额外AD域服务器在夺取FSMO角色并关掉原主域后不能登录

请问这台迁移后的额外域是否已过了域离线的墓碑时间？还有DNS服务里面是否有相关A记录指向本地域，客户端的主要DNS是否已设置为这台服务器的IP？最后这台域控是否能PING通自己的本地域名？请楼主先确认以上问题。

域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。为什么是这样的呢？因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码保护的。计算机帐户的密码不叫密码，在域中称为登录票据，它是由2000的DC（域控制器）上的KDC服务来颁发和维护的。为了保证系统的安全，KDC服务每30天会自动更新一次所有的票据，并把上次使用的票据记录下来。周而复始。也就是说服务器始终保存着2个票据，其有效时间是60天，60天后，上次使用的票据就会被系统丢弃。如果你的Ghost备份里带有的票据是60天的，那么该计算机将不能被KDC服务验证，从而系统将禁止在这个计算机上的任何访问请求（包括登录）。
解决的方法:
简单的方法使将计算机脱离域并重新加入，KDC服务会重新设置这一票据。或者使用2000资源包里的NETDOM命令强制重新设置安全票据。
彻底解决方法：
1、去掉还原卡或是在服务器安装还原卡；
2、管理工具—active directory 用户和计算机—所在域属性—组策略—default domain policy—编辑—计算机设置—windows设置—安全设置—本地策略—安全设置—防止更改计算机帐户密码，启用该策略，这样相应的客户端也会修改其设置为“禁止更改计算机帐户密码”。

解决的办法是找域管理员，由管理员将您的账户添加进可登陆账户中。

域账号的含义：

域账号是把帐号存储于域中的某一台服务器，分享给同一个域中的所有计算机使用。如果想更改域帐号的有关数据，直接修改域帐号服务器中的帐号，其他计算机就可立即获取更新后的帐号数据。

域账号的 *** 作方法：

NIS：NIS是unix领域中最为古老的目录服务(Directory Service)机制，与LDAP相比，NIS较为单纯易用，但存储于NIS上的域帐号的字段固定，安全性较差，又只能 *** 作"单一层"域的架构。

LDAP：LDAP是一个用来发布目录信息到许多不同资源的协议。通常它都作为一个集中的地址本使用，不过根据组织者的需要，它可以做得更加强大,简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。

Hesiod服务

因为你登陆系统提交的用户名和密码是在域空上做认证的，当你网络不正常时，无法联系到域控制器，也就不能认证了！很正常嘛，就象你玩网络游戏，服务器没开，或者你没连接到网络，你也不可能登陆游戏嘛！一个道理，所以找找你们网络管理员

域用户都是存储在服务器上的，并非存储在你的电脑里面，因此你不可能删掉登陆的账号，可能是你自己退出了域环境，进入了本地模式。本地模式用本地账户登陆。你如果退出了域环境，如果还想加入域，则需要重新输入域管理员的用户名和密码，而这个你不可能得到。如果你并没有退出域环境，而仅仅用本地用户登陆，则可能你改动了IP地址和DNS地址，这对你是否能加入或者登陆域环境很重要。你先看看你做了哪些 *** 作吧。

---