客戶端不能加入域的解決方法和步驟.doc

客戶端不能加入域？解決資料整合加入域出現(xiàn)以下錯誤,windows無法找到網(wǎng)絡(luò)路徑，請確認(rèn)網(wǎng)絡(luò)路徑正確并且目標(biāo)計算機(jī)不忙或已關(guān)閉？核心提示：在輸入管理賬號和密碼并點(diǎn)擊“確定”按鈕后，系統(tǒng)卻提示“找不到網(wǎng)絡(luò)路徑”，該計算機(jī)無法加入域。故障現(xiàn)象：單位有一臺運(yùn)行Windows XP系統(tǒng)的辦公用計算機(jī)，由于工作需要準(zhǔn)備將它加入到已經(jīng)建立好的基于Windows Server 2003系統(tǒng)的域中。按照正常的操作步驟進(jìn)行設(shè)置，在“系統(tǒng)屬性”的“計算機(jī)名”選項卡中加入域的時候，系統(tǒng)要求輸入有權(quán)限將計算機(jī)加入域的用戶名和密碼（這表示已經(jīng)找到域控制器）。然而，在輸入管理賬號和密碼并點(diǎn)擊“確定”按鈕后，系統(tǒng)卻提示“找不到網(wǎng)絡(luò)路徑”，該計算機(jī)無法加入域。解決方法：由于客戶端計算機(jī)能夠找到域控制，因此可以確定網(wǎng)絡(luò)的物理連接和各種協(xié)議沒有問題。此外，由于可以在該計算機(jī)上找到域控制器，說明DNS解析方面也是正常的。那為什么能找到域控制器卻又提示無法找到網(wǎng)絡(luò)路徑呢？這很可能是未安裝“Microsoft網(wǎng)絡(luò)客戶端”造成的。在“本地連接 屬性”窗口的“常規(guī)”選項卡中，確?！癕icrosoft網(wǎng)絡(luò)客戶端”處于選中狀態(tài)，然后重新執(zhí)行加入域的操作即可?！癕icrosoft網(wǎng)絡(luò)客戶端”是客戶端計算機(jī)加入Windows 2000域時必須具備的組件之一，利用該組件可以使本地計算機(jī)訪問Microsoft網(wǎng)絡(luò)上的資源。如果不選中該項，則本地計算機(jī)沒有訪問Microsoft網(wǎng)絡(luò)的可用工具，從而導(dǎo)致出現(xiàn)找不到網(wǎng)絡(luò)路徑的提示。本例故障的解決方法啟示用戶，為系統(tǒng)安裝常用的組件和協(xié)議可以避免很多網(wǎng)絡(luò)故障的發(fā)生， 計算機(jī)本地連接自帶的防火墻也應(yīng)該關(guān)閉.以避免應(yīng)該防火墻的問題造成無法與域控制器通信.服務(wù)端（域控制器）：Microsoft網(wǎng)絡(luò)文件和打印共享和網(wǎng)絡(luò)負(fù)載平衡沒選擇上去，一定要選擇上Microsoft網(wǎng)絡(luò)文件和打印共享和網(wǎng)絡(luò)負(fù)載平衡?？蛻舳艘尤胗?相關(guān)的服務(wù)要開始：Computer BrowserWorkstationRemote Procedure Call (RPC)TCP/IP NetBIOS HelperWindows Management Instrumentation這些客戶端服務(wù)是否開啟，TCP/IP NetBIOS Helper和Workstation一定要開啟并非都是客戶端問題，我的問題出在DC的安全策略上，是因為啟用了DC上的組策略安全選項中的“帳戶: 使用空白密碼的本地帳戶只允許進(jìn)行控制臺登錄”，在客戶端加入域時用戶名的密碼正好是空白的，過了會兒就出現(xiàn)了“找不到網(wǎng)絡(luò)路徑”，所以應(yīng)該輸入有密碼的域賬戶，或者禁用這條安全策略。 另一個問題是安裝AD時更改了數(shù)據(jù)庫NTDS文件夾、SYSVOL文件夾安裝路徑，在虛擬機(jī)上做會容易導(dǎo)致AD出錯，DNS日記里會告訴找不到AD。dns中的srv記錄可能沒有創(chuàng)建好：在安裝的dns服務(wù)器上1重新啟動netstopnetlogon&netstartnetlogon服務(wù)2開始-運(yùn)行-cmd-ipconfig/registerdns3重新啟動電腦打開事件查看器，認(rèn)真檢查DC和DNS服務(wù)器相關(guān)信息，看有沒有警告、錯誤的事件。檢查步驟：1. 確認(rèn)域內(nèi)有DNS服務(wù)器，并能夠正常工作，我們建議您將DC和DNS服務(wù)器配置一臺計算機(jī)。