3、netdom

對客戶機加入域及信任關系管理

Example:

netdom query dc

netdom query fsmo

5%-10%的錯誤是由于對網絡結構的錯誤認識。

4、netdiag

Example:

netdiag /debug >netdiag041218.txt (加debug參數為最詳細記錄)

notepad netdiag0411218.txt

5%錯誤是由網絡配置造成的

第二部分：AD維護中三種常見故障：

一、DNS配置相關故障

1、綜述：AD中DNS起到路標和指示燈的作用，至少50%的AD故障源于DNS.

DNS中最重要的是SRV紀錄而不是A紀錄，通常SRV紀錄對應有一個A紀錄

SRV Record example: _ldap._tcp,dc._msdcs.xyz.com.600 IN srv 0 100 389 dcserver1.xyz.com

用戶登錄域時通過dns服務器找尋dc的，_msdcs區域中包含所有dc的服務紀錄，作用就是為了定位域控制器和全局編目服務器，win2k中若有多個域則只有根域中有該區域，子域中沒有。

2、幾個驗證和修復工具

(1)使用nslookup來記錄dns記錄是否完整

(2)若dns記錄缺失，可通過：

a：重新啟動Net Logon服務

b：使用nltest.exe /seregdns (安裝support tools工具后才會有)

注意dns配置要求：允許動態更新，區域名稱和AD域名相一致，dns服務器本身需要配置dns域名后綴

3、實例演示：驗證和修復dns故障

2003中_msdcs區域作為獨立一個區域存在，若出現機器登錄域非常慢，90%是dns出了問題。

(1)若出現記錄缺失情況：

stop netlogon & start netlogon 重新啟動該服務，其實每次關機重啟時均會重新啟動該服務。

(2)若無任何記錄區域

則新建記錄區域，若操作過程中出現無法刪除和拒絕提示時，則可能是因為多臺DC之間狀態沒有同步，只需稍等片刻即可。

多域環境中，_msdcs區域必須分開創建，否則只能找到本域的dc，而找不到森林中其它域的gc服務器

(3)修復工具

nltest.exe /dzregdns

特點：速度快且不會對用戶有影響

從安全角度考慮，最好將dns配置成活動目錄集成區域,2003中新添條件轉發特性。

二、關于DC之間的復制故障

nt4單向復制，PDC->BDC，存在很多弊端。

DC之間復制的內容：

(1)目錄服務復制：主要是數據庫的復制(AD對象，包括用戶，計算機等)

(2)文件復制服務(FRS)sysvol文件夾，包括組策略實體。

2、排錯工具

(1)AD replication monitor圖形工具

a.檢查ad復制

b.圖形化顯示復制拓撲

c.強制復制

(2)命令行工具repadmin

a.診斷dc間復制故障

b.確認復制伙伴

c.確認活動目錄對象復制來源

d.強制復制

dc之間的文件復制服務

dc之間復制sysvol共享文件夾

(1)netlogon共享：低版本客戶端的登錄腳本和系統策略

(2)sysvol共享：為win2k及以后客戶端提供組策略，導致組策略分發不成功

命令行排錯工具：ntfsutil

3、通常復制故障：

(1)拒絕訪問：時鐘不同步，網絡故障

(2)dns查找故障，dsa操作無法繼續

(3)操作被排隊或沒有顯示任何復制鏈接

(4)復制訪問被拒絕或正在刪除名稱上下文

(5)站點之間存在重復的連接對象

(6)多個域控中所應用的組策略不一致

(7)目錄服務因太忙而無法完成操作

其中3-7項建議等待一段時間一般會自動解決

4、實例演示：使用工具診斷復制故障

(1)AD中通常會自動生成環形復制拓撲結構，域服務器之間的復制間隔為5分鐘，3臺DC之間的同步大概需要為15分鐘左右(基于100M以太網)，使用站點和服務來操作。

(2)若無法復制成功，可利用復制監視器工具來控制復制。

強制生成復制拓撲結構和顯示復制拓撲結構，拓撲結構圖中可以查看操作主機角色是否正常工作;察看復制對象的USN(update serial number);察看復制過程中的一些錯誤

