本指南提供針對 Active Directory 網域加入問題進行疑難解答時所使用的基本概念。
疑難排解檢查清單
網域名稱系統 (DNS):每當您加入網域時發生問題,要檢查的第一件事就是 DNS。 DNS 是 Active Directory (AD) 的核心,可讓專案正常運作,包括加入網域。 請確定下列項目:
- DNS 伺服器位址正確。
- 如果使用多個 DNS 網域,則 DNS 尾碼搜尋順序是正確的。
- 不存在參考相同電腦帳戶的過時或重複 DNS 記錄。
- 反向 DNS 不會指出 A 記錄中的不同名稱。
- 您可以 Ping 網域名稱、網域控制站 (DC) 和 DNS 伺服器。
- 檢查特定伺服器的 DNS 記錄衝突。
Netsetup.log:當您針對加入網域問題進行疑難解答時 ,Netsetup.log 檔案是寶貴的資源。 netsetup.log檔案位於 C:\Windows\Debug\netsetup.log。
網路追蹤:在加入 AD 網域的過程中,將會有多種類型的流量在用戶端與某些 DNS 伺服器之間發生,接著在用戶端與某些 DC 之間也會有流量發生。 如果您在上述任何流量中看到錯誤,請遵循該通訊協定或元件的對應疑難排解步驟將其縮小。 如需詳細資訊,請參閱 使用 Netsh 來管理追蹤。
網域加入強化變更:自 2022 年 10 月 11 日起發行的 Windows 更新包含 CVE-2022-38042 引進的額外保護。 這些保護會刻意防止網域加入作業重複使用目標網域中現有的電腦帳戶,除非存在下列條件之一:
- 嘗試作業的使用者是現有帳戶的建立者。
- 電腦由網域系統管理員的成員所建立。
如需詳細資訊,請參閱 KB5020276 — Netjoin:網域加入強化變更。
埠需求
下表列出用戶端電腦與 DC 之間必須開啟的埠。
| 連接埠 | 通訊協定 | 應用程式通訊協定 | 系統服務名稱 |
|---|---|---|---|
| 53 | TCP | DNS(域名系統) | DNS 伺服器 |
| 53 | UDP | DNS(域名系統) | DNS 伺服器 |
| 389 | UDP | DC 定位器 | LSASS 公司 |
| 389 | TCP | LDAP 伺服器 | LSASS 公司 |
| 88 | TCP | Kerberos | Kerberos 金鑰發佈伺服器 |
| 135 | TCP | RPC | RPC 終端點對應器 |
| 445 | TCP | 中小企業 (SMB) | LanmanServer(局域網管理服務器) |
| 1024-65535 | TCP | RPC | RPC 端點對應程式用于在用戶端與域控制器之間進行 DSCrackNames、SAMR 和 Netlogon 呼叫的通訊 |
常見問題與解決方案
| 域加入錯誤代碼 | 原因 | 相關文章 |
|---|---|---|
| 0x569 | 出現此錯誤的原因是,域加入用戶帳戶在執行域加入操作的域控制器 (DC) 上缺少「從網路存取此電腦」的使用者權限。 | 錯誤代碼0x569的故障排除:未在此計算機上授予使用者請求的登入類型 |
| 0xaac或0x8b0 | 當您嘗試使用現有的電腦帳戶名稱將計算機加入網域時,就會發生此錯誤。 | 疑難解答錯誤碼0xaac:當您使用現有的計算機帳戶加入網域時失敗 |
| 0x6BF 或 0xC002001C | 當網路裝置(路由器、防火牆或虛擬專用網 (VPN) 裝置拒絕加入用戶端與域控制器 (DC) 之間的網路封包時,就會發生此錯誤。 | 對狀態代碼 0x6bf 或 0xc002001c 進行故障排除:遠端過程調用失敗且未執行 |
| 0x6D9 | 當加入的用戶端和域控制器 (DC) 之間的網路連接被阻止時,會出現此錯誤。 | 對錯誤代碼 0x6D9 「端點映射器中沒有更多可用的端點」 進行故障排除 |
| 0xa8b | 當您將工作組計算機加入域時,會出現此錯誤。 | 排查錯誤代碼 0xa8b:嘗試解析正在加入的域中的DC的 DNS 名稱失敗 |
| 0x40 | 此問題與取得 SMB (伺服器信息塊) 工作階段的 Kerberos 票證有關。 | 對錯誤代碼 0x40 「指定的網路名稱不再可用」 進行故障排除 |