2. 使用本地管理員帳號登錄到出現(xiàn)問題的客戶端，運(yùn)行ipconfig /all 檢查TCP/IP協(xié)議的配置是否正確，請把主DNS服務(wù)器指向域內(nèi)的DNS服務(wù)器。3. 在域控制器上，運(yùn)行ipconfig /all 檢查TCP/IP協(xié)議的配置是否正確，請把主DNS服務(wù)器指向PDC。4. 在Windows Server 2003 中配置 DNS 更新功能，利用 DNS 更新功能，DNS 客戶端計算機(jī)便能夠注冊到 DNS 服務(wù)器并在每次發(fā)生更改時通過 DNS 服務(wù)器動態(tài)更新其資源記錄。如何在 Windows Server 2003 中配置 DNS 動態(tài)更新，點(diǎn)擊下面地址去看：/kb/816592/zh-cn5. 確認(rèn)在客戶端和服務(wù)器上沒有安裝防火墻或者殺毒軟件。6. 將出現(xiàn)問題的客戶端退出域，然后重新加入到域中，測試問題是否依然存在。相關(guān)問題：網(wǎng)域中一臺電腦想加入到網(wǎng)域，DNS已經(jīng)指向了域控制器（域控制器也是DNS服務(wù)器）但卻出現(xiàn)以下提示：詳細(xì)信息如下：注意:此信息主要供網(wǎng)絡(luò)管理員參考。如果您不是網(wǎng)絡(luò)的管理員，請通知網(wǎng)絡(luò)管理員您收到了此信息，記錄在文件C:WINDOWSdebugdcdiag.txt中。域名janifast可能是一個NetBIOS域名。如果是這種情況，請確認(rèn)域名用WINS正確注冊。如果您確認(rèn)此名稱不是一個NetBIOS域名，那么下面的信息將幫助您對DNS配置進(jìn)行疑難解答:當(dāng)查詢DNS以獲得服務(wù)位置(SRV)資源記錄時遇到下列錯誤，此資源記錄用來為域janifast定位域控制器:錯誤是:DNS名稱不存在。(錯誤代碼0x0000232BRCODE_NAME_ERROR)查詢是為_ldap._tcp.dc._msdcs.janifast查詢SRV記錄此錯誤的一般原因包括:-DNSSRV記錄沒有在DNS中注冊。-下列區(qū)域的一個或多個不包括到它的子區(qū)域的代理:janifast。(根目錄區(qū)域)有關(guān)怎樣更正此錯誤，請單擊“幫助”。hostS文件有無問題可能是ISA防火墻引起的,要知道域控上是不能開啟防火墻的,最好設(shè)置一下策略。跨網(wǎng)段加入域時，要輸入域全名，比如:，不能只輸入test(不跨網(wǎng)段時我經(jīng)常這樣輸入)，否則會提示無法找到域，這是因為輸入test時，使用的是netbios協(xié)議廣播尋找域的，而netbios協(xié)議不能跨網(wǎng)段通信，除非配置了wins服務(wù)器。輸入nslookup 域名，例如：nslookup 看輸出DNS的server名、IP，看看輸出是否正常，能否解析到域名。PING一下DNS,是全名哦，像:XX.COM這樣,最主要是去DNS服務(wù)器看那個名字，然后把在本地連接的支持里修復(fù)點(diǎn)一下,主DNS都指向那DNS的服務(wù)器DNS，如果這樣還不行,那要看看組策略里的計算機(jī)配置網(wǎng)絡(luò)DNS客戶端，看看有沒有修改過 ?？蛻舳说腄NS設(shè)置有沒有問題，要確定是你的DC的IP，因為很多DNS設(shè)置了轉(zhuǎn)發(fā)功能，雖然能ping到域名，但是無法加入域，最好將你的客戶端DNS只設(shè)置為DC的IP。A1、客戶機(jī)無法加入到域？ 一、權(quán)限問題。 要想把一臺計算機(jī)加入到域，必須得以這臺計算機(jī)上的本地管理員（默認(rèn)為administrator）身份登錄，保證對這臺計算機(jī)有管理控制權(quán)限。普通用戶登錄進(jìn)來，更改按鈕為灰色不可用。并按照提示輸入一個域用戶帳號或域管理員帳號，保證能在域內(nèi)為這臺計算機(jī)創(chuàng)建一個計算機(jī)帳號。 二、不是說“在2000/03域中，默認(rèn)一個普通的域用戶（Authenticated Users）即可加10臺計算機(jī)到域。”嗎？這時如何在這臺計算機(jī)上登錄到域呀！ 