解决将计算机提升至域控制器时的问题

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版，单网卡，连接LAN1。

这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。

网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。

提示：Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :The error was: "DNS name does not exist."(error code 0x0000232B RCODE_NAME_ERROR)The query was for the SRV record for _ldap._tcp.dc._Common causes of this error include the following:- The DNS SRV record is not registered in DNS.- One or more of the following zones do not include delegation to itschild zone:com. (the root zone)For information about correcting this problem, click Help.在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。

客户机不能加入域的终极解决方法2010-09-28 12:54解决办法一：客户机加入域时的错误各种各样，但总的来说，客户机不能加入域的解决方法部外乎以下几种：1、将客户机的第一DNS设为AD的IP，一般DNS都时和AD集成安装的，清空缓存并重新注册ipconfig /flushdns 清空DNSipconfig /registerdns 重新申请DNS2、关闭客户端防火墙3、只留IP为AD的第一DNS，第二DNS设为空4、在AD服务器的DNS建立客户机的SRV记录5、启动DNS和TCP/IP NetBIOS Helper Service服务6、更改主机名并在服务器上删除已经存在的DNS记录，重启7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟)解决办法二：不能联系域1．您无法用NetBois域名加入域。

2．组策略无法正常应用。

3．无法打开网上领居和访问共享文件。

这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。

我建议您做如下的检查：建议一：如果您的域中有Wins服务器，请检查客户机的Wins配置看是不是指向Wins服务器。

另外，请打开Wins服务器，看记录正确注册。

建议二：如果 TCP/IP NetBIOS Helper Service（TCP/IP NetBIOS 支持服务）没有在客户端计算机上运行，可能会出现此问题。

要解决此问题，请启动 TCP/IP NetBIOS 支持服务。

要启动 NetBIOS 支持服务，请按照下列步骤操作：1. 使用具有管理员权限的帐户登录到客户机。

2. 单击“开始”，单击“运行”，在“打开”框中键入 services.msc，然后单击“确定”。

3. 在服务列表中，双击“TCP/IP NetBIOS Helper Service”。

您看到的文章来自活动目录seo4. 在“启动类型”列表中，单击“自动”，然后单击“应用”。

解决Windows域管理的几个经典问题2008-05-30 10:57近日在为公司配置域管理架构的时候，遇到了一些问题，上网google发现这些问题的提问者众多，堪称“经典”问题。

Windows域管理已经不是什么新鲜玩意儿了，可网上各类答案很多驴唇不对马嘴，互相抄来抄去，让提问者不得要领。

特撰此文，将我实际解决问题的小小经历记录下来与大家分享，避免大家遇到相同问题的时候走弯路。

我公司的网络结构采用VLAN划分部门，服务器单独一个VLAN，通过在核心交换机上配置路由和ACL实现各部门之间不可互访，通过访问服务器进行数据交换。

服务器是Win2003企业版，不记得用什么光盘装的了，反正网上下的，装完后打过SP2补丁，安装的Win2000域控制器模式（有Win2000的服务器）。

域名：binhu.local主域控制器：192.168.0.6/24 192.168.0.254/24（双网卡）这个网段只有网管部门可访问，本来是调试用的，还没有正式迁移到服务器网段，不过可以和服务器网段建立通信。

额外域控制器：192.168.2.254/24 服务器网段DNS：192.168.2.254DHCP ：192.168.2.254 已经通过交换机的UDPHelp把各个VLAN的DHCP网段都做好了，只配置了IP、网关、DNS。

局域网计算机有Win2k Pro和WinXP Pro，W2k是用自己封装的ghost批量安装的，xp 是用的YlmF_GhostXP_SP3_Y1.0，当然都是会随机产生SID啦，全部采用自动获取IP地址，安装后默认设置不变，XP自带防火墙开启，配置如图1。

（图1）在客户端可以Ping通服务器IP地址以及binhu.local。

总之网络层的互联互通是OK的，下面的问题全都不是由网络配置问题造成的，如果您确定您的网络配置都正确，并且网络结构和我大致相同或比我的还简单，可以继续往下看！问题1：新计算机在添加到域的过程中，按提示输入了域帐户和密码后，系统提示“找不到网络路径”。

备份域控制器提升为主域控制器的步骤备份域控制器提升为主域控制器通过获取5个FSMO来进行提升，具体步骤如下：转移架构主机角色使用"Active Directory 架构主机"管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。

