论文部分内容阅读
一、应对由权限引起的故障
如果登录客户端系统的本地用户没有访问特定域的权限,那么该用户打开客户端的系统属性对话框时,会发现加入域的?更改按钮处于灰色不可点击状态;即使用户尝试利用“netdotn”命令加人特定域时,系统也会弹出没有登录权限的提示。
造成用户没有登录权限原因主要有两个方面,一是用户登录特定域的次数超过了规定限制,二是特定域控制器中已经出现了特定客户端系统用户的登录账号。在缺省状态下,域控制器只允许普通用户登录10次,一旦超过这个次数,该用户账号就会被自动锁定,那么用户的登录权限自然就会被剥夺了;对于登录次数的限制,我们可以根据实际情况进行设置,例如可以通过组策略的权限委派,来对用户的登录次数权限进行更为精确的控制。
要是局域网特定域中没有本地客户机的用户账号存在,那么该用户就能顺利地将本地客户端系统加入到局域网特定域中;相反,要是特定域中已经存在一台和本地客户端系统主机名称相同的用户账号时,那么普通用户此时尝试将该客户端系统加入到特定域中时,就会出现“拒绝访问”之类的错误提示,这主要是因为这个域用户的加入域权限仅仅是创建计算机账号,而要是域控制器中已经出现了相同的计算机账号时,就必须要有修改计算机属性的操作权限。
二、应对由解释引起的故障
在Windows系统环境中,名称解析主要有两种类型,一种是主机名,该名称是南计算机名加上DNS后缀,它是完全合格的域名,格式类似aaa.com式样;另外一种是NetBios名称,这种名称的格式类似aaa式样,该名称的解析是通过wINS服务广播完成的,而前面一种名称的解析是通过DNS服务器完成的。
影响客户端系统顺利加入局域网特定域,比较常见的原因就是主机名称解析不正确。当由于名称解析不正确而造成客户端系统无法加入特定域时,系统往往会弹出比较明显的错误提示,例如弹出“无法联系域控制器,请确认域名输入正确”提示,该提示很直观地告诉用户由于不能解析域控制器的主机名称,造成域控制器无法联系。
倘若局域网中的特定域控制器工作状态一切正常,而客户端系统的DNS参数设置错误的情况下,用户尝试使用aaa.com名称加入局域网域时,这个时候主机名称由于解析不正确,系统会弹出“不能联系aaa.com的域控制器”的错误提示。相反,此时如果使用aaa名称加入特定域时,说不定就能取得成功,因为aaa名称的解析不需要通过DNS服务器,只需要客户端系统的网卡属性中启用了“TCP/I吐的NetBins”功能;在启用“TCP/I吐的NetBios”功能时,可以依次单击客户端系统的“开始”、“设置”、“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右击连接局域网的本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标连接的属性对话框,选中TCP/IP协议选项,单击“属性”按钮,之后单击“高级”按钮,进入高级设置对话框,点选“WINS”标签,打开如图1所示的标签设置页面,选中“启用TCP/IP上的NetBios”选项,再单击“确定”按钮执行设置保存操作。
当然,使用aaa名称加入特定域后,往往会出现系统启动速度非常缓慢的现象,这种现象主要是因为DNS设置不当,而域中的所有可用资源和服务几乎都是靠DNS解析来访问的,所以才会造成客户端系统启动缓慢的问题,为此我们不建议大家轻易通过NetBios名称,来加入局域网特定域。不过,需要提醒各位注意的是,一旦客户端系统禁用了“TCP/IP上的NetBios”功能,或者关闭了TCP/IP NetBios Helper月艮务,那么客户端系统日后就无法通过aaa名称加入局域网特定域了。
要是域控制器中的Netlc·gon服务被意外关闭的话,那么客户端系统无论是通过aaa.com名称或aaa名称加入局域网特定域,系统都会弹出无法联系域控制器的错误,这是因为Netlogon服务与域控制器中的所有arv资源都有关联。要是域控制器中的DNS服务被停用的话,那么客户端系统日后只能使用aaa名称加入局域网特定域。
所以,日后当我们尝试使用aaa.corn名称无法加入局域网特定域时,不妨先检查客户端系统的DNS设置是否正确,之后检查域控制器中的DNS服务是否被意外关闭,解决了DNS方面的问题后,那么客户端系统日后也就能顺利地加入到指定域中了。在排查DNS问题时,我们可以考虑先用专业工具Netdiag诊断网络,以便搜集故障信息,定位故障发生位置;在找到故障位置后,不妨通过重新启动DNS服务和Netlogon服务的方法,来解决DNS问题,要是这样的故障仍然不能被成功解决的话,不妨重新创建区域来修复问题。重启系统服务的操作也很简单,只要先打开系统运行对话框,在其中执行“services.mse”命令,弹出系统服务列表窗口,用鼠标双击目标系统服务,弹出如图2所示的目标服务属性对话框,先单击“停止”按钮,将正在运行的系统服务关闭掉,之后单击“启动”按钮,这么一来就能实现重新启动目标系统服务的目的了。
