AD域管理常見問題

1、A1、客戶機(jī)無法加入到域？一、權(quán)限問題。要想把一臺(tái)計(jì)算機(jī)加入到域，必須得以這臺(tái)計(jì)算機(jī)上的本地管理員(默認(rèn) 為 administrator )身份登錄，保證對(duì)這臺(tái)計(jì)算機(jī)有管理控制權(quán)限。普通用戶登錄 進(jìn)來，更改按鈕為灰色不可用。并按照提示輸入一個(gè)域用戶帳號(hào)或域管理員帳 號(hào)，保證能在域內(nèi)為這臺(tái)計(jì)算機(jī)創(chuàng)建一個(gè)計(jì)算機(jī)帳號(hào)。二、不是說 在域中，默認(rèn)一個(gè)普通的域用戶(Authenticated Users)即可加10 臺(tái)計(jì)算機(jī)到域。 ”嗎？這時(shí)如何在這臺(tái)計(jì)算機(jī)上登錄到域呀！顯然這位網(wǎng)管誤 解了這名話的意思，此時(shí)計(jì)算機(jī)尚未加入到域，當(dāng)然無法登錄到域。也有人有 辦法，在本地上建了一個(gè)與域用戶同名同口令的用戶，結(jié)

2、果可想而知。這句話 的意思是普通的域用戶就有能力在域中創(chuàng)建 10個(gè)新的計(jì)算機(jī)帳號(hào)，但你想把一 臺(tái)計(jì)算機(jī)加入到域，首先你得對(duì)這臺(tái)計(jì)算機(jī)的管理權(quán)限才行。再有就是當(dāng)你加 第 11 臺(tái)新計(jì)算機(jī)帳號(hào)時(shí)，會(huì)有出錯(cuò)提示，此時(shí)可在組策略中，將帳號(hào)復(fù)位，或 干脆刪了再新建一個(gè)域用戶帳號(hào)，如 joi n doma i n 。注意：域管理員不受 10 臺(tái)的限制。三、用同一個(gè)普通域帳戶加計(jì)算機(jī)到域，有時(shí)沒問題，有時(shí)卻出現(xiàn)“拒絕訪問”提示。這個(gè)問題的產(chǎn)生是由于 AD已有同名計(jì)算機(jī)帳戶，這通常是由于非正常脫離 域，計(jì)算機(jī)帳戶沒有被自動(dòng)禁用或手動(dòng)刪除，而普通域帳戶無權(quán)覆蓋而產(chǎn)生的。解決辦法：1、手動(dòng)在ADxx刪除該計(jì)算機(jī)帳

3、戶；2、改用管理員帳戶將計(jì)算機(jī)加入到域；3、在最初預(yù)建帳戶時(shí)就指明可加入域的用戶。四、域XXX不是AD域，或用于域的AD域控制器無法聯(lián)系上在域中，2000及以上客戶機(jī)主要靠DNS來查找域控制器，獲得 DC的IP 地址，然后開始進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。DNS不可用時(shí)，也可以利用瀏覽服務(wù)，但會(huì)比較慢。2000以前老版本計(jì)算機(jī)，不能利用DNS來定位DC,只能利用瀏覽服務(wù)、WINS Imhosts文件來定位DG所以加入域時(shí)，為了能找 到DC,應(yīng)首先將客戶機(jī)TCP/IP配置中所配的DNS服務(wù)器，指向DC所用的DNS服務(wù)器。DNS指的不對(duì)，就無法加入到域，出錯(cuò)提示為域xxx不是AD域，或用于域的AD域控制器無法

4、聯(lián)系上。” 200及以上版本的計(jì)算機(jī)跨子網(wǎng)（路由）加入域時(shí),也就是說,加入域的計(jì)算機(jī)是 2000及以上，且與DC不在同一子網(wǎng)時(shí)，應(yīng)該用此方法。加入域時(shí)，如果輸入的域名為 NetBIOS格式，女口 mcse,也可以利用瀏覽服 務(wù)（廣播方式）直接找到 DC,但瀏覽服務(wù)不是一個(gè)完善的服務(wù),經(jīng)常會(huì)不好使。而且這樣雖然也可以把計(jì)算機(jī) 加入到域,但在加入域和以后登錄時(shí),需要等待較長的時(shí)間，所以不推薦。再者，由于客戶機(jī)的DNS指的不對(duì)，則它無法利用2000DNS的動(dòng)態(tài)更新動(dòng)能，也就是說無法在DNS區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的 A記錄和PTR記 錄。那么同一域另一子網(wǎng)的 2000及以上計(jì)算機(jī)就無法利用DNS