注册 Schmmgmt.dll1. 单击开始，然后单击运行。

2. 在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

3. 收到操作成功的消息时，单击确定。

转移架构主机角色1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击"添加/删除管理单元"。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

7. 在控制台树中，右键单击 Active Directory 架构，然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色，然后单击关闭。

转移域命名主机角色1. 单击开始，指向管理工具，然后单击"Active Directory 域和信任关系"。

2. 右键单击"Active Directory 域和信任关系"，然后单击"连接到域控制器"。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。

如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在"输入其他域控制器名称"框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

- 或 -? 在"或者，选择一个可用的域控制器"列表中，单击将成为新角色持有者的域控制器，然后单击确定。

1、怎样限制一个域用户登录指定的计算机？（1）、先在域控制器的Active Directory用户和计算机中找到要限制的用户（比如叫insistence）。

（2）、然后右键点击用户insistence的属性，找到账户这一项。

点击登录到，会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only，点击添加即可！注意：如果想立即看到效果，可以在域控制器上使用命令gpupdate /force强制刷新组策略，然后再在域成员机器上使用该命令刷新就ok了！2怎样让域用户拥有本地管理员权限！（1）右键点击我的电脑→管理，出现下图。

（2）点击本地用户和组→组,出现如下图！（3）右键点击administrators→属性。

（4）点击添加（5）确定，然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可！重新用该用户登录就具有本地超级管理员权限了！注意：如果没把该用户加入到本地管理员组中，即使该域用户拥有用控制器上的超级管理员权限，但他在本地计算机上的权限也是guest用户的权限！3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

（1）前提是本机有一个固定的ip地址，并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

（2）开始→程序→管理工具→Internet信息服务（3）右键单击FTP站点→新建FTP站点进行如下操作（4）然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件，双击安装即可（注意：有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件，然后把它放到C:\WINDOWS\system32下，点击注册即可，安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI）（5）然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑，在里面输入only，这是规定only的访问目录。

WindowsServer2016域控制器升级到WindowsServer2022遇到的问。

1. ⾮域控服务器升级将两台Web服务器和数据库服务器(Windows Server 2016, 2019)成功升级⾄到Windows Server 2022，⾮常顺利，⼀次成功。

直接在Windows Server 2022的iso⽂件上点右键，选择装载，然后进⼊新出现的光盘，点击setup, 即可安装。

安装中选择保留应⽤。

序列号输⼊kms的即可。

2. 域控Server 2016升级前准备：2.1. 创建系统备份可以⽤Windows的恢复功能创建U盘启动盘，需要16G容量的U盘。

其实后⾯发现升级失败，系统会⾃⼰回滚，不做这⼀步也可以。

2.2. 域控制器架构升级，重要下⾯红⾊部分为要执⾏的两个命令，⽤于完成域控的架构升级。

F:\support\adprep>adprep.exe /forestprepADPREP 警告:在运⾏ adprep 之前，林中的所有 Windows Active Directory 域控制器都必须运⾏ Windows Server 2003 或更⾼版本。

你将使⽤ Active Directory 域控制器(架构主机)“**.**”，为名为“r**”的 Active Directory 林升级架构。

此操作在完成后将⽆法撤销。

[⽤户操作]如果林中的所有域控制器都运⾏ Windows Server 2003 或更⾼版本，并且你希望升级架构，请键⼊ "C" 进⾏确认，然后按 Enter 继续。

否则，键⼊任何其他键并按 Enter 退出。

C⽬前的架构版本为 87将架构升级到版本 88正在验证⽂件签名连接到“**.ro**”⽤ SSPI 作为当前⽤户登录从“F:\support\adprep\sch88.ldf”⽂件导⼊⽬录加载条⽬........成功地修改了 7 个条⽬。

解决将计算机提升至域控制器时的问题解决将计算机提升至域控制器时的问题当一个Windows 2003服务器被转换为一个域控制器时，系统会将一些特殊的域名解析记录写到该机器的DNS服务中(通常情况下是微软自己的DNS服务，但是第三方的DNS服务也会出现相同的情况)。

