設定用戶端的 DNS 以指向網域控制站並透過名稱驗證連線。
透過 GUI 加入團隊或 PowerShell的 使用 AD 憑證並重新啟動以套用變更。
透過重新建立安全通道或重新進入設備來解決信任失敗。
加入後檢查 AD 成員資格、資源存取和策略執行情況。
在下面的幾行中,您將找到一個完整、清晰的指南,旨在不留任何遺漏之處: 先決條件、網路準備(包括 DNS)、每個介面和每條線路的方法 命令、如何重新團結那些已解散的團隊,以及如何修復可怕的信任關係錯誤。所有這些都帶有細微的差別, Windows 和10 窗戶11以及一些實用技巧,確保它不會妨礙你。在需要將伺服器提升為控制器的環境中,請查看如何 將伺服器提升為網域控制器 完善基礎設施。
先決條件
首先,最好確認您符合最低要求。 如果沒有這些要求,域加入通常會失敗。 或該過程不穩定。
相容Windows版本:Windows 家用版(包括家庭 SL)不支援網域加入功能。您需要 Windows 專業版或企業版。
擁有域的權限- 具有新增電腦權限的憑證(通常是網域管理員或特定委派)。
與網域控制器 (DC) 的連接:客戶端必須能夠無阻塞地存取 DC 網路(足夠的延遲和連接埠)。
指向 DC 的 DNS:電腦的首選DNS必須是網域控制站的IP,以便它可以解析AD名稱。
時間和時區 與網域同步(Kerberos 身份驗證對時間偏差很敏感)。
地方許可證 在電腦上:如果可能,請使用本機管理員帳戶啟動此程序。
作戰域:必須安裝 AD DS 並使其正常運行,並且至少有一個可訪問的 DC。
防火牆功能:在網域/私有網路上,請檢查它是否封鎖 DNS、LDAP/LDAPS、Kerberos、RPC 等解析。在公共網路上,建議保持啟用狀態。
如果您對 Windows 版本有任何疑問,請記住以下關鍵細節: Windows Home 不支援加入網域如果您遇到這種情況,第一步是升級到 Pro 或 Enterprise。
在客戶端電腦上設定網絡
為了使連接首次正常運作,網路配置必須合適。 最關鍵的是客戶端的DNS:應該指向網域控制器的 IP,而不是 路由器,也不是公共 DNS。
窗戶10
在 Windows 10 中,如果您的網路配置良好,您可以透過 DHCP 保留 IP,但請確保首選 DNS 指向 DC(例如, 192.168.1.5 作為控制器的 DNS)。如果您使用固定 IP,請定義 DC 的 IP、閘道和首選 DNS,並將內部備用 DNS 留為可選。
如何在 Windows 照片應用程式中逐步檢視 iPhone 照片為了快速檢查連接性和名稱解析,請開啟 PowerShell 並透過名稱 ping 網域伺服器。 使用你的 DC 的真實姓名例如:
ping server-2019-a
如果你回覆姓名,則表明 客戶端 DNS 解析有效 並且 DC 在線響應,這至關重要。
窗戶11
在 Windows 11 中,您可以從網路設定編輯 DNS 伺服器分配,並將其設定為 IPv4 手動,將 DC IP 設定為首選(例如, 192.168.1.5)。如果您的基礎設施支持,其餘參數可以透過 DHCP 來維護。
重複 連結性測試 使用 PowerShell 驗證一切是否正確:
ping server-2022-a
如果您沒有收到回复,請仔細檢查您的網路設定、防火牆以及伺服器名稱是否正確。 修復客戶端的 DNS 通常可以解決大多數問題。 在這個階段。
檢查網路配置是否正確
一旦完成了網路的微調,最好透過非常具體的測試來驗證它。 開啟控制台 (CMD 或 PowerShell)具有權限 並執行以下檢查:
透過 IP 位址 ping DC 以確認 IP 層級網路連線。
透過 DNS 名稱對 DC 進行 ping 操作,以驗證 客戶端根據網域的 DNS 進行解析.
DC 名稱和網域的 nslookup(例如 contoso.local)以驗證查詢是否指向 DC 的 DNS。
如果出現問題,您通常會查看 DNS、網關或防火牆問題。 在嘗試加入之前修復此問題 否則你會因為誤導的錯誤而浪費時間。
將設備加入網域
加入團隊有兩種常見方式:透過圖形介面或使用命令列/PowerShell。 兩種方法都達到相同的結果,因此請使用對您來說最舒適或最自動化的方法。
控制面板方法(圖形介面)
此過程適用於 Windows 10 和 11,但外觀上略有差異。 這個想法是進入系統屬性並更改名稱/群組 從工作組移動到網域。
打開“系統設定”,然後轉到“關於”部分。從那裡,打開“系統資訊”或“高級系統設定”。
在系統屬性中,按一下變更以修改電腦名稱和成員資格。
在成員區域中,選擇網域並輸入網域名稱(例如,somebooks.local 或您的網域)。
將請求具有將電腦加入網域的權限的憑證。 輸入網域使用者名稱和密碼.
如果一切正確,將出現歡迎加入網域的訊息,並要求您重新啟動。
重新啟動以套用變更。 直到您重新啟動,聯合才會處於活動狀態。.
