AD域管理常見問題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上A1、客戶機無法加入到域？ 一、權(quán)限問題。     要想把一臺計算機加入到域，必須得以這臺計算機上的本地管理員（默認為administrator）身份登錄，保證對這臺計算機有管理控制權(quán)限。普通用戶登錄進來，更改按鈕為灰色不可用。并按照提示輸入一個域用戶帳號或域管理員帳號，保證能在域內(nèi)為這臺計算機創(chuàng)建一個計算機帳號。 二、不是說“在2000/03域中，默認一個普通的域用戶（Authenticated Users）即可加10臺計算機到域?！眴?？這時如何在這臺計算機上登錄到域呀！     顯然這位網(wǎng)管誤解了這名話的意思，此時計算機尚未

2、加入到域，當然無法登錄到域。也有人有辦法，在本地上建了一個與域用戶同名同口令的用戶，結(jié)果可想而知。這句話的意思是普通的域用戶就有能力在域中創(chuàng)建10個新的計算機帳號，但你想把一臺計算機加入到域，首先你得對這臺計算機的管理權(quán)限才行。再有就是當你加第11臺新計算機帳號時，會有出錯提示，此時可在組策略中，將帳號復(fù)位，或干脆刪了再新建一個域用戶帳號，如joindomain。注意：域管理員不受10臺的限制。三、用同一個普通域帳戶加計算機到域，有時沒問題，有時卻出現(xiàn)“拒絕訪問”提示。     這個問題的產(chǎn)生是由于AD已有同名計算機帳戶，這通常是由于非正常脫離域，計算機帳戶沒有被自動禁用或

3、手動刪除，而普通域帳戶無權(quán)覆蓋而產(chǎn)生的。解決辦法：1、手動在AD中刪除該計算機帳戶；2、改用管理員帳戶將計算機加入到域；3、在最初預(yù)建帳戶時就指明可加入域的用戶。 四、域xxx不是AD域，或用于域的AD域控制器無法聯(lián)系上。     在2000/03域中，2000及以上客戶機主要靠DNS來查找域控制器，獲得DC的 IP 地址，然后開始進行網(wǎng)絡(luò)身份驗證。DNS不可用時，也可以利用瀏覽服務(wù)，但會比較慢。2000以前老版本計算機，不能利用DNS來定位DC，只能利用瀏覽服務(wù)、WINS、lmhosts文件來定位DC。所以加入域時，為了能找到DC，應(yīng)首先將客戶機TCP/IP配置中所配的D

4、NS服務(wù)器，指向DC所用的DNS服務(wù)器。     加入域時，如果輸入的域名為FQDN格式，形如，必須利用DNS中的SRV記錄來找到DC，如果客戶機的DNS指的不對，就無法加入到域，出錯提示為“域xxx不是AD域，或用于域的AD域控制器無法聯(lián)系上?！?000及以上版本的計算機跨子網(wǎng)（路由）加入域時，也就是說，加入域的計算機是2000及以上，且與DC不在同一子網(wǎng)時，應(yīng)該用此方法。     加入域時，如果輸入的域名為NetBIOS格式，如mcse，也可以利用瀏覽服務(wù)（廣播方式）直接找到DC，但瀏覽服務(wù)不是一個完善的服務(wù)，經(jīng)常會不好使。而且這樣雖然也可以把計算機

5、加入到域，但在加入域和以后登錄時，需要等待較長的時間，所以不推薦。再者，由于客戶機的DNS指的不對，則它無法利用2000DNS的動態(tài)更新動能，也就是說無法在DNS區(qū)域中自動生成關(guān)于這臺計算機的A記錄和PTR記錄。那么同一域另一子網(wǎng)的2000及以上計算機就無法利用DNS找到它，這本應(yīng)該是可以的。     若客戶機的DNS配置沒問題，接下來可使用nslookup命令確認一下客戶機能否通過DNS查找到DC（具體見前）。能找到的話，再ping一下DC看是否通。A2、用戶無法登錄到域？ 一、用戶名、口令、域     確保輸入正確的用戶名和口令，注意用戶名不區(qū)分大小

