客户机无法加入AD域的终极解决方法

客户机无法加入AD 域的终极解决方法解决办法一：客户机加入域时的错误各式各样，但总体来说，客户机不能加入域的解决方法常见有以下几种情况：1、将客户机的第一DNS 设为AD 域的IP ，一般DNS 都是

客户机无法加入AD 域的终极解决方法

解决办法一：

客户机加入域时的错误各式各样，但总体来说，客户机不能加入域的解决方法常见有以下几种情况：

1、将客户机的第一DNS 设为AD 域的IP ，一般DNS 都是和AD 域集成安装的，清空缓存并重新注册

ipconfig /flushdns 清空DNS

ipconfig /registerdns 重新申请DNS

2、关闭客户端防火墙

3、只留IP 为AD 域的第一DNS ，第二DNS 设为空

4、在AD 域服务器的DNS 建立客户机的SRV 记录

5、启动DNS 和TCP/IP NetBIOS Helper Service服务

6、更改主机名并在服务器上删除已经存在的DNS 记录，重启

7、域中的客户机的系统时间必须同步或慢于DC 服务器的系统时间1分钟(不得超过10分钟)

解决办法二：

不能联系域

1．您无法用NetBois 域名加入域。

2．组策略无法正常应用。

3．无法打开网上领居和访问共享文件。

这个问题有可能是Wins 服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查：

建议一：如果您的域中有Wins 服务器，请检查客户机的Wins 配置看是不是指向Wins 服务器。另外，请打开Wins 服务器，看yourdomain.com 记录正确注册。

建议二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。要解决此问题，请启动 TCP/IP NetBIOS 支持服务。要启动 NetBIOS 支持服务，请按照下列步骤操作：

1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”，单击“运行”，在“打开”框中键入 services.msc ，然后单击“确定”。

3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。

4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。

5. 在“服务状态”下，单击“启动”以启动 TCP/IP NetBIOS 支持服务。

6. 当该服务启动后，请单击“确定”，然后退出“服务”管理单元。 建议三：请检查是否安装了客户机上安装了“Microsoft 网络的文件和打印机共享”

1．点击“开始菜单→控制面板→网络连接”。

2．在所出现窗口中的局域网连接（如“本地连接”）上单击右键，选择“属性”。

3．勾选常规标签下的“Microsoft 网络的文件和打印机共享”项。 解决办法三：

还可以修改本机的host 文件, 在里面增加一行域控制器名称与其IP 地址的对应关系即可.

解决办法四：

“不能联系域XXXX 的域控制器”的一种解决 系统：Windows server 2003 Enterprise Edition

此方法针对的是Ghost 利用一个已经加入过相同域的系统备份还原计算机后出现的不能加入域的情况。因此IP 设置、DNS 设置是正确无误的。

因为出现系统还原到机器后无法用域账户登录的情况，另外还设置了WINS 为DNS 地址，这点也是有做到的。也无数次先行退出域，

在系统属性里边儿改了计算机名，重启。依然，加入域的时候提示“不能联系域XXXX 的域控制器.... ”状况。

甚至重复还原了几个不同备份，最后肯定了问题一定出在一直没作改变的一点上面——计算机名。关键是系统属性里边改过，用优化大师也修改过，手动在注册表中几处都修改了，没用！几乎否定了认为问题出在计算机名上的想法。最后作了用超级兔子再修改计算机名的尝试，最终成功。

用系统软件能做的事情一定可以手动，这点是肯定的，因此最有保障有效的解决方法还有待跟进研究。

解决办法五：

更改客户机计算机名再加入试试。

微软官方帮助文件：

“您用的windows 与此域无法联系，原因是域控制器存在故障或不可用，或没有找到计算机帐户，请稍后重试，若持续出现，请与系统管理员联系”

该提示的原因绝大多数由于DC 中的计算机帐户重名或者被禁用所导致。当您将一台客户端加入域时，默认情况下在DC 的computer 的容器中会自动创建一个以该机器的用户名命名的计算机对象，这意味着DC 已经和客户端建立起了secure channel，同时会生成一个key ，安全通道的密码和计算机的帐户一起存储在所有域控制器

上。对于 Windows 2000 或 Windows XP，默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步，意味着客户端与DC 的通信被断掉，则会导致您所述的提示信息没有找到计算机账户。而如果secure channel被断掉。导致secure channel出错的原因可能有以下几种：

1. 将客户端加入到域时，域中已经存在与该计算机同名的计算机账户，那么在该计算机加入域后，会将本计算机的名称覆盖与其同名的计算机帐户，这样就会导致备覆盖的哪个计算机在登录域时报错

2. 将ADUC 中的计算机账户删除也会导致上述错误

解决该问题，我们需要同步计算机帐户的密码和 LSA 机密，在 Windows 2000 或 Windows XP 中重置计算机帐户的四种方法：

1. 使用 Netdom.exe 命令行工具

2. 使用 Nltest.exe 命令行工具

注意：Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夹中。要安装这两个工具，请运行 Setup.exe 或从 Support.cab 文件中提取文件。

3．使用“Active Directory 用户和计算机”Microsoft 管理控制台 (MMC)。

4. 使用 Microsoft Visual Basic 脚本

具体步骤请参照：

如果希望避免此问题可以参照下面几点建议：

1. 将客户端加入到域时请检查是否与域中的计算机同名

2. 请不要在ADUC 中删除域中的有效计算机账户

相关出错对照信息：

1. 每个成员都维护着这样的一个 LSA 机密，用于建立安全通道由 Netlogon 服务。 如果，出于某种原因，计算机帐户的密码和 LSA 机密不同步，Netlogon 服务记录以下错误：

NETLOGON Event ID 3210:

Failed to authenticate withDOMAINDC, a Windows NT domain controller

for domain DOMAIN.

2. 如果计算机账户被删除，通过成员Netlogon 服务会记录下面的错误信息：

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

have an account for the computer DOMAINMEMBER.

3. 同样，域控制器上的 Netlogon 服务密码不同步时记录以下错误：

NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.

The name of the account referenced in the security database is

DOMAINMEMBER$. The following error occurred: Access is denied.

有关安全通道的信息，请参阅 Microsoft 知识库中下列文章： ARTICLE-ID ： 131366

(http://support.microsoft.com/kb/131366/EN-US/) TITLE ： 事件错误 5712 状态访问被拒绝

ARTICLE-ID: 142869

(http://support.microsoft.com/kb/142869/EN-US/)

TITLE ： 同步整个域时出现事件 ID 3210 and 5722 ARTICLE-ID ： 149664

(http://support.microsoft.com/kb/149664/EN-US/) TITLE ： 验证域 Netlogon 同步

ARTICLE-ID: 158148

(http://support.microsoft.com/kb/158148/EN-US/) TITLE ： 域安全通道实用工具--Nltest.exe