http://blog.163.com/[email protected]/blog/static/11507848820159291591761/

1.域普通用户无法使用域管理员账号安装软件
域普通用户无法使用域管理员账号安装软件
域普通用户无法使用域管理员账号安装软件,如下图1所示,将“USER_XP\Administrator”换成“CS\Administrator”,CS为域的名称,提示如图2,求解
【AD】域环境常见错误集
 
Secondary Logon(二次登录服务) 服务被禁止
http://bbs.51cto.com/thread-1167409-1.html
-------------------------------------

事件ID 1111

如果将打印机配置为使用计算机上的本地端口(如 LPT1、LPT2 或 LPT3),而计算机具有开放的客户端会话,Windows 2000 终端服务便支持通过远程桌面协议 (RDP) 5 客户端对打印机进行自动重定向。这种打印机重定向是在登录时进行的,而且是默认执行的操作。

不过,如果在客户端上使用第三方驱动程序或某些 Microsoft Windows 95/Microsoft Windows 98 驱动程序,打印机重定向无效。在出现这种情况时,服务器的系统事件日志中便会记录以下错误信息:

类型:错误

事件 ID: 1111

描述:打印机 printertype 所需的驱动程序 drivername 未知。登录之前,请与管理员联系,安装驱动程序。

类型:错误

事件 ID: 1105

描述:无法设置打印机 printername/clientcomputername/Session number 的打印机安全信息。

类型:错误

事件 ID: 1106:无法安装打印机。

客户端登录时,基于 Windows 2000 的服务器检查客户端上打印机驱动程序的名称,并在 Windows 2000 Ntprint.inf 文件中查找同一打印机驱动程序名称。如果找不到该驱动程序名称,便会记录错误信息,而不会将打印机重定向。

http://support.microsoft.com/kb/239088

事件ID 5722

域成员电脑登录不了系统:用本地管理员帐户登录,查看日志有错误,描述为:

Windows不能确定用户或计算机名称(拒绝访问。)。组策略处理中止。

       登录域控制器,查看域控制器的日志:来源:NETLOGON 事件ID: 5722,

从计算机 computername 设置的会话无法进行身份验证。 安全数据库中引用的帐户名称是 computername$。发生下列错误:

拒绝访问。

       从网上查到的资料:

       对于作为域成员的每一台 Windows 2000 或 Windows XP 工作站或服务器,它们都与域控制器有一个离散的通信通道,该通道称为安全通道。

        安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于 Windows 2000或 Windows XP,默认计算机帐户密码的更换周期为 30 天。如果因某种原因导致计算机帐户的密码和 LSA 机密不同步,Netlogon 服务就会记录下面一条或两条错误消息:

       从计算机 DOMAINMEMBER 设置的会话无法验证。安全数据库中引用的帐户名称是DOMAINMEMBER$。发生下列错误:访问被拒绝。NETLOGON 事件 ID 3210:

       无法用域 DOMAIN 的 Windows NT 域控制器 \\DOMAINDC 进行验证。当密码不同步时,域控制器上的 Netlogon 服务将记录以下错误消息: NETLOGON 事件5722:

        从计算机 %1 设置的会话无法验证。安全数据库中引用的帐户名称是 %2。发生下列错误:%n%3

       由此可见:我的电脑与域控制器的安全通道出现了问题。默认计算机帐户密码的更换周期为 30 天,而我的电脑的还原时间是每30天就还原。域成员电脑回到了从前,由此密码不同步。看来要把还原卡卸载。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

事件ID 5723

于event id 5723这个错误事件,建议你执行以下操作:

1. 每一台基于 Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信。您可以使用 Netdom.exe 重置域控制器的机器帐户密码。

关于使用 Netdom 重置机器帐户密码的具体信息,您可以参考以下网站:

http://support.microsoft.com/?id=260575

2. 请检查在您的域内是否有与计算机 'XXX'相同的计算机名,如果有的话,请更改其为其他的计算机名。

3. 请将计算机 'XXX'退出域,然后重新加入域,察看问题是否依然存在。

 

 

 

 

 

 

 

 

 

 

 

事件ID 5805

关于event id 5805这个错误事件,建议你执行以下操作:

1. 每一台基于 Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信。您可以使用 Netdom.exe 重置域控制器的机器帐户密码。

关于使用 Netdom 重置机器帐户密码的具体信息,您可以参考以下网站:

http://support.microsoft.com/?id=260575

2. 请检查在您的域内是否有与计算机 'XXXX-TRACYCHEN'相同的计算机名,如果有的话,请更改其为其他的计算机名。

3. 请将计算机 ' hs103'退出域,然后重新加入域,察看问题是否依然存在。

每一台基于 Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信,而且您可能会收到错误消息(如发生 Active Directory 复制时出现“访问遭拒”错误消息)。

同一域的域控制器之间进行复制时也会出现这一情况。如果不能进行复制的域控制器驻留在两个不同的域中,那么您就应该仔细检查一下信任关系。

您不能使用“Active Directory 用户和计算机”管理单元更改机器帐户密码,但可以使用Windows Support Tools 中包括的 Netdom.exe 工具重置密码。

Netdom 工具可在计算机上本地重置帐户密码(也叫“本地机密”)并将此更改写入驻留在同一域中的 Windows 域控制器上该计算机的计算机帐户对象中。同时将新密码写入两个位置可确保至少操作中涉及的两台计算机得到了同步,并可以启动 Active Directory 复制以便让其他域控制器接收到此更改。