6、寫，口令是區(qū)分大小寫的?？匆幌掠卿浀挠蚴欠襁€存在（比如子域被非正常刪除了，域中唯一的DC未聯(lián)機）。 二、DNS     客戶機所配的DNS是否指向DC所用的DNS服務(wù)器，討論同前。 三、計算機帳號     基于安全性的考慮，管理員會將暫時不用的計算機帳號禁用（如財務(wù)主管渡假去了），出錯提示為“無法與域連接，域控制器不可用，找不到計算機帳戶”，而不是直接提示“計算機帳號已被禁用”?？傻紸D用戶和計算機中，將計算機帳號啟用即可。     對于 Windows 2000/XP/03，默認計算機帳戶密碼的更換周期為 30 天。如果由于某種原

7、因該計算機帳戶的密碼與 LSA 機密不同步，登錄時就會出現(xiàn)出錯提示：“計算機帳戶丟失”或“此工作站和主域間的信任關(guān)系失敗”。解決辦法：重設(shè)計算機帳戶，或?qū)⒃撚嬎銠C重新加入到域。 四、默認普通域用戶無權(quán)在DC上登錄     見下一小節(jié)的B1。 五、跨域登錄中的問題     在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據(jù)本機DNS配置去找DNS服務(wù)器，DNS根據(jù)SRV記錄告訴它DC是誰，客戶機聯(lián)系DC，驗證后登錄。 如果是在林中跨域登錄，是首先查詢DNS服務(wù)器，問林的GC是誰。所以要保證林內(nèi)有可用的GC。如果是要登錄到其它有信任關(guān)系的域（不

8、一定是本林的），要保證DNS能找到對方的域。如何解決本地或域管理員密碼丟失？ 本地管理員密碼丟失，可通過刪除sam文件（2000SP3以前）或通過NTpassword軟件來解決。但要解決域管理員密碼丟失，它們就無能為力了,這時就需要用到“鳳凰萬能啟動盤”中的ERD Commander 2002了，接下來我們將詳細討論使用此盤解決管理員密碼丟失問題。 1、上網(wǎng)搜索“鳳凰萬能啟動盤”或“深山紅葉”或“老毛桃WINPE”，大約230M； 2、下載后解壓縮，將其內(nèi)容刻錄成光盤； 3、用此光盤啟動計算機，顯示XP安裝界面，Start ERD Commander 2002環(huán)境； 4、出現(xiàn)選擇菜單，選擇第一

9、項：ERD Commander 2002； 5、出現(xiàn)類似XP的啟動界面 6、進入選擇系統(tǒng)安裝的路徑，一般會自動測出操作系統(tǒng)、版本及是否域控制器； 7、出現(xiàn)類似的XP桌面：選擇Start/Administrative Tools/Locksmith； 8、進入ERD Commander 2002 locksmith向?qū)Ы缑?，下一步?9、選擇Administrator，重設(shè)其密碼；（此時切不可手動重新啟動計算機，否則此修改將無效） 10、選擇Start/Logoff，點OK； 11、稍候片刻，點reboot后重新啟動計算機     常見WINPE啟動盤中的ERD Comman

10、der 2002功能強大，不僅可破解本地管理員密碼，包括NT/2000/XP/03的各個版本。還可以破解NT/2000/03域管理員密碼，均已實驗證明。 由于可自動識別操作系統(tǒng)和版本，及是否DC，所以用戶在操作時，重設(shè)密碼的方法都是一樣的。對于03，重設(shè)密碼時要注意符合密碼策略中要求的符合復(fù)雜性要求，且密碼最小長度為7，否則重設(shè)的密碼會無效。無法使用域內(nèi)的共享打印機？     現(xiàn)象：計算機重啟或注銷，再登錄進來，無法使用以前安裝的域內(nèi)的共享網(wǎng)絡(luò)打印機， 為用戶重新安裝打印機，當時可以打印，但不久問題又會出現(xiàn)。用戶反映說有時能打印，有時就是不能打印。    

11、; 其原因在于用戶沒有登錄到域（很多用戶即使計算機加入到了域，也經(jīng)常習(xí)慣性地選擇登錄到本地機），沒有域用戶身份，當然無權(quán)訪問域內(nèi)的資源。而且關(guān)鍵是Windows系統(tǒng)在這里有個小毛病，它并不象你訪問共享文件夾那樣，由于沒有身份而提示你輸入用戶名和密碼來進行驗證，而是直接提示你“拒絕訪問，無法連接”、“當前打印機安裝有問題”，“RPC服務(wù)不可用”等等（在不同的操作系統(tǒng)或應(yīng)用程序中提示會所不同）。      解決辦法有3種，最好還是用方法1。： 1、要求用戶將其域用戶帳號加入到本地管理員組，以后每次都以域用戶帳號登錄。 說明：這本身就是微軟推薦的一種辦法。因為

