因為沒有硬件環(huán)境，因此我使用的是VMware Workstation 5.5.3創(chuàng)造了一個組，電腦配置不高，暫時只建立兩臺電腦，一個運行WIN2003中文版，雙網(wǎng)卡，一個用NAT 和物理網(wǎng)絡相互連接，

因為沒有硬件環(huán)境，因此我使用的是VMware Workstation 5.5.3創(chuàng)造了一個組，電腦配置不高，暫時只建立兩臺電腦，一個運行WIN2003中文版，雙網(wǎng)卡，一個用NAT 和物理網(wǎng)絡相互連接，一個連接LAN1虛擬網(wǎng)絡部分。一個運行XP SP3英文版，單網(wǎng)卡，連接LAN1。這樣可以盡量和物理網(wǎng)絡區(qū)分開來，并且可以適用于大部分實驗。

VMware 建立組的方法很簡單FILE-->NEW-->Team，后邊的一看就會，不說了。

1、DNS 設置不正確的問題

安裝活動目錄，就在選擇DNS 的時候，忘了選擇了什么選項，像是本機什么什么的。反正就是沒有設置DNS 就過去了。后來也證明，DNS 服務器沒有正常啟動。

打開DNS 服務器，開啟DNS 服務，看了看正向搜索區(qū)域，里邊有Server.test.com -->192.168.0.1的項，應該正常吧。網(wǎng)上順便看了看MX 記錄的問題，發(fā)覺DNS 服務器有很多類型，但是WIN2003的DNS 沒有這樣的記錄類型（比如主機類型，TXT 類型，郵箱或通信信息），微軟真菜，蓋子的決心不夠?。_^

打開XP 虛擬機，將他加入域的時候，發(fā)覺只能用NETBIOS 名稱加入域，而不能用完整域名加入。提示：

Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:WINDOWS?bug?diag.txt.

The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain sunda.com:

The error was: "DNS name does not exist."

(error code 0x0000232B RCODE_NAME_ERROR)

The query was for the SRV record for _ldap._tcp.dc._msdcs.test.com

Common causes of this error include the following:

- The DNS SRV record is not registered in DNS.

- One or more of the following zones do not include delegation to its

child zone:

test.com

com

. (the root zone)

For information about correcting this problem, click Help.

在網(wǎng)上找了很多地方，沒有找到答案，都只是提示了說DNS 配置錯誤。最多說了沒有SRV 記錄，不過這個SRV 鬼才知道怎么搞（當然是沒有找到）。那就用NETBIOS 名稱先加進去，先看看域到底是什么東西再說。

然后查找了一些資料，發(fā)覺使用NSLOOKUP 判斷DNS 是否正確的。下邊是查詢結果：

不小心找到了微軟的知識中心：使用NSLOOKUP 找到了解決問題的辦法。

原來是反向區(qū)域沒有記錄，新建主要區(qū)域，選中下邊的在Active Directory 手動添加中存儲區(qū)域，反向區(qū)域添加記錄192.168.0.1-->server.test.com，成功。由此上邊Can't find server 等等不見了，成了正常的域名解析。在計算機里也可以使用域名把計算機添加的域了。

2、windows 無法與此域連接原因是域控制存在故障或不可用, 或者沒有找到計算機帳戶 經(jīng)典的windows 無法與此域連接原因是域控制存在故障或不可用, 或者沒有找到計算機帳戶俺也遇到了

解決方法，用本地管理員身份進入域，選擇退出域，改成工作組，然后再加入域，即可。

這個問題的原解釋如下：

該提示的原因絕大多數(shù)由于DC 中的計算機帳戶重名或者被禁用 所導致。當您將一臺客戶端加入域時，默認情況下在DC 的computer 的容器中會自動創(chuàng)建一個以該機器的用戶名命名的計算機對象，這意味著DC 已經(jīng)和客 戶端建立起了secure channel ，同時會生成一個key ，安全通道的密碼和計算機的帳戶一起存儲在所有域控制器上。對于 Windows 2000 或 Windows XP，默認計算機帳戶密碼的更換周期為 30 天。如果因某種原因導致計算機帳戶的密碼和 LSA 機密不同步，意味著客戶端與DC 的通信被斷掉，則會導致您所述的提示信息沒有找到計算機賬戶。而如果secure channel 被斷掉。導致secure channel 出錯的原因可能有以下幾種：

1. 將客戶端加入到域時，域中已經(jīng)存在與該計算機同名的計算機賬戶，那么在該計算機加入域后，會將本計算機的名稱覆蓋與其同名的計算機帳戶，這樣就會導致備覆 蓋的哪個計算機在登錄域時報錯

2. 將ADUC 中的計算機賬戶刪除也會導致上述錯誤

解決該問題，我們需要同步計算機帳戶的密碼和 LSA 機密，在 Windows 2000 或 Windows XP 中重置計算機帳戶的四種方法：

1. 使用 Netdom.exe 命令行工具

2. 使用 Nltest.exe 命令行工具

注意：Netdom.exe 和 Nltest.exe 工具位于 Windows Server CD-ROM 上的 SupportTools 文件夾中。要安裝這兩個工具，請運行 Setup.exe 或從 Support.cab 文件中提取文件。

3．使用“Active Directory 用戶和計算機”Microsoft 管理控制臺 (MMC)。

4. 使用 Microsoft Visual Basic 腳本

具體步驟請參照：http://support.microsoft.com/kb/216393/zh-cn

如果希望避免此問題可以參照下面幾點建議：

1. 將客戶端加入到域時請檢查是否與域中的計算機同名

2. 請不要在ADUC 中刪除域中的有效計算機賬戶

相關出錯對照信息：

1. 每個成員都維護著這樣的一個 LSA 機密，用于建立安全通道由 Netlogon 服務。 如果，出于某種原因，計算機帳戶的密碼和 LSA 機密不同步，Netlogon 服務記錄以下錯誤： NETLOGON Event ID 3210:

Failed to authenticate with DOMAINDC, a Windows NT domain controller

for domain DOMAIN.

2. 如果計算機賬戶被刪除，通過成員Netlogon 服務會記錄下面的錯誤信息：

NETLOGON Event ID 5721:

The session setup to the Windows NT Domain Controller for the

domain DOMAIN failed because the Windows NT Domain Controller does not

have an account for the computer DOMAINMEMBER.

3. 同樣，域控制器上的 Netlogon 服務密碼不同步時記錄以下錯誤：

NETLOGON Event 5722

The session setup from the computer DOMAINMEMBER failed to authenticate.

The name of the account referenced in the security database is

DOMAINMEMBER$. The following error occurred: Access is denied.

有關安全通道的信息，請參閱 Microsoft 知識庫中下列文章：

ARTICLE-ID ： 131366 (http://support.microsoft.com/kb/131366/EN-US/)

TITLE ： 事件錯誤 5712 狀態(tài)訪問被拒絕

ARTICLE-ID:

(http://support.microsoft.com/kb/142869/EN-US/)

TITLE ： 同步整個域時出現(xiàn)事件 ID 3210 and 5722 142869