因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版，单网卡，连接LAN1。

这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题
安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。

网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^
打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。

提示：
Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.
The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :
The error was: "DNS name does not exist."
(error code 0x0000232B RCODE_NAME_ERROR)
The query was for the SRV record for _ldap._tcp.dc._
Common causes of this error include the following:
- The DNS SRV record is not registered in DNS.
- One or more of the following zones do not include delegation to its
child zone:
com
. (the root zone)
For information about correcting this problem, click Help.
在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。

最多说了没有SRV记录，不过这个SRV鬼才知道怎么搞（当然是没有找到）。

那就用NETBIOS名称先加进去，先看看域到底是什么东西再说。

然后查找了一些资料，发觉使用NSLOOKUP判断DNS是否正确的。

下边是查询结果：
不小心找到了微软的知识中心：使用NSLOOKUP找到了解决问题的办法。

原来是反向区域没有记录，新建主要区域，选中下边的在Active Directory手动添加中存储区域，反向区域添加记录192.168.0.1-->，成功。

由此上边Can't find server 等等不见了，成了正常的域名解析。

在计算机里也可以使用域名把计算机添加的域了。

2、windows 无法与此域连接原因是域控制存在故障或不可用,或者没有找到计算机帐户
经典的windows 无法与此域连接原因是域控制存在故障或不可用,或者没有找到计算机帐户俺也遇到了
解决方法，用本地管理员身份进入域，选择退出域，改成工作组，然后再加入域，即可。

这个问题的原解释如下：
该提示的原因绝大多数由于DC中的计算机帐户重名或者被禁用所导致。

当您将一台客户端加入域时，默认情况下在DC的computer的容器中会自动创建一个以该机器的用户名命名的计算机对象，这意味着DC已经和客户端建立起了secure channel，同时会生成一个key，安全通道的密码和计算机的帐户一起存储在所有域控制器上。

对于Windows 2000 或Windows XP，默认计算机帐户密码的更换周期为30 天。

如果因某种原因导致计算机帐户的密码和LSA 机密不同步，意味着客户端与DC的通信被断掉，则会导致您所述的提示信息没有找到计算机账户。

而如果secure channel被断掉。

导致secure channel出错的原因可能有以下几种：
1. 将客户端加入到域时，域中已经存在与该计算机同名的计算机账户，那么在该计算机加入域后，会将本计算机的名称覆盖与其同名的计算机帐户，这样就会导致备覆盖的哪个计算机在登录域时报错
2. 将ADUC中的计算机账户删除也会导致上述错误
解决该问题，我们需要同步计算机帐户的密码和LSA 机密，在Windows 2000 或Windows XP 中重置计算机帐户的四种方法：
1.使用Netdom.exe 命令行工具
2.使用Nltest.exe 命令行工具
注意：Netdom.exe 和Nltest.exe 工具位于Windows Server CD-ROM 上的Support\Tools 文件夹中。

要安装这两个工具，请运行Setup.exe 或从Support.cab 文件中提取文件。

3．使用“Active Directory 用户和计算机”Microsoft 管理控制台(MMC)。

4.使用Microsoft Visual Basic 脚本
具体步骤请参照：/kb/216393/zh-cn
如果希望避免此问题可以参照下面几点建议：
1. 将客户端加入到域时请检查是否与域中的计算机同名
2. 请不要在ADUC中删除域中的有效计算机账户
相关出错对照信息：
1.每个成员都维护着这样的一个LSA 机密，用于建立安全通道由Netlogon 服务。

如果，出于某种原因，计算机帐户的密码和LSA 机密不同步，Netlogon 服务记录以下错误：NETLOGON Event ID 3210:
Failed to authenticate with\\DOMAINDC, a Windows NT domain controller
for domain DOMAIN.
2.如果计算机账户被删除，通过成员Netlogon服务会记录下面的错误信息：
NETLOGON Event ID 5721:
The session setup to the Windows NT Domain Controller <Unknown> for the
domain DOMAIN failed because the Windows NT Domain Controller does not
have an account for the computer DOMAINMEMBER.
3.同样，域控制器上的Netlogon 服务密码不同步时记录以下错误：
NETLOGON Event 5722
The session setup from the computer DOMAINMEMBER failed to authenticate.
The name of the account referenced in the security database is
DOMAINMEMBER$. The following error occurred: Access is denied.
有关安全通道的信息，请参阅Microsoft 知识库中下列文章：
ARTICLE-ID：131366 (/kb/131366/EN-US/)
TITLE：事件错误5712 状态访问被拒绝
ARTICLE-ID: 142869 (/kb/142869/EN-US/)
TITLE：同步整个域时出现事件ID 3210 and 5722
ARTICLE-ID：149664 (/kb/149664/EN-US/)
TITLE：验证域Netlogon 同步
ARTICLE-ID: 158148 (/kb/158148/EN-US/)
TITLE：域安全通道实用工具--Nltest.exe。