建立域服务器时候遇到问题的解决方法

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。一个运行XP SP3英文版，单网卡，连接LAN1。这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题

安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。反正就是没有设置DNS就过去了。后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^

打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。提示：

Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.

The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :

The error was: "DNS name does not exist."

(error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._

Common causes of this error include the following:

- The DNS SRV record is not registered in DNS.

- One or more of the following zones do not include delegation to its

child zone:

com

. (the root zone)

For information about correcting this problem, click Help.

在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。最多说了没有SRV记录，不过这个SRV鬼才知道怎么搞（当然是没有找到）。那就用NETBIOS名称先加进去，先看看域到底是什么东西再说。

然后查找了一些资料，发觉使用NSLOOKUP判断DNS是否正确的。下边是查询结果：

不小心找到了微软的知识中心：使用NSLOOKUP找到了解决问题的办法。

原来是反向区域没有记录，新建主要区域，选中下边的在Active Directory手动添加中存储区域，反向区域添加记录192.168.0.1-->，成功。由此上边Can't find server 等等不见了，成了正常的域名解析。在计算机里也可以使用域名把计算机添加的域了。

2、windows 无法与此域连接原因是域控制存在故障或不可用,或者没有找到计算机帐户

经典的windows 无法与此域连接原因是域控制存在故障或不可用,或者没有找到计算机帐户俺也遇到了

解决方法，用本地管理员身份进入域，选择退出域，改成工作组，然后再加入域，即可。

这个问题的原解释如下：

该提示的原因绝大多数由于DC中的计算机帐户重名或者被禁用所导致。当您将一台客户端加入域时，默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象，这意味着DC已经和客户端建立起了secure channel，同时会生成一个key，安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于Windows 2000 或Windows XP，默认计算机帐户密码的更换周期为30 天。如果因某种原因导致计算机帐户的密码和LSA 机密不同步，意味着客户端与DC的通信被断掉，则会导致您所述的提示信息没有找到计算机账户。而如果secure channel被断掉。导致secure channel出错的原因可能有以下几种：

1. 将客户端加入到域时，域中已经存在与该计算机同名的计算机账户，那么在该计算机加入域后，会将本计算机的名称覆盖与其同名的计算机帐户，这样就会导致备覆盖的哪个计算机在登录域时报错

2. 将ADUC中的计算机账户删除也会导致上述错误

解决该问题，我们需要同步计算机帐户的密码和LSA 机密，在Windows 2000 或Windows XP 中重置计算机帐户的四种方法：

1.使用Netdom.exe 命令行工具

2.使用Nltest.exe 命令行工具

注意：Netdom.exe 和Nltest.exe 工具位于Windows Server CD-ROM 上的Support\Tools 文件夹中。要安装这两个工具，请运行Setup.exe 或从Support.cab 文件中提取文件。

3．使用“Active Directory 用户和计算机”Microsoft 管理控制台(MMC)。

4.使用Microsoft Visual Basic 脚本

具体步骤请参照：/kb/216393/zh-cn

如果希望避免此问题可以参照下面几点建议：

1. 将客户端加入到域时请检查是否与域中的计算机同名

2. 请不要在ADUC中删除域中的有效计算机账户

相关出错对照信息：