PALMisLIFE 討論區

標題: [已解決][求助] 升級完 AD 後,有的 2000/XP 無法加入 domain [列印本頁]
作者: Lucian    時間: 2004-9-23 22:27
標題: [已解決][求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
撐了好久,終於在主管及美國母公司的壓力下,
讓同仁把用了多年的 NT4 DC 升級成 Windows2000 AD,
過程中充滿著一缸子的問題,最終所有使用者都能正常登入,
及使用其它台的 file server。

但,問題來了,竟然發生有些退出 domain 的電腦,無法再加入 domain,
也許會有人問, AD 怎麼有 domain,原因是現在的 AD 是從 domain 升級而來,
因此存在著向下相容的網域,而沒問題的電腦,
不論是否重新開關機或登出入,網域自動從 'AAAAA' 變成 'BBB.CCCC.com',
而 'AAAAA' 是原先的網域名稱,'BBB.CCCC.com' 是後來 AD 的 directory name;

有些問題電腦未曾退出網域,也發生一些奇怪的現象,
跟上面的電腦都一樣,發生登出使用 local administrator 後,
竟然無法對 c:\windows 或 c:\winnt 作存寫的動作,只有 read only權限,
也因此無法讀到 local secutiy policy。

怪就怪在只有新灌的電腦可以加入網域,以上的兩種電腦都相當的怪,
也查過 google,發覺國外也有人發生,但回答的人都無法真的解決發問人的問題。

想說在 PIL 裡人才濟濟,看看是否有人有類似的經驗過?

由於公司 cost down,根本沒有廠商理我們(因為出不錢來)
加上同事和我都是 try and error,根本花太多時間在無頭緒上。

如蒙相助,我自己掏腰包,捐助 500 元給 PIL,
也許是太便宜我了,但實在是我的能力範圍內,
請大家多多幫忙!!

(註:升級後的 AD,均使用最原始的帳戶原則,未有更改過設定)

[ Last edited by Lucian on 2004-9-24 at 21:53 ]
作者: achen    時間: 2004-9-23 22:49
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
Lucian

問題發生的原因我現在沒辦法詳細解釋 (在公司中打太慢), 不過你的問題應該很好解決.

有些退出 domain 的電腦,無法再加入 domain
- 到 Win2K ADUC
- 到 Doamin - Computers
- 找到這些電腦名稱, delete
- 如果你有一台以上 domain controller, 你要等 replication
- replication 完之後重新加入 domain


有些電腦問題發生一些奇怪的現象

- 若這些電腦尚未 disjoin NT4 domain, 你可以把網路線拔掉用 NT4 domain 的 account 以 cache 登入, 或用 local Administrator 登入到 local computer, 把電腦 disjoin domain, 加入隨便一個 workgroup, 重新開機後加入新的 domain

- 若這電腦已經在 Win2K domain 下, 你只要 disjoin, 加入 workgroup, 重開機, 再 join domain,  重開機,  就可以解決

- 出現這些問題的電腦經過以上修復後, user profile 必須重新建立, 但是 data 不會不見, 放心.

(PS) 如果你不記得 local 的 Admin 密碼, 只要有任何一個有權限的 domain account 都可以適用.

[ Last edited by achen on 2004-9-23 at 23:15 ]
作者: Reggae    時間: 2004-9-23 22:52
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
很想幫PIL賺進這500元...不是啦,很想幫Lucian解決問題...
但是之前沒遇到類似的狀況....
動腦先....不要抱太大期望
作者: Reggae    時間: 2004-9-23 23:00
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
Originally posted by achen at 2004-9-23 10:49 PM:
Lucian

問題發生的原因我現在沒辦法詳細解釋 (在公司中打太慢), 不過你的問題應該很好解決, 全部從 workstation 下手, 不必去動到 server.

- 若這電腦尚未 disjoin NT4 domain, 你可以把網路線拔掉用 NT4 domain 的 account 登入 cache, 或用 local Admin 登入到 local computer, 把電腦 disjoin domain, 加入隨便一個 workgroup, 重新開機後加入新的 domain

- 若這電腦已經在 Win2K domain 下, 你只要 disjoin, 加入 workgroup, 重開機, 再 join domain,  重開機,  就可以解決

- 出現這些問題的電腦經過以上修復後, user profile 必須重新建立, 但是 data 不會不見, 放心.

(PS) 如果你不記得 local 的 Admin 密碼, 只要有任何一個有權限的 domain account 都可以適用.

[ Last edited by achen on 2004-9-23 at 22:55 ]


感覺上Lucian兄的問題似乎不是這些...
如果誠如您所說的話,那另外一種可能就是已經有相同的Record
已經被紀錄,那只需要在AD移除該RECORD重新register即可...

P.S 請問Lucian兄,您的Client端電腦維持是NT 4.0嗎?
     只有Server升級為Win2K嗎?
作者: achen    時間: 2004-9-23 23:23
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
Originally posted by Reggae at 2004-9-23 11:00 PM:


感覺上Lucian兄的問題似乎不是這些...


You quoted my reply while I was still modifying it..

