解决在将基于 Windows 的计算机加入域时发生的错误

本文描述了将运行 Windows 的客户端计算机加入域时可能出现的几种常见错误信息。 本文还提供了解决这些错误的建议。

适用于：Windows Server 2016、Windows Server 2012 R2 原始 KB 编号： 4341920

Windows 客户端在 %windir%\debug\Netsetup.log 文件中记录域联接操作的详细信息。

解析要加入的域中 DC 的 DNS 名称的尝试已失败。 请验证此客户端是否配置为连接到可以解析目标域中 DNS 名称的 DNS 服务器。

键入域名时，请确保键入域名系统 (DNS) 名称，而不是 Network Basic Input/Output System (NetBIOS) 名称。 例如，如果目标域的 DNS 名称是contoso.comcontoso.com，请确保输入的不是 NetBIOS 域名“contoso”。

此外，验证计算机能否到达托管目标域的 DNS 区域或可以解析该域中的 DNS 名称的 DNS 服务器。 确保在此客户端上将正确的 DNS 服务器配置为首选 DNS，并且客户端具有到该服务器的连接。 要验证此操作，请运行以下命令：

解析要加入的域中域控制器的 DNS 名称的尝试已失败。 请验证此客户端是否配置为连接到可以解析目标域中 DNS 名称的 DNS 服务器。

键入域名时，请确保键入 DNS 名称，而不是 NetBIOS 名称。

此外，验证计算机能否到达托管目标域的 DNS 区域或可以解析该域中的 DNS 名称的 DNS 服务器。 确保在此客户端上将正确的 DNS 服务器配置为首选 DNS，并且客户端具有到该服务器的连接。 要验证此操作，请运行以下命令：

在不存在的网络连接上尝试了操作。

键入域名时，请确保键入 DNS 名称，而不是 NetBIOS 名称。 此外，请在尝试将计算机加入域之前重新启动计算机。

不允许同一用户使用多个用户名与服务器或共享资源进行多次连接。 断开与服务器或共享资源之前的所有连接，然后重试。

重启尝试加入域的计算机，以确保任何域服务器不存在潜在连接。

键入域名时，请确保键入 DNS 名称，而不是 NetBIOS 名称。

找不到网络名称。

验证计算机能否访问托管目标域的 DNS 区域的 DNS 服务器，或可以解析该域中的 DNS 名称。 确保在此客户端上将正确的 DNS 服务器配置为首选 DNS，并且该客户端已连接到该服务器。 要验证此操作，请运行以下命令：

键入域名时，请确保键入 DNS 名称，而不是 NetBIOS 名称。

此外，还可以更新网络适配器驱动程序。

此时无法再连接到这台远程计算机，因为已经达到了计算机可以接受的连接数量。

在将计算机加入域之前，请确保你已经清除了到任何驱动器的所有映射连接。

重启尝试加入域的计算机，以确保任何域服务器不存在潜在连接。

键入域名时，请确保键入 DNS 名称，而不是 NetBIOS 名称。

错误可能是暂时性的。 请稍后重试。 如果问题仍然存在，请验证与客户端连接的 DC 的状态 (活动连接、网络连接等) 。 如果问题仍然存在，可能需要重启 DC。

指定网络名称的格式无效。

验证计算机能否访问托管目标域的 DNS 区域的 DNS 服务器，或可以解析该域中的 DNS 名称。 确保在此客户端上将正确的 DNS 服务器配置为首选 DNS，并且该客户端已连接到该服务器。 要验证此操作，请运行以下命令：

键入域名时，请确保键入 DNS 名称，而不是 NetBIOS 名称。 确保为客户端计算机的网络适配器安装最新的驱动程序。 验证要加入的客户端与目标 DC 之间是否通过所需端口和协议进行连接。 禁用 TCP烟囱 卸载功能和 IP 卸载。

目录服务已耗尽相对标识符池。

确保托管相对 ID (RID) 操作主机的 DC 处于联机状态且正常运行。 有关详细信息，请参阅事件 ID 16650：帐户标识符分配器在 Windows Server 中初始化失败。

注意

可以使用 netdom query fsmo 命令来确定哪个 DC 具有 RID 主机角色。

验证 Active Directory 是否在所有 DC 之间进行复制。 可以使用以下命令来检测任何错误：

远程过程调用失败，未执行。

确保为客户端计算机的网络适配器安装最新的驱动程序。 验证要加入的客户端与目标 DC 之间是否通过所需端口和协议进行连接。 禁用 TCP 烟囱 卸载功能和 IP 卸载。

此问题也可能由以下情况导致：

注意

以下文章包含端口要求信息： 832017 Windows 的服务概述和网络端口要求 179442 如何为域和信任配置防火墙

将此计算机的主域 DNS 名称更改为 "" 失败。 名称仍然为 "."。指定的服务器无法执行此操作。

使用域加入 UI 通过指定目标 DNS 域将 Windows 7 或 Windows Server 2008 R2 工作组计算机加入 Active Directory 域时，会发生此错误。 要修复此错误，请参阅 2018583 Windows 7 或 Windows Server 2008 R2 域加入显示错误“将此计算机的主域 DNS 名称更改为 "" 失败...”。

已超出允许在此域中创建计算机帐户的数量上限。

确保具有将计算机添加到域的权限，并且没有超出域管理员定义的配额。

要将计算机加入域，必须为用户帐户授予在 Active Directory 中创建计算机对象的权限。

注意

默认情况下，非管理员用户最多可将 10 台计算机加入 Active Directory 域。

登录失败：目标帐户名不正确。

检查域控制器 (DC) 是否在 DNS 服务器上使用正确的 IP 地址注册，以及它们的服务主体名称 (SPN) 是否在其 Active Directory 帐户中正确注册。

登录失败：此计算机上尚未向用户授予请求的登录类型。

确保你有权限将计算机添加到域中。 若要将计算机加入域，必须在 Active Directory 中向用户帐户授予 “创建计算机对象 ”权限。

此外，请确保允许指定的用户帐户在本地登录到客户端计算机。 为此，请在“计算机>配置 Windows 设置>安全设置>本地策略用户权限分配”下的组策略中配置“允许登录”本地>设置。

登录失败: 用户名未知或密码错误。

当系统提示你提供将计算机添加到域的凭据时，请确保使用现有 Active Directory 用户帐户的正确用户名和密码组合。

未在帐户名和安全 ID 之间映射。

此错误可能是一个暂时性错误，当域加入搜索目标域以确定是否已创建匹配的计算机帐户或加入操作是否必须动态地在目标域上创建计算机帐户时，将记录此错误。

存储不足，无法完成此操作。

当 Kerberos 令牌大小大于最大默认大小时，可能会发生此错误。 在这种情况下，你必须增加尝试加入域的计算机的 Kerberos 令牌大小。 有关更多信息，请参阅以下知识库文章： 935744 当你使用域控制器将计算机加入域时，出现“没有足够的存储空间来完成此操作”错误消息 327825 当用户属于多个组时，Kerberos 身份验证会出现问题

该帐户不能从此站点登录。

此问题与客户端计算机与为域加入操作联系的 DC 之间的 SMB 签名设置不匹配有关。 查看以下文档以进一步调查环境中的当前值和推荐值： 281648 错误消息：帐户无权从此工作站登录823659 如果你更改安全设置和用户权限分配，可能会发生客户端、服务和程序问题

为此服务指定的帐户不同于为同一进程中运行的其他服务指定的帐户。

确保尝试加入域的 DC 已启动 Windows 服务。