12、如果不這樣，普通用戶以本地管理員身份登錄時，控制本機沒問題，但訪問域資源時需要輸入域用戶名和口令；而用戶若以域用戶身份登錄，又沒有本機管理特權(quán)。比如說：無法關(guān)機，無法修改網(wǎng)絡(luò)等配置，無法安裝軟件、驅(qū)動等。這樣做了以后，用戶以域用戶身份登錄，同時他又是本地管理員。 2、在打印服務(wù)器上啟用Guest用戶，保證everyone有打印權(quán)限。但這樣做不安全，所以不推薦。 3、在客戶機上每次要使用打印機前，在開始運行：PrintServer，這時會提示你輸入用戶名和密碼。通過驗證后，再去使用打印機。很顯然這樣方法比較麻煩。無法訪問域內(nèi)的共享資源？     上例中我們提到過客戶機如果加入

13、到了域，但用戶選擇登錄到本地機。當訪問域內(nèi)共享資源時，會提示輸入用戶名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒絕訪問。一般是由于目標計算機上啟用了guest，而guest用戶沒有權(quán)限造成的。     接下來的討論實質(zhì)和域的關(guān)系不太，但確實是我們訪問網(wǎng)絡(luò)共享資源中經(jīng)常會碰到的問題：基于UNC路徑的I形式來訪問時的故障，如在開始/運行：。 前提：在網(wǎng)卡、協(xié)議、連接沒問題的情況下。即在可ping通的前提下，若不通，排錯可從下面幾個方面來考慮。 1、目標機的“Microsoft網(wǎng)絡(luò)的文件和打印機共享”服務(wù)的問題。 提示：“

14、文件名、目錄名或卷標語法不正確”。 檢查：服務(wù)是否安裝、是否選中，或重裝一下。 操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性 2、由于訪問相關(guān)的net logon、server、workstation服務(wù)務(wù)未正常啟動的影響。 提示： （1）若目標機（為域成員）上的net logon服務(wù)停了：“試圖登錄，但網(wǎng)絡(luò)登錄服務(wù)未啟動”。 （2）若目標機上的server服務(wù)停了：“ 文件名、目錄名或卷標語法不正確。” （3）若本機的worstation服務(wù)停了：“ 網(wǎng)絡(luò)未連接或啟動”。連其它計算機，也是一樣的提示。 檢查：相應(yīng)服務(wù)是否已經(jīng)正常啟動。 操作：我

15、的電腦/右鍵/管理/服務(wù)和應(yīng)用程序/服務(wù)下 3、由于本機與其它計算機重名（指NetBIOS名稱）的影響 提示：訪問任何計算機均提示：“找不到網(wǎng)絡(luò)路徑”。 檢查：重啟一下，看是否有“網(wǎng)絡(luò)中存在重名”的提示?？赡苌洗伍_機時沒注意給忽略了。 操作：我的電腦/屬性/網(wǎng)絡(luò)標識/屬性/計算機名下，修改計算機名。 4、XP/03由于默認安全策略：“帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄”的影響 提示：無法訪問。您可能沒有權(quán)限使用網(wǎng)絡(luò)資源。請與這臺服務(wù)器的管理員聯(lián)系以查明您是否有訪問權(quán)限。登錄失?。河脩魩粝拗?。可能的原因包括不允許空密碼，登錄時間限制，或強制的策略限制。 檢查

16、：改用非空密碼的帳戶試試，或查看XP/03目標機上的本地策略。 操作：開始/運行：gpedit.msc。計算機配置/Winodws設(shè)置/安全設(shè)置/本地策略/安全選項下，由默認值“啟用”改為“禁用”。 注意：域帳號訪問不受此策略限制。 5、網(wǎng)絡(luò)共享訪問被篩選器的設(shè)置所阻止 提示：找不到網(wǎng)絡(luò)路徑 檢查： TCP/IP篩選、IPSEC、RRAS篩選器是否被啟用，且TCP端口139和445被禁用。 操作： （1）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP高級選項TCP/IP篩選 （2）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP高級選項IP安全機制 （3）開始/程序/管理/路由和遠程訪問/IP路由選