5、找到它，這本應(yīng)該是可以的。若客戶機(jī)的DNS配置沒問題，接下來可使用 nslookup命令確認(rèn)一下客戶機(jī) 能否通過DNS查找到DC （具體見前）。能找到的話，再ping下DC看是否通。A2、用戶無法登錄到域？一、用戶名、口令、域確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小寫，口令是區(qū)分大 小寫的?？匆幌掠卿浀挠蚴欠襁€存在（比如子域被非正常刪除了，域中唯一 的DC未聯(lián)機(jī)）。二、DNS客戶機(jī)所配的DNS是否指向DC所用的DNS服務(wù)器，討論同前。三、計(jì)算機(jī)帳號(hào)基于安全性的考慮，管理員會(huì)將暫時(shí)不用的計(jì)算機(jī)帳號(hào)禁用（如財(cái)務(wù)主管 渡假去了），出錯(cuò)提示為 “無法與域連接 , ，域控制器不可用 , ，找不

6、到計(jì)算機(jī) 帳戶,”，而不是直接提示 計(jì)算機(jī)帳號(hào)已被禁用”。可到AD用戶和計(jì)算機(jī)中，將 計(jì)算機(jī)帳號(hào)啟用即可。對(duì)于Windows 2000/XP/03,默認(rèn)計(jì)算機(jī)帳戶密碼的更換周期為 30天。如果 由于某種原因該計(jì)算機(jī)帳戶的密碼與 LSA 機(jī)密不同步，登錄時(shí)就會(huì)出現(xiàn)出錯(cuò)提 示：“計(jì)算機(jī)帳戶丟失 , ”或“此工作站和主域間的信任關(guān)系失敗 ”。解決辦法： 重設(shè)計(jì)算機(jī)帳戶，或?qū)⒃撚?jì)算機(jī)重新加入到域。四、默認(rèn)普通域用戶無權(quán)在 DCxx登錄見下一小節(jié)的 B1。五、跨域登錄中的問題在 2000 及以上計(jì)算機(jī)上登錄到域的過程是這樣的：域成員計(jì)算機(jī)根據(jù)本機(jī) DNS配置去找DNS服務(wù)器，DNS根據(jù)SRV記錄告訴 它

7、DC是誰，客戶機(jī)聯(lián)系DC,驗(yàn)證后登錄。如果是在林中跨域登錄，是首先查詢 DNS服務(wù)器，問林的GC是誰。所以 要保證林內(nèi)有可用的GC如果是要登錄到其它有信任關(guān)系的域（不一定是本林 的），要保證DNS能找到對(duì)方的域。如何解決本地或域管理員密碼丟失？本地管理員密碼丟失，可通過刪除 sam文件（2000SP3以前）或通過 NTpassword軟件來解決。但要解決域管理員密碼丟失，它們就無能為力了，這時(shí)就需要用到 “鳳凰萬能啟動(dòng)盤 ”中的 ERD Commander 2002了,接下來我們將詳細(xì) 討論使用此盤解決管理員密碼丟失問題。1、上網(wǎng)搜索 鳳凰萬能啟動(dòng)盤”或深山紅葉”或老毛桃WINPI，大約 23

8、0M；2、下載后解壓縮,將其內(nèi)容刻錄成光盤；3、用此光盤啟動(dòng)計(jì)算機(jī)，顯示 XP安裝界面，Start ERD Comma nder 2002 境；4、出現(xiàn)選擇菜單,選擇第一項(xiàng)：ERD Commander 2002；5、出現(xiàn)類似XP的啟動(dòng)界面6、進(jìn)入選擇系統(tǒng)安裝的路徑,一般會(huì)自動(dòng)測(cè)出操作系統(tǒng)、版本及是否域控 制器；7、出現(xiàn)類似的XP桌面：選擇 Start/Administrative Tools/Locksmith；8、進(jìn)入 ERD Commander 2002 locksmith向?qū)Ы缑?，下一步?、選擇 Administrator ，重設(shè)其密碼；（此時(shí)切不可手動(dòng)重新啟動(dòng)計(jì)算機(jī)， 否則此修改將無

