本文介绍将运行 Windows 的客户端计算机加入域时可能发生的多个身份验证相关错误消息。 本文还提供了这些错误的故障排除建议。 有关网络相关的错误消息,请参阅 排查将基于 Windows 的计算机加入域时发生的网络错误。
原始 KB 数: 4341920
在何处查找NetSetup.log文件
NetSetup.log文件包含有关域加入活动的大部分信息。 该文件位于 %windir%\debug\NetSetup.log的客户端计算机上。 默认情况下,此日志文件处于启用状态。 无需显式启用它。
您已超出允许您在此域中创建的计算机帐户的最大数量
请确保你有权将计算机添加到域,并且不会超过域管理员定义的配额。
若要将计算机加入域,必须在 Active Directory 中授予用户帐户 “创建计算机对象 ”权限。
注释
默认情况下,非管理员用户可以将最多 10 台计算机加入 Active Directory 域。
登录失败:目标帐户名不正确
检查域控制器(DC)是否已在域名系统(DNS)服务器上使用正确的 IP 地址进行注册,并且其服务主体名称(SPN)是否已在其 Active Directory 帐户中正确注册。
登录失败:未在此计算机上授予用户请求的登录类型
请确保您拥有将计算机添加到域的权限。 若要将计算机加入域,必须在 Active Directory 中向用户帐户授予 “创建计算机对象 ”权限。
此外,请确保允许指定的用户帐户在本地登录到客户端计算机。 为此,请在“计算机配置>Windows 设置>安全设置>本地策略>”用户权限分配下的组策略中配置“允许登录”设置。
登录失败:未知用户名或密码错误
当系统提示输入凭据以将计算机添加到域时,请确保使用现有 Active Directory 用户帐户的正确用户名和密码组合。
未能完成帐户名称与安全 ID 之间的映射
此错误可能是在域加入过程中,搜索目标域以确定是已经创建了匹配的计算机帐户,还是域加入操作必须动态创建一个计算机帐户时记录的临时错误。
没有足够的存储可用于完成此作
当 Kerberos 令牌大小大于最大默认大小时,可能会出现此错误。 如果出现这种情况,您必须增加要加入域的计算机的 Kerberos 令牌大小。 有关详细信息,请参见:
该帐户无权从此工作站登录
此问题与客户端计算机和被联系以进行域加入操作的域控制器(DC)之间的服务器消息块(SMB)签名设置不匹配有关。 若要进一步调查环境中的当前值和建议值,请参阅:
为此服务指定的帐户不同于为同一进程中运行的其他服务指定的帐户
确保尝试加入域的 DC 已启动 Windows 时间服务。