如何輕鬆存取 Windows 10 中的控制台如果您已在網域中預先建立了電腦帳戶(例如,CUSTOMER-W10-01 或 CUSTOMER-W11-01),請確保 使用相同的球隊名稱 在加入之前在客戶端中進行設置,以便與已經設定的帳戶相符。
命令行方式
命令列和 PowerShell 可讓您快速自動地將電腦加入網域。 它是腳本或大規模部署的理想選擇.
在 PowerShell 中 具有管理員權限,你可以運行:
add-computer -DomainName midominio.local -Credential MIDOMINIO\Administrador -Restart -Force
當您執行該命令時,將為具有權限的網域使用者開啟一個憑證視窗(如果尚未開啟)。 隊伍將自動加入並重啟 完成後。
如果您更喜歡 CMD,也可以使用命令列公用程式來實現這一點。 哲學是一樣的:指示域、憑證並操作後重新啟動。
將分離的設備重新加入域
由於維護、新映像或問題,團隊可能已從網域中移除。 在這些情況下,建議先控制退出,然後再加入。 重新建立信任關係和安全通道。
使用圖形介面,轉到系統屬性,將成員資格變更為工作群組(WORKGROUP),確認並重新啟動。 然後重複該過程再次加入網域。 然後重新啟動。
如果你喜歡在 命令行,PowerShell 提供了一個舒適的流程:
# Desunir del dominio (solicitará credenciales de dominio con permiso para quitar el equipo)
Remove-Computer -UnjoinDomainCredential MIDOMINIO\Administrador -PassThru -Verbose -Force -Restart
# Tras reiniciar, volver a unir al dominio
Add-Computer -DomainName midominio.local -Credential MIDOMINIO\Administrador -Restart -Force
此過程清理 AD 和用戶端上潛在的不一致的電腦帳戶狀態。 如有疑問,移除並重新連接通常是最快的解決方案。.
修復域信任關係
一個相對常見的錯誤是電腦和網域控制站之間的安全通道中斷。 典型症狀是螢幕上出現以下訊息:
The trust relationship between this workstation and the primary domain failed.
這通常發生在電腦帳戶密碼與網域資料庫不同步,或 AD 中的電腦帳戶已被刪除或損壞時。 好消息是,無需重新安裝即可修復。.
如果你有 本機管理員憑證 在受影響的電腦上,您可以從 PowerShell 恢復信任:
# Restablecer la contraseña de la cuenta de equipo/canal seguro contra un DC
Reset-ComputerMachinePassword -Server DC01 -Credential MIDOMINIO\Administrador
完成後,重新啟動電腦。或者,如果需要,您可以使用與安全通道搭配使用的命令列工具。 重要的是重新同步機器帳戶 與網域控制器。
如何使用 FolderFresh 在 Windows 中自動整理資料夾如果無法重設或重設失敗,則套用上述策略: 脫離領域並重新統一 (透過 GUI 或 PowerShell)。在大多數情況下,這些路徑之一可以恢復對您網站的信任。
登入網域
加入後重新啟動後,就需要使用網域帳戶進行身份驗證了。 主螢幕通常顯示最後一個本地用戶,因此切換到網域用戶。
在 Windows 11 中,點選其他使用者並輸入 DOMAIN\user 或 user@domain.local 和您的密碼。 您將在密碼欄位下方看到 NetBIOS 網域提示。,確認會話將針對正確的網域開啟。
第一次需要更長的時間,因為它 建立使用者設定檔 在團隊中。 看到桌面準備訊息是正常的 在第一次啟動時。
如果您透過遠端桌面 (RDP) 連接到新加入的伺服器,請記住在您的憑證中包含域名,以便針對 AD 執行身份驗證。 推薦格式:網域\使用者名稱.
加入後的檢查和測試
最好進行一些檢查以確保一切都完美無缺。 快速驗證可以避免您以後的驚慌。.
系統屬性:確認電腦被列為正確域的成員。
在網域控制站上,開啟 Active Directory 使用者和電腦並驗證 團隊帳戶出現在預期的 OU 中.
存取伺服器共用:登入測試共用並建立 .txt 檔案以驗證權限和 SMB 連線。
策略:使用 gpupdate /force 強制更新並檢查是否套用了網域策略。
防火牆:在私人或網域網路上,根據需要進行調整。 在公共網路上建議保持啟用狀態 為了安全。
如果您符合要求並遵循邏輯順序,將電腦加入網域應該不會是一件令人頭痛的事情:明確定義的網路和 DNS、按名稱測試連接、選擇方法(GUI 或 PowerShell)並重新啟動。 如果出了問題,修復信任或重新團結 它通常會在幾分鐘內恢復正常;後續檢查將確保一切正常。
相關文章:在 Windows 中將電腦加入網域的完整教學課程
艾薩克對字節世界和一般技術充滿熱情的作家。我喜歡透過寫作分享我的知識,這就是我在這個部落格中要做的,向您展示有關小工具、軟體、硬體、技術趨勢等的所有最有趣的事情。我的目標是幫助您以簡單有趣的方式暢遊數位世界。