9、效）10、選擇 Start/Logoff ，點(diǎn) OK；11、稍候片刻，點(diǎn) reboot 后重新啟動(dòng)計(jì)算機(jī)常見 WINPE啟動(dòng)盤中的ERD Commander 2002功能強(qiáng)大，不僅可破解本地管理員密碼，包括 NT/2000/XP/03 的各個(gè)版本。還可以破解域管理員密碼，均已實(shí)驗(yàn)證明。由于可自動(dòng)識(shí)別操作系統(tǒng) 和版本，及是否DC,所以用戶在操作時(shí)，重設(shè)密碼的方法都是一樣的。對(duì)于 03，重設(shè)密碼時(shí)要注意符合密碼策略中要求的符合復(fù)雜性要求，且密 碼最小長度為 7,否則重設(shè)的密碼會(huì)無效。無法使用域內(nèi)的共享打印機(jī)？現(xiàn)象：計(jì)算機(jī)重啟或注銷,再登錄進(jìn)來,無法使用以前安裝的域內(nèi)的共享網(wǎng)絡(luò)打 印機(jī),為用戶重新安

10、裝打印機(jī),當(dāng)時(shí)可以打印,但不久問題又會(huì)出現(xiàn)。用戶反 映說有時(shí)能打印,有時(shí)就是不能打印。其原因在于用戶沒有登錄到域（很多用戶即使計(jì)算機(jī)加入到了域,也經(jīng)常 習(xí)慣性地選擇登錄到本地機(jī)）,沒有域用戶身份,當(dāng)然無權(quán)訪問域內(nèi)的資源。而且關(guān)鍵是Windows 系統(tǒng)在這里有個(gè)小毛病,它并不象你訪問共享文件夾那樣,由于沒有身份而提示你輸入用戶名和密碼來進(jìn)行驗(yàn)證,而是直 接提示你 “拒絕訪問,無法連接 ”、當(dāng)前打印機(jī)安裝有問題”，“ RP服務(wù)不可用”等等（在不同的操作系統(tǒng)或應(yīng) 用程序中提示會(huì)所不同）。解決辦法有 3 種，最好還是用方法 1。：1、要求用戶將其域用戶帳號(hào)加入到本地管理員組，以后每次都以域用戶帳 號(hào)登

11、錄。說明：這本身就是微軟推薦的一種辦法。因?yàn)槿绻贿@樣，普通用戶以本地管理 員身份登錄時(shí)，控制本機(jī)沒問題，但訪問域資源時(shí)需要輸入域用戶名和口令；而用戶若以域用戶身份登 錄，又沒有本機(jī)管理特權(quán)。比如說：無法關(guān)機(jī)，無法修改網(wǎng)絡(luò)等配置，無法安裝軟件、驅(qū)動(dòng)等。這樣做了以 后，用戶以域用戶身份登錄，同時(shí)他又是本地管理員。2、在打印服務(wù)器上啟用 Guest用戶，保證every one有打印權(quán)限。但這樣做 不安全，所以不推薦。3、在客戶機(jī)上每次要使用打印機(jī)前，在開始 運(yùn)行：PrintServer ，這時(shí)會(huì)提示你輸入用戶名和密碼。通過驗(yàn)證后，再去使用打 印機(jī)。很顯然這樣方法比較麻煩。無法訪問域內(nèi)的共享資源？上

12、例中我們提到過客戶機(jī)如果加入到了域，但用戶選擇登錄到本地機(jī)。當(dāng) 訪問域內(nèi)共享資源時(shí)，會(huì)提示輸入用戶名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒 絕訪問。一般是由于目標(biāo)計(jì)算機(jī)上啟用了guest,而guest用戶沒有權(quán)限造成的。接下來的討論實(shí)質(zhì)和域的關(guān)系不太，但確實(shí)是我們?cè)L問網(wǎng)絡(luò)共享資源中經(jīng) 常會(huì)碰到的問題：基于UNC路徑的I形式來訪問時(shí)的故障，如在開始/運(yùn)行：10.63.243.1 。前提：在網(wǎng)卡、協(xié)議、連接沒問題的情況下。即在可 ping 通的前提下，若 10.63.243.1 不通，排錯(cuò)可從下面幾個(gè)方面來考慮。1、目標(biāo)機(jī)的“ Microsof網(wǎng)絡(luò)的文件和打印機(jī)共享”服務(wù)的問題。 提示：“10.63.2