17、擇/常規(guī)/接口/右鍵屬性/常規(guī)：輸入/輸出篩選器。 說明： （1）RRAS篩選器只在2000/03 Server版中才有，IPSEC只有在2000的上述位置才有。 （2）若你就想設(shè)置篩選器，基于端口控制，不讓別人訪問你的網(wǎng)絡(luò)共享資源，需要同時禁止TCP：139和445口。 （3）由于此種原因產(chǎn)生的訪問故障，一般是由于實驗后忘了復(fù)原，或別人故意和你開玩笑。在AD域中，如何批量添加域用戶帳號？     作為網(wǎng)管，有時我們需要批量地向AD域中添加用戶帳戶，這些用戶帳戶既有一些相同的屬性，又有一些不同屬性。如果逐個添加、設(shè)置的話，十分地麻煩。一般來說，如果不超 過10個，我們可利用

18、AD用戶帳戶復(fù)制來實現(xiàn)。如果再多的話，我們就應(yīng)該考慮使用csvde.exe或ldifde.exe來減輕我們的工作量了。最后簡單介紹一下利用腳本（可利用循環(huán)功能）批量創(chuàng)建用戶帳號 一、AD用戶帳戶復(fù)制 1、在“AD域和計算機”中建一個作為樣板的用戶，如S1。 2、設(shè)置相關(guān)需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。 3、在S1上/右鍵/復(fù)制，輸入名字和口令。 說明： 1、 只有AD域用戶帳戶才可以復(fù)制，對于本地用戶帳戶無此功能。 2、 帳戶復(fù)制可將在樣板用戶帳戶設(shè)置的大多數(shù)屬性帶過來。具體如下：二、比較csvde與ldifde 三、以csvde.exe為例說明：域用戶帳戶的

19、導(dǎo)出/導(dǎo)入 操作步驟如下： 1、 在“AD域和計算機”中建一個用戶，如S1。 2、 設(shè)置相關(guān)需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。 3、 在DC上，開始/運行：cmd 4、 鍵入：csvde f demo.csv 說明： （1）不要試圖將這個文件導(dǎo)回，來驗證是否好使。因為這個文件中的好多字段在導(dǎo)入時是不允許用的，如：ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等屬性。我們導(dǎo)出這個文件目的只是為了查看相應(yīng)的字段名是什么，其值應(yīng)該怎么寫，出錯信息如下：（2）可通過-d r參數(shù)指定導(dǎo)出范圍和對象類型。例如：  

20、;      -d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”               -r “< Objectclass=user>” 1、 以上面的文件為參考基礎(chǔ)，創(chuàng)建自己的my.csv，并利用復(fù)制、粘貼、修改得到多條記錄。例如： dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName "CN

21、=s1,OU=test,DC=mcse,DC=com",user,S1,512,"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,，其它可用字段，我試了一下，見下表（不全）：6、導(dǎo)入到AD，鍵入 csvde i f my.csv j c: 說明：-j用于設(shè)置日志文件位置，默認為當前路徑。此選項可幫助用戶在導(dǎo)入不成功時排錯。 有一點大家必須明確的是：我們在這里做AD域用戶帳戶復(fù)制、做AD域用戶帳戶的導(dǎo)出/導(dǎo)入，并不能代替“AD備份和恢復(fù)”。我們只是在批量創(chuàng)建用戶帳號，帳號的SID都是重新生成的，權(quán)利權(quán)限都得重新設(shè)才行。（當然我們可

22、以把導(dǎo)入的用戶，通過memberof字段設(shè)到一些用戶組中去，使它有權(quán)利權(quán)限。但這與利用“AD備份和恢復(fù)”到原狀，完全是兩回事）。 四、利用腳本創(chuàng)建批量用戶帳戶 1、利用腳本創(chuàng)建用戶帳號（用戶可參考下例）。 Set objDomain = GetObject("LDAP:/dc=fabrikam,dc=com") Set objOU = objDomain.Create("organizationalUnit", "ou=Management") objOU.SetInfo 說明：在域創(chuàng)建一個名叫Management的OU。 Set o

23、bjOU = GetObject("LDAP:/OU=Management,dc=fabrikam,dc=com") Set objUser = objOU.Create("User", "cn= AckermanPila") objUser.Put "sAMAccountName", "AckermanPila" objUser.SetInfo objUser.SetPassword "i5A2sj*!" objUser.AccountDisabled = FALSE ob

