Windows Active Directory 域故障排错（三）

760176104

Active Directory
Active Directory


）身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。“域中，默认一个普通的域用户（10吗？这时如何在这台计算机上登录到域呀！10台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如10三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现”这个问题的产生是由于1中删除该计算机帐户；3四、域AD域控制器无法联系上。在2000来查找域控制器，获得 IP 不可用时，也可以利用浏览服务，但会比较慢。DNS，只能利用浏览服务、lmhosts。所以加入域时，为了能找到TCP/IP服务器，指向DNS
格式，形如DNS记录来找到DNS域AD域控制器无法联系上。2000不在同一子网时，应该用此方法。加入域时，如果输入的域名为mcse，但浏览服务不是一个完善的服务，经常会不好使。而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。再者，由于客户机的2000DNS区域中自动生成关于这台计算机的PTR及以上计算机就无法利用
DNS命令确认一下客户机能否通过DC一下
、用户无法登录到域？一、用户名、口令、域确保输入正确的用户名和口令，注意用户名不区分大小写，口令是区分大小写的。看一下欲登录的域是否还存在（比如子域被非正常删除了，域中唯一的
       是否指向DNS三、计算机帐号基于安全性的考虑，管理员会将暂时不用的计算机帐号禁用（如财务主管渡假去了），出错提示为……，找不到计算机帐户“。可到
Windows 2000/XP/03天。如果由于某种原因该计算机帐户的密码与“或”四、默认普通域用户无权在
Q1五、跨域登录中的问题2000配置去找DNS记录告诉它DC　　如果是在林中跨域登录，是首先查询GC。如果是要登录到其它有信任关系的域（不一定是本林的），要保证
、如何解决本地或域管理员密码丢失？　　本地管理员密码丢失，可通过删除2000SP3软件来解决。但要解决域管理员密码丢失，它们就无能为力了“中的
“或”；、下载后解压缩，将其内容刻录成光盘；、用此光盘启动计算机，显示Start ERD Commander 20024；、出现类似

XP；、进入
Administrator10，点
reboot凤凰启动盘中的NT/2000/XP/03域管理员密码，均已实验证明。DC，重设密码时要注意符合密码策略中要求的符合复杂性要求，且密码最小长度为
Q4