顯然這位網(wǎng)管誤解了這名話的意思，此時計算機(jī)尚未加入到域，當(dāng)然無法登錄到域。也有人有辦法，在本地上建了一個與域用戶同名同口令的用戶，結(jié)果可想而知。這句話的意思是普通的域用戶就有能力在域中創(chuàng)建10個新的計算機(jī)帳號，但你想把一臺計算機(jī)加入到域，首先你得有這臺計算機(jī)的管理權(quán)限才行。再有就是當(dāng)你加第11臺新計算機(jī)帳號時，會有出錯提示，此時可在組策略中，將帳號復(fù)位，或干脆刪了再新建一個域用戶帳號，如joindomain。注意：域管理員不受10臺的限制。三、用同一個普通域帳戶加計算機(jī)到域，有時沒問題，有時卻出現(xiàn)“拒絕訪問”提示。 這個問題的產(chǎn)生是由于AD已有同名計算機(jī)帳戶，這通常是由于非正常脫離域，計算機(jī)帳戶沒有被自動禁用或手動刪除，而普通域帳戶無權(quán)覆蓋而產(chǎn)生的。解決辦法：1、手動在AD中刪除該計算機(jī)帳戶；2、改用管理員帳戶將計算機(jī)加入到域；3、在最初預(yù)建帳戶時就指明可加入域的用戶。 四、域xxx不是AD域，或用于域的AD域控制器無法聯(lián)系上。 在2000/03域中，2000及以上客戶機(jī)主要靠DNS來查找域控制器，獲得DC的 IP 地址，然后開始進(jìn)行網(wǎng)絡(luò)身份驗證。DNS不可用時，也可以利用瀏覽服務(wù)，但會比較慢。2000以前老版本計算機(jī)，不能利用DNS來定位DC，只能利用瀏覽服務(wù)、WINS、lmhosts文件來定位DC。所以加入域時，為了能找到DC，應(yīng)首先將客戶機(jī)TCP/IP配置中所配的DNS服務(wù)器，指向DC所用的DNS服務(wù)器。 加入域時，如果輸入的域名為FQDN格式，形如，必須利用DNS中的SRV記錄來找到DC，如果客戶機(jī)的DNS指的不對，就無法加入到域，出錯提示為“域xxx不是AD域，或用于域的AD域控制器無法聯(lián)系上。”2000及以上版本的計算機(jī)跨子網(wǎng)（路由）加入域時，也就是說，加入域的計算機(jī)是2000及以上，且與DC不在同一子網(wǎng)時，應(yīng)該用此方法。 加入域時，如果輸入的域名為NetBIOS格式，如mcse，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC，但瀏覽服務(wù)不是一個完善的服務(wù)，經(jīng)常會不好使。而且這樣雖然也可以把計算機(jī)加入到域，但在加入域和以后登錄時，需要等待較長的時間，所以不推薦。再者，由于客戶機(jī)的DNS指的不對，則它無法利用2000DNS的動態(tài)更新動能，也就是說無法在DNS區(qū)域中自動生成關(guān)于這臺計算機(jī)的A記錄和PTR記錄。那么同一域另一子網(wǎng)的2000及以上計算機(jī)就無法利用DNS找到它，這本應(yīng)該是可以的。 若客戶機(jī)的DNS配置沒問題，接下來可使用nslookup命令確認(rèn)一下客戶機(jī)能否通過DNS查找到DC（具體見前）。能找到的話，再ping一下DC看是否通。nslookup XXX.COMPing A2、用戶無法登錄到域？ 一、用戶名、口令、域 確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小寫，口令是區(qū)分大小寫的?？匆幌掠卿浀挠蚴欠襁€存在（比如子域被非正常刪除了，域中唯一的DC未聯(lián)機(jī)）。 二、DNS 客戶機(jī)所配的DNS是否指向DC所用的DNS服務(wù)器，討論同前。 三、計算機(jī)帳號 基于安全性的考慮，管理員會將暫時不用的計算機(jī)帳號禁用（如財務(wù)主管渡假去了），出錯提示為“無法與域連接，域控制器不可用，找不到計算機(jī)帳戶”，而不是直接提示“計算機(jī)帳號已被禁用”?？傻紸D用戶和計算機(jī)中，將計算機(jī)帳號啟用即可。 對于 Windows 2000/XP/03，默認(rèn)計算機(jī)帳戶密碼的更換周期為 30 天。如果由于某種原因該計算機(jī)帳戶的密碼與 LSA 機(jī)密不同步，登錄時就會出現(xiàn)出錯提示：“計算機(jī)帳戶丟失”或“此工作站和主域間的信任關(guān)系失敗”。解決辦法：重設(shè)計算機(jī)帳戶，或?qū)⒃撚嬎銠C(jī)重