| 0x54b | 出現此錯誤的原因是無法聯繫指定的域,這表明查找域控制器 (DC) 時出現問題。 | 故障排除 錯誤代碼 0x54b |
| 0x0000232A | 此錯誤表示無法解析域名系統 (DNS) 名稱。 | 對錯誤代碼 0x0000232A 進行故障排除 |
| 0x3a | 當用戶端電腦在用戶端計算機和域控制器 (DC) 之間的傳輸控制協定 (TCP) 389 埠上缺乏可靠的網路連接時,會發生此錯誤。 | 排查狀態碼0x3a:指定伺服器無法執行請求的操作 |
| 0x216d | 當使用者帳戶超過可加入域的10台電腦的限制時,或者當組策略限制使用者將電腦加入域時,會出現此錯誤。 | 疑難排解狀態代碼0x216d:您的電腦無法加入網域 |
當您將 Windows 電腦加入網域時發生的其他錯誤
如需詳細資訊,請參閱
網域加入問題的資料收集
若要針對網域加入問題進行疑難解答,下列記錄可能有助於:
Netsetup 記錄
此記錄檔包含網域加入活動的大部分資訊。 檔案位於 位於%windir%\debug\netsetup.log的用戶端電腦上。
預設會啟用此記錄檔。 不需要明確啟用它。網路追蹤
網路追蹤包含用戶端電腦與相對伺服器之間的通訊,例如透過網路的 DNS 伺服器和域控制器。 它應該收集在用戶端電腦上。 多個工具可以收集網路追蹤,例如Wireshark,netsh.exe 包含在所有 Windows 版本中。
您可以個別收集每個記錄檔。 或者,您可以使用Microsoft提供的一些工具,將它們全部收集在一起。 若要這樣做,請遵循下列各節中的步驟。
手動收集
- 在要加入 AD 網域的用戶端電腦上下載並安裝 Wireshark。
- 以系統管理員許可權啟動應用程式,然後開始擷取。
- 嘗試加入AD網域以重現錯誤。 記錄錯誤訊息。
- 停止在應用程式中擷取,並將網路追蹤儲存至檔案。
- 收集位於 %windir%\debug\netsetup.log 的 netsetup.log 檔案。
使用驗證腳本
驗證腳本是由 Microsoft 開發的輕量型 PowerShell 腳本,可簡化記錄收集,以針對驗證相關問題進行疑難解答。 若要使用它,請遵循下列步驟:
在用戶端電腦上下載 驗證文本 。 將檔案解壓縮到資料夾。
使用系統管理員許可權啟動 PowerShell 視窗。 切換至包含那些擷取檔案的資料夾。
執行 start-auth.ps1,如果出現提示,請接受EULA;如果出現有關未受信任發行者的警告,則允許執行。
備註
如果因為執行原則而不允許執行腳本,請參閱 about_Execution_Policies。
命令成功完成之後,請嘗試加入AD網域以重現錯誤。 記錄錯誤訊息。
執行 stop-auth.ps1,若出現未受信任的發行者警告,請允許繼續執行。
記錄檔會儲存在 authlogs 子資料夾中,其中包含 Netsetup.log 記錄檔和網路追蹤檔案 (Nettrace.etl)。
使用 TSS 工具
TSS 工具是由 Microsoft 開發的另一個工具,可簡化記錄收集。 若要使用它,請遵循下列步驟:
在用戶端電腦上下載 TSS 工具 。 將檔案解壓縮到資料夾。
使用系統管理員許可權啟動 PowerShell 視窗。 切換至包含那些擷取檔案的資料夾。
執行下列命令:
TSS.ps1 -scenario ADS_AUTH -noSDP -norecording -noxray -noupdate -accepteula -startnowait如果出現提示,請接受EULA(最終用戶許可協議);如果有關未受信任的發行者出現警告,請允許執行。
備註
如果因為執行原則而不允許執行腳本,請參閱 about_Execution_Policies。
命令需要幾分鐘的時間才能完成。 命令成功完成之後,請嘗試加入AD網域以重現錯誤。 記錄錯誤訊息。
執行
TSS.ps1 -stop,並在收到未受信任的發行者警告時允許執行。記錄檔會儲存在 C:\MS_DATA 子資料夾中,而且已經壓縮。 ZIP 檔名會遵循格式 TSS_<hostname>_<date>-<time>-ADS_AUTH.zip。
zip 檔案包含 Netsetup.log,以及網路追蹤。 網路追蹤檔案名為 <hostname>_<date>-<time>-Netsh_packetcapture.etl。