解决 Windows 2000 中的常见 Active Directory 安装问题

概要
您在 Active Directory 的安装和配置中可能遇到的一些常见问题有可能会导致 Active Directory 功能部分丢失或全部丢失。这些问题可能包括（但不限于）： 
域名系统 (DNS) 配置错误
网络配置问题
从 Microsoft Windows NT 升级时遇到困难

本文介绍如何通过找出常见配置问题来解决 Active Directory 问题。有关本文介绍的
任何问题的其他信息，请参阅 Windows 2000 帮助系统和 Deployment Planning Guide
（部署规划指南），后者位于以下 Microsoft Web 站点： 
http://www.microsoft.com/windows2000/library/resources/reskit/dpg/default.asp
Deployment Planning Guide 的第 9 章介绍了 Active Directory 结构的设计，它是成
功进行 Windows 2000 Active Directory 部署的基础。Deployment Planning Guide 位
于 Internet 上下面的 Microsoft Web 站点： 
http://www.microsoft.com/windows2000/library/resources/reskit/dpg/chapt-9.asp

更多信息
在检查 Active Directory 安装问题时，请考虑以下各项。
域名系统 (DNS)
您必须正确配置 DNS，以确保 Active Directory 功能正常。有关 Active Directory
 的 DNS 配置的深入介绍，请参阅下面的 Microsoft 知识库文章： 
237675 Setting Up the Domain Name System for Active Directory 

检查下列配置项，以确保 DNS 是健康的而且 Active Directory DNS 条目将能够正确
注册： 
DNS IP 配置
Active Directory DNS 注册
动态区域更新
DNS 转发器

DNS IP 配置
对于承载 DNS 的 Active Directory 服务器，必须正确配置其 TCP/IP 设置。必须配
置 Active Directory DNS 服务器上的 TCP/IP，使该服务器指向其自身，这样它就可
以向其自己的 DNS 服务器进行注册。若要查看当前的 IP 配置，请打开一个命令窗口
并键入 ipconfig /all 以显示详细内容。您可以按照下列步骤修改 DNS 配置： 
右键单击网上邻居，然后单击属性。
右键单击本地连接，然后单击属性。
单击 Internet 协议 (TCP/IP)，然后单击属性。
单击高级，然后单击 DNS 选项卡。按照下列步骤配置 DNS 信息： 
配置 DNS 服务器地址，使之指向 DNS 服务器。如果该计算机是第一个服务器或者不计
划配置专用的 DNS 服务器，则此地址就应是该计算机自己的 IP 地址。
如果不合格名称解析设置被设置为附加这些 DNS 后缀(按顺序)，则 Active Directory 
DNS 域名应列在首位（位于列表的顶端）。
检查确认此连接的 DNS 后缀的设置是否与 Active Directory 域名相同。
检查确认在 DNS 中注册此连接的地址复选框是否已选中。
在命令提示符下，键入 ipconfig /flushdns 以清除 DNS 解析缓存，然后键入 ipconfig /registerdns 以注册 DNS 资源记录。
启动 DNS 管理控制台。该计算机名应该有一个主机记录（“高级”查看中的“A”记录）。
还应该有一个指向域控制器 (DC) 的起始授权机构（“高级”查看中的 SOA）记录和名称
服务器记录（“高级”查看中的 NS）。

Active Directory DNS 注册
Active Directory DNS 记录必须在 DNS 中注册。DNS 区域可以是一个标准主要区域，
也可以是一个 Active Directory 集成的区域。Active Directory 集成的区域与标准
的主要区域有多方面的不同。Active Directory 集成的区域可提供下面的优点： 
Windows 2000 DNS 服务将区域数据存储在 Active Directory 中。这将导致 DNS 复制
创建多个母版，而且它允许任何 DNS 服务器接受对目录服务集成区域的更新。使用 
Active Directory 集成还减少了另外维护一个 DNS 区域传输复制拓朴的需要。
安全的动态更新与 Windows 安全机制集成在一起。这使管理员能够精确地控制哪些计
算机能够更新哪些名称，而且防止了未授权计算机从 DNS 中获取现有名称。
使用下列步骤以确保 DNS 在注册 Active Directory DNS 记录： 
启动 DNS 管理控制台。
在服务器名称下展开域信息。
展开正向搜索区域，右键单击 Active Directory 域的 DNS 区域的名称，单击属性
，然后检查确认允许动态更新是否设置为“是”。
如果 DNS 在正确配置 Active Directory DNS 记录，将存在四个具有以下名称的文件
夹。这些文件夹的名称是：
_msdcs
_sites
_tcp
_udp 

