今天我們簡單歸總下客戶端加域的先決條件或着說準備工作,方便新手或者管理員日常加域失敗排錯等內容,希望可以幫到大家。
一.網絡準備:(保證客戶端與域控解析與網絡通信正常)
- DHCP模式:DHCP已指定域控爲主備DNS,客戶端IP地址是DHCP無需手動指定DNS地址。
- 靜態IP模式:客戶端IP地址是手動指定的需要手動配置域控爲主DNS地址。
- 如非同網段,保證客戶端IP地址與域控各端口正常通訊,解析正常。
二.日期和時間設置:
Active Directory使用Kerberos進行身份驗證。Kerberos要求域成員和域控制器(DC)具有同步時間。如果差異超過5分鐘(默認值),則出於安全原因,客戶端無法訪問域資源。在加入域之前,請及時檢查時間配置。
三.加域權限準備:
要將計算機加入您需要的域,需要計算機上的本地管理員權限;
- 已啓用將計算機加入域的域帳戶的憑據。例如:域管理員帳戶;具有委派權限的帳戶(僅限AD);
- (PS.如果管理員尚未禁用該功能,則在已通過身份驗證的用戶帳戶中,最多可以將10臺計算機加入該域,該內容可修改可禁用)
四.Windows版本要求:
非家庭版Windows操作系統,或部分微軟官方已提到不支持版本。
五.客戶端自身要求:
- 服務狀態啓動:TCP/IP NetBIOS Helper、Workstation、Remote Registry、Netlogon、Server服務等;
- 如果環境中均爲Ghost、複製模板鏡像或其他方式克隆系統,請及時Sysprep並更改計算機名,或者可以使用Newsid工具重新生成SID;
- 如有細化安全客戶端,需單獨放行域控通信等端口需求,或加域前臨時關閉安全軟件;
- 客戶端防火牆設置也需注意。
如集團或者辦公環境網絡複雜,如有其他問題可及時聯繫網絡、安全同事並行排錯,或抓包分析,等等。