《AD常见故障排错》由会员分享,可在线阅读,更多相关《AD常见故障排错(6页珍藏版)》请在金锄头文库上搜索。
1、主讲人:技术顾问&MCT广州 魏强 听课时间:2004-12-18讲座时间:1:55第一部分:常见AD排错工具:1、enable ndsi diagnostics log: hklmsystemcurrentcontrolsetservicesntdsdiagnostics 取值范围: 0-3可在事件查看器目录服务中查看,3 为上限,日志量相当大,应注意调整日志文件大小。2、dcdiagdcdiag N (详细输出)/c(开启所有项的测试)/a (对站点内所有DC进行测试)3、netdom对客户机加入域及信任关系管理Example:netdom query dcnetdom query fsm
2、o 5%-10%的错误是由于对网络结构的错误认识。4、netdiagExample:netdiag /debug netdiag0412佃txt (加 debug 参数为最详细记录) notepad netdiag0411218.txt5%错误是由网络配置造成的第二部分: AD 维护中三种常见故障:一、DNS配置相关故障1、综述:AD中DNS起到路标和指示灯的作用,至少50%的AD故障源于DNSDNS中最重要的是SRV纪录而不是A纪录,通常SRV纪录对应有一个A纪录SRV Record example: _ldap._tcp,dc._.600 IN srv 0 10 0 389 用户登录域时通
3、过dns服务器找寻de的,_msdcs区域中包含所有de的服务纪录,作用就是为 了定位域控制器和全局编目服务器, win2k 中若有多个域则只有根域中有该区域,子域中没有。2、几个验证和修复工具d)使用nslookup来记录dns记录是否完整( 2)若 dns 记录缺失,可通过:a:重新启动Net Logon服务b:使用 nltest.exe /seregdns (安装 support tools 工具后才会有)注意dns配置要求:允许动态更新,区域名称和AD域名相一致,dns服务器本身需要配置dns域 名后缀3、实例演示:验证和修复 dns 故障2003 中_msdcs区域作为独立一个区域存
4、在,若出现机器登录域非常慢,90%是dns出了问题。( 1 )若出现记录缺失情况:stop netlogon & start netlogon 重新启动该服务,其实每次关机重启时均会重新启动该服 务。( 2)若无任何记录区域则新建记录区域,若操作过程中出现无法删除和拒绝提示时,贝何能是因为多台DC之间状态没有同步, 只需稍等片刻即可。多域环境中,_msdcs区域必须分开创建,否则只能找到本域的dc,而找不到森林中其它域的gc服 务器( 3)修复工具nltest.exe /dzregdns特点:速度快且不会对用户有影响从安全角度考虑,最好将 dns 配置成活动目录集成区域,2003 中新添条件转
5、发特性。二、关于DC之间的复制故障nt4单向复制,pDC-BDC,存在很多弊端。DC 之间复制的内容:c1)目录服务复制:主要是数据库的复制(AD对象,包括用户,计算机等)(2)文件复制服务(FRS)sysvo1文件夹,包括组策略实体。2、排错工具(1)AD replication monitor 图形工具a检査ad复制b图形化显示复制拓扑c强制复制(2)命令行工具 repadmina诊断dc间复制故障b确认复制伙伴c确认活动目录对象复制来源d强制复制dc 之间的文件复制服务dc之间复制sysvol共享文件夹( 1 ) netlogon 共享:低版本客户端的登录脚本和系统策略(2)sysvo1
6、共享:为win2k及以后客户端提供组策略,导致组策略分发不成功命令行排错工具: ntfsutil3、通常复制故障:(1)拒绝访问:时钟不同步,网络故障(2)dns査找故障,dsa操作无法继续( 3)操作被排队或没有显示任何复制链接( 4)复制访问被拒绝或正在删除名称上下文( 5)站点之间存在重复的连接对象( 6)多个域控中所应用的组策略不一致( 7)目录服务因太忙而无法完成操作其中3-7 项建议等待一段时间一般会自动解决4、实例演示:使用工具诊断复制故障( 1) AD 中通常会自动生成环形复制拓扑结构,域服务器之间的复制间隔为 5 分钟, 3 台 DC 之间的 同步大概需要为15分钟左右(基于
