, 让客户端顺利加入域 ●文/图帷幄 ;南泵锐 至常 这种故障白々 常见的因京 解轩、 让器产;南象 锐10取 )加入局 罔掳定域,奉文就时这类故 障饷产兰厢因迫衍训秆,首谴出 敦壶时 湾,从而蹭强用户解决这方匈故障 傩 / 一、应赋峙粳 f越昀故障 如果登录客户端系统的本地用户没有访问特定 域的权限,那么该用户打开客户端的系统属性对话框 时,会发现加入域的“更改”按钮处于灰色不可点击 状态;即使用户尝试利用“netdom”命令加入特定域 时,系统也会弹出没有登录权限的提示。 造成用户没有登录权限原因主要有两个方面, 一是用户登录特定域的次数超过了规定,二是特 定域控制器中已经出现了特定客户端系统用户的登 录账号。在缺省状态下,域控制器只允许普通用户登 录10次,一旦超过这个次数,该用户账号就会被自动 锁定,那么用户的登录权限自然就会被剥夺了;对于 登录次数的,我们可以根据实际情况进行设置, 例如可以通过组策略的权限委派,来对用户的登录 次数权限进行更为精确的控制。 要是局域定域中没有本地客户机的用户账 号存在,那么该用户就能顺利地将本地客户端系统 加入到局域定域中;相反,要是特定域中已经存 在一台和本地客户端系统主机名称相同的用户账号 时,那么普通用户此时尝试将该客户端系统加人到特 定域中时,就会出现“拒绝访问”之类的错误提示, 这主要是因为这个域用户的加入域权限仅仅是创建 计算机账号,而要是域控制器中已经出现了相同的计 算机账号时,就必须要有修改计算机属性的操作权 限。 应赋曲解析 昀故障 在Windows系统环境中,名称解析主要有两种 类型,一种是主机名,该名称是南计算机名加EDNS 后缀,它是完全合格的域名,格式类似aaa.coin式样; 另外一种是NetBios名称,这种名称的格式类似aaa式 样,该名称的解析是通过wINs服务广播完成的,而 前面一种名称的解析是通过DNs服务器完成的。 影响客户端系统顺利加人局域定域,比较 常见的原因就是主机名称解析不正确。当由于名称解 析不正确而造成客户端系统无法加入特定域时,系统 往往会弹出比较明显的错误提示,例如弹出“无法联 系域控制器,请确认域名输入正确”提示,陔提示很 直观地告诉用户由于不能解析域控制器的主机名称, 造成域控制器无法联系。 倘若局域网中的特定域控制器工作状态一切正 常,而客户端系统的DNS参数设置错误的情况下,用 户尝试使用aaa.corn名称加入局域网域时,这个时候 主机名称曲于解析不正确,系统会弹出“不能联系 aaa.corn的域控制器”的错误提示。相反,此时如果 使用aaa名称加入特定域时,说不定就能取得成功,因 为aaa名称的解析不需要通过DNSJ][ ̄务器,只需要客 户端系统的网卡属性中启用了“TCP/IP上的NetBios” 功能;在启用“TCP/I吐的NetBiog”功能时,可以依 次单击客户端系统的“开始”、“设置”、“网络连接” 命令,在弹出的网络连接列表窗口中,用鼠标右击连 接局域网的本地连接图标,从弹出的快捷菜单中执 行“屙I生”命令,打开目标连接的属陛对话框,选中 TCP/IP协议选项,单击“属性”按钮,之后单击“高 级”按钮,进人高级设置对话框,点选“WINS”标 签,打开如图1所示的标签设置页面,选中“启用TCP/ I肚的NetBios”选项,再单击“确定”按钮执行设置 保存操作。 当然,使用aaa名称加入特定域后,往往会出现 系统启动速度非常缓慢的现象,这种现象主要是因 为DNS设置不当,而域中的所有可用资源和服务几乎 根 ~ 姥鹤编糍:张薇softWare@Cccc net cn 列表窗口,用鼠标双击目标系统服务,弹出如图2所示 的目标服务属性对话框,先单击“停止”按钮,将正在 运行的系统服务关闭掉,之后单击“启动”按钮,这么 一来就能实现重新启动目标系统服务的目的了^ 都是靠DNS解析来访问的,所以才会造成客户端系 统启动缓慢的问题,为此我们不建议大家轻易通过 NetBios名称,来加入局域定域。不过,需要提醒 各位注意的是,一旦客户端系统禁用了“TCP/IPJ2的 NetBios”功能,或者关闭了TCP/IP NetBios Helper ̄]E 务,那么客户端系统日后就无法通过aaa名称加入局 域定域 应赋曲瑞 起昀故障 在排除名称解析因素后,如果客户端系统仍然 无法加入局域定域的话,那就需要重点关注端口 因素 如果域控制器的137、138、139、445端口同时 被关闭,而其他端口全部被打开的话,那么客户端系 统在尝试使用aaa.corn名称或aaa名称加入局域 要是域控制器中的Netlogon J]E务被意外关闭的 话,那么客户端系统无论是通过aaa.con名称或aaa名 称加入局域定域,系统都会弹出无法联系域控 制器的错误,这是因为Netlogon ̄]E务与域控制器中的 定域时,都会遇到失败现象,因为在这些重要端口被 关闭后,NetBios名称将不能被正常解析,那么使用aaa 名称自然就不能成功加入局域定域了;而aaa.COll1 名称能成功加入到特定域的前提条件,就是域控制 器的NetBios名称也能被正常解析,现在NetBios名称 无法被解析了,aaa.tom名称在加入特定域时当然就会 出错了c 所有srv资源都有关联。