如果这些文件夹不存在，则表明 DNS 未在注册 Active Directory DNS 记录。这些
记录对 Active Directory 功能至关重要，必须出现在 DNS 区域中。您应该修复 
Active Directory DNS 记录注册。
要修复 Active Directory DNS 记录注册，请： 
检查“根目录区域”项是否存在。在 DNS 管理控制台中查看“正向搜索”区域。
应该有一个针对此域的项。还可能存在其他区域项。不应该有一个圆点 (".") 区域。
如果圆点 (".") 区域存在，请删除此圆点 (".") 区域。此圆点 (".") 区域将 DNS 
服务器标识为一个根服务器。通常，需要外部 (Internet) 访问的 Active Directory
 域不应该配置为一个根 DNS 服务器。

删除该圆点 (".") 后，此服务器可能需要重新注册其 IP 配置（通过使用 Ipconfig）。
还可能需要重新启动 Netlogon 服务。本文后面部分列出了有关此步骤的更详细内容。
手动重写 Active Directory DNS 项。您可以使用 Windows 2000 Netdiag 工具重写
 Active Directory DNS 项。Netdiag 包括在 Windows 2000 支持工具中。在命令提
示符下，键入 netdiag /fix。

若要安装 Windows 2000 支持工具，请： 
插入 Windows 2000 CD-ROM。
浏览到 Support\Tools。
运行此文件夹中的 Setup.exe。
选择典型安装。默认安装路径是系统驱动器:\Program Files\Support Tools。
运行 Netdiag 工具之后，请刷新 DNS 管理控制台中的视图。然后 Active Directory
 DNS 记录就会列出。

备注：在您运行 Netdiag 后，此服务器可能需要重新注册其 IP 配置（通过使用 Ipconfig）。还可能需要重新启动 Netlogon 服务。

如果 Active Directory DNS 记录不出现，您可能需要手动重新创建 DNS 区域。


运行 Netdiag 工具之后，请刷新 DNS 管理控制台中的视图。这样，Active Directory 
DNS 记录应能够被列出。手动重新创建 DNS 区域： 
启动 DNS 管理控制台。
右键单击此区域的名称，然后单击删除。
在出现警告时请单击确定。正向搜索区域将不再列出删除的区域。
右键单击正向搜索区域，然后单击新建区域。
“新建区域向导”将启动。单击下一步以继续。
单击适当的区域类型（Active Directory 集成的区域或标准主要区域），
然后单击下一步。
键入与显示在网络标识中完全一样的区域名称，然后单击下一步。
单击适当的区域文件，或单击一个新的区域文件。单击下一步，然后单击
完成以完成
“新建区域向导”。新创建的区域将显示在 DNS 管理控制台中。
右键单击新创建的区域，单击属性，然后将允许动态更新更改为“是”。
在命令提示符下，键入 net stop netlogon，然后按 ENTER 键。Netlogon 
服务将终止。
键入 net start netlogon，然后按 ENTER 键。Netlogon 服务将重新启动。
刷新 DNS 管理控制台中的视图。Active Directory DNS 记录应在该区域下列出。
如果 Active Directory DNS 记录仍不存在，则可能是因为有一个不连续的 DNS 
名称空间。如果您怀疑有一个不连续的 DNS 名称空间，请参见本文“不连续的
 DNS 名称空间”部分。
动态区域更新
Microsoft 建议 DNS 搜索区域接受动态更新。您可以配置这一功能，方法是右键
单击该区域的名称，然后单击属性。在常规选项卡上，允许更新设置应设置为是，
而对于 Active Directory 集成的区域则应设置为是或者仅安全更新。如果不允许
动态更新，则所有主机注册必须手动完成。
DNS 转发器
为确保在 Active Directory 域之外的网络功能（如浏览器请求 Internet 地址），
请配置 DNS 服务器以便将 DNS 请求转发到适当的 Internet 服务提供商 (ISP) 
或公司的 DNS 服务器。如要在 DNS 服务器上配置转发器，请： 
启动 DNS 管理控制台。
右键单击此服务器的名称，然后单击属性.
单击转发器选项卡。
单击以选中启用转发器复选框。

备注：如果启用转发器复选框不可用，DNS 服务器将尝试承载一个根目录区域
（通常显示为一个仅有一个句号或圆点 (".") 作为名称的区域）。您必须删除
此区域以便使 DNS 服务器能够转发 DNS 请求。在一个配置中，如果 DNS 服务
器不依赖 ISP DNS 服务器或公司 DNS 服务器，则您可以使用根目录区域项。
为将接受自此 DNS 服务器转发的请求的 DNS 服务器键入适当的 IP 地址。列表
的读取顺序是自上而下的，如果有首选的 DNS 服务器，请将它放在列表的顶端。
单击确定接受更改。
如想更多地了解对 Active Directory 的 DNS 配置进行问题排查方面的信息，
请参见下面的 Microsoft 知识库文章： 
249868 Replacing Root Hints with the Cache.dns File 