13、43.1 文件名、目錄名或卷標(biāo)語法不正確 ”。 檢查：服務(wù)是否安裝、是否選中，或重裝一下。操作：網(wǎng)上鄰居 /右鍵/屬性/本地連接 /右鍵/屬性提示： “試圖登錄，但網(wǎng)絡(luò)登錄服務(wù)未啟動(dòng) ”。（ 2）若目標(biāo)機(jī)上的 server 服務(wù)停了：“10.63.243.1 文件名、目錄名或卷標(biāo)語法不正確。 ”（ 3）若本機(jī)的 worstation 服務(wù)停了：“10.63.243.1 網(wǎng)絡(luò)未連接或啟動(dòng) ”。xx 其它計(jì)算機(jī)，也是一樣的提示。 檢查： 相應(yīng)服務(wù)是否已經(jīng)正常啟動(dòng)。操作： 我的電腦/右鍵/管理/服務(wù)和應(yīng)用程序 /服務(wù)下3、由于本機(jī)與其它計(jì)算機(jī)重名（指NetBIOS名稱）的影響提示：訪問任何計(jì)算機(jī)均提

14、示：“找不到網(wǎng)絡(luò)路徑 ”。檢查：重啟一下，看是否有 “網(wǎng)絡(luò)中存在重名 ”的提示?？赡苌洗伍_機(jī)時(shí)沒注意給 忽略了。操作：我的電腦 /屬性/網(wǎng)絡(luò)標(biāo)識(shí) /屬性/計(jì)算機(jī)名下，修改計(jì)算機(jī)名。4、XP/03由于默認(rèn)安全策略：“帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄 ”的影響提示：10.63.243.1 無法訪問。您可能沒有權(quán)限使用網(wǎng)絡(luò)資源。請(qǐng)與這臺(tái)服務(wù)器 的管理員聯(lián)系以查明您是否有訪問權(quán)限。登錄失?。河脩魩粝拗啤？赡艿脑虬ú辉试S空密碼，登錄時(shí)間限制，或強(qiáng)制的 策略限制。檢查：改用非空密碼的帳戶試試，或查看 X P/0 3目標(biāo)機(jī)上的本地策略。操作：開始 /運(yùn)行：gpedit.msc。計(jì)算機(jī)配

15、置/Winodws設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)下， 由默認(rèn)值 “啟用 ”改為“禁用”。域帳號(hào)訪問不受此策略限制5、網(wǎng)絡(luò)共享訪問被篩選器的設(shè)置所阻止提示：找不到網(wǎng)絡(luò)路徑檢查：TCP/IP篩選、IPSEC RRAS篩選器是否被啟用，且 TCP端口 139和445被禁用。操作：（ 1 ）網(wǎng)上鄰居 /屬性/本地連接 /屬性：TCP/IP-高級(jí)一選項(xiàng)一TCP/IP篩選（2）網(wǎng)上鄰居 /屬性/本地連接 /屬性：TCP/IP-高級(jí)一選項(xiàng)一IP安全機(jī)制（3）開始/程序/管理/路由和遠(yuǎn)程訪問 /IP 路由選擇 /常規(guī)/接口 /右鍵屬性 /常 規(guī)：輸入 /輸出篩選器。說明：（1）RRAS篩選器只在版中才有，

16、IPSEC只有在2000的上述位置才有。（ 2）若你就想設(shè)置篩選器，基于端口控制，不讓別人訪問你的網(wǎng)絡(luò)共享資 源，需要同時(shí)禁止 TCP： 139 和 445 口。（ 3）由于此種原因產(chǎn)生的訪問故障，一般是由于實(shí)驗(yàn)后忘了復(fù)原，或別人 故意和你開玩笑。在AD域中，如何批量添加域用戶帳號(hào)？作為網(wǎng)管，有時(shí)我們需要批量地向 AD 域中添加用戶帳戶，這些用戶帳戶既 有一些相同的屬性，又有一些不同屬性。如果逐個(gè)添加、設(shè)置的話，十分地麻 煩。一般來說，如果不超過10個(gè)，我們可利用AD用戶帳戶復(fù)制來實(shí)現(xiàn)。如果 再多的話，我們就應(yīng)該考慮使用 csvde.exe或ldifde.exe來減輕我們的工作量 了。最后簡單

