Active Directory 故障排除經驗談

首選要安裝windows server 2003安裝光盤裏面的SUPPORT\TOOLS文件夾裏面的SUPTOOLS.MSI 安裝完成以後經過開始--程序--Windows Support Tools--按Command Prompt 用netdiag工具進行網絡診斷在使用這個工具的時候一般加一個v參數開啓詳細輸出的模式若是你以爲這個模式輸出的信息還不夠詳細的話我建議你加debug參數我在Command Prompt裏面輸入netdiag /debug >netdiag080408.txt按回車鍵 080408是表示診斷的時間在Command Prompt裏面輸入notepad netdiag080408.txt 按回車鍵表示用記事原本打開剛纔生成的文件一般經過netdiag分析以後會發現5%的故障是因爲用戶的輸入錯誤地配置網絡所形成的

經過使用netdom命令進行網絡測試 netdom命令主要的做用是對客戶端加入域以及信任關係的管理在Command Prompt裏面輸入netdom query按回車鍵能夠看到域裏面的工做站服務器域控制器 OU(組織單元) 主域控制器角色操做主機還有信任關係的查詢這是最快捷的方法好比我但願知道在這個域裏面有那幾臺計算機是域控制器就輸入netdom query dc 按回車鍵後就能夠看到當前London和Florence這兩二臺計算機是域控制器

在Command Prompt裏面輸入netdom query fsmo按回車鍵來查看操做主機角色能夠看到5種操做主機角色所有位於London這臺計算機上同時看到域名叫作yejunsheng.com 使用dcdiag這個命令可以很是全面地測試若是你不加任何參數它測試的是當前你所在的這臺計算機若是當前這臺計算機已是域控制器我建議你加/v參數做一個詳略地測試大概1/3的測試默認是不開起的你能夠經過加/c參數開起全部的測試若是你關注的不僅是這一臺域控制器還想測試全部站點或者整個企業裏面全部的域控制器的話你還能夠加/a參數或者加/e參數這個是測試整個企業範圍內也就是測試整個活動目錄森林內全部域控制器的診斷分析我在Command Prompt裏面輸入dcdiag /v /c >dcdiag080408.txt按回車鍵把它轉存而後輸入notepad dcdiag080408.txt按回車鍵用記事原本打開剛纔生成的文件

經過開始--程序--管理工具--按DNS 展開正向查找區域能夠看到_msdcs.yejunsheng.com這個區域被做爲一個單獨的區域建立也許你在安裝域控制器以前 DNS服務已經作過配置了或者某種緣由不指望由活動目錄的安裝嚮導來幫你安裝DNS服務器你要作的一件事情就是事先必定要正確地建立相關的DNS記錄

我如今來模擬一下故障我把那些區域的記錄都刪除掉或者說你安裝完成域控制器後根本都沒有這些記錄這都是可能的形成DNS沒有正常註冊的緣由是由於你沒有正確地配置這個配置指的是兩面方面第一個是在域控制器上在它的TCP/IP地址的DNS服務器地址裏面沒有正確地填寫第二個指的是你的DNS服務器自己有一些小問題好比如今咱們已經把一些必需存在的區域刪除掉了那麼這是一個沒有正確配置的DNS服務器爲了診斷這個問題就用nslookup這個工具在命令提示符下輸入nslookup按回車鍵若是你看到它的Default Server(默認服務器)不是活動目錄的DNS服務器 (如今個人活動目錄的DNS服務器的名稱是London.yejunsheng.com) 而是指向某某電信或者是互聯網的DNS服務器那麼這個域控制器必定會有問題由於很明顯不管在域內其餘服務器的定位好比要尋找複製夥伴或者說是進行某些記錄的交流必定要找DNS 實際上若是你的管理員有報告說計算機啓動的時候特別慢不管是域控制器工做站成員服務器長時間會卡正在準備網絡鏈接這個階段 90%都是DNS出了問題我在命令提示符下輸入_ldap.tcp.msdcs.yejunsheng.com按回車鍵你能夠看到我進行這樣的查詢是爲了找到yejunsheng.com這個域下面的相應的ldap服務器也就是域控制器它告訴我這個域控制器的記錄沒有找到這種狀況下客戶端經過DNS確定是找不到域控制器了

在命令提示符裏面輸入net stop netlogon & net start netlogon按回車鍵來從新啓動netlogon服務在從新啓動netlogon服務的過程當中用戶是沒有辦法正常地去登陸請求的除非你有多臺域控制器而後在DNS裏面按刷新按鈕來刷新一下區域或者按F5鍵來刷新區域你能夠看到我剛纔刪除的那些記錄又被修復回來了這是一種方法當記錄丟失的時候能夠經過從新啓動netlogon服務可是netlogon服務實際上在域控制器每次關機再重啓的過程當中也會被重啓若是你已經通過數次關機重啓記錄仍是缺失那問題不是那麼簡單就能夠解決了你要檢查一下是否是你的區域建立有問題好比說根本沒有任何區域