看起來複雜的問題有時候很好解決, 看起來簡單的問題有時候很難搞定

其實 Lucian 所給的 information 不大足夠, 但是我以"新灌的電腦都沒有問題"這個敘述來判斷, 問題不是 domain wide... 只要把有問題的 SAM 和 GUID 洗掉重新建立應該就可以解決.

所以我建議試看看那些無痛的 solution ..

P.S 請問Lucian兄,您的Client端電腦維持是NT 4.0嗎?
     只有Server升級為Win2K嗎?

標題裡已經講囉.. 是 XP 和 Win2K

[ Last edited by achen on 2004-9-23 at 08:04 ]
作者: Jonry    時間: 2004-9-23 23:33
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
仔細看了一下你的文章, 覺得你給的線索有點少, 只能粗略的判斷...

1. 已經退出 Domain 的電腦, 請用"搜尋"找找看, 這台電腦是不是還存在"Computers"裡? 如果退出 Domain 的電腦, 改電腦名稱就可以再加入 Domain, 就是 AD 沒把這台電腦踢掉。

2. Local Admin 對 WINNT 只有 read only 的權限, 是指 C:\WINNT 這裡目錄的"安全", local administrator 只有 Read 的權限嗎? 那 Domain Admin 有任何權限嗎?
理論上沒作任何人為的改變的情形下, C:\WINNT 的安全應該是 Everyone Full Control 才對的.

第二點的狀況比較多, 我可能要找朋友討論看看; 不過最近事情很多, 下個星期又碰到中秋節, 看看有沒有其他網友提供一點意見。如果到了下星期問題還是沒解決, 我再來想想辦法...
作者: Lucian    時間: 2004-9-24 09:01
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
家有小孩,昨晚早先睡覺去了,抱歉。

上班後,一一回答各位的問題:
Originally posted by achen at 2004-9-23 10:49 PM:
Lucian
有些退出 domain 的電腦,無法再加入 domain
- 到 Win2K ADUC
- 到 Doamin - Computers
- 找到這些電腦名稱, delete
- 如果你有一台以上 domain controller, 你要等 replication
- replication 完之後重新加入 domain
[ Last edited by achen on 2004-9-23 at 23:15 ]


在 AD 上已經 delete 過電腦,加入的過程中,仍然說:access denied,
懷疑是 administrator 無法對 c:\windows 目錄作存寫的關係。


Originally posted by achen at 2004-9-23 10:49 PM:
Lucian
有些電腦問題發生一些奇怪的現象

- 若這些電腦尚未 disjoin NT4 domain, 你可以把網路線拔掉用 NT4 domain 的 account 以 cache 登入, 或用 local Administrator 登入

到 local computer, 把電腦 disjoin domain, 加入隨便一個 workgroup, 重新開機後加入新的 domain

- 若這電腦已經在 Win2K domain 下, 你只要 disjoin, 加入 workgroup, 重開機, 再 join domain,  重開機,  就可以解決

- 出現這些問題的電腦經過以上修復後, user profile 必須重新建立, 但是 data 不會不見, 放心.

(PS) 如果你不記得 local 的 Admin 密碼, 只要有任何一個有權限的 domain account 都可以適用.

[ Last edited by achen on 2004-9-23 at 23:15 ]


拔掉網路線,以 cache 登入,仍無法對 c:\windows 做存寫的動作,不論是 local administrator,或是 domain administrator,
還未做 disjoin domain ,在 join domain 的動作,因為害怕發生無法加入 domain的情形,
我今天會找一台非使用者的電腦試看看。 謝謝 achen!!

Originally posted by Reggae at 2004-9-23 11:00 PM:

感覺上Lucian兄的問題似乎不是這些...
如果誠如您所說的話,那另外一種可能就是已經有相同的Record
已經被紀錄,那只需要在AD移除該RECORD重新register即可...

P.S 請問Lucian兄,您的Client端電腦維持是NT 4.0嗎?
     只有Server升級為Win2K嗎?


誠如上面提的,已經宜除 record,但還是加不進去,
另外,就像 achen 說的,使用者端都是 xp/2000,謝謝 Reggae。

Originally posted by Jonry at 2004-9-23 11:33 PM:
仔細看了一下你的文章, 覺得你給的線索有點少, 只能粗略的判斷...

1. 已經退出 Domain 的電腦, 請用"搜尋"找找看, 這台電腦是不是還存在"Computers"裡? 如果退出 Domain 的電腦, 改電腦名稱就可以再加入 Domain, 就是 AD 沒把這台電腦踢掉。

2. Local Admin 對 WINNT 只有 read only 的權限, 是指 C:\WINNT 這裡目錄的"安全", local administrator 只有 Read 的權限嗎? 那 Domain Admin 有任何權限嗎?
理論上沒作任何人為的改變的情形下, C:\WINNT 的安全應該是 Everyone Full Control 才對的.

第二點的狀況比較多, 我可能要找朋友討論看看; 不過最近事情很多, 下個星期又碰到中秋節, 看看有沒有其他網友提供一點意見。如果到了下星期問題還是沒解決, 我再來想想辦法...