17、介紹一下利用腳本（可利用循環(huán)功能）批量創(chuàng)建用戶帳號(hào)一、AD用戶帳戶復(fù)制1、 在“ A域和計(jì)算機(jī)”中建一個(gè)作為樣板的用戶，女口 S1。2、設(shè)置相關(guān)需要的選項(xiàng)，如所屬的用戶組、登錄時(shí)間、用戶下次登錄時(shí)需 更改密碼等。3、在 S1 上/ 右鍵 /復(fù)制，輸入名字和口令。說明：1 、只有 AD 域用戶帳戶才可以復(fù)制，對(duì)于本地用戶帳戶無此功能。2、帳戶復(fù)制可將在樣板用戶帳戶設(shè)置的大多數(shù)屬性帶過來。具體如下：二、比較 csvde與 Idifde三、以csvde.exe為例說明：域用戶帳戶的導(dǎo)出 /導(dǎo)入操作步驟如下：1、在“ A域和計(jì)算機(jī)”中建一個(gè)用戶，如S1。2、設(shè)置相關(guān)需要的選項(xiàng)，如所屬的用戶組、登錄時(shí)間

18、、用戶下次登錄時(shí)需 更改密碼等。3、在DCxx開始/運(yùn)行:cmd4、鍵入：csvde - demo.csv說明：（ 1）不要試圖將這個(gè)文件導(dǎo)回，來驗(yàn)證是否好使。因?yàn)檫@個(gè)文件中的好多 字段在導(dǎo)入時(shí)是不允許用的，如：ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等屬性。我們導(dǎo)出這個(gè)文件目的只是為 了查看相應(yīng)的字段名是什么，其值應(yīng)該怎么寫，出錯(cuò)信息如下：（2）可通過-d-r參數(shù)指定導(dǎo)出范圍和對(duì)象類型。例如：1、以上面的文件為參考基礎(chǔ)，創(chuàng)建自己的my.csv,并利用復(fù)制、粘貼、修改得到多條記錄。例如：, ，其它可用字段，我試了一下，見下表（不全）：6

19、、導(dǎo)入到AD,鍵入csvde - -my.csv - 說明：-j 用于設(shè)置日志文件位置，默認(rèn)為當(dāng)前路徑。此選項(xiàng)可幫助用戶在導(dǎo)入不成 功時(shí)排錯(cuò)。有一點(diǎn)大家必須明確的是：我們?cè)谶@里做AD域用戶帳戶復(fù)制、做AD域用戶帳戶的導(dǎo)出/導(dǎo)入，并不能 代替“AD備份和恢復(fù)”。我們只是在批量創(chuàng)建用戶帳號(hào)，帳號(hào)的SID都是重新生成的，權(quán)利權(quán)限都得重新設(shè)才行。（當(dāng)然我們可以把導(dǎo)入的用戶，通過memberof字段設(shè)到一些用戶組中去，使它有權(quán)利權(quán)限。但這與利用“ A備份和恢復(fù)”到原狀，完全是兩回事)。四、利用腳本創(chuàng)建批量用戶帳戶1、利用腳本創(chuàng)建用戶帳號(hào)(用戶可參考下例)。Set objDomai n 二 GetObje

20、ct(LDAP:Set objOU = objDomain.Create(organizationalUnit, ou=Management)objOU.SetInfo說明：Set objOU = GetObject(LDAP:objUser.Put sAMAccountName, AckermanPilaobjUser.SetInfoobjUser.SetPassword i5A2sj*!objUser.AccountDisabled = FALSEobjUser.SetInfo說明：在Management OU下創(chuàng)建一個(gè)名叫 AckermanPila的用戶，口令為 i5A2sj*!，啟用。

21、Set objOU = GetObject(LDAP:objGroup.Put sAMAccountName, atl-usersobjGroup.SetInfoobjGroup.Add objUser.ADSPathobjGroup.SetInfo說明：在 Management OU 下創(chuàng)建一個(gè)名叫 atl-users 的用戶組，將用戶 Ackerma nPila加入到這個(gè)組中。Wscript.echo Script ended successfully說明：顯示 “腳本成功結(jié)束 ”信息2、利用腳本中的循環(huán)功能實(shí)現(xiàn)批量創(chuàng)建用戶帳號(hào)Set objRootDSE = GetObject(LDAP