       系统在这里有个小毛病，它并不象你访问共享文件夹那样，由于没有身份而提示你输入用户名和密码来进行验证，而是直接提示你”当前打印机安装有问题“RPC等等（在不同的操作系统或应用程序中提示会所不同）。解决办法有11说明：2用户，保证
—，这时会提示你输入用户名和密码。通过验证后，再去使用打印机。很显然这样方法比较麻烦。Q5
guest用户没有权限造成的。接下来的讨论实质和域的关系不太，但确实是我们访问网络共享资源中经常会碰到的问题：基于IP运行：
通的前提下，若
“Microsoft服务的问题。“\\10.63.243.1 。
右键/右键
net logon、
（net logon试图登录，但网络登录服务未启动
）若目标机上的“\\10.63.243.1 （worstation网络未连接或启动
操作：我的电脑/服务和应用程序
NetBIOS提示：访问任何计算机均提示：”检查：重启一下，看是否有”操作：我的电脑/属性
XP/03帐户：使用空白密码的本地帐户只允许进行控制台登录
无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败：用户帐户限制。可能的原因包括不允许空密码，登录时间限制，或强制的策略限制。XP/03操作：开始gpedit.msc设置/安全选项下，由默认值”禁用
5提示：找不到网络路径 TCP/IP、TCP和
（/本地连接TCP/IP—选项
）网上邻居/属性：—安全机制3程序/路由选择/右键属性/说明：1筛选器只在IPSEC的上述位置才有。2：445（
、在
AD过AD或
AD1域和计算机S123上/说明：  域用户帐户才可以复制，对于本地用户帐户无此功能。  选项卡
[/td][/tr][tr][td=1,1,151]无。
[/td][td=1,1,417]街道
[/td][/tr][tr][td=1,1,151]除了”配置文件“和”变量，如：
[/td][td=1,1,417]单位“之外所有。
[/td][td=1,1,417]拨入
[/td][/tr][tr][td=1,1,151]无，将默认值应用于新帐户。
[/td][td=1,1,417]远程控制
[/td][/tr][tr][td=1,1,151]无，将默认值应用于新帐户。csvde
[/td][td=1,1,271]
[/td][td=1,1,261]
[/td][/tr][tr][td=1,1,36]只能用来添加对象，不能用于删除
[/td][td=1,1,261]删除
[/td][/tr][tr][td=1,1,36]字段名2,记录,此值1字段名1字段名1字段名1　　　　　
[/td][td=1,1,271]“cn=s1,ou=test,dc=mcse,dc=com”,user,s1
Objectclass:user
useraccountcontrol:512
[/td][/tr][tr][td=1,1,36]用于导入的文本文件必须包含：用户帐号的
l512                  字段值为“（不设这个字段，默认也是如此）。通过设66048密码永不过期
[/td][/tr][/table]csvde.exe导入
在”。  3、DC运行：  说明：1、pwdLastSet 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么，其值应该怎么写，出错信息如下：写"
[/td][td=1,1,168]安全帐户管理器"
[/td][/tr][/table]）可通过
-d “cn=users,dc=mcse,dc=com”
  ，并利用复制、粘贴、修改得到多条记录。例如："CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com
，其它可用字段，我试了一下，见下表（不全）：
[/td][td=1,1,222]说明常规
[/td][/tr][tr][td=1,1,174]Sn
[/td][td=1,1,172]
[/td][td=1,1,222]英文缩写
[/td][/tr][tr][td=1,1,174]displayName
[/td][td=1,1,172]
[/td][td=1,1,222]办公室
[/td][/tr][tr][td=1,1,174]telephoneNumber
[/td][td=1,1,172]
[/td][td=1,1,222]
[/td][/tr][tr][td=1,1,174]Mail
[/td][td=1,1,172]
[/td][td=1,1,222]网页：其它多个以英文分号分隔地址
[/td][/tr][tr][td=1,1,174]地区如：中国GB
[/td][/tr][tr][td=1,1,174]自治区
[/td][/tr][tr][td=1,1,174]县
[/td][/tr][tr][td=1,1,174]streetAddress
[/td][td=1,1,172]
[/td][td=1,1,222]邮政编码
[/td][/tr][tr][td=3,1,569]”用户登录名形如：
[/td][td=1,1,222]S1
[/td][/tr][tr][td=1,1,174]logonHours
[/td][td=1,1,172]登录到多个以英文逗号分隔
[/td][td=1,1,222]512，
[/td][td=1,1,222]“标签
[/td][td=1,1,222]登录脚本
[/td][/tr][tr][td=1,1,174]homeDirectory
[/td][td=1,1,172]
[/td][td=1,1,222]到
[/td][/tr][tr][td=3,1,569]”家庭电话若是其它，均在前面加otherhomePhone
寻呼机移动电话传真IPipPhone
[/td][/tr][tr][td=1,1,174]Info
[/td][/tr][tr][td=3,1,569]”职务
[/td][/tr][tr][td=1,1,174]Department
[/td][td=1,1,172]
[/td][td=1,1,222]“标签
[/td][td=1,1,222]DN“标签***msNPAllowDialin
[/td][td=1,1,172]
[/td][td=1,1,222]
[/td][/tr][tr][td=1,1,174]值：回拨选项
[/td][/tr][tr][td=1,1,174]值：总是回拨到
[/td][/tr][tr][td=3,1,569]”会话“、”标签userParameters6，键入-j
域用户帐户复制、做/备份和恢复SID字段设到一些用户组中去，使它有权利权限。但这与利用”

