活动目录排错笔记
經過幾年的網絡管理工作,總結了一些關于AD的排錯經驗現在拿出來同大家分享,其中一些說明抄了微軟的KB在這里說明一下,排錯筆記有些地方可能寫的不是很全,看不明白的地方大家可以GOOGLE一下,不對的地方也請大家提出
活動目錄故障排除
一.? 在活動目錄出現問題是大家首先獲得活動目錄的日志,
1.? 改注冊表獲得獲得更為詳細目錄日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
取值范圍:0-3
注意調整目錄服務日志大小,以便存放所產生日志
記錄的日志在日志目錄中查看
使用方法:
Dcidiag /v? /c? /e
/v 詳細日志
/c 開啟更詳細的日志
/e 查看整個森林的日志
2.? 現場快速排除使用命令:
DCDIAG:
1.? 分析域控制器狀態
2.? 針對域控制器特定功能執行測試
3. NETDOM:
1. 管理和檢查信任關系
2.確認數據庫復制是否正常
使用方法:
NETDOM query ?
NETDOM query dc (查詢那些機器裝有域控制器)
NETDOM quey fsmo (查看操作主機的角色)
4.? NETDIAG
1.進行網絡功能診斷,可以幫助分析DNS等故障
使用方法
NETDIAG /V? /DEBUG? >C:\ENTDIAG.TXT
/V? 顯示詳細的日志
/DEBUG? 顯示更加詳細的日志
二.? DNS配置故障
DNS服務器在active directory中,除了提供名稱格式的支持服務,一般的名稱到IP的查詢外,最重要的作用是記錄域控制器與全局變了服務器的相關信息,并向客戶端提供這些重要信息;
域控制器會在DNS服務器上注冊,注冊的記錄不僅包括主機記錄(A記錄),而且包括相應的服務記錄(SRV記錄),類似于:
_ldap._tcp.dc_msdcs.xyz.com.600 INsrv 0 100 389 dcserver1.xyz.com
上面這條記錄代表xyz.com域的域控制器是dcserver1.xyz.com;
客戶端需要查詢這些記錄,才能找到域控制器,并完成用戶登陸,active directoey 查詢等工作
Active directory 的正常工作,依賴于DNS服務的正確配置和正常工作
_msdcs區域中包含所有域控制器的服務記錄(SRV)
Active directory 森林的根域中的_msdcs區域中還額外包含森林中所有的全局編錄服務器的記錄
_msdcs區域的作用是為了定位域控制器和全局編錄服務器,如果該區域不存在或記錄不正確,active directory會出現故障
驗證DNS的的完整性
使用NSLOOKUP來驗證DNS記錄是否完整
如果DNS記錄缺失,可以通過一下方法來進行修復:
1.? 重新啟動NET logon服務
2.? 使用nltest.exe /dsregdns (這個工具來自于support tools中)
DNS配置要求:允許動態更新,區域名稱和域名相一致,dns服務器本身需要配置dns域名后綴等
小竅門:如果計算機在啟動過程中常時間停留在正在準備網絡這里,那么90%的情況下是DNS出現了問題,2.如果在排除時使用NSLOOKUP進行dns檢查是出現電信或網通的DNS地址,那么可以確定你的DNS配置一定有問題,前提是在域控制器上使用NSLOOKUP,命令:
Net stop netlogon & net start netlogon (停止并重啟netlogon*在計算機重啟的過程中netlogon服務同樣會重啟,如果在重啟數次還沒有修復_msdcs那么就需要重建DNS了,
*如果在刪除DNS的過程中出現無法刪除DNS的情況,你可以稍等一會,因為此時可能多臺域控制器正在復制信息,如果就一臺域控制器而且出現了這種情況,那就需要查看日志了
*建立DNS時建議最好將_msdcs這一項單獨創建一個主要區域,創建完成后還要進行委派(目的是告訴森林中的其它域控制器全局編錄是在我這的),單獨創建_msdcs的前提是DNS是和域控制器安裝在同一臺服務器上的,注意一點是在使用向導時進行到“選擇如何復制區域數據時選擇第一項(至active directory林xx中的所有DNS服務器),”至于為什么選這一項可以查詢微軟KB這里就不詳細介紹了。補充:如果DNS是在創建域控制器時集成的就不需要單獨創建_msdcs
活動目錄復制篇:
活動目錄數據復制檢測工具
1.? 圖形工具
a.? Active Directory Replication Monitor (啟動命令是replmon)
檢查活動目錄的復制
圖形化顯示復制拓撲
強制復制
2.? 命令行工具
a.? dsastat –s:xx;xx (xx代表你的DC名字s后面是:xx是; )此命令代表比對兩臺服務器的狀態是否相同,只看結果的最后是不是pass即可