22、:/rootDSE)Set objContainer = GetObject(LDAP:objRootDSE.Get(defaultNamingContext)For i = 1 To 1000objUser.Put sAMAccountName, UserNo & iobjUser.SetInfoobjUser.SetPassword i5A2sj*!objUser.AccountDisabled = FALSEobjUser.SetInfoNextWScript.Echo 1000 Users created.說明：在當(dāng)前域的Users容器中創(chuàng)建UserNol到UserNolOOO,共10

23、00個(gè)用戶帳戶我的計(jì)算機(jī)不知道怎么回事，系統(tǒng)時(shí)間總是被改快 1 小時(shí)？加入域的計(jì)算機(jī)，沒有自己的時(shí)間。這是因?yàn)闀r(shí)間參數(shù)，在AD復(fù)制中是一一個(gè)極為重要的因素。如：決定多主控復(fù)制時(shí)，誰的修改最終生效。所以整個(gè)域的時(shí)間，都由域的PDC仿真主控來控制，整個(gè)林的時(shí)間都由林根域上的PDC仿真主控來控制。說明：如果整個(gè)林的時(shí)間都快1小時(shí)，對(duì)你AD的正常工作沒有任何影響。解決：修改林根域的PDC仿真主控計(jì)算機(jī)的時(shí)間。實(shí)際工作中，要先查看域內(nèi)計(jì) 算機(jī)的時(shí)區(qū)設(shè)置是否正確。建立 AD 域，需要有什么樣的權(quán)限才行？1、若是創(chuàng)建林內(nèi)的第一個(gè)域，即林根域，只要有目標(biāo)計(jì)算機(jī)上的本地管理 員權(quán)限即可。2、 作為已有域的附加D

24、C,需要該域的域管理員(Domain Admins)權(quán)限。3、安裝子域的DC,或新樹的DC,都涉及到林結(jié)構(gòu)的改變，需要林管理員 (En terprise Admi ns)權(quán)限才行。如何在 2000 域中添加一臺(tái) 03的 DC？03 和 2000 比，功能更強(qiáng)大了，在域和 AD 的體系結(jié)構(gòu)上也有了一些變化 (參見前面：域、林功能級(jí)別)。但微軟的產(chǎn)品十分講究向前兼容，我們可以實(shí)現(xiàn)在一個(gè) 2000 域中加入03DC加入03DNS并且DC間的AD復(fù)制，DNS間的區(qū)域傳輸，都好像沒 有版本差異一樣。但要注意：直接就在 03 計(jì)算機(jī)上安裝 AD 是不行的，會(huì)收到出錯(cuò)提示 “ActiveDirectoyr

25、版本不同”我們需要做一些準(zhǔn)備工作，在 2000DC（ SP2及更高）上運(yùn)行03光 盤/1386/adprep，具體第一步：adprep /forestprep 進(jìn)行林準(zhǔn)備，第二步 adprep /domainprep 進(jìn)行域準(zhǔn)備。順便說一下： 03可以作為 2000域的附加 DC， 2000也可以作為 03域的附 加DC,而直接在2000上安裝AD即可，不需要準(zhǔn)備。創(chuàng)建AD域時(shí)，由于沒有NTFS分區(qū)，導(dǎo)致AD安裝失??？在成員或獨(dú)立服務(wù)上上運(yùn)行dcpromo命令，安裝AD,將其提升為DC,其 上必須有一個(gè)NTFS 5.0分區(qū)，用來保存AD的sysvol文件夾。注意：2000的NTFS分區(qū)是NTF

26、S 5.0 NT4的是NTFS 4.0 NT4必須安裝 SP4后，才可訪問2000的NTFS分區(qū)。如果C是引導(dǎo)分區(qū)，即系統(tǒng)夾 winnt或 windows所在分區(qū)，采用FAT32分區(qū)，系統(tǒng)會(huì)自動(dòng)查找下一個(gè)可用的 NTFS分區(qū) 來存放系統(tǒng)卷，如 d:sysvol。如果找不到NTFS分區(qū)，就會(huì)出錯(cuò)，導(dǎo)致 AD安裝失敗。這時(shí)可利 用convert命令將某個(gè)FAT32分區(qū)轉(zhuǎn)成NTFS分區(qū)，這個(gè)轉(zhuǎn)換會(huì)保持?jǐn)?shù)據(jù)的完好。但要注意這個(gè)轉(zhuǎn)換是單向 不可逆，想回復(fù)到FAT分區(qū)，除非重新格式化該分區(qū)。以轉(zhuǎn)換 D盤為例，具體 操作如下：1、開始/運(yùn)行：convert d:/fs:ntfs2、提示是否轉(zhuǎn)換，鍵入 y 確