(3)dsastat

三、Operation Master Roles(fsmo)

1、何時需要轉移操作主機角色？

2、決定操作主機角色擁有者：圖形化接口工具和ntdsutil

3、移轉方式：transfer(在線移轉)和seize(強制轉移)

4、移轉工具：圖形化接口工具(AD用戶和計算機、AD域和信任關系、AD架構)

5、命令行方式下轉移FSMO角色：

ntdsutil.exe

roles

connections

connect to server servername

quit

seize pdc

rid master

infrastructure master

schema master

domain naming master

transfer

quit

盡可能使用transfer而不是seize,當中的servername是即將成為操作主機角色的服務器，圖形方式下，需要先連接其他的域控制器后才可以更改操作主機角色

第三部分：Troubleshooting Case Study

1、AD的問題一般分四個層面：網絡問題、活動目錄的支撐服務(dns/wins/etc)、活動目錄的復制問題、域控制器的個體原因。

2、典型案例：

case(1):時間源同步問題

case(2):

問題背景：用戶登錄或訪問服務器，經常出現"由于時間差異，訪問拒絕"的提示

問題解決：

與kerveros協議有關，用來代替原先的ntlm協議，所有的計算機(包括client和server,os為win2k及以上)，會自動將根域的PDC模擬器作為時間服務器，W32Time服務按照一定的周期進行時鐘校正：從計算機啟動開始，嘗試以45分鐘作為間隔，聯系時鐘服務器，進行時鐘同步；如果同步成功，以8小時為間隔，進行同步驗證；如果同步失敗，開始嘗試進行時鐘同步。為了保證時間服務器正常工作，在根域的PDC模擬器上建議設置外部時間源，指向INTERNET上的時間服務器，在其他計算機上保證Windows Time服務正常啟動。

具體要求：dc之間時間相差不能超過5分鐘，client與dc之間相差不能超過30分鐘

問題根源：kerberos協議要求計算機時鐘同步經過分析，發現客戶端計算機啟動某個應用程序，會在啟動時與服務器(一臺unix計算機)進行時鐘校準，而該服務器時鐘與DC始終存在約45分鐘的差異，將域控制器時鐘與服務器同步，并建議設定同一時間源。

CASE(3)

問題描述：某客戶報告，客戶端計算機啟動緩慢，在出現"正在準備網絡連接"提示時，會有長時間停留，經過檢查發現，客戶端計算機雖然已經正確配置了DNS服務器地址，但在同時作為域控制器的DNS服務器上，發現沒有相應的記錄，客戶使用了SOMEDOMAIN形式的域名。

問題原因：Win2k sp4/winxp/2003不在頂級域下注冊dns記錄

解決方法：修改注冊表和使用組策略(客戶端本地計算機策略/管理模版/網絡/DNS客戶端)，在客戶現場，臨時使用了手動加載netlogon.dns文件的方法(應該注冊的dns記錄)

%systemroot%/system32/config/netlogon.dns(應該寫到dns服務器內的記錄)，將記錄復制到dns服務器數據庫中，應先將集成的dns區域改成主區域，然后到dns數據庫記錄文件進行粘貼，然后再修改為AD集成的DNS區域(存在多個域時工作量大)

CASE(4)通過修改注冊表強行卸載dc:

鍵值位置：hklm/system/controlsset/control/productoptions/ProductType LanmanNt修改為/ServerNT，重啟機器此時然后便可以卸載dc了，原理為啟動時會檢查該鍵值，如果為ServerNT，便不啟動dc所需的相應服務，但也有些副作用，如intersitemesseging服務會報錯，應為它仍然會啟動，而它相關聯的服務均已停止故出現報錯信息，此時應該將該服務設為手動或禁用，強行卸載完DC后，應該在保留的DC上利用NTDSUTIL工具中的metadata cleanup將無用的信息清除掉。

不能卸載之可能原因：網絡問題，不能連通操作主機；長久沒有同步等等。

總結

以上是生活随笔為你收集整理的ad用户和计算机报错,AD常用排错工具的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。