（用户可参考下例）。Set objOU = objDomain.Create("organizationalUnit", "ou=Management")
在Management。Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
objUser.SetInfo
2sj*!"
说明：下创建一个名叫i，启用。Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
objGroup.SetInfo
说明：下创建一个名叫AckermanPila
显示“脚本成功结束”信息2
                                                  objRootDSE.Get("defaultNamingContext"))
objUser.Put "sAMAccountName", "UserNo" & i
Next
在当前域的UserNo1，共
1
复制中是一个极为重要的因素。如：决定多主控复制时，谁的修改最终生效。所以整个域的时间，都由域的PDC       1的正常工作没有任何影响。解决：仿真主控计算机的时间。实际工作中，要先查看域内计算机的时区设置是否正确。Q8域，需要有什么样的权限才行？12，需要该域的域管理员（
DC，都涉及到林结构的改变，需要林管理员（
、如何在03？       03比，功能更强大了，在域和2000、加入DC复制，
03是不行的，会收到出错提示”（03，adprep /forestprep进行域准备。03域的附加2000域的附加2000即可，不需要准备。Q10域时，由于没有AD
成员或独立服务上上运行AD，其上必须有一个AD文件夹。2000分区是NT4，SP4的
是引导分区，即系统夹windows分区，系统会自动查找下一个可用的d:\sysvol分区，就会出错，导致convert分区转成FAT以转换
/2确认转换。这时并没有真正开始转换，如果后悔，可以到注册表\会话管理Convert d: /fs:ntfs 3到
、安装NetBIOS
AD全名，在这里应该输入新域的完全有效域名mcse.com作为此域的
（建议用户不要修改此名），重名系统则自动设为2000名称解析和
名称，只是为“或2000定位域），其实
，NetBIOS域未能完全成功，又再次安装导致的，这样情况倒可以强行将mcse。Q12完成后，重启登录非常慢，甚至长达
2000/03 Server造成的，故障较难定位。若重启几次后就正常了，则不必理会。如果多次重启后还是非常慢，那就要重装系统及AD
AD，但安装结束后，在SRV
过程中在本机安装TCP/IP服务器指向自己，这样在安装SRV服务器的区域当中去的，生成四个以下划线开头的文件夹，如
_msdcs.如果安装前忘了将/服务即可。这样可以把启动时未能注册到SRV中）写入DC

在保证权限（需要林管理员权限，不要误以为是父域管理员权限）、“无法与域命名主机”
必须可用。这是由于：为了保证域的名字在林中唯一，域命名主机需要查询2000必须和域命名主机在同一台计算机上才行。若是GC解决：保证域命名主控联机，如果确信其已无法正常工作，可强制传给（查封DC也可以。原来的主控必须被重做系统后，才可连入网络，以保证域命名主控的林唯一性。Q15
仿真主控负责最小化密码变化的复制等待时间，若一台PDC仿真主机失效，收到该请求的PDC仿真主控。seize。原来的主控必须被重做系统后，才可连入网络，以保证
Q16时的常见问题       回复到普通成员AD12卸载后，仍在域中。、如果
）网卡是否正常工作AD无法卸载，提示SYSVOL（
时类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员（DC）权限；卸载子域或树，涉及到林结构的改变，也需要林管理员权限。3       一致。如果做了1找到相应
）域命名主控卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加
无法与域命名主机”失败。”（

GC）已经随林根域的删除而没有了。为什么这么说呢？因为如果管理员考虑到主控及
、DC
AD方面的故障。考虑本机上已安装有的应用程序，你还不想重做系统，可考虑使用如下办法。、开始regedit打开注册表编辑器。、找到以下的键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options
类型：、“LanmanNT”。说明：1表示本机为域控制器ServerNT。2和ProductType ，一个为
¨2000系统已检测到干预您的注册产品类型，这是您对软件许可证的侵犯。干预产品类型是不允许的。对于“（ntdsutil对象（实质指dcpromo接下来，方法一：、重新启动计算机，按“。
）在此模式下，AD进行操作。2时，所设的目录恢复模式下的口令。保存在本机一个
C:\WinNT\NTDS。、删除存放系统卷的文件夹，默认为C:\Windows\SYSVOL