要是域控制器中的DNS ̄E务被 停用的话,那么客户端系统日后只能使用aaa名称加入 局域定域。 所以,日后当我们尝试使用aaa.con名称无法加 人局域定域时,不妨先检查客户端系统的DNS设 置是否正确,之后检查域控制器中的DNSJ]E务是否被 意外关闭,解决了DNS方面的问题后,那么客户端系统 日后也就能顺利地加入到指定域中了。在排查DNS问 要是将域控制器中的所有端口全部关闭,只开 启137、138、139、445等端口,那么客户端系统无论使 用aaa.com名称还是aaa名称加入局域定域时,都 能出现登录对话框,不过在输入正确的登录账号后, 系统却会提示没有更多终结点可用的错误提示, 题时,我们可以考虑先用专业工具Netdiag诊断网络, 以便搜集故障信息,定位故障发生位置;在找到故障 位置后,不妨通过重新启动DNS J] ̄务和NetlogonHE务 的方法,来解决DNS问题,要是这样的故障仍然不能 被成功解决的话,不妨重新创建区域来修复问题。重 启系统服务的操作也很简单,只要先打开系统运行对 现这种错误主要是远程登录操作需要域控制器中的 RPC ̄]E务支持,而RPCI] ̄务在正常工作的时候,需要 开通1025—5000之间的一个端口,当这个范围内的端 口全部被关闭时,客户端系统进行远程登录时就容易 话框,在其中执行“services.msc”命令,弹出系统服务 48电脑知识与技术互Co西运tti. r三l<1三 170 画t, 三d"l'三 ̄-t- 。 出现没有更多终结点可用的提示。 中的其他端口全部关闭,只开通了139、445端口,那么 如果开通域控制器中的所有端口,只关闭389端 客户端系统在加人特定域时,会出现无法找到网络路 口,那么客户端系统无论使用什么名称加入特定域, 径的错误;要是其他端口全部打开,只关闭135端口, 都会遇到特定服务器无法运行请求的操作提示,出 那么会出现RPc服务器不可用的错误。总之,要保证 现这种错误提示,主要是客户端系统在加入域时,也 客户端系统可以成功加入局域定域,至少要同 要用到域控制器中的LDAPH ̄务,而389端口恰好是这 时开通域控制器中的135、137、138、139、389、445端 种服务正常工作时必须要开启的端口。倘若域控制器 口,以及1025-5000范围内的一个端口。羽 ● 文 \ 图 . ±匕 晓 东 如果你是一名企业的网管,是不是想随时随地 录)等等个人信息,再点击“注册”按钮直接进入“会 (特别是出远差)远程控制自己的内网Server呢?如果 员面板”界面(如图1)。它会提示我们“您的网灵服 你是一个小黑菜菜,是不是也经常苦恼于木马的服务 务ID是:74—9E一1F_Xx-xX-98,认证密码就是您的密 端“免杀”不过对方不断升级的杀毒软件呢?呵呵, 码。”,最下方则提示“您的网灵服务ID是普通级I团一 D, 不管你是网管还是黑客,我们既可以选择木马服务端 最多可安装1个受控端”(太吝啬了mE? 一 )。 程序也可以选择“正统”的远控软件来实现相似的目 的一一其实二者也没有什么本质区别的。 “灰鸽子”功夫了得可惜已无法“从良”,基本上 q { } § … 。±跳} 0 ' ^ Ei~} …一 已经是被烙在了目前市面上所有杀毒软件的黑名单 ; 。 口m d }e ;; 』 …* 一-‘ * 之上;而许多“正统”远控软件在内网穿透方面则显 目 № ^ 得力不从心。就像“灰鸽子”需要做端口映射或是通 匡 诞雾 五圈 … … 一“”“ 图1 过花生壳、3322希网动态域名来解析建立双方的数 :… { … 4 埔 ㈣州 “ 1㈣ 据连接一样,TeamViewer、网络人NetMan、LoginAny 之类的正统远控软件都是利用自己的专门“握手”服 第二步:受挫瑞 控制瑞程序昀 务器来解决问题一一就好比移动或联通都有自己的 下载 害装 服务控制中心。今天想给大家介绍的“网灵一号”也 在官网首页上点击“下载中心”后进入http:// 是如此,而且它既有手机版也有PC版,既可以使用专 WWW.wangling—teeh.com/list.php?id=7,接着分别点击 门的客户端程序也可以直接从网页上进行远程控制, 第一项“‘网灵一号’受控端安装包”和第二项“‘网 大家不妨跟我一起走几步? 灵一号’控制端(PC版)”进入各自的下载页面,将 1.32MB的Server.zip受控端安装包和2.22MB的Client— 第一步:遵懈用户ID pc控制端下载并各自解压缩后待用。注意:受控端和 通过浏览器访问“网灵一号”的官方网站http:// 被控端程序不能安装到同一台电脑上,否则不能正常 WWW.wangling—teeh.corn/home.php,其宣传卖点是“桌 工作! 面监控流畅稳定,文件传输简单陕捷,上网监管方便 我们先在服务器上进行受控端程序的安装,要 实用,可远程开启摄像头和麦克风”。 注意的是受控端有两种安装方式:“非隐蔽监控”和 点击最上方一排按钮中的“注册ID”,然后在弹 “完全隐蔽监控”,一个是给网管的,一个是给黑客 出的会员注册网页表单中输入地球人都练习过N遍的 的。 账号、密码及电子邮箱(最好是真实邮箱,可用来登 然后在“网灵服务器ID”和“认证密码”、“请