下面的过程讲述了如何使用 netdom 命令重置机器帐户密码。此过程在域控制器上最常用,但也适应于任何 Windows 机器帐户。

因为不能远程使用 Netdom,所以您必须在要更改其密码的那一 Windows 计算机上运行此工具。另外,为运行 Netdom,您必须有本地管理权限以及对 Active Directory 中该计算机帐户的对象的管理权限。

使用 Netdom 重置机器帐户密码

在要重置密码的域控制器上安装 Windows CD-ROM 上 Support\Tools 文件夹中的Windows Support Tools。

如果您尝试重置 Windows 域控制器的密码,那么在执行步骤 3 之前,必须停止Kerberos **分发中心服务并将其“启动”类型设置为“手动”。

备注:在重新启动并确认密码已成功重置后,您可以重新启动 Kerberos **分发中心服务并将其“启动”类型设置回“自动”。这样做可强制有错误计算机帐户密码的域控制器与另一个域控制器联系以获取 Kerberos 票证。

在命令提示符下,键入以下命令:

netdom resetpwd /server: Replication_Partner_Server_Name/userd: domainname\administrator_id/passwordd:*

其中 Replication_Partner_Server_Name 是与本地计算机在同一域中的某一域控制器的DNS 或 NetBIOS 名称,domainname\administrator_id分别是 NetBIOS 域名和管理员ID,格式是“安全帐户管理器”(SAM) 帐户名凭据格式。

 

/PasswordD: 参数的值“*”指定在提交命令时密码应当用隐藏字符键入。例如,本地计算机(恰好是一个域控制器)是 Server1,对等 Windows 域控制器的名称是 Server2。如果您在 Server1 上用下列参数运行 Netdom,则密码就会在本地更改并同时写入Server2,而且复制作业将把此更改传播到其他域控制器:

netdom resetpwd /server:server2 /userd: mydomain \administrator /passwordd:*

其中重新启动密码已更改的服务器(在本例中是 Server1)。

 

 

 

 


域控制器出现事件ID 5722的检查及解决办法

在域控制器上出现错误讯息 ID 5722, 显示一台网域成员不能与域控制器沟通.

这是由于不同的原因, 成员不能更新与域控制器间的共同密码,

导致当中的保安通道失去效用.

 


【AD】域环境常见错误集
 

每台计算机加入网域后都会与域控制器拥有一个特殊密码

这个密码每30天会自动更新一次以维系他们间的关系.

 

如果出现这个情况, 域成员就会失去某些需要进行机器账号验证的动作.

例如档案服务出现问题, 不能存取, 群集不能转移等等

确认方法是到成员服务器上键入以下指令

nltest /sc_query: <domain_name>

Access is denied.

 

如果存取服务器资源时出现以下其中一个讯息, 就更能确诊了

“Windows cannot connect to the domain either because the domain controller is down or otherwise unavailable or because your computer account was not found.”

 

"The system could not log you on. Make sure your username and domain are correct."

 

"System error 1396 - Logon Failure: The target account name is incorrect."

 

解决办法唯有是再次加入网域,

你可以把计算机先加入WORKGROUP, 再次加入网域

但这里有一个快捷方式, 如果你的网域显示为domainname.com

你可以在同样地方键入网域的NETBIOS name (例如domainname)

按OK, 就会重新加入网域, 重启计算机后应该问题就能解决

如果再次测试, 回报应该类似

 


【AD】域环境常见错误集
 

 

 

 https://support.microsoft.com/zh-cn/kb/810977


在基于 Windows 服务器的域控制器上记录事件 ID 5722

 

 

 

 

 

 

 

策略添加:

在rmyy OU下启用“禁用更改机器账户密码”策略,用于阻止客户端更改机器账户密码。防止发生账户登录验证报错。对应错误ID为5805、8722、8723错误。

新建组策略machine account:计算机配置->Windows设置->安全设置->本地策略->安全选项->禁用更改机器账户密码,选择启用。

 

如果需要停用请删除此策略。

 

 

域控状态备份:

使用系统备份工具建立备份域控信息任务。

DC01任务:

任务1名称:DC01systemstate1.job,每月1号,凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。

任务2名称:DC01systemstate10.job,每月10号,凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。

任务3名称:DC01systemstate20.job,每月20号,凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。

 

DC03任务:

任务1名称:DC03systemstate1.job,每月1号,凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。

任务2名称:DC03systemstate10.job,每月10号,凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。

任务3名称:DC03systemstate20.job,每月20号,凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。


http://bbs.51cto.com/thread-1167409-1.html


 AD问题解决分享(DNS错误4000,4001导致加域不成功)
http://bbs.51cto.com/thread-1110809-1.html


win7加域后,访问win2003共享文件是速度慢
原因在于从vista开始,微软在TCP/IP协议栈里新加了一个叫做“Window Auto-Tuning”的功能。这个功能本身的目的是为了让操作系统根据网络的实时性能(比如响应时间)来动态调整网络上传输的数据窗口的大小,从而达到实时优化网络性能的目的。但是,在某种情况下(具体是怎样的一个环境,目前我也不清楚),这个功能反而会使远程桌面的响应变的非常的慢。  
   通过把autotuninglevel设置成disabled,就可以让数据窗口保持默认值。如果设置成highlyrestriected的话,那么就是非常保守地来调整这个数据窗口大小(不到万不得已,还是使用默认值)。


WIN7跨网段加入08R2域控报错:“将该计算机的主域更改为""失败
http://bbs.51cto.com/viewthread.php?tid=933610&extra=&page=1
http://bbs.51cto.com/thread-1169069-1.html

域内文件服务器,通过IP地址访问权限是可读写,通过电脑名访问权

http://bbs.51cto.com/thread-1169069-1.html