记录的拓扑生成。当将属性添加到 PAS 时,无需全局编目完全同步,Windows Server 2003 域控制器担当站点间
在仍允许向 Windows NT 4.0 BDC 复制的同时,Windows Server 2003 临时模式提供了两个重要的增强功能: 1. 2. 高效安全组复制,每组支持超过 5000 名成员。 改进的 KCC 站点间拓扑生成器算法。
由于在临时级别中激活的组复制效率较高,建议在所有 Windows NT 4.0 的升级中采用该级别。有关更多详细信息,请参见本文“最佳做法”部分。 设置 Windows Server 2003 临时模式目录林功能级别 Windows Server 2003 临时模式可通过三种不同的方式激活。因为在 Windows NT 4.0 域的主域控制器 (PDC) 被升级到 Windows Server 2003 域控制器后,安全组使用链接值复制 (LVR),所以我们极力建议使用前两种方法。由于安全组中的成员使用单一多值属性而可能导致复制问题,所以第三个选项 不是最优的。Windows Server 2003 临时模式可由下列方法激活: 1. 在升级过程中。 在升级一个充当新目录林根域的第一个域控制器的 Windows NT 4.0 域的 PDC 时,该选项会显示在 Dcpromo 安装向导中。 2. 在您使用轻量目录访问协议 (LDAP) 工具通过手动配置目录林功能级别来升级一个充当现有目录林的新的域的第一个域控制器的 Windows NT 4.0 的 Windows NT 4.0 PDC 之前。 子域会从它所提升到的目录林继承目录林范围的功能设置。将一个 Windows NT 4.0 域的 PDC 升级为一个现有 Windows Server 2003 目录林(其中临时目录林功能级别已经使用 Ldp.exe 或 Adsiedit.msc 文件配置)的子域,则当操作系统版本升级后允许安全组使用链接值复制。 3. 在使用 LDAP 工具升级后。 当您在升级过程中加入一个现有 Windows Server 2003 目录林时,使用后两个选项。当存在一个“空根”域时,这是一个常见的情形。所升级的域被作为空根域的子域加入,并从目录林继承域设置。 返回页首

AD域管理常见问题

AD域管理常见问题
如何解决本地或域管理员密码丢失?
本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时
就需要用到 “凤凰万能启动盘 ”中的ERD Commander2002了,接下来我们将详细 讨论使用此盘解决管理员密码丢失问题。
二、不是说 在域中,默认一个普通的域用户(Authenticated Users)即可加
10台计算机到域。 ”吗?这时如何在这台计算机上登录到域呀!显然这位网管误 解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有 办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话 的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一 台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加 第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或 干脆删了再新建一个域用户帐号,如joi n doma i n。注意:
6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控 制器;
7、出现类似的XP桌面:
选择Startቤተ መጻሕፍቲ ባይዱAdministrative Tools/Locksmith;
8、进入ERD Commander2002locksmith向导界面,下一步;
9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机, 否则此修改将无效)
A
1、客户机无法加入到域?
一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认 为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录 进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐 号,保证能在域内为这台计算机创建一个计算机帐号。

如何在 Windows Server 2003 中提升域和目录林功能级别

如何在 Windows Server 2003 中提升域和目录林功能级别

/kb/322692(第 2/7 页)2005-7-8 11:51:17
如何在 Windows Server 2003 中提升域和目录林功能级别
4.
在“选择一个可用的域功能级别”中,请执行以下操作之一: • 单击“Windows 2000 本机模式”,然后单击“提升”以便把域功能级别提升到 Windows 2000 本机模式。 -或• 单击“Windows Server 2003”,然后单击“提升”以便把域功能级别提升到 Windows Server 2003。 注意:您也可以通过右击出现在 Active Directory 用户和计算机 MMC 管理单元中的域来提升域功能级别,然后单击“提升域功能级别”。要提升域功能级别,您必须是域管理员组的成员。 当前的域功能级别显示在“提升域功能级别”对话框的“当前域功能级别”中。级别提升在 PDC FSMO 上执行并要求域管理员权限。
当目录林功能提升后,运行早期版本操作系统的域控制器将不能被引入到该目录林中。例如,如果您将目录林功能提升至 Windows Server 2003,运行 Windows NT 4.0 或 Windows 2000 Server 的域控制器则不能添加到该目录林中。 返回页首
临时级别 — 从 Windows NT 4.0 域升级
/kb/322692(第 1/7 页)2005-7-8 11:51:17
如何在 Windows Server 2003 中提升域和目录林功能级别
返回页首
目录林功能级别
目录林功能激活目录林中所有的域都具有的功能。下面列出了三种目录林功能级别及相应的功能和所支持的域控制器。 Wind版本
: 322692 : 11.0
最后更新日期 : 2004年6月25日