这些记录包括整个域环境的全局唯一标识(GUID)，这样活动目录就能够通过GUID地址来进行DNS解析。

如果一个管理员在没有提前为一台机器安装并配置DNS服务就把它提升为域控制器的话，那么上述活动目录的DNS解析记录就不会被正确的配置。

这样就会导致DNS服务没有保存这些特殊的解析记录，从而导致出现一些网络连接的问题。

你可以使用一个命令dcdiag来进行测试，它会在连接到DNS服务器时失败。

通常情况下，错误信息类似下面这些内容:()服务的GUID DNS名称无法被解析为一个IP地址。

请检查DNS 服务名称和DHCP名称。

尽管GUID DNS名称(._msdcs.domain-name.local)无法被解析，服务器名()仍可以被解析为IP地址()并且可以ping通。

请检查该IP地址是否在DNS服务中被正确注册。

很明显，这种问题会导致你的活动目录无法正常工作，下面是解决这个问题的方法:1.确保系统的TCP/IP设置是正确的，并且将其配置为支持本地DNS服务。

2. 打开“我的网络连接”|“本地连接”(或者是你目前使用的任何一个网络连接)|“Internet协议(TCP/IP)”|“属性”|“高级”|“DNS”。

3. 将第一个DNS服务器设置为本地计算机。

可以是本机的网络地址，或者是127.0.0.1(回环地址)。

4. 将“添加主要和连接指定的DNS后缀”和“添加父级后缀到主DNS后缀”两个选项选中。

5. 将“在DNS中注册该连接的地址”，然后单击“确定”退出。

6. 在命令提示行模式，输入命令ipconfig/flushdns并运行，然后再输入ipconfig/registerdns，以此清除本地DNS解析缓存并分别注册DNS源记录。

如前面一片文章所提到的。

比较麻烦的是，Exchange 2003的邮件服务器是安装在主域控制器上的，所以，主域控制器也被干掉了。

型号，做文件服务器的那台服务器也是域控制器，就要将这台文件服务器，升级到主域控制器了。

如果你没有执行过这样的动作，会觉得这是个很麻烦的事情。

当我们操作过之后，你就会发现，其实这个不难。

首先，我们执行【netdom query fsmo】命令，来看一下目前的主域控制器是哪台。

然后依次执行下面的命令ntdsutilrolesconnectionsconnect to server 下面就开始夺取主域控制器的命令了seize domain naming masterseize infrastructure masterseize pdcseize rid masterseize schema masterslect operation targetq命令式退出命令。

这样，我们这台域控制器，就成为了主域了。

最后，我们还要将这台服务器成为全局编目服务器。

方法如下：管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目，把空格勾上就好本文转自☆★黑白前线★☆- 转载请注明出处，侵权必究！原文链接：/a/special/qyaq/server/2010/0429/3595.html将额外控制器升级为主域控制器[原]前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

本文介绍如安在Windows 2000 中提升域控制器或将其降级为独立办事器。

将办事器提升为域控制器就是在此办事器上安装Active Directory 办事的历程。

将域控制器降级就是删除Active Directory 并切换到使用当地用户帐户系统(UAS)。

在将办事器提升为域控制器之前，必须计划您的结构以便最好地适应组织需要和网络拓扑结构。

在将办事器提升为域控制器时，治理员有以下选项：•在新目录林中安装第一个域控制器•在新域目录树中安装第一个域控制器•在新子域中安装第一个域控制器•在域目录树中安装分外域控制器•从域控制器中删除Active Directory进行名称解析时，域名系统(DNS) 办事是Active Directory 不可缺少的一部门。

DNS 界说了Windows 2000 命名空间，并且非常灵活。

有关DNS 要求和安装的其他信息，请单击下面的文章编号，以检察Microsoft 知识库中相应的文章：设置Active Directory 的域名系统在计划好配置并决定将在提升历程中使用哪一选项后，请按下面相应部门中的步调操纵。

这几部门可指导治理员完成提升历程。

在新目录林中安装第一个域控制器注意：您必须在提升前或在提升历程中在某一位置安装一个DNS 办事器。

在将盘算机提升为域控制器后，它在DNS 中注册办事，这些办事使轻型目录访问协议(LDAP) 查询能够针对此域控制器上的目录执行。

1.单击开始，单击运行，键入dcpromo，然后单击确定。

2.这将启动“Active Directory 安装向导”。

单击下一步。

3.Active Directory 安装向导会询问一系列问题，以确定此办事器将担当的脚色。

因为您要将此办事器安装为目录林中的第一个域控制器，请单击“新域的域控制器”。

4.单击下一步。

5.由于此域控制器还将充当新域目录树中的第一个域控制器，请单击“创建一个新的域目录树”。

6.单击下一步。

域控制器错误及相关解决办法１、用户帐户被意外锁定，并在 Windows Server 2003 中记录的事件 ID 12294事件 ID 12294参考：/kb/887433/zh-cn原因当您的网络上的计算机感染了 W32.Randex.F 蠕虫病毒或与它的变量时，可能会发生此问题。

