查看完整版本: Vista系统加域问题及其上网

Vista系统加域问题及其上网

公司新购买几台sony sz43cn笔记本，预装的是vista business版本，由于公司内部使用的是域，所以，必须使sony本加入域才能正常使用，但是我按照winxp加域的方法（右击我的电脑——属性——计算机名——域——打域名，之后重启），来加vista系统，怎么加都不成，提示“不能联系域sony_lan的Active Direciory域控制器    请确认域名输入正确”   DNS和路由器是一个地址（内网地址：111.222.19.XXX 子网延码：255.255.255.0，网关和DNS是一个地址：111.222.19.2） ，公司内部DHCP是开启的，也可以自动获取IP， 设置都没问题，不知道是怎么回事？


而且，这些新买的笔记本上网也老是不成，突然就上不了网了，进入“共享与网络中心” 小地球标志一直都是灰色的，和前面的路由器总是断的，重新安装网卡驱动，换IP，无线有线都无法上网，但有时不用管它，它自己就有好了，可是过几天又不成了！请各位高手帮忙看看有什么好方法给弄好！

[b][color=blue]查到一些相关资料如下，请参考：[/color][/b]

[quote]
加入到DOMAIN有2种方式，分别是：
1.netbios
2.dns
在加入域的时候通常提示找不到域控制器一般多出现与DNS无法定位DC，或者DC本身的DNS有问题，那么这个时候加入域可以考虑前者，也就是NETBIOS形式，通常Netbios形式是在你加入域的时候不需要输入.com，如：contoso
如果依然失败那么你需要考虑TCP/IP属性中的DNS是不是指定到DC的DNS，如果是正确的，请确定是否是多个网卡，如果存在多个网卡请到网络连接选择高级--高级设置--将本地的主要网卡设置在最上面，如下面结构：

本地连接
本地连接2
远程访问连接

如果以上都确定正常，那么就需要考虑DC的DNS是否正常，如果正常，那么请检查是否配置了防火墙或者IPSEC策略关闭了139 53/UDP/TCP端口，一般使用prtquery可以帮助您确认

通常做以上步骤前请确认能PING或者NSLOOKUP
[/quote]


[quote]
上面说的正确,为方便理解,附加如下:

NetBIOS名称，只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的，如果确信域用户都是2000及以上系统（它们通过DNS定位域），建议加入域前检查客户机的TCP/IP设置和DC的DNS设置,可用IPCONFIG /ALL和NSLOOKUP或PING命令来查证

加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域。 加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但它不是一个完善的服务，有时就会不好使。 这样虽然也可把计算机加入到域，而且在等较长时间后也可以登录到域上去，但不推荐。因为客户机的DNS指的不对，则它无法利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它，这本应是可以的。还有一个要注意的是:

从Windows 2000开始，微软作了改进：在Windows 2000/03域中，默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组，也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题：在实际中用普通域帐号加计算机到域，有时会不好使，原因是同名计算机帐号（极可能是它自己已经失效的计算机帐号）已存在而无权覆盖，这时就得用域管理员帐号了。
[/quote]

[b][color=blue]参考资料2：[/color][/b]
[b][color=#0000ff][/color][/b]
[quote]
[color=#003333][b]Vista加入到域的debug问题排查[/b][/color]  - [[color=#003333]Windows vista[/color]]
TAG：[color=#003333]DNS[/color] [color=#003333]域[/color] [color=#003333]exist[/color] [color=#003333]debug[/color] [color=#003333]vista[/color]


