解决将计算机提升至域控制器时的问题

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版，单网卡，连接LAN1。

这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。

网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。

提示：Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :The error was: "DNS name does not exist."(error code 0x0000232B RCODE_NAME_ERROR)The query was for the SRV record for _ldap._tcp.dc._Common causes of this error include the following:- The DNS SRV record is not registered in DNS.- One or more of the following zones do not include delegation to itschild zone:com. (the root zone)For information about correcting this problem, click Help.在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。

客户机不能加入域的终极解决方法2010-09-28 12:54解决办法一：客户机加入域时的错误各种各样，但总的来说，客户机不能加入域的解决方法部外乎以下几种：1、将客户机的第一DNS设为AD的IP，一般DNS都时和AD集成安装的，清空缓存并重新注册ipconfig /flushdns 清空DNSipconfig /registerdns 重新申请DNS2、关闭客户端防火墙3、只留IP为AD的第一DNS，第二DNS设为空4、在AD服务器的DNS建立客户机的SRV记录5、启动DNS和TCP/IP NetBIOS Helper Service服务6、更改主机名并在服务器上删除已经存在的DNS记录，重启7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)解决办法二：不能联系域1．您无法用NetBois域名加入域。

2．组策略无法正常应用。

3．无法打开网上领居和访问共享文件。

这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。

我建议您做如下的检查：建议一：如果您的域中有Wins服务器，请检查客户机的Wins配置看是不是指向Wins服务器。

另外，请打开Wins服务器，看记录正确注册。

建议二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。

要解决此问题，请启动 TCP/IP NetBIOS 支持服务。

要启动 NetBIOS 支持服务，请按照下列步骤操作：1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”，单击“运行”，在“打开”框中键入 services.msc，然后单击“确定”。

3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。

您看到的文章来自活动目录seo4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。

解决Windows域管理的几个经典问题2008-05-30 10:57近日在为公司配置域管理架构的时候，遇到了一些问题，上网google发现这些问题的提问者众多，堪称“经典”问题。

Windows域管理已经不是什么新鲜玩意儿了，可网上各类答案很多驴唇不对马嘴，互相抄来抄去，让提问者不得要领。

特撰此文，将我实际解决问题的小小经历记录下来与大家分享，避免大家遇到相同问题的时候走弯路。

我公司的网络结构采用VLAN划分部门，服务器单独一个VLAN，通过在核心交换机上配置路由和ACL实现各部门之间不可互访，通过访问服务器进行数据交换。

服务器是Win2003企业版，不记得用什么光盘装的了，反正网上下的，装完后打过SP2补丁，安装的Win2000域控制器模式（有Win2000的服务器）。

域名：binhu.local主域控制器：192.168.0.6/24 192.168.0.254/24（双网卡）这个网段只有网管部门可访问，本来是调试用的，还没有正式迁移到服务器网段，不过可以和服务器网段建立通信。

额外域控制器：192.168.2.254/24 服务器网段DNS：192.168.2.254DHCP ：192.168.2.254 已经通过交换机的UDPHelp把各个VLAN的DHCP网段都做好了，只配置了IP、网关、DNS。

局域网计算机有Win2k Pro和WinXP Pro，W2k是用自己封装的ghost批量安装的，xp 是用的YlmF_GhostXP_SP3_Y1.0，当然都是会随机产生SID啦，全部采用自动获取IP地址，安装后默认设置不变，XP自带防火墙开启，配置如图1。

（图1）在客户端可以Ping通服务器IP地址以及binhu.local。

总之网络层的互联互通是OK的，下面的问题全都不是由网络配置问题造成的，如果您确定您的网络配置都正确，并且网络结构和我大致相同或比我的还简单，可以继续往下看！问题1：新计算机在添加到域的过程中，按提示输入了域帐户和密码后，系统提示“找不到网络路径”。

备份域控制器提升为主域控制器的步骤备份域控制器提升为主域控制器通过获取5个FSMO来进行提升，具体步骤如下：转移架构主机角色使用"Active Directory 架构主机"管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。

注册 Schmmgmt.dll1. 单击开始，然后单击运行。

2. 在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

3. 收到操作成功的消息时，单击确定。

转移架构主机角色1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击"添加/删除管理单元"。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

7. 在控制台树中，右键单击 Active Directory 架构，然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色，然后单击关闭。

转移域命名主机角色1. 单击开始，指向管理工具，然后单击"Active Directory 域和信任关系"。

2. 右键单击"Active Directory 域和信任关系"，然后单击"连接到域控制器"。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。

如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在"输入其他域控制器名称"框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

- 或 -? 在"或者，选择一个可用的域控制器"列表中，单击将成为新角色持有者的域控制器，然后单击确定。

1、怎样限制一个域用户登录指定的计算机？（1）、先在域控制器的Active Directory用户和计算机中找到要限制的用户（比如叫insistence）。

（2）、然后右键点击用户insistence的属性，找到账户这一项。

点击登录到，会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only，点击添加即可！注意：如果想立即看到效果，可以在域控制器上使用命令gpupdate /force强制刷新组策略，然后再在域成员机器上使用该命令刷新就ok了！2怎样让域用户拥有本地管理员权限！（1）右键点击我的电脑→管理，出现下图。

（2）点击本地用户和组→组,出现如下图！（3）右键点击administrators→属性。

（4）点击添加（5）确定，然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可！重新用该用户登录就具有本地超级管理员权限了！注意：如果没把该用户加入到本地管理员组中，即使该域用户拥有用控制器上的超级管理员权限，但他在本地计算机上的权限也是guest用户的权限！3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

（1）前提是本机有一个固定的ip地址，并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

（2）开始→程序→管理工具→Internet信息服务（3）右键单击FTP站点→新建FTP站点进行如下操作（4）然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件，双击安装即可（注意：有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件，然后把它放到C:\WINDOWS\system32下，点击注册即可，安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI）（5）然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑，在里面输入only，这是规定only的访问目录。