經過幾年的網絡管理工作，總結了一些關于AD的排錯經驗現在拿出來同大家分享，其中一些說明抄了微軟的KB在這里說明一下，排錯筆記有些地方可能寫的不是很全，看不明白的地方大家可以GOOGLE一下，不對的地方也請大家提出
活動目錄故障排除
一．? 在活動目錄出現問題是大家首先獲得活動目錄的日志，
1.? 改注冊表獲得獲得更為詳細目錄日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
取值范圍：0-3
注意調整目錄服務日志大小，以便存放所產生日志
記錄的日志在日志目錄中查看
使用方法：
Dcidiag /v? /c? /e
/v 詳細日志
/c 開啟更詳細的日志
/e 查看整個森林的日志
2.? 現場快速排除使用命令：
DCDIAG:
1.? 分析域控制器狀態
2.? 針對域控制器特定功能執行測試
3． NETDOM:
1. 管理和檢查信任關系
2.確認數據庫復制是否正常
使用方法：
NETDOM query ?
NETDOM query dc (查詢那些機器裝有域控制器)
NETDOM quey fsmo (查看操作主機的角色)
4.? NETDIAG
1.進行網絡功能診斷，可以幫助分析DNS等故障
使用方法
NETDIAG /V? /DEBUG? >C:\ENTDIAG.TXT
/V? 顯示詳細的日志
/DEBUG? 顯示更加詳細的日志
二．? DNS配置故障
DNS服務器在active directory中，除了提供名稱格式的支持服務，一般的名稱到IP的查詢外，最重要的作用是記錄域控制器與全局變了服務器的相關信息，并向客戶端提供這些重要信息；
域控制器會在DNS服務器上注冊，注冊的記錄不僅包括主機記錄（A記錄），而且包括相應的服務記錄（SRV記錄），類似于：
_ldap._tcp.dc_msdcs.xyz.com.600 INsrv 0 100 389 dcserver1.xyz.com
上面這條記錄代表xyz.com域的域控制器是dcserver1.xyz.com;
客戶端需要查詢這些記錄，才能找到域控制器，并完成用戶登陸，active directoey 查詢等工作
Active directory 的正常工作，依賴于DNS服務的正確配置和正常工作
_msdcs區域中包含所有域控制器的服務記錄（SRV）
Active directory 森林的根域中的_msdcs區域中還額外包含森林中所有的全局編錄服務器的記錄
_msdcs區域的作用是為了定位域控制器和全局編錄服務器，如果該區域不存在或記錄不正確，active directory會出現故障
驗證DNS的的完整性
使用NSLOOKUP來驗證DNS記錄是否完整
如果DNS記錄缺失，可以通過一下方法來進行修復：
1.? 重新啟動NET logon服務
2.? 使用nltest.exe /dsregdns （這個工具來自于support tools中）
DNS配置要求：允許動態更新，區域名稱和域名相一致，dns服務器本身需要配置dns域名后綴等
小竅門：如果計算機在啟動過程中常時間停留在正在準備網絡這里，那么90%的情況下是DNS出現了問題，2.如果在排除時使用NSLOOKUP進行dns檢查是出現電信或網通的DNS地址，那么可以確定你的DNS配置一定有問題，前提是在域控制器上使用NSLOOKUP,命令：
Net stop netlogon & net start netlogon (停止并重啟netlogon*在計算機重啟的過程中netlogon服務同樣會重啟，如果在重啟數次還沒有修復_msdcs那么就需要重建DNS了，
*如果在刪除DNS的過程中出現無法刪除DNS的情況，你可以稍等一會，因為此時可能多臺域控制器正在復制信息，如果就一臺域控制器而且出現了這種情況，那就需要查看日志了
*建立DNS時建議最好將_msdcs這一項單獨創建一個主要區域，創建完成后還要進行委派（目的是告訴森林中的其它域控制器全局編錄是在我這的），單獨創建_msdcs的前提是DNS是和域控制器安裝在同一臺服務器上的，注意一點是在使用向導時進行到“選擇如何復制區域數據時選擇第一項（至active directory林xx中的所有DNS服務器），”至于為什么選這一項可以查詢微軟KB這里就不詳細介紹了。補充：如果DNS是在創建域控制器時集成的就不需要單獨創建_msdcs
活動目錄復制篇：
活動目錄數據復制檢測工具
1.? 圖形工具
a.? Active Directory Replication Monitor (啟動命令是replmon)
檢查活動目錄的復制
圖形化顯示復制拓撲
強制復制
2.? 命令行工具
a.? dsastat –s:xx;xx (xx代表你的DC名字s后面是：xx是； )此命令代表比對兩臺服務器的狀態是否相同,只看結果的最后是不是pass即可