dcpromo到一个临时的域的域控制器（域名可以任意填写），然后再用
1运行，在命令行中输入、由于前面已经修改了注册表，此时为
“域名
为你修改注册表前原来域的
abc.com改为
“c:\winnt\ntds6说明：1后，时间可能会比较长，请耐心等待。2错误提示，一般选择在本机安装
）也可能会出现”（dcpromo7进行卸载。当然直接使用这台
DNS故障才行。Q18数据库中的垃圾对象。       子域、AD卸载就把AD工具进行），来删除垃圾对象。具体操作如下：、开始cmd。
）直接，开始ntdsutil（
）进行元数据库清理，可以在非2000/XP/03工具进行授权恢复、整理移动DC（ntdsutilHELP2 ntdsutil: ，然后按
是个分层的多级命令行工具，用户在键入名字时，可简写，只要不同于本级命令中的其它命令即可。比如上面的命令m c3提示符下，键入 ENTER4提示符下，键入 ENTER说明：1是指域控制器的FQDN去连，但实际上发现用
）在这里要连接的DC对象。、键入 ENTER 提示符。、键入 ENTER7，然后按

select domain number ENTER说明：是与故障服务器所在的域相关的数字。、键入 ENTER10，然后按
number 11，然后按

select server number。其中
quit ，退回到菜单。
remove selected server 。Active Directory 可能已删除了域控制器。、或者键入 ENTER说明：对象（实质是
quit 直至回到命令符。如果清理的是1站点和服务上，展开适当站点，删除相应2用户和计算机上，双击打开OU对象。如果清理的是Active Directory      
DC。一、传送五种主控
DC，原来的为
DC23操作主机
123都是最近安装的，极易成功。如果是运行了一段时间的，就不好说了。但我估计你的成功率应在九成以上，因为一般网管都不太动这个。、传送结构主控时，若目标已是GC上，应手动移走，否则将不起作用。而单域不需要基础结构主控非得有效，我们一般平常用的都是单域，默认基础结构主控就和
5小时不等，你什么都没做，再试可能就成功了。可以利用/默认的第一个站点名/立即复制副本，来强制
DC中去除，在开始/DCPROMO。不要选DC”了。如不成功，可以直接把原AD的垃圾对象，也不影响什么。若非要清干净，参见前例。、如果原角色seize是
ntdsutil下seize还是seize二、转移不具有唯一性，可在DC2。操作如下：、在/2全局编录

DC1的内容成功传送，可在
Global Catalog Promotion Complete=1
AD
2000/03恢复。备份工具位于：开始/系统工具下。利用备份DNS、
1区域必须为AD集成的意思就是：将AD2管理工具下有关(03光盘/，添加相应的管理工具，如AD3重装的AD，目录恢复模式，恢复大约需要AD，不涉及到7-84下利用备份工具恢复系统状态数据时，需要手动将”如果文件已存在，总是替换
选项“。否则winnt\sysvol\sysvol）给恢复回来。“即可。、具体备份
、如何进行授权恢复首先我们通过一个例子，来说明一下什么是授权恢复。DC，然后用以前的DC同步时，由被恢复的数据是以前的，DC就又被删掉了。ntdsutil对象进行授权恢复，系统将按距备份时间每隔一天AD上的版本号。
DC，选择目录恢复模式、用目录恢复模式下的管理员
开始/系统工具“的恢复、若此时重新启动
4运行：、键入
restore subtree （也可以是子树，甚至是整个
Ntdsutil
重新正常启动
SYSVOL库要保留当前。不必使用AD恢复时，不能进行细化的选择。Q22数据库？一、移动
Ntds.dit 1。、重启F83帐号登录、开始ntdsutil
files下、输入、移动
quit9
数据库将调用AD库文件写入到指定文件夹中。压缩完成之后，将保留原来的AD另外顺便说明一下，12       数据库具体步骤如下：步，与前面相同。、输入、显示整理碎片，直至完成。、输入
2000文件覆盖旧的
DC