律师事务所手机网站,做文案策划需要用到的网站,知彼网络网站建设,南京培训网站建设经过几年的网络管理工作#xff0c;总结了一些关于AD的排错经验现在拿出来同大家分享#xff0c;其中一些说明抄了微软的KB在这里说明一下#xff0c;排错笔记有些地方可能写的不是很全#xff0c;看不明白的地方大家可以GOOGLE一下#xff0c;不对的地方也请大家提出 活… 经过几年的网络管理工作总结了一些关于AD的排错经验现在拿出来同大家分享其中一些说明抄了微软的KB在这里说明一下排错笔记有些地方可能写的不是很全看不明白的地方大家可以GOOGLE一下不对的地方也请大家提出 活动目录故障排除 一 在活动目录出现问题是大家首先获得活动目录的日志 1. 改注册表获得获得更为详细目录日志 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics 取值范围0-3 注意调整目录服务日志大小以便存放所产生日志 记录的日志在日志目录中查看 使用方法 Dcidiag /v /c /e /v 详细日志 /c 开启更详细的日志 /e 查看整个森林的日志 2. 现场快速排除使用命令 DCDIAG: 1. 分析域控制器状态 2. 针对域控制器特定功能执行测试 3 NETDOM: 1. 管理和检查信任关系 2.确认数据库复制是否正常 使用方法 NETDOM query ? NETDOM query dc (查询那些机器装有域控制器) NETDOM quey fsmo (查看操作主机的角色) 4. NETDIAG 1.进行网络功能诊断可以帮助分析DNS等故障 使用方法 NETDIAG /V /DEBUG gt;C:\ENTDIAG.TXT /V 显示详细的日志 /DEBUG 显示更加详细的日志 二 DNS配置故障 DNS服务器在active directory中除了提供名称格式的支持服务一般的名称到IP的查询外最重要的作用是记录域控制器与全局变了服务器的相关信息并向客户端提供这些重要信息 域控制器会在DNS服务器上注册注册的记录不仅包括主机记录A记录而且包括相应的服务记录SRV记录类似于 _ldap._tcp.dc_msdcs.xyz.com.600 INsrv 0 100 389 dcserver1.xyz.com 上面这条记录代表xyz.com域的域控制器是dcserver1.xyz.com; 客户端需要查询这些记录才能找到域控制器并完成用户登陆active directoey 查询等工作 Active directory 的正常工作依赖于DNS服务的正确配置和正常工作 _msdcs区域中包含所有域控制器的服务记录SRV Active directory 森林的根域中的_msdcs区域中还额外包含森林中所有的全局编录服务器的记录 _msdcs区域的作用是为了定位域控制器和全局编录服务器如果该区域不存在或记录不正确active directory会出现故障 验证DNS的的完整性 使用NSLOOKUP来验证DNS记录是否完整 如果DNS记录缺失可以通过一下方法来进行修复 1. 重新启动NET logon服务 2. 使用nltest.exe /dsregdns 这个工具来自于support tools中 DNS配置要求允许动态更新区域名称和域名相一致dns服务器本身需要配置dns域名后缀等 小窍门如果计算机在启动过程中常时间停留在正在准备网络这里那么90%的情况下是DNS出现了问题2.如果在排除时使用NSLOOKUP进行dns检查是出现电信或网通的DNS地址那么可以确定你的DNS配置一定有问题前提是在域控制器上使用NSLOOKUP,命令 Net stop netlogon net start netlogon (停止并重启netlogon*在计算机重启的过程中netlogon服务同样会重启如果在重启数次还没有修复_msdcs那么就需要重建DNS了 *如果在删除DNS的过程中出现无法删除DNS的情况你可以稍等一会因为此时可能多台域控制器正在复制信息如果就一台域控制器而且出现了这种情况那就需要查看日志了 *建立DNS时建议最好将_msdcs这一项单独创建一个主要区域创建完成后还要进行委派目的是告诉森林中的其它域控制器全局编录是在我这的单独创建_msdcs的前提是DNS是和域控制器安装在同一台服务器上的注意一点是在使用向导时进行到“选择如何复制区域数据时选择第一项至active directory林xx中的所有DNS服务器”至于为什么选这一项可以查询微软KB这里就不详细介绍了。补充如果DNS是在创建域控制器时集成的就不需要单独创建_msdcs 活动目录复制篇 活动目录数据复制检测工具 1. 