三、应对由端口引起的故障
在排除名称解析因素后,如果客户端系统仍然无法加入局域网特定域的话,那就需要重点关注端口因素了。如果域控制器的137、138、139、445端口同时被关闭,而其他端口全部被打开的话,那么客户端系统在尝试使用aaa.com名称或aaa名称加入局域网特定域时,都会遇到失败现象,因为在这些重要端口被关闭后,NetBios名称将不能被正常解析,那么使用aaa名称自然就不能成功加入局域网特定域了,而aaa,com名称能成功加入到特定域的前提条件,就是域控制器的NetBios名称也能被正常解析,现在NetBios名称无法被解析了,aaa.com名称在加入特定域时当然就会出错了。
要是将域控制器中的所有端口全部关闭,只开启137、138、139、445等端口,那么客户端系统无论使用aaa.com名称还是aaa名称加入局域网特定域时,都能出现登录对话框,不过在输入正确的登录账号后,系统却会提示没有更多终结点可用的错误提示,出现这种错误主要是远程登录操作需要域控制器中的RPC服务支持,而RPC服务在正常工作的时候,需要开通1025-5000之间的一个端口,当这个范围内的端口全部被关闭时,客户端系统进行远程登录时就容易出现没有更多终结点可用的提示。
如果开通域控制器中的所有端口,只关闭389端口,那么客户端系统无论使用什么名称加入特定域,都会遇到特定服务器无法运行请求的操作提示,出现这种错误提示,主要是客户端系统在加入域时,也要用到域控制器中的LDAP服务,而389端口恰好是这种服务正常工作时必须要开启的端口。倘若域控制器中的其他端口全部关闭,只开通了139、445端口,那么客户端系统在加入特定域时,会出现无法找到网络路径的错误;要是其他端口全部打开,只关闭135端口,那么会出现RPC服务器不可用的错误。总之,要保证客户端系统可以成功加入局域网特定域,至少要同时开通域控制器中的135、137、138、139、389、445端口,以及1025-5000范围内的一个端口。
如果登录客户端系统的本地用户没有访问特定域的权限,那么该用户打开客户端的系统属性对话框时,会发现加入域的?更改按钮处于灰色不可点击状态;即使用户尝试利用“netdotn”命令加人特定域时,系统也会弹出没有登录权限的提示。
造成用户没有登录权限原因主要有两个方面,一是用户登录特定域的次数超过了规定限制,二是特定域控制器中已经出现了特定客户端系统用户的登录账号。在缺省状态下,域控制器只允许普通用户登录10次,一旦超过这个次数,该用户账号就会被自动锁定,那么用户的登录权限自然就会被剥夺了;对于登录次数的限制,我们可以根据实际情况进行设置,例如可以通过组策略的权限委派,来对用户的登录次数权限进行更为精确的控制。
要是局域网特定域中没有本地客户机的用户账号存在,那么该用户就能顺利地将本地客户端系统加入到局域网特定域中;相反,要是特定域中已经存在一台和本地客户端系统主机名称相同的用户账号时,那么普通用户此时尝试将该客户端系统加入到特定域中时,就会出现“拒绝访问”之类的错误提示,这主要是因为这个域用户的加入域权限仅仅是创建计算机账号,而要是域控制器中已经出现了相同的计算机账号时,就必须要有修改计算机属性的操作权限。
二、应对由解释引起的故障
在Windows系统环境中,名称解析主要有两种类型,一种是主机名,该名称是南计算机名加上DNS后缀,它是完全合格的域名,格式类似aaa.com式样;另外一种是NetBios名称,这种名称的格式类似aaa式样,该名称的解析是通过wINS服务广播完成的,而前面一种名称的解析是通过DNS服务器完成的。
影响客户端系统顺利加入局域网特定域,比较常见的原因就是主机名称解析不正确。当由于名称解析不正确而造成客户端系统无法加入特定域时,系统往往会弹出比较明显的错误提示,例如弹出“无法联系域控制器,请确认域名输入正确”提示,该提示很直观地告诉用户由于不能解析域控制器的主机名称,造成域控制器无法联系。