1.改過名稱,仍無法 join domain,怪就怪在過去的 NT4 PDC 都可以,是升級成 AD 才這樣的。
2.對於 c:\windows 的權限也是過去沒遇過的,查過權限,明明對 administrator 是 full control,但硬是無法 write。
謝謝 Jonry 的回答。

實在感謝大家的回答,今天會再找台電腦模擬使用者的狀況看看。
會再告訴大家後來的結果。
作者: Jonry    時間: 2004-9-24 09:51
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
想到一點, "SYSTEM" 對 C:\WINNT 有沒有 Full Controll 的權限 ??

"SYSTEM" 是一個 account, 對 C:\WINNT 沒有 Full Controll 權限的話, 問題會有一大堆 !!
作者: Lucian    時間: 2004-9-24 12:35
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
有, winnt 目錄下,存有 SYSTEM 這個帳號,而且是 full control。

目前打電話到美國,找了一個阿三哥(印度人)幫忙在看中,
他也做了一些如上面的討論的檢查,但結果都是一樣。

早上找了一台沒問題的電腦,退出 domain 再加入 domain,這樣加退兩次都沒問題,
但找了台當初在 domain 內的電腦,但發生對 windows/winnt 目錄有問題的電腦,
正常退出 domain(XP還會問 domain admin的密碼)後,就加不回網域了,
難道非重灌不可嗎?
發現有十來台了,實在麻煩。
作者: Reggae    時間: 2004-9-24 20:24
標題: Re: [求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
Lucian兄...
能不能請您提供一下,這類電腦,退出DOMAIN後,就加不回去的網域,
所出現的訊息呢? 事件檢視器若有相關的資訊,也請您提供一下好嗎?
作者: Lucian    時間: 2004-9-24 21:52
標題: [已解決][求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
解決了!解決了!感謝大家!!

其實還是使用者打電話來,讓接電話的我莫名其妙的,
她說,剛剛電腦出現一句 office scan 送來的訊息,
大約的意思是,病毒爆發已經結束,現在可以正常使用網路資源,
但,但,這個訊息是我們兩整天前發的,而且當天很多人都收過,
難道,難道真的是 office scan 的問題?

趕到另一個使用者的電腦旁,
嘿!也是正常了,經詢問後,同樣是不久前才剛收過同樣的訊息,
趕快幫當初不小心或是測試移除網域的這兩三台電腦都加回網域,
都是正常可以加回;

請同事登入 office scan 的主控台觀察,
是有多台電腦含有閃電符號,再用手動解除並傳送解除訊息給這幾台,
相信那些電腦都好了。

原來的過程是,
本週有多台電腦零零星星的中蠕蟲,
前天剛好上完 AD 不到一天, file server 又有點反應過慢,
以為是蠕蟲拖慢網路,(其實後來發現是一隻程式 ftp service程式的問題)
因此就用 office scan 手動發佈訊息告知會讓客戶端的電腦無法使用某些資源,
而之前我們是沒用過,不知它會鎖了什麼,
原來是鎖了 c:\windows 或 c:\winnt(不清楚是否為同事設定的);

當天發現是 file server 上的那隻 freeware 吃太多 CPU,導致主機回應太慢,
確定不是蠕蟲後,在發了訊息後的十五分鐘到半小時,
就已經用 office scan 解除警報,看來是有電腦花了兩天的時間才收到命令及訊息。

想想趨勢的程式怎麼這麼厲害,讓這麼多人完全抓不到如何找到真正的問題,
我看我們美國總公司的那位阿三哥,連線到我請他看的那台電腦,
一直觀察、測試、重開機多次,讓他測試到了他的午夜十二點半,
他說他明天早上(我們的今晚)腦筋清楚後再繼續努力;
我看過他也用 local security policy,也用 regedit觀看,
看目錄權限...等等,都跟我們測試的差不多,讓他頭痛不已,
(還用了開機後自動檢查檔案、index及安全內容)
下班前,趕快發了一封信,謝謝他並告訴他已經解決了。

還是感謝 PIL 裡頭這麼多朋友的關心與幫忙,心裡著實感動不已,
即使後來是由系統自動解除鎖定,我還是會捐 500元給 PIL,
實在太愛這塊討論區,

最後還是感謝大家!!

[ Last edited by Lucian on 2004-9-24 at 21:53 ]
作者: Reggae    時間: 2004-9-24 22:20
標題: Re: [已解決][求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
替您高興....
也覺得慶幸,多上了一門課...感激
作者: achen    時間: 2004-9-24 23:09
標題: Re: [已解決][求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
way to go ~~~
作者: parrot    時間: 2004-9-27 09:37
標題: Re: [已解決][求助] 升級完 AD 後,有的 2000/XP 無法加入 domain
我個人的建議, OfficeScan or Server Protector 這個病毒通知的功能最好是關掉
之前公司用這東西在網管伺服器上面, 被這公司給稿的亂七八糟
網管功能完全停擺, 原因只是因為趨勢主控台啟用這個功能
同事半夜四點因為這東西被叫起床處理

[ Last edited by parrot on 2004-9-27 at 09:40 ]



歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/) Powered by Discuz! X2.5