图形工具 a. Active Directory Replication Monitor (启动命令是replmon) 检查活动目录的复制 图形化显示复制拓扑 强制复制 2. 命令行工具 a. dsastat –s:xx;xx (xx代表你的DC名字s后面是xx是 )此命令代表比对两台服务器的状态是否相同,只看结果的最后是不是pass即可 b. REPADMIN 诊断域控制器间复制故障 确认复制伙伴 确认活动目录对象复制来源 强制复制 * 小常识 SYSVOL共享文件夹 a. NETLOGON共享低版本客户端的登陆脚本和系统策略 b. SYSVOL共享 为windows2000及以后客户端提供组策略 命令行排错工具-NTFRSUTL a. 检查文件复制服务状态 b. 检查复制日程安排 c. 强制轮询 d. 检查复制集 复制问题导致的故障 a. 拒绝访问 b. 由于存在DNS查找故障DSA操作无法继续 c. 操作被排队或者没有显示任何复制连接 d. 复制访问被拒绝或者正在删除名称上下文 e. 站点之间存在重复的连接对象 f. 多个域控制器中所应用的组策略不一致 g. 目录服务因太忙而无法完成操作 两个站点间的立即复制操作 Active directory 站点和服务—gt;域名test?servers?NTDS Setting—gt;点击右边方框中的自动生成--?右键立即复制即可域服务器的复制大概5分钟同步根据站点间的距离的不同复制的时间也相应的不同 a. 如果在复制时报错那么就需要调用Active Directory Replication Monitor这个工具了replmon.exe*补充一句如果在点击立即复制没有报错那么至少可以保证你的复制是正常的如果出现报错那么就需要a中提到的这个工具了 用replmon这个工具可以用图形的方式显示出所有站点的拓扑图而且可以确认操作主机的功能是否正常 b. 第二个重要的工具是命令行工具dsastat.exe检查目录服务的状态 Dsastat -s|test1:test2 gt;c:\dsastat.txt(比对test1和test2这台服务器的活动目录服务数据状态是否一致)*补充如果比对出问题有些是可以解决的而有些是无法解决据我知道的大部分是无法解决的哈哈没办法如果出现这样的问题那就找个板凳拿卷纸找格墙角哭去吧 三 操作主机问题 1.fsmo角色的转移 A 图形化接口工具 B NTDSUTIL工具 这两格工具的使用在这里就不详细介绍了因为在我们bbs.winos.cn论坛中都有详细的说明如果想学习那就辛苦点搜索一下 什么是fsmo http://bbs.winos.cn/viewthread.php?tid55443highlightfsmo Fsmo的转移 http://bbs.winos.cn/viewthread.php?tid7195highlightfsmo 基于命令行的转移 Fsmo的转移 http://bbs.winos.cn/viewthread.php?tid1527 基于图形化的转移 四 活动目录发生故障的层面 网络层包括网络的连通性可用性比如丢包问题具微软工程师说大功率的设备天花板走线因为天花板中有强电电路所有有时造成干扰 活动目录的支撑服务:如tcp/ip DNS WINS 活动目录的复制问题 关掉了一些服务所导致 比较常见的一些错误案例 1. 在日志中出现 这个机器是目录林根域的PDC。请用net命令 net time /setsntp配置尾部时间源同步 出现这个错误我们可以在命令提示符下运行:net time /setsntp:时间服务器(时间服务器有time,windows.com /time.nist.gov等) 需要注意的是有时防火墙关闭了udp123端口造成pdc不能和外部时间服务器同步。在说明一点域服务器间时间差不能超过5分钟客户机和服务器不能超过30分钟这是默认设置的你自己也可以调整。当然时间错误还有很多其它原因比如时区选择错误等 2. 第二个有意的案例是某客户报告客户端计算机启动缓慢在出现”正在准备网络连接”提示时会有长时间的停留这个问题我们一般会认为是DNS的问题经检查DNS配置正确通过细致检查发现这个管理源在设置DNS时只使用了XXX而不是xxx.com或xxx.n et的域名造成了DNS不注册的现象(不知这里我的说明大家看明白了没有)所以造成客户端无法找到域控制器 微软的广播也有一个关于活动目录排错的所以大家可以结合微软的广播来看上面的笔记案例是微软的案例我只是手工录入到了我的笔记中微软广播下载地址http://download.microsoft.com/do ... fc/msft081804vx.zip 转载于:https://blog.51cto.com/lzy821218/498941
