第一章AD故障排查通用思路当AD域环境出现故障时,需遵循逐层排查、缩小范围的原则,按以下优先级定位故障根源:确认单一域用户账户故障:使用该域账户在其他正常客户端登录,判断是否为账户本身问题(禁用、过期、权限不足等);同时使用其他正常域账户在故障客户端登录,排除客户端本地问题。确认单一客户端故障:检查客户端网卡状态、IP/DNS配置、本地服务状态、时间同步情况。确认网络层面故障:检查网段连通性、交换机/路由器配置、防火墙规则,可使用ping、tracert、nslookup等工具验证网络连通和域名解析能力。确认服务器端故障:登录域控制器检查AD服务、DNS服务、Netlogon服务运行状态,查看事件日志,验证DC之间的复制状态。第二章常见故障详细排查方案2.1客户机无法加入域故障现象客户机执行加入域操作时,提示“无法与域xxx的ActiveDirectory域控制器连接”,无法完成域加入流程。故障原因分析客户端网络配置错误:IP地址不在DC网段、DNS地址未指向域控制器网络连通性故障:客户端与DC之间物理链路不通、防火墙拦截端口通信DC服务异常:域控制器的DNS服务、Netlogon服务未正常运行域名解析故障:客户端无法正确解析域控制器的SRV记录详细处理步骤检查客户端IP/DNS配置:执行ipconfig/all,确认IP地址与DC同网段,DNS地址为域控制器IP。验证网络连通性:执行ping域控制器IP和ping域名,确认网络链路正常。验证域名解析:执行nslookup域名,确认能解析到域控制器IP地址。检查DC服务状态:登录DC,在服务管理器中确认DNSServer、Netlogon、ActiveDirectoryDomainServices服务均处于运行状态。检查防火墙规则:确认DC和客户端的防火墙均开放53(DNS)、88(Kerberos)、135(RPC)、389(LDAP)等AD所需端口。完成上述排查后重新尝试加入域。2.2客户机无法登录域故障现象已加入域的客户机使用域账户登录时,提示“用户名或密码不正确”,或登录后无法访问域内共享资源。故障原因分析域账户异常:账户被禁用、删除、密码过期、登录时间受限客户端信任关系断裂:客户端与DC之间的安全通道失效时间不同步:客户端与DC时间差超过5分钟,导致Kerberos认证失败客户端DNS配置错误:无法解析域控制器地址详细处理步骤验证账户有效性:使用该账户在其他正常客户端登录,确认账户可正常使用;在DC的“ActiveDirectory用户和计算机”中检查账户状态、密码有效期、登录权限。检查客户端时间:确认客户端系统时间与DC时间差不超过5分钟,若异常执行nettime\\域控制器IP/set同步时间。