解决方案若要解决此问题，请使用最新的可用的病毒定义在网络上运行完整的病毒扫描。

若要删除 W32.Randex.F 蠕虫病毒使用扫描。

有关如何执行病毒扫描或如何获取最新的病毒定义的信息，请参阅您的防病毒软件文档或与制造商联系。

2、事件 ID 1699 记录许多次并填充基于 Windows Server 2008 的可写域控制器的目录服务事件日志事件 ID 1699参考：/?scid=kb%3Bzh-cn%3B953392&x=12&y=12原因当 Windows Server 2008 RODC 试图缓存的主要用户的密码时，可写域控制器将执行检查以确定是否允许此操作。

如果不允许此操作，是将返回错误代码。

这是预期的行为。

但是，不正确可能返回错误代码时记录事件 1699解决方案若要解决此问题可用的修补程序。

安装此修补程序后，服务器不会在"原因"部分中提到的情况下记录事件 ID 1699。

在其他的方案中仍被记录该事件。

3、Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法事件ID58055722参考：/?scid=kb%3Bzh-cn%3B942564&x=8&y=10原因出现此问题是由于基于 Windows Server 2008 的域控制器上的允许与 Windows NT 4.0 兼容的加密算法策略的默认行为。

若要防止 Windows 操作系统和第三方客户端使用弱加密算法，以建立到基于 Windows Server 2008 的域控制器的NETLOGON 安全通道配置此策略。

把⼀台成员服务器提升为域控制器（如何配置域管理器）把⼀台成员服务器提升为域控制器⽬前很多公司的⽹络中的PC数量均超过10台:按照微软的说法，⼀般⽹络中的PC数⽬低于10台，则建议采对等⽹的⼯作模式，⽽如果超过10台，则建议采⽤域的管理模式，因为域可以提供⼀种集中式的管理，这相⽐于对等⽹的分散管理有⾮常多的好处，那么如何把⼀台成员服务器提升为域控? ⾸先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进⼊系统，我们要做的第⼀件事就是给这台成员服务器指定⼀个固定的IP，在这⾥指定情况如下: 机器名:Server IP:192.168.5.1 ⼦⽹掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要⼿动去添加，添加⽅法如下:“开始—设置—控制⾯板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画⾯: 向下搬运右边的滚动条，找到“⽹络服务”，选中: 默认情况下所有的⽹络服务都会被添加，可以点击下⾯的“详细信息”进⾏⾃定义安装，由于在这⾥只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，⼀直点“下⼀步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到⽂件的提⽰，那就需要⼿动定位了。

安装完DNS以后，就可以进⾏提升操作了，先点击“开始—运⾏”，输⼊“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这⾥直接点击“下⼀步”: 这⾥是⼀个兼容性的要求，Windows 95及NT 4 SP3以前的版本⽆法登陆运⾏到Windows Server 2003的域控制器，我建议⼤家尽量采⽤Windows 2000及以上的操作系统来做为客户端。

如果将打印机配置为使用计算机上的本地端口（如LPT1、LPT2 或LPT3），而计算机具有开放的客户端会话，Windows 2000 终端服务便支持通过远程桌面协议(RDP) 5 客户端对打印机进行自动重定向。

这种打印机重定向是在登录时进行的，而且是默认执行的操作。

不过，如果在客户端上使用第三方驱动程序或某些Microsoft Windows 95/Microsoft Windows 98 驱动程序，打印机重定向无效。

在出现这种情况时，服务器的系统事件日志中便会记录以下错误信息：类型:错误事件ID: 1111描述:打印机printertype 所需的驱动程序drivername 未知。