27、認(rèn)轉(zhuǎn)換。說明：這時(shí)并沒有真正開始轉(zhuǎn)換，如果后悔，可以到注冊(cè)表 當(dāng)前控制 控制 會(huì)話管理BootExecute下，刪除其值Con vert d:/fs:ntfs 。3、重新啟動(dòng)計(jì)算機(jī)，將在登錄界面出現(xiàn)前，真正實(shí)施FAT到NTFS的轉(zhuǎn)換。安裝AD域時(shí)，出現(xiàn)NetBIOS名稱沖突？在安裝 AD 時(shí)，安裝選項(xiàng)會(huì)要求輸入：新域的DNS全名，在這里應(yīng)該輸入新域的完全有效域名FQDN,形如：如果不重名則設(shè)為mcse （建議用戶不要修改此名），重名系統(tǒng)則自動(dòng)設(shè)為 mcseO,建議用戶最好換個(gè)名字，因?yàn)槟愕木W(wǎng)絡(luò)可能還會(huì)有2000以前版本的老系統(tǒng)，考慮到NetBIOS名稱解析和DNS名稱解析的互助，保持一致性比較

28、好。說明：安裝AD完成后，重啟登錄非常慢，甚至長達(dá) 20分鐘之久。這一般是由于用一臺(tái)運(yùn)行了一段時(shí)間的來安裝 AD造成的，故障較難定位。 若重啟幾次后就正常了，則不必理會(huì)。如果多次重啟后還是非常慢，那就要重 裝系統(tǒng)及AD 了。建議：最好在新裝的系統(tǒng)上來安裝 AD,這樣不容易出問題。安裝AD時(shí)，選擇了在本機(jī)安裝 DNS,但安裝結(jié)束后，在 DNS中未生成SRV 記錄？如果決定在安裝 AD過程中在本機(jī)安裝DNS,應(yīng)在安裝前，將本機(jī)TCP/IP 配置中的DNS服務(wù)器指向自己，這樣在安裝 AD完成后重啟時(shí)，SRV記錄將被自 動(dòng)注冊(cè)到DNS服務(wù)器的區(qū)域當(dāng)中去的，生成四個(gè)以下劃線開頭的文件夾，女口 _msdc

29、s。03DNS在這里夾的層次結(jié)構(gòu)有所變化，將_msdcs域名夾提升了一級(jí)，直接 放到了查找區(qū)域下，但本質(zhì)沒變。如果安裝前忘了將 DNS指向自己，也可以后 補(bǔ)上。然后到計(jì)算機(jī)管理/服務(wù)下，重啟NetLogon服務(wù)即可。這樣可以把啟動(dòng)時(shí) 未能注冊(cè)到DNS服務(wù)器的SRV記錄（緩存在windowssystem32cache中）寫入 DNS。如果仍然不行的話，那只好重啟 DC 了。安裝子域失敗。在保證權(quán)限（需要林管理員權(quán)限，不要誤以為是父域管理員權(quán)限）、 DNS 沒問題的情況下，最常見的安裝子域失敗的原因就是域命名主控失效，出錯(cuò)提 示為：“由于以下原因，操作失?。篈D 無法與域命名主機(jī) xxx 聯(lián)系。指定的服務(wù)器無法運(yùn)行指定的操作?！闭f明：域命名主控要正常工作，它本身要求 GC必須可用。這是由于：為了保證域的名字在林中唯一，域命名主機(jī)需要查詢GG若是2000林，GC必須和域命名主機(jī)在同一臺(tái)計(jì)算機(jī)上才行。若是2003林，不要求GC必須和域命名主機(jī)非得在同一臺(tái)計(jì)算機(jī)上。解決：保證域命名主控聯(lián)機(jī)，如果確信其已無法正常工作，可強(qiáng)制傳給（查封 seize）林內(nèi)的任意一臺(tái)DC,子域的DC也可以。原來的主控必須被重做系統(tǒng) 后，才可連入網(wǎng)絡(luò)，以保證域命名主控的林唯一性。修改用戶密碼需要幾分鐘,甚至更長的