24、jUser.SetInfo 說明：在Management OU下創(chuàng)建一個名叫AckermanPila的用戶，口令為i5A2sj*!，啟用。 Set objOU = GetObject("LDAP:/OU=Management,dc=fabrikam,dc=com") Set objGroup = objOU.Create("Group", "cn=atl-users") objGroup.Put "sAMAccountName", "atl-users" objGroup.SetInfo obj

25、Group.Add objUser.ADSPath objGroup.SetInfo 說明：在Management OU下創(chuàng)建一個名叫atl-users的用戶組，將用戶AckermanPila加入到這個組中。 Wscript.echo "Script ended successfully" 說明：顯示“腳本成功結(jié)束”信息 2、利用腳本中的循環(huán)功能實現(xiàn)批量創(chuàng)建用戶帳號 Set objRootDSE = GetObject("LDAP:/rootDSE") Set objContainer = GetObject("LDAP:/cn=Users,&

26、quot; & _                                                   objRootDSE.Get("defaultNamingContext") For i = 1 To 1000

27、 Set objUser = objContainer.Create("User", "cn=UserNo" & i) objUser.Put "sAMAccountName", "UserNo" & i objUser.SetInfo objUser.SetPassword "i5A2sj*!" objUser.AccountDisabled = FALSE objUser.SetInfo Next WScript.Echo "1000 Users created.&

28、quot; 說明：在當前域的Users容器中創(chuàng)建UserNo1到UserNo1000，共1000個用戶帳戶我的計算機不知道怎么回事，系統(tǒng)時間總是被改快1小時？     加入域的計算機，沒有自己的時間。這是因為時間參數(shù)，在AD復(fù)制中是一個極為重要的因素。如：決定多主控復(fù)制時，誰的修改最終生效。所以整個域的時間，都由域的PDC仿真主控來控制，整個林的時間都由林根域上的PDC仿真主控來控制。     說明：如果整個林的時間都快1小時，對你AD的正常工作沒有任何影響。     解決：修改林根域的PDC仿真主控計算機的時間。實際工作中，要先查看

29、域內(nèi)計算機的時區(qū)設(shè)置是否正確。 建立AD域，需要有什么樣的權(quán)限才行？ 1、若是創(chuàng)建林內(nèi)的第一個域，即林根域，只要有目標計算機上的本地管理員權(quán)限即可。 2、作為已有域的附加DC，需要該域的域管理員（Domain Admins）權(quán)限。 3、安裝子域的DC，或新樹的DC，都涉及到林結(jié)構(gòu)的改變，需要林管理員（Enterprise Admins）權(quán)限才行。如何在2000域中添加一臺03的DC？     03和2000比，功能更強大了，在域和AD的體系結(jié)構(gòu)上也有了一些變化（參見前面：域、林功能級別）。但微軟的產(chǎn)品十分講究向前兼容，我們可以實現(xiàn)在一個2000域中加入03DC、加入03DN

30、S，并且DC間的AD復(fù)制，DNS間的區(qū)域傳輸，都好像沒有版本差異一樣。     但要注意：直接就在03計算機上安裝AD是不行的，會收到出錯提示“Active Directory版本不同”。我們需要做一些準備工作，在2000DC（SP2及更高）上運行03光盤/I386/adprep， 具體第一步：adprep /forestprep進行林準備，第二步adprep /domainprep進行域準備。 順便說一下：03可以作為2000域的附加DC，2000也可以作為03域的附加DC，而直接在2000上安裝AD即可，不需要準備。創(chuàng)建AD域時，由于沒有NTFS分區(qū)，導(dǎo)致AD安裝失?。?/p>

31、     在2000/03成員或獨立服務(wù)上上運行dcpromo命令，安裝AD，將其提升為DC，其上必須有一個NTFS 5.0分區(qū)，用來保存AD的sysvol文件夾。 注意：2000的NTFS分區(qū)是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問2000的NTFS分區(qū)。 如果C是引導(dǎo)分區(qū)，即系統(tǒng)夾winnt或windows所在分區(qū)，采用FAT32分區(qū)，系統(tǒng)會自動查找下一個可用的NTFS分區(qū)來存放系統(tǒng)卷，如d:sysvol。如果找不到NTFS分區(qū)，就會出錯，導(dǎo)致AD安裝失敗。這時可利用convert命令將某個FAT32分區(qū)轉(zhuǎn)成NTFS分區(qū)，這個轉(zhuǎn)換