7、100M以太网),使用站点和服务来操作。( 2)若无法复制成功,可利用复制监视器工具来控制复制。强制生成复制拓扑结构和显示复制拓扑结构,拓扑结构图中可以查看操作主机角色是否正常工作;察看复制对象的USNWpdate serial number);察看复制过程中的一些错误( 3) dsastat三、Operation Master Roles(fsmo)1 、何时需要转移操作主机角色?2、决定操作主机角色拥有者:图形化接口工具和 ntdsutil3、移转方式:transfer(在线移转)和seize(强制转移)4、移转工具:图形化接口工具(AD用户和计算机、AD域和信任关系、AD架构)5、命令行
8、方式下转移 FSMO 角色:ntdsutil.exerolesconnectionsconnect to server servernamequitseize pdcrid masterinfrastructure masterschema masterdomain naming mastertransferquit尽可能使用transfer而不是seize,当中的sewername是即将成为操作主机角色的服务器,图形方式下,需要先连接其他的域控制器后才可以更改操作主机角色第三部分:Troubleshooting Case Study1 AD的问题一般分四个层面:网络问题、活动目录的支撑服务(
9、dnsMins/etC)、活动目录的复 制问题、域控制器的个体原因。2、典型案例:case(1):时间源同步问题Case(2):问题背景:用户登录或访问服务器,经常出现由于时间差异,访问拒绝的提示问题解决:与kerveros协议有关,用来代替原先的ntlm协议,所有的计算机(包括client和server,os 为win2k及以上),会自动将根域的PDC模拟器作为时间服务器,W32Time服务按照一定的周 期进行时钟校正:从计算机启动开始,尝试以 45 分钟作为间隔,联系时钟服务器,进行时钟同步;如果 同步成功,以 8 小时为间隔,进行同步验证;如果同步失败,开始尝试进行时钟同步。为了保证时间
10、服务 器正常工作,在根域的PDC模拟器上建议设置外部时间源,指向INTERNET上的时间服务器,在 其他计算机上保证Windows Time服务正常启动。具体要求:de之间时间相差不能超过5分钟,client与de之间相差不能超过30分钟问题根源: kerberos 协议要求计算机时钟同步经过分析,发现客户端计算机启动某个应用程序,会在 启动时与服务器(一台unix计算机)进行时钟校准,而该服务器时钟与DC始终存在约45分钟的差 异,将域控制器时钟与服务器同步,并建议设定同一时间源。CASE(3)问题描述:某客户报告,客户端计算机启动缓慢,在出现正在准备网络连接提示时,会有长时间停留, 经过检
11、查发现,客户端计算机虽然已经正确配置了 DNS 服务器地址,但在同时作为域控制器的 DNS 服务器上,发现没有相应的记录,客户使用了 SOMEDOMA|N形式的域名。问题原因:Win2k sp4/winxp/2003不在顶级域下注册dns记录解决方法:修改注册表和使用组策略(客户端本地计算机策略/管理模版/网络/DNS客户端),在客户现 场,临时使用了手动加载netlogon-dns文件的方法(应该注册的dns记录)%systemroot%/system32/config/netlogon dns(应该写到 dns 服务器内的记录),将 记录复制到 dns 服务器数据库中,应先将集成的 dns
12、 区域改成主区域,然后到 dns 数据库记录文件 进行粘贴,然后再修改为AD集成的DNS区域(存在多个域时工作量大)CASE(4)通过修改注册表强行卸载de:键值位置: hklm/system/controlsset/control/productoptions/ProductType La nmanNt修改为/ServerNT,重启机器此时然后便可以卸载dc 了,原理为启动时会检査该键值, 如果为ServerNT,便不启动dc所需的相应服务,但也有些副作用,如intersitemesseging 服务会报错,应为它仍然会启动,而它相关联的服务均已停止故出现报错信息,此时应该将该服务设为手 动或禁用,强行卸载完DC后,应该在保留的DC上利用NTDSUT|L工具中的metadata c|e anup 将无用的信息清除掉