新买的一台预装windows vista business的笔记本电脑无法加入到公司目前的win2000 server域中，提示说是DNS有什么问题。有下面的提示。但其他的安装win2000或者winxp的机器都能很顺利地加入到域。vista的系统以前没接触过，不知道在加入域的过程中是否有甚么特别要注意的地方。
Note: This information is intended for a network administrator.  If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\Windows\debug\dcdiag.txt.
The following error occurred when DNS was queried for the service location (SRV) resource record used to locate an Active Directory Domain Controller for domain NLP.COM:
The error was: "DNS name does not exist."
(error code 0x0000232B RCODE_NAME_ERROR)
The query was for the SRV record for _ldap._tcp.dc._msdcs.NLP.COM
Common causes of this error include the following:
- The DNS SRV records required to locate a AD DC for the domain are not registered in DNS. These records are registered with a DNS server automatically when a AD DC is added to a domain. They are updated by the AD DC at set intervals. This computer is configured to use DNS servers with the following IP addresses:
202.100.64.66
202.100.64.68
- One or more of the following zones do not include delegation to its child zone:
NLP.COM
COM
. (the root zone)
For information about correcting this problem, click Help.
[b]回答：[/b]
Windows Vista加入域和之前的版本并没有太大区别，而且还更加友好、更容易。大家从上面的提示信息中就可以看到，错误信息不仅支出了问题所在，而且还告诉您应该提醒系统管理员，在你的计算机上出现了这个问题。这个问题的描述已经记录在 C:\Windows\debug\dcdiag.txt，你不用多费口舌，只要将这个文件给管理员就行了！看样子Longhorn的活动目录很让人期待！
让我们来看看这个问题，这个问题其实在之前版本的系统上也相当的常见，其实就是客户端在加入到域的时候，无法联系域控制器DC，只不过在以前，系统給出的错误信息相当简单，直接告诉您无法联系网域控制器。那么当您尝试加入域的时候，客户端系统到底做了什么操作呢？其实通过上面Vista給出的错误信息就可以了解到这一点。
当您尝试将Vista加入域的时候，系统首先提示您提供域名、用于加入域的用户名和密码，然后尝试按照您給出的域名，按照您在客户端DNS中指定的primary dns，使用LDAP协议发起一个函数调用，调用DsGetDcName。该进程将会联系DNS Server，然后在DNS中查找域中的DC，DC的位置记录在DNS 中的一条SRV记录中，这个记录的名字就是 _ldap._tcp.dc._msdcs.NLP.COM 。显而易见，如果查询成功，该进程将会返回当前域中的域控制器IP。如果查询不成功，系统就会提示当前域中的域控制器无法联系。最后系统用您提供的用户名和密码，尝试与域控制器进行验证，并在本地生成并缓存票据，如果成功，就会在活动目录数据库中创建或者更新相应的计算机账户及相关属性。
那么根据上面的场景描述，其中有几个环节可能出问题，一是由于客户端dns没有指向DC，或者没有指向能够解析dc的dns，这是最常见的情况，那么请将primary dns指向dc；二是由于dns server不能解析dc的ip地址，原因就是本文开头错误信息中提到的原因，那么首先在dc上执行dcdiag 来确认这个问题。然后在dc将primary dns指向dc自己，执行 net stop dns && net start dns 以及 net stop netlogon && net start netlogon，让dc正确注册自己的srv记录。三是由于您提供的用户没有权限写入ad数据库，那么系统将会提示拒绝访问，那么您需要对该账户作出正确的委派。[/quote]

[b][color=blue]相关资料3：[/color][/b]
[b][color=#0000ff][/color][/b]
[quote]
[color=#003333][b]关于加入域应具备的权限讨论[/b][/color]  - [[color=#003333]管理员日志[/color]]
TAG：[color=#003333]权限[/color] [color=#003333]加入域[/color] [color=#003333]域[/color] [color=#003333]管理[/color]


之前有朋友在winmag的朋友问，到底将计算机加入域应该具备什么权限啊？为什么我在ou上作了委派，在computers容器上添加了完全控制的权限，但用这个帐户在将计算机加入域的时候，仍然提示我“存取被拒”？呵呵，这倒霉的事情今天终于让我遇上了！
ou管理员下午突然找到我说，“我的帐户不能添加计算机了”。怪了，之前好好的，怎么就突然不行了呢？查看computers上的权限，这个对象和子对象完全控制！（抱歉，这里使用繁体的词汇）百思不得其解，遂查资料。翻了《Best Practices for Delegating Active Directory Administration》一书，其中重点讲述了Delegating Service Management 和 Delegating Data Management ，于事无补啊（不过这本书确实不错，大家可以看看），无意中看了之前收集的一篇kb818091 [color=#003333]http://support.microsoft.com/default.aspx?scid=kb;en-us;818091[/color] ，打开我的思路。按照文中所述的方法炮制：
1. Click Start, point to Programs, point to Administrative Tools, and then click Active Directory Users and Computers.
2. In Active Directory Users and Computers, click View, and then click to select Advanced Features.
3. Right-click Computers, and then click Properties.
4. Click the Security tab, and then click Advanced.
5. In the Access Control Settings for Computers dialog box, click Add, click the name of the user or group to whom you want to grant permission to remove computers from the Computers container, and then click OK.
6. In the Permission Entry for Computers dialog box, click This object only in the Apply onto list.
7. In the Permissions list, find the Delete Computer Objects permission, click to select the Allow check box next to this permission, and then click OK.
8. In the Access Control Settings for Computers dialog box, click Add, click the name of the user or group to whom you want to grant permission to remove computers from the Computers container, and then click OK.  
9. Click the Properties tab, and then click computer objects in the Apply onto list.
10. In the Permissions list, find the Write All Properties permission, click to select the Allow check box next to this permission, and then click OK three times.