32、會保持數(shù)據(jù)的完好。但要注意這個轉(zhuǎn)換是單向不可逆，想回復(fù)到FAT分區(qū)，除非重新格式化該分區(qū)。 以轉(zhuǎn)換D盤為例，具體操作如下： 1、開始/運行：convert d: /fs:ntfs 2、提示是否轉(zhuǎn)換，鍵入y確認轉(zhuǎn)換。 說明：這時并沒有真正開始轉(zhuǎn)換，如果后悔，可以到注冊表HLM當前控制控制會話管理BootExecute下，刪除其值Convert d: /fs:ntfs 。 3、重新啟動計算機，將在登錄界面出現(xiàn)前，真正實施FAT到NTFS的轉(zhuǎn)換。安裝AD域時，出現(xiàn)NetBIOS名稱沖突？     在安裝AD時，安裝選項會要求輸入：新域的DNS全名，在這里應(yīng)該輸入新域的完全有效域名

33、FQDN，形如：。系統(tǒng)會打算以mcse作為此域的NetBIOS名稱，并在網(wǎng)絡(luò)中檢查是否存在重名，需要等一會兒。 如果不重名則設(shè)為mcse（建議用戶不要修改此名），重名系統(tǒng)則自動設(shè)為mcse0，建議用戶最好換個名字，因為你的網(wǎng)絡(luò)可能還會有2000以前版本的老系統(tǒng)，考慮到NetBIOS名稱解析和DNS名稱解析的互助，保持一致性比較好。     說明：NetBIOS名稱，只是為95/98/NT等老版本用戶通過“瀏覽服務(wù)”或WINS來識別這個域用的，如果確信域內(nèi)計算機都是2000及以上系統(tǒng)（它們通過DNS定位域），其實NetBIOS名稱沖不沖突，都無所謂。 這種沖突可能源自于網(wǎng)絡(luò)中

34、如果已有一個域，名字叫做，DNS名雖然不沖突，但是NetBIOS名稱沖突。也可能是你安裝了一個域未能完全成功，又再次安裝導(dǎo)致的，這樣情況倒可以強行將NetBIOS名稱將為mcse，而不是mcse0。安裝AD完成后，重啟登錄非常慢，甚至長達20分鐘之久。     這一般是由于用一臺運行了一段時間的2000/03 Server來安裝AD造成的，故障較難定位。若重啟幾次后就正常了，則不必理會。如果多次重啟后還是非常慢，那就要重裝系統(tǒng)及AD了。建議：最好在新裝的系統(tǒng)上來安裝AD，這樣不容易出問題。 安裝AD時，選擇了在本機安裝DNS，但安裝結(jié)束后，在DNS中未生成S

35、RV記錄？     如果決定在安裝AD過程中在本機安裝DNS，應(yīng)在安裝前，將本機TCP/IP配置中的DNS服務(wù)器指向自己，這樣在安裝AD完成后重啟時，SRV記錄將被自動注冊到DNS服務(wù)器的區(qū)域當中去的，生成四個以下劃線開頭的文件夾，如_msdcs。 03DNS在這里夾的層次結(jié)構(gòu)有所變化，將_msdcs.域名夾提升了一級，直接放到了查找區(qū)域下，但本質(zhì)沒變。 如果安裝前忘了將DNS指向自己，也可以后補上。然后到計算機管理/服務(wù)下，重啟Net Logon服務(wù)即可。這樣可以把啟動時未能注冊到DNS服務(wù)器的SRV記錄（緩存在windowssystem32cache中）寫入DNS。如果仍然不行的話，那只好重啟DC了。安裝子域失敗。     在保證權(quán)限（需要林管理員權(quán)限，不要誤以為是父域管理員權(quán)限）、DNS沒問題的情況下，最常見的安裝子域失敗的原因就是域命名主控失效，出錯提示為：“由于以下原因，操作失?。篈D無法與域命名主機xxx聯(lián)系。指定的服務(wù)器無法運行指定的操作?！?    說明：域命名主控要正常工作，它本身要求GC必須可用。這是由于：為了保證域的名字在林中唯一，域命名主機需要查詢GC。若是2000林，GC必須和域命名主機在同一臺計算機上才行。若是2003林，不要求GC必須和域命名主機非得在同一臺計算機上。   &#