b.? REPADMIN
診斷域控制器間復制故障
確認復制伙伴
確認活動目錄對象復制來源
強制復制
* 小常識:
SYSVOL共享文件夾
a.? NETLOGON共享:低版本客戶端的登陸腳本和系統策略
b.? SYSVOL共享? :為windows2000及以后客戶端提供組策略
命令行排錯工具-NTFRSUTL
a.? 檢查文件復制服務狀態
b.? 檢查復制日程安排
c.? 強制輪詢
d.? 檢查復制集
復制問題導致的故障:
a.? 拒絕訪問
b.? 由于存在DNS查找故障,DSA操作無法繼續
c.? 操作被排隊或者沒有顯示任何復制連接
d.? 復制訪問被拒絕或者正在刪除名稱上下文
e.? 站點之間存在重復的連接對象
f.? 多個域控制器中所應用的組策略不一致
g.? 目錄服務因太忙而無法完成操作
兩個站點間的立即復制操作:
Active directory 站點和服務—>域名(test)?servers?NTDS Setting—>點擊右邊方框中的;自動生成;--?右鍵立即復制即可(域服務器的復制大概5分鐘同步,根據站點間的距離的不同復制的時間也相應的不同)
a.? 如果在復制時報錯那么就需要調用Active Directory Replication Monitor這個工具了(replmon.exe)*補充一句:如果在點擊立即復制沒有報錯那么至少可以保證你的復制是正常的,如果出現報錯那么就需要a中提到的這個工具了
用replmon這個工具可以用圖形的方式顯示出所有站點的拓撲圖,而且可以確認操作主機的功能是否正常
b.? 第二個重要的工具是命令行工具dsastat.exe檢查目錄服務的狀態
Dsastat? -s|test1:test2 >c:\dsastat.txt(比對test1和test2這臺服務器的活動目錄服務數據狀態是否一致)*補充:如果比對出問題,有些是可以解決的而有些是無法解決,據我知道的大部分是無法解決的,哈哈沒辦法,如果出現這樣的問題那就找個板凳拿卷紙找格墻角哭去吧
三.? 操作主機問題
1.fsmo角色的轉移
A 圖形化接口工具
B? NTDSUTIL工具
這兩格工具的使用在這里就不詳細介紹了,因為在我們bbs.winos.cn論壇中都有詳細的說明,如果想學習那就辛苦點搜索一下
什么是fsmo http://bbs.winos.cn/viewthread.php?tid=55443&highlight=fsmo
Fsmo的轉移 http://bbs.winos.cn/viewthread.php?tid=7195&highlight=fsmo (基于命令行的轉移)
Fsmo的轉移 http://bbs.winos.cn/viewthread.php?tid=1527 (基于圖形化的轉移)
四.? 活動目錄發生故障的層面
網絡層:包括網絡的連通性,可用性(比如丟包問題,具微軟工程師說大功率的設備,天花板走線,因為天花板中有強電電路所有有時造成干擾)
活動目錄的支撐服務:如tcp/ip? DNS? WINS
活動目錄的復制問題:
關掉了一些服務所導致:
比較常見的一些錯誤案例
1.? 在日志中出現 這個機器是目錄林根域的PDC。請用net命令 net time /setsntp,配置尾部時間源同步
出現這個錯誤我們可以在命令提示符下,運行:net time /setsntp:時間服務器(時間服務器有time,windows.com /time.nist.gov等)
需要注意的是有時防火墻關閉了udp123端口造成pdc不能和外部時間服務器同步。在說明一點域服務器間時間差不能超過5分鐘,客戶機和服務器不能超過30分鐘,這是默認設置的你自己也可以調整。當然時間錯誤還有很多其它原因比如時區選擇錯誤等
2.? 第二個有意的案例是:某客戶報告,客戶端計算機啟動緩慢,在出現”正在準備網絡連接”提示時,會有長時間的停留,這個問題我們一般會認為是DNS的問題,經檢查DNS配置正確,通過細致檢查發現這個管理源在設置DNS時只使用了XXX而不是xxx.com或xxx.n et的域名,造成了DNS不注冊的現象(不知這里我的說明,大家看明白了沒有)所以造成客戶端無法找到域控制器,
微軟的廣播也有一個關于活動目錄排錯的,所以大家可以結合微軟的廣播來看上面的筆記,案例是微軟的案例我只是手工錄入到了我的筆記中,微軟廣播下載地址http://download.microsoft.com/do ... fc/msft081804vx.zip
轉載于:https://blog.51cto.com/lzy821218/498941
總結
- 上一篇: [AX]AX2012 SSRS报表使用R
- 下一篇: 关于××× 相关收集资料