237675 Setting Up the Domain Name System for Active Directory 

241505 SRV Records Missing After Implementing Active Directory and DNS 

241515 How to Verify the Creation of SRV Records for a Domain Controller 

网络配置
您必须正确地配置特定的网络组件，以确保 Active Directory 在网络上正常运行，
并确保计算机能够加入此域。
必须启用文件和打印机共享
如果“文件和打印机共享”组件在基于 Windows 2000 的域控制器上被禁用，则在
尝试加入域时将会出现错误消息。有关更多信息，请参见下面的 Microsoft 知识库
文章： 
254680 DNS Namespace Planning 

注意，在有些情况下，在基于 Windows 2000 的计算机上禁用“文件和打印机共享”
更可取。例如，当一个基于 Windows 2000 的计算机能够通过 Internet 被访问到时。
在此情况下，您应只在通过 Internet 能够访问到的网络适配器上禁用“文件和打印
机共享”。
必须为其他客户机启用 TCP/IP 上的 NetBIOS
如果未在运行 Windows 2000 的客户机（例如，运行 Microsoft Windows 95、Microsoft
 Windows 98 或 Microsoft Windows NT 的客户机）将要加入 Active Directory 域，
它们应能够执行 NetBIOS 名称解析。如果 TCP/IP 上的 NetBIOS 被禁用，则 NetBIOS
 名称解析将无法工作。 
258500 Error Message When Attempting to Join a Windows 2000 Domain 

升级安装考虑事项
较早的（旧式）DNS 服务器
运行 Windows NT 4.0 的 DNS 服务器无法动态注册 Active Directory DNS 记录。对于
这种情况，最好的解决方案是将 DNS 安装在 Active Directory 域控制器上，以确保能
够为此域注册 Active Directory DNS 记录。
不连续的 DNS 名称空间
在开始 Windows 2000 升级安装之前，您必须配置正确的 DNS 后缀信息。在安装
 Active Directory 后，您将无法更改服务器名和 DNS 域信息。

若要在将计算机升级为基于 Windows 2000 的 Active Directory 域控制器之前在
 Windows NT 中配置 DNS 后缀信息，请： 
右键单击网上邻居，然后单击属性。
单击协议选项卡，单击 TCP/IP 协议，然后单击属性。
单击 DNS 选项卡。
在域框中，键入完整的 Active Directory 域名。
单击应用，然后单击确定。
单击确定退出“网络”工具。
重新启动计算机。
若要验证这些设置，请打开一个命令窗口，然后键入 ipconfig /all。Host Name 
行中将显示完全合格的域名。
在安装 Active Directory 后，如果必须更改 DNS 域信息，则必须在此计算机上
运行 Dcpromo 工具，以将其从域中删除，使之成为一个独立服务器。

如要确定一个现有的基于 Windows 2000 的域控制器上是否存在一个不连续的名称
空间，请： 
右键单击我的电脑，然后单击属性。
单击网络标识选项卡。
将完整的计算机名的 DNS 后缀部分与域名称列表中的相应部分加以比较。完整计
算机名的格式如下：主机名.dns 后缀。这两项应包含完全相同的后缀信息。
如果这两项包含的后缀信息不完全相同，则表明存在一个不连续的 DNS 名称空间。
这种情况将使 Active Directory DNS 记录无法正确注册。

备注：要从一个不连续的名称空间进行恢复，唯一受支持的方法是使用 Dcpromo 
从域中删除此计算机，使其成为一个独立服务器。然后，您可以更正 DNS 名称空
间信息，并再次运行 Dcpromo 将此计算机重新提升为域控制器。

警告：如果您确定有必要在现有的基于 Windows 2000 的域上执行此过程，在操作时
一定要特别小心。运行 Dcpromo 从一个域中删除此计算机并接着重新创建一个 
Active Directory 域的过程将导致完全丢失该域的所有计算机帐户信息和用户帐户
信息。采用此过程后，您必须手动重新创建所有的用户帐户信息和计算机帐户信息。

有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
258832 Cannot Join Windows 2000 Client to a Windows NT Domain 

这篇文章中的信息适用于:
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Small Business Server 2000
最近更新: 2003-5-26 (2.0)  
关键字 kbActiveDirectoryRepl kbenv kbinfo kbtshoot KB260371