登录之前，请与管理员联系，安装驱动程序。

类型:错误事件ID: 1105描述:无法设置打印机printername/clientcomputername/Session number 的打印机安全信息。

类型:错误事件ID: 1106描述:无法安装打印机。

客户端登录时，基于Windows 2000 的服务器检查客户端上打印机驱动程序的名称，并在Windows 2000 Ntprint.inf 文件中查找同一打印机驱动程序名称。

如果找不到该驱动程序名称，便会记录错误信息，而不会将打印机重定向。

/kb/239088域成员电脑登录不了系统:用本地管理员帐户登录,查看日志有错误,描述为: Windows不能确定用户或计算机名称(拒绝访问。

)。

组策略处理中止。

登录域控制器，查看域控制器的日志:来源：NETLOGON 事件ID：5722,从计算机computername 设置的会话无法进行身份验证。

安全数据库中引用的帐户名称是computername$。

发生下列错误:拒绝访问。

从网上查到的资料：对于作为域成员的每一台Windows 2000 或Windows XP 工作站或服务器，它们都与域控制器有一个离散的通信通道，该通道称为安全通道。

客户端不能加入域解决方法加入域出现以下错误,windows无法找到网络路径，请确认网络路径正确并且目标计算机不忙或已关闭？核心提示：在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。

故障现象：单位有一台运行Windows XP系统的办公用计算机，由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。

按照正常的操作步骤进行设置，在“系统属性”的“计算机名”选项卡中加入域的时候，系统要求输入有权限将计算机加入域的用户名和密码（这表示已经找到域控制器）。

然而，在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。

解决方法：由于客户端计算机能够找到域控制，因此可以确定网络的物理连接和各种协议没有问题。

此外，由于可以在该计算机上找到域控制器，说明DNS解析方面也是正常的。

那为什么能找到域控制器却又提示无法找到网络路径呢？这很可能是未安装“Microsoft网络客户端”造成的。

在“本地连接属性”窗口的“常规”选项卡中，确保“Microsoft网络客户端”处于选中状态，然后重新执行加入域的操作即可。

“Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一，利用该组件可以使本地计算机访问Microsoft网络上的资源。

如果不选中该项，则本地计算机没有访问Microsoft网络的可用工具，从而导致出现找不到网络路径的提示。

本例故障的解决方法启示用户，为系统安装常用的组件和协议可以避免很多网络故障的发生，计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信.服务端（域控制器）：Microsoft网络文件和打印共享和网络负载平衡没选择上去，一定要选择上Microsoft网络文件和打印共享和网络负载平衡。

客户端要加入域,相关的服务要开始：Computer BrowserWorkstationRemote Procedure Call (RPC)TCP/IP NetBIOS HelperWindows Management Instrumentation这些客户端服务是否开启，TCP/IP NetBIOS Helper和Workstation一定要开启并非都是客户端问题，我的问题出在DC的安全策略上，是因为启用了DC上的组策略－>安全选项中的“帐户: 使用空白密码的本地帐户只允许进行控制台登录”，在客户端加入域时用户名的密码正好是空白的，过了会儿就出现了“找不到网络路径”，所以应该输入有密码的域账户，或者禁用这条安全策略。

额外域控制升级为主域控制器一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exch ange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

加域后常见问题
1：为什么我安装不了任何软件。

问题原因：加域后用户权限改变，无法安装软件。

回答问题答案：
2：为什么我打开不了，WORD，Excel，PDF，AI等。

问题原因：有时候C盘文件权限没获取，无法打开相应的快捷方式。

回答问题答案：
3：为什么我打印不了。

问题原因：有的电脑打印机需要设置权限共享，彩打需要重新获取ID。

回答问题答案：
4：为什么我的软件不见了。

问题原因：软件没有安装或者软件快捷方式没放到桌面。

回答问题答案：
5：为什么我的电脑变慢了。

问题原因：开机慢的原因是加域后，启动的时候需要到域控制器上面验证身份。

回答问题答案：
6：为什么我的电脑进不去了。

问题原因：1—账号没输对。

2—选错主机进入，没选域。

回答问题答案：
7：为什么我看不了视频。

问题原因：1—策略禁止了。

2—没装视频软件。

回答问题答案：
8：为什么之前是OFFICE03，现在是07，我用不习惯。

问题原因：现在统一推行用07.
回答问题答案：
9：用友进不去。

问题原因：IE版本不对，自动升级为10.0.删除更新包，装IE8，关掉自动更新即可。

还需要关掉阻止弹出窗口选项。

回答问题答案：。