备份域控制器提升为主域控制器的方法

备份域控制器提升为主域控制器的方法

备份域控制器提升为主域控制器的步骤备份域控制器提升为主域控制器通过获取5个FSMO来进行提升,具体步骤如下:转移架构主机角色使用"Active Directory 架构主机"管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。

注册 Schmmgmt.dll1. 单击开始,然后单击运行。

2. 在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。

3. 收到操作成功的消息时,单击确定。

转移架构主机角色1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。

2. 在文件菜单上,单击"添加/删除管理单元"。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。

6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。

7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色,然后单击关闭。

转移域命名主机角色1. 单击开始,指向管理工具,然后单击"Active Directory 域和信任关系"。

2. 右键单击"Active Directory 域和信任关系",然后单击"连接到域控制器"。

注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。

如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。

3. 执行下列操作之一: ? 在"输入其他域控制器名称"框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。

- 或 -? 在"或者,选择一个可用的域控制器"列表中,单击将成为新角色持有者的域控制器,然后单击确定。

域控制器常见问题解决

域控制器常见问题解决

1、怎样限制一个域用户登录指定的计算机?(1)、先在域控制器的Active Directory用户和计算机中找到要限制的用户(比如叫insistence)。

(2)、然后右键点击用户insistence的属性,找到账户这一项。

点击登录到,会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only,点击添加即可!注意:如果想立即看到效果,可以在域控制器上使用命令gpupdate /force强制刷新组策略,然后再在域成员机器上使用该命令刷新就ok了!2怎样让域用户拥有本地管理员权限!(1)右键点击我的电脑→管理,出现下图。

(2)点击本地用户和组→组,出现如下图!(3)右键点击administrators→属性。

(4)点击添加(5)确定,然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可!重新用该用户登录就具有本地超级管理员权限了!注意:如果没把该用户加入到本地管理员组中,即使该域用户拥有用控制器上的超级管理员权限,但他在本地计算机上的权限也是guest用户的权限!3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

(1)前提是本机有一个固定的ip地址,并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

(2)开始→程序→管理工具→Internet信息服务(3)右键单击FTP站点→新建FTP站点进行如下操作(4)然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件,双击安装即可(注意:有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件,然后把它放到C:\WINDOWS\system32下,点击注册即可,安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI)(5)然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑,在里面输入only,这是规定only的访问目录。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

解决将计算机提升至域控制器时的问题
当一个Windows 2003服务器被转换为一个域控制器时,系统会将一些特殊的域名解析记录写到该机器的DNS服务中(通常情况下是微软自己的DNS服务,但是第三方的DNS服务也会出现相同的情况)。

这些记录包括整个域环境的全局唯一标识(GUID),这样活动目录就能够通过GUID地址来进行DNS解析。

如果一个管理员在没有提前为一台机器安装并配置DNS服务就把它提升为域控制器的话,那么上述活动目录的DNS解析记录就不会被正确的配置。

这样就会导致DNS服务没有保存这些特殊的解析记录,从而导致出现一些网络连接的问题。

你可以使用一个命令dcdiag来进行测试,它会在连接到DNS服务器时失败。

通常情况下,错误信息类似下面这些内容:
()服务的GUID DNS名称无法被解析为一个IP地址。

请检查DNS服务名称和DHCP名称。

尽管GUID DNS名称(._msdcs.domain-name.local)无法被解析,服务器名()仍可以被解析为IP地址()并且可以ping通。

请检查该IP地址是否在DNS服务中被正确注册。

很明显,这种问题会导致你的活动目录无法正常工作,下面是解决这个问题的方法:
1.确保系统的TCP/IP设置是正确的,并且将其配置为支持本地DNS服务。

2. 打开“我的网络连接”|“本地连接”(或者是你目前使用的任何一个网
络连接)|“Internet协议(TCP/IP)”|“属性”|“高级”|“DNS”。

3. 将第一个DNS服务器设置为本地计算机。

可以是本机的网络地址,或者
是127.0.0.1(回环地址)。

4. 将“添加主要和连接指定的DNS后缀”和“添加父级后缀到主DNS后缀”
两个选项选中。

5. 将“在DNS中注册该连接的地址”,然后单击“确定”退出。

6. 在命令提示行模式,输入命令ipconfig/flushdns并运行,然后再输入
ipconfig/registerdns,以此清除本地DNS解析缓存并分别注册DNS源记录。

7. 打开DNS管理控制台并查找对应该计算机名的主机记录、SOA记录和Name
Server记录。

8. 在向前查询区域(Forward Lookup Zones),找到用于该活动目录域的DNS
区域并查看其属性。

9. 在区域类型中选择“活动目录集成”并在动态更新类型中选择“仅安全”,
然后点击“确定”退出。

10. 在命令提示行模式输入netdiag/fix并运行,然后是net stop netlogon
和net start netlogon命令来应用刚才的更改。

11.最后,运行dcdiag来测试域控制器的DNS服务是否正常工作。

相关文档
最新文档