Windows域環境下常見問題及解答------Windows沒法與此域鏈接

我公司只有一臺ＤＣ，有不少同事用ghost恢復了系統後（備份系統時計算機已經加入了域，通常一兩個月會恢復一下系統），進入域時就會出現：「windows 沒法與此域鏈接，緣由是域控制器存在故障或不可用，或者沒有找到計算機賬戶，請稍後再試。若是此消息持續再現。請與系統管理員聯繫以獲得幫助「

我想知道是什麼緣由致使這個問題的出現，說明一下，域控制器一直都是好的。

回答：

client一旦加入域以後，若是要使用ghost來恢復系統，那麼須要這麼作：

一、安裝好client系統，安裝完最新的補丁，也能夠考慮安裝一些基本軟件。

二、針對現有系統開始執行sysprep ，關於操做步驟，請參考

http://support.microsoft.com/default.aspx?scid=kb%3bzh-cn%3b298491

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;302577

作這一步的目的，就是抽取硬件信息。作完以後，系統就會關機了。

三、對這臺機器的引導區做ghost，之後恢復就用這個母盤恢復了。

Note：您會注意到上面的動做，並非將client加入域以後再ghost，爲何呢？ok，下面我說一下您之因此遇到這個問題的緣由：

ad在設計的時候，爲了保證client與dc之間安全的通訊，要求client在加入域後，client的計算機帳戶須要按期與dc的計算機帳戶保持同步（這個期限默認是30天），也就是說，當client與dc發生驗證動做的時候，實際上是先用計算機帳戶去驗證，而後纔是用戶帳戶驗證（也就是您輸入用戶名和密碼）。那麼，爲何要這麼作呢？由於，用戶名和密碼是比較容易僞造的，若是在任何驗證發生以前，先校驗計算機帳戶的安全性，校驗經過以後，再校驗用戶帳戶，那麼總體驗證的安全性就獲得了保證，相對於用戶賬戶，計算機帳戶就比較難以僞造。

微軟經過以下兩個方法來保障計算機帳戶驗證的安全：

其1、ad不容許任何用戶模式下的程序或者用戶模式下的交互動做，去幹預或者設置計算機帳戶的同步（由這個同步動做創建的通道，微軟稱之爲 security  channel），

其2、計算機帳戶將會關聯計算機硬件信息，而後用造成計算機sid（sysprep的動做就是抽取了這部分信息）。

ok，那麼咱們重現一下您遇到的問題。您可能在將client加入域後，沒有做sysprep，而後直接ghost。而後這臺計算機啓動登陸到域，因而dc驗證當前client，經過驗證，隨後與client計算機帳戶進行同步（這個動做對用戶是透明的），好，這些都沒有問題。

過了一段時間，這段時間可能超過了30天，您使用以前的ghost進行恢復，而後再次嘗試登陸到域，dc驗證當前計算機帳戶的時候，與ad中的那個計算機帳戶對比，發現已經超過了30天，那麼出於安全考慮，認爲該計算機帳戶是不可信任的（怕是僞造的），因而就給出一個錯誤信息「windows 沒法與此域鏈接，緣由是域控制器存在故障或不可用，或者沒有找到計算機賬戶，請稍後再試。若是此消息持續再現。請與系統管理員聯繫以獲得幫助」，在這種狀況下，不是說dc有問題，而是說client的計算機帳戶有問題，請管理員出面解決。管理員該如何作呢？把ad中原來的計算機帳戶刪除，而後將客戶端從新加入域就能夠了。

那麼30天的時間是否能夠修改呢？是能夠的，您甚至能夠禁止這個同步動做，請參考http://support.microsoft.com/kb/154501/zh-cn http://support.microsoft.com/kb/175468/

這種情形常見於移動辦公，移動辦公的域帳戶，脫離域的時間可能超過30天。