果然可以了，看样子还是computers 的权限被更改了（唉，这都怪之前的懒惰，粗放式经营岀的祸）考虑到computers上赋予的ou管理员组比较多，很杂乱，随即另开一组，命名为add computers to domain，将之computers容器上按照如上方法设置权限。并告知所有ou管理员，今后需要添加计算机的人员均可自行添加在此组中。最后测试，在组中添加一个新建的domain user，在client上winkey+break ，敲入domain dns name，回车，输入此帐户和密码，回车……诶？还是提示“存取被拒”！！！！

还需要什么权限呢？反复读上面的kb，注意到了write all properties ！嗯，计算机在被添加到域后，其计算机帐户自动产生在computers容器下，当被退出域后，计算机帐户遗留在域中。当有计算机加入域的时候，系统将会查询当前域中是否存在以当前计算机帐户，此计算机帐户的名称，以当前计算机netbios名称附加当前域的dns 后缀，构成完成dns名称 （还记得在winkey+break添加域的那个地方，有一个默认勾选项吗？ Change primary DNS suffix when domain membership changes ）。如果域中没有存在同名的计算机帐户，那么使用上面设置的权限足够了，但如果存在呢？系统将使用您提交的帐户身份（就是您使用什么帐户将计算机加入到域），尝试修改该计算机帐户属性，并重置计算机密码，建立和dc之间的安全通道（呵呵，这里又要说道那个让人唏嘘的关于Netlogon 5722 错误 了）并修改计算机帐户的owner。

注：通过“域中添加工作站”的方式创建的计算机帐户将“域管理员”看作该计算机帐户所有者，而通过计算机容器权限方式创建的计算机帐户则将创建者看作计算机帐户的所有者。如果用户既有容器的权限，又有“将工作站添加到域”的用户权利，最终的owner将基于计算机容器权限而非用户权利。
那么到底这里还需要些什么权限呢？找个已经添加到computers 容器中的计算机帐户，看看它的属性－安全－高级。权限列表如下：（这里是繁体的词汇）
清单内容   读取全部内容  读取权   
所有延伸的权利 －－－－
以下列接收
以下列传送
重设密码
变更密码
需要注意的是，这里的权限都是针对计算机帐户的。也就是说，我们在这里就应该给add computers to domain这样加权限：
选择computers容器，安全，高级，添加，填入add computers to domain ，在apply on 的地方选择computer objects，然后再下面勾选上述的那些权限。其中“所有延伸的权利”和其下的四项关联，选择它，后面的四项自动选中。
好了，让我们再次尝试一下用新加入add computers to domain这个组的帐户，噢？还是不行？呵呵，忘记了，上面我们提到的“如果计算机帐户已经存在，那么将会用当前用户帐户尝试修改计算机帐户的权限和owner，ok，让我们在勾选“修改使用权限”“修改使用人”。再次测试，完全正常了！
最后出来的针对计算机帐户权限列表如下：
清单内容                  读取全部内容           读取权        所有延伸的权利           以下列接收        以下列传送       重设密码         变更密码       修改使用权限     修改使用人
当然这里的权限设定，仅限于一般情况，遇到特殊环境了，比如dns发生了变化，那么就还需要更改dns的权限，大家可以自行调整了，这里也就给大家作个参考！
噢？有朋友问了，如果这个计算机帐户不在computers 容器中又怎么办？呵呵，我的ou管理员发话了 “靠！那一定在我的ou里，那是我的地盘，我说了算！”唉－－！ou是他完全控制啊！
不过这里有个情况要说明一下，当计算机被加入到域的时候，系统会首先查询ad的数据库，是否已经存在此计算机账户，如果不存在，那么将在computers容器中新建计算机账户，进行上面所述的动作；如果存在，那么将直接使用原有账户，并保持原有帐户在ad层次结构中的位置，但会使用当前token中的相关信息重置原有计算机账户。此时如果当前将此计算机添加到域所使用的账户，对于原有账户在ad层次结构中的位置不具有上述基本权限，则也会提示存取被拒。这种情况常常发生在委派ou管理员添加计算机到域时，域中已经存在同名的计算机账户，但当前ou管理员账户对于此计算机账户所处的ou，恰恰没有管理权限（霍霍，因为那是人家的地盘[img=19,18]http://www.blogbus.com/public/smiles/01-23.gif[/img])
[/quote]

非常感谢，但是我们这边的域服务器是一台windows nt4.0系统，会不会和Vista系统不兼容所造成的呀！？

回复 #5 Matiox 的帖子

个人感觉不会出现不兼容问题