倘若局域网中的特定域控制器工作状态一切正常,而客户端系统的DNS参数设置错误的情况下,用户尝试使用aaa.com名称加入局域网域时,这个时候主机名称由于解析不正确,系统会弹出“不能联系aaa.com的域控制器”的错误提示。相反,此时如果使用aaa名称加入特定域时,说不定就能取得成功,因为aaa名称的解析不需要通过DNS服务器,只需要客户端系统的网卡属性中启用了“TCP/I吐的NetBins”功能;在启用“TCP/I吐的NetBios”功能时,可以依次单击客户端系统的“开始”、“设置”、“网络连接”命令,在弹出的网络连接列表窗口中,用鼠标右击连接局域网的本地连接图标,从弹出的快捷菜单中执行“属性”命令,打开目标连接的属性对话框,选中TCP/IP协议选项,单击“属性”按钮,之后单击“高级”按钮,进入高级设置对话框,点选“WINS”标签,打开如图1所示的标签设置页面,选中“启用TCP/IP上的NetBios”选项,再单击“确定”按钮执行设置保存操作。
当然,使用aaa名称加入特定域后,往往会出现系统启动速度非常缓慢的现象,这种现象主要是因为DNS设置不当,而域中的所有可用资源和服务几乎都是靠DNS解析来访问的,所以才会造成客户端系统启动缓慢的问题,为此我们不建议大家轻易通过NetBios名称,来加入局域网特定域。不过,需要提醒各位注意的是,一旦客户端系统禁用了“TCP/IP上的NetBios”功能,或者关闭了TCP/IP NetBios Helper月艮务,那么客户端系统日后就无法通过aaa名称加入局域网特定域了。
要是域控制器中的Netlc·gon服务被意外关闭的话,那么客户端系统无论是通过aaa.com名称或aaa名称加入局域网特定域,系统都会弹出无法联系域控制器的错误,这是因为Netlogon服务与域控制器中的所有arv资源都有关联。要是域控制器中的DNS服务被停用的话,那么客户端系统日后只能使用aaa名称加入局域网特定域。
所以,日后当我们尝试使用aaa.corn名称无法加入局域网特定域时,不妨先检查客户端系统的DNS设置是否正确,之后检查域控制器中的DNS服务是否被意外关闭,解决了DNS方面的问题后,那么客户端系统日后也就能顺利地加入到指定域中了。在排查DNS问题时,我们可以考虑先用专业工具Netdiag诊断网络,以便搜集故障信息,定位故障发生位置;在找到故障位置后,不妨通过重新启动DNS服务和Netlogon服务的方法,来解决DNS问题,要是这样的故障仍然不能被成功解决的话,不妨重新创建区域来修复问题。重启系统服务的操作也很简单,只要先打开系统运行对话框,在其中执行“services.mse”命令,弹出系统服务列表窗口,用鼠标双击目标系统服务,弹出如图2所示的目标服务属性对话框,先单击“停止”按钮,将正在运行的系统服务关闭掉,之后单击“启动”按钮,这么一来就能实现重新启动目标系统服务的目的了。
三、应对由端口引起的故障
在排除名称解析因素后,如果客户端系统仍然无法加入局域网特定域的话,那就需要重点关注端口因素了。如果域控制器的137、138、139、445端口同时被关闭,而其他端口全部被打开的话,那么客户端系统在尝试使用aaa.com名称或aaa名称加入局域网特定域时,都会遇到失败现象,因为在这些重要端口被关闭后,NetBios名称将不能被正常解析,那么使用aaa名称自然就不能成功加入局域网特定域了,而aaa,com名称能成功加入到特定域的前提条件,就是域控制器的NetBios名称也能被正常解析,现在NetBios名称无法被解析了,aaa.com名称在加入特定域时当然就会出错了。
要是将域控制器中的所有端口全部关闭,只开启137、138、139、445等端口,那么客户端系统无论使用aaa.com名称还是aaa名称加入局域网特定域时,都能出现登录对话框,不过在输入正确的登录账号后,系统却会提示没有更多终结点可用的错误提示,出现这种错误主要是远程登录操作需要域控制器中的RPC服务支持,而RPC服务在正常工作的时候,需要开通1025-5000之间的一个端口,当这个范围内的端口全部被关闭时,客户端系统进行远程登录时就容易出现没有更多终结点可用的提示。
如果开通域控制器中的所有端口,只关闭389端口,那么客户端系统无论使用什么名称加入特定域,都会遇到特定服务器无法运行请求的操作提示,出现这种错误提示,主要是客户端系统在加入域时,也要用到域控制器中的LDAP服务,而389端口恰好是这种服务正常工作时必须要开启的端口。倘若域控制器中的其他端口全部关闭,只开通了139、445端口,那么客户端系统在加入特定域时,会出现无法找到网络路径的错误;要是其他端口全部打开,只关闭135端口,那么会出现RPC服务器不可用的错误。总之,要保证客户端系统可以成功加入局域网特定域,至少要同时开通域控制器中的135、137、138、139、389、445端口,以及1025-5000范围内的一个端口。