當你的區域刪除掉後你從新啓動netlogon服務是不會幫你建立區域的對着正向查找區域右鍵--選擇新建區域接着下一步能夠看到裏面有三個選項因爲它如今已是一臺域控制器了那麼你能夠設置爲主要區域而且做活動目錄集成也就是保存在活動目錄當中我建議你若是你的DNS服務器跟域控制器在同一臺計算機上那麼就把在Active Directory中存儲區(只有DNS服務器是域控制器時纔可用)溝上活動目錄集成的區域是比較好的選擇由於它更加安全並且在複製管理上是自動進行的接着下一步

按照默認的選項吧(至Active Directory 域 yejunsheng.com 中的全部域控制器接着下一步注意:在區域名稱裏面必定要輸入和你的活動目錄的域名徹底一致才行接着下一步

注意:這一項必定要選擇容許動態更新若是你選擇活動目錄集成的你就能夠選擇安全的動態更新若是你選擇的是非活動目錄集成的你必需選擇容許非安全和安全動態更新這一些安全性會差一些接着下一步按完成就ok了

能夠對msdcs區域做爲獨立區域建立我如今對着msdcs右鍵--選擇刪除你會看到沒法刪除DNS域這是因爲可能我剛纔在刪除區域記錄的時候兩臺域控制器之間複製尚未同步所形成的你等一段時間後就能夠刪除掉了緣由就在有多臺域控制器並且多臺域控制器上的數據不一致所所形成的刪除掉msdcs這一項很重要特別是有多域環境的時候一個活動目錄的森林裏面有一個以上的域那麼你必定要作的一件事情就是把msdcs這個區域做爲一個獨立的區域來建立

首選對着正向查找區域右鍵--選擇新建區域--接着下一步--選擇主要區域--接着下一步選擇複製的時候你要選擇至 Active Directory 林 yejunsheng.com 中的全部DNS服務器因爲活動目錄的森林是用根域的域名來命名的因此說咱們如今能夠看到這個活動目錄森林yejunsheng.com它並非指yejunsheng.com這個域而是指的整個森林中全部的DNS服務器固然這個DNS服務器自己必需是安裝在域控制器上才行接着下一步區域名稱叫輸入_msdcsyejunsheng.com吧接着下一步注意:必須要容許動態更新接着下一步按完成就ok了爲何要把它分開建立呢？由於在msdcs裏面除了找到域控制器外還能夠找到全局編錄服務器若是說你沒有把它做爲獨立的區域建立而且複製到森林其餘的域裏面那麼其餘域裏面的DNS記錄多是不包含這些記錄的換句話說可能可以找到本域的域控制器可是沒有辦法找到森林的全局編錄服務器因此說這個很重要

當把msdcs做爲獨立區域建立以後還須要作的一件事就是新建委派對着域名(yejunsheng.com)右鍵--選擇新建委派接着下一步委派的域名就輸入_msdcs 實際上你是但願告訴其餘的查詢者 _msdcs是由誰來負責的接着下一步按添加由於我這臺域控制器的FQDN名稱是london.yejunsheng.com 因此我就在服務器徹底合格的域名裏面輸入london.yejunsheng.com 由於這臺域控制器的IP地址爲192.168.1.2 因此我在IP地址裏面輸入192.168.1.2按添加按肯定接着下一步按完成就ok了

我如今把_msdcs.yejunsheng.com這個區域裏面的那些項全都刪除掉而後在命令提示符裏面輸入nltest.exe /dsregdns按回車鍵你再到DNS服務器裏面按一下F5鍵就能夠看到剛纔在_msdcs.yejunsheng.com這個區域裏面的那些項了這個命令要比netlogon服務來得快並且最主要的是它不會對用戶形成影響

經過開始--程序--管理工具--按Active Directory 站點和服務在站點內系統會自動生成域控制器之間的複製拓樸結構一般狀況下會造成一個環形的結構也就是說在域控制器之間會有一個複製通道生成你能夠按NTDS Settings 而後在裏面對着計算機右鍵--選擇當即複製副本好比我如今對着FLORENCE這臺計算機右鍵--選擇當即複製副本看到了嗎？Active Directory 已複製了鏈接這就是一個強制地複製了

經過開始--運行--輸入replmon按肯定來打開Active Directory Replication Monitor 對着Monitored Servers右鍵--按Add Monitored Server

這一步就選擇第二項(Search the directory for the server to add) 接着按Next

因爲我有三臺域控制器我現把三臺都添加在裏面每添加一臺按Finish就能夠了

經過查看圖標LONDON那臺域控制器有一個藍色小的地球在右上角代表它是一臺全局編錄服務器首選要對每臺域控制器右鍵--選擇Check Replication Topology 表示檢查拓樸結構和生成的過程在作這個操做以前是由於域控制器之間有一些複製通道沒有創建起來作這個操做就是強制地創建而且完成複製通道