b.? REPADMIN
診斷域控制器間復制故障
確認復制伙伴
確認活動目錄對象復制來源
強制復制
* 小常識：
SYSVOL共享文件夾
a.? NETLOGON共享：低版本客戶端的登陸腳本和系統策略
b.? SYSVOL共享? ：為windows2000及以后客戶端提供組策略
命令行排錯工具-NTFRSUTL
a.? 檢查文件復制服務狀態
b.? 檢查復制日程安排
c.? 強制輪詢
d.? 檢查復制集
復制問題導致的故障：
a.? 拒絕訪問
b.? 由于存在DNS查找故障，DSA操作無法繼續
c.? 操作被排隊或者沒有顯示任何復制連接
d.? 復制訪問被拒絕或者正在刪除名稱上下文
e.? 站點之間存在重復的連接對象
f.? 多個域控制器中所應用的組策略不一致
g.? 目錄服務因太忙而無法完成操作
兩個站點間的立即復制操作：
Active directory 站點和服務—>域名（test）?servers?NTDS Setting—>點擊右邊方框中的；自動生成；--?右鍵立即復制即可（域服務器的復制大概5分鐘同步，根據站點間的距離的不同復制的時間也相應的不同）
a.? 如果在復制時報錯那么就需要調用Active Directory Replication Monitor這個工具了（replmon.exe）*補充一句：如果在點擊立即復制沒有報錯那么至少可以保證你的復制是正常的，如果出現報錯那么就需要a中提到的這個工具了
用replmon這個工具可以用圖形的方式顯示出所有站點的拓撲圖，而且可以確認操作主機的功能是否正常
b.? 第二個重要的工具是命令行工具dsastat.exe檢查目錄服務的狀態
Dsastat? -s|test1:test2 >c:\dsastat.txt(比對test1和test2這臺服務器的活動目錄服務數據狀態是否一致)*補充：如果比對出問題，有些是可以解決的而有些是無法解決，據我知道的大部分是無法解決的，哈哈沒辦法，如果出現這樣的問題那就找個板凳拿卷紙找格墻角哭去吧
三．? 操作主機問題
1.fsmo角色的轉移
A 圖形化接口工具
B? NTDSUTIL工具
這兩格工具的使用在這里就不詳細介紹了，因為在我們bbs.winos.cn論壇中都有詳細的說明，如果想學習那就辛苦點搜索一下
什么是fsmo http://bbs.winos.cn/viewthread.php?tid=55443&highlight=fsmo
Fsmo的轉移 http://bbs.winos.cn/viewthread.php?tid=7195&highlight=fsmo （基于命令行的轉移）
Fsmo的轉移 http://bbs.winos.cn/viewthread.php?tid=1527 （基于圖形化的轉移）
四．? 活動目錄發生故障的層面
網絡層：包括網絡的連通性，可用性（比如丟包問題，具微軟工程師說大功率的設備，天花板走線，因為天花板中有強電電路所有有時造成干擾）
活動目錄的支撐服務:如tcp/ip? DNS? WINS
活動目錄的復制問題：
關掉了一些服務所導致：
比較常見的一些錯誤案例
1.? 在日志中出現 這個機器是目錄林根域的PDC。請用net命令 net time /setsntp，配置尾部時間源同步
出現這個錯誤我們可以在命令提示符下，運行:net time /setsntp:時間服務器(時間服務器有time,windows.com /time.nist.gov等)
需要注意的是有時防火墻關閉了udp123端口造成pdc不能和外部時間服務器同步。在說明一點域服務器間時間差不能超過5分鐘，客戶機和服務器不能超過30分鐘，這是默認設置的你自己也可以調整。當然時間錯誤還有很多其它原因比如時區選擇錯誤等
2.? 第二個有意的案例是：某客戶報告，客戶端計算機啟動緩慢，在出現”正在準備網絡連接”提示時，會有長時間的停留，這個問題我們一般會認為是DNS的問題，經檢查DNS配置正確，通過細致檢查發現這個管理源在設置DNS時只使用了XXX而不是xxx.com或xxx.n et的域名，造成了DNS不注冊的現象(不知這里我的說明，大家看明白了沒有)所以造成客戶端無法找到域控制器，
微軟的廣播也有一個關于活動目錄排錯的，所以大家可以結合微軟的廣播來看上面的筆記，案例是微軟的案例我只是手工錄入到了我的筆記中，微軟廣播下載地址http://download.microsoft.com/do ... fc/msft081804vx.zip

轉載于:https://blog.51cto.com/lzy821218/498941

總結

以上是生活随笔為你收集整理的活动目录排错笔记的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。