這個時候就對着LONDON這臺全局編錄服務器右鍵--選擇Show Replication Topologies(顯示覆制拓樸結構)

這個時候按View--再按Connections Objects Only後就能夠看到那三臺域控制器了

若是你想看站點內的鏈接是怎麼樣的就對着每一臺域控制器右鍵--選擇Show Intra-Site Connections就ok了如今能夠看到幾條鏈接線了代表經過這幾條鏈接線這三臺域控制器之間會有一個複製的鏈接當你有多臺域控制器的時候這個拓樸結構圖很是重要你能夠根據這個拓樸結構圖發現一些問題好比如今有三臺域控制器爲何第一臺到第三臺就很慢可是從第一臺到第二臺就很快若是你有多個站點的話它也能夠顯示出來在站點和站點之間究竟是那些域控制器在作這樣操做

對着域控制器右鍵--選擇Properties能夠看到域控制器的屬性來查看一些內容好比能夠看到鏈接這三臺域控制器的複製鏈接

若是說在站點和服務當中當即複製失敗你能夠把複製的內容縮小到某一部份數據分區的數據上來展開LONDON--DC=yejunsheng.dc=com 對着shanghai \FLORENCE右鍵--選擇第一項(Synchronize with this Replication Partner)就ok了完成以後你能夠把它生成報告或者顯示其餘信息

在命令提示符裏面輸入dsastat -s;London;Florence按回車鍵來比對這兩臺域控制器的活動目錄數據庫的狀態是否是同樣的

經過開始--運行輸入%systemroot%\system32\config按肯定找到netlogon.dns這個文件而後用記事原本打開它你能夠看到裏面的內容這些就是它應該寫到DNS裏面的記錄若是你刷新了重啓netlogon服務尚未完整的話你能夠把這些記錄複製到相應的DNS區域文件裏面

我如今把netlogon.dns這個文件裏面的內容所有選定而後右鍵--選擇複製

對着域名(yejunsheng.com)右鍵--選擇屬性--按更改--把在Active Directory 中存儲區域的溝去掉變成主要區域不能放在活動目錄裏面由於放在活動目錄裏面咱們就沒有辦法去粘貼進去了按肯定就能夠了

經過開始--運行--輸入%systemroot%\system32按肯定找到yejunsheng.com.dns這個文件而後用記事本打開它對着裏面右鍵--選擇粘貼把剛纔複製的內容所有粘貼到裏面就ok了在作這個操做的時候我建議你最好要先把DNS服務器中止掉而後再來作粘貼完成以後再重啓DNS服務這樣的話域控制器的記錄確定就已經完整添加在裏面了

當你安裝gpmc.msi這個軟件後你能夠經過開始--運行--輸入gpmc.msc按肯定對着組策略結果右鍵--選擇組策略結果嚮導我就選擇這臺計算機吧接着下一步

這一步就選擇當前用戶(YEJUNSHENG\Administrator)吧接着下一步按完成就ok了

經過組策略結果能夠知道全部的內容它會把全部影響這臺計算機以及影響這個用戶的策略對象作一個結合最後給出的是一個比較完整的結果經過這個報告你能夠看到有多少個策略影響到用戶影響到計算機以及最終做用的結果是什麼特別是有些策略是相互衝突的時候你能夠查到裏面相互衝突的內容

經過開始--運行--輸入regedit按肯定來打開註冊表編輯器在左下角的那個路徑下找到ProductOptions這個文件雙擊打開ProductType這個子鍵當前這個數值是LanmanNT代表它是一臺域控制器若是你想把域控制器的功能中止掉的話就把數值數據改爲ServerNT 按肯定就ok了注意:S要大寫 NT也要大寫若是不正確輸入的話這個修改是不生效的

打開服務而後雙擊Intersite Messaging(站點間消息) 這個服務只是在域控制器上是有效的若是你經過修改註冊表的方法來刪除域功能的話這個服務不會自動中止掉的你只要把啓動類型改爲禁用就ok了按肯定

我如今來到全局編錄服務器這邊把FLORENCE這臺計算機刪除掉對着FLORENCE右鍵--選擇刪除--選擇最下面那一項按刪除就ok了

經過開始--運行--輸入cmd按肯定來打開命令提示符在命令提示符裏面輸入cd \按回車鍵--輸入ntdsutil按回車鍵--輸入Metadata Cleanup按回車鍵--輸入Conn按回車鍵--輸入Conn to ser London.yejunsheng.com按回車鍵(鏈接到要保留的那臺域控制器)--輸入sel ope tar按回車鍵--輸入list site按回車鍵--輸入sel site 0按回車鍵--輸入list do in site按回車鍵--輸入sel do 0按回車鍵--輸入list ser in site按回車鍵--輸入sele ser 1按回車鍵--輸入quit按回車鍵--輸入remove sel server按回車鍵此時它會彈出服務器刪除確認對話框你按是就ok了按是以後徹底計算機名稱叫作Florence.yejunsheng.com這臺域控制器就被徹底刪除了