ad用户和计算机报错,AD常用排错工具
3、netdom
對客戶機加入域及信任關系管理
Example:
netdom query dc
netdom query fsmo
5%-10%的錯誤是由于對網絡結構的錯誤認識。
4、netdiag
Example:
netdiag /debug >netdiag041218.txt (加debug參數為最詳細記錄)
notepad netdiag0411218.txt
5%錯誤是由網絡配置造成的
第二部分:AD維護中三種常見故障:
一、DNS配置相關故障
1、綜述:AD中DNS起到路標和指示燈的作用,至少50%的AD故障源于DNS.
DNS中最重要的是SRV紀錄而不是A紀錄,通常SRV紀錄對應有一個A紀錄
SRV Record example: _ldap._tcp,dc._msdcs.xyz.com.600 IN srv 0 100 389 dcserver1.xyz.com
用戶登錄域時通過dns服務器找尋dc的,_msdcs區域中包含所有dc的服務紀錄,作用就是為了定位域控制器和全局編目服務器,win2k中若有多個域則只有根域中有該區域,子域中沒有。
2、幾個驗證和修復工具
(1)使用nslookup來記錄dns記錄是否完整
(2)若dns記錄缺失,可通過:
a:重新啟動Net Logon服務
b:使用nltest.exe /seregdns (安裝support tools工具后才會有)
注意dns配置要求:允許動態更新,區域名稱和AD域名相一致,dns服務器本身需要配置dns域名后綴
3、實例演示:驗證和修復dns故障
2003中_msdcs區域作為獨立一個區域存在,若出現機器登錄域非常慢,90%是dns出了問題。
(1)若出現記錄缺失情況:
stop netlogon & start netlogon 重新啟動該服務,其實每次關機重啟時均會重新啟動該服務。
(2)若無任何記錄區域
則新建記錄區域,若操作過程中出現無法刪除和拒絕提示時,則可能是因為多臺DC之間狀態沒有同步,只需稍等片刻即可。
多域環境中,_msdcs區域必須分開創建,否則只能找到本域的dc,而找不到森林中其它域的gc服務器
(3)修復工具
nltest.exe /dzregdns
特點:速度快且不會對用戶有影響
從安全角度考慮,最好將dns配置成活動目錄集成區域,2003中新添條件轉發特性。
二、關于DC之間的復制故障
nt4單向復制,PDC->BDC,存在很多弊端。
DC之間復制的內容:
(1)目錄服務復制:主要是數據庫的復制(AD對象,包括用戶,計算機等)
(2)文件復制服務(FRS)sysvol文件夾,包括組策略實體。
2、排錯工具
(1)AD replication monitor圖形工具
a.檢查ad復制
b.圖形化顯示復制拓撲
c.強制復制
(2)命令行工具repadmin
a.診斷dc間復制故障
b.確認復制伙伴
c.確認活動目錄對象復制來源
d.強制復制
dc之間的文件復制服務
dc之間復制sysvol共享文件夾
(1)netlogon共享:低版本客戶端的登錄腳本和系統策略
(2)sysvol共享:為win2k及以后客戶端提供組策略,導致組策略分發不成功
命令行排錯工具:ntfsutil
3、通常復制故障:
(1)拒絕訪問:時鐘不同步,網絡故障
(2)dns查找故障,dsa操作無法繼續
(3)操作被排隊或沒有顯示任何復制鏈接
(4)復制訪問被拒絕或正在刪除名稱上下文
(5)站點之間存在重復的連接對象
(6)多個域控中所應用的組策略不一致
(7)目錄服務因太忙而無法完成操作
其中3-7項建議等待一段時間一般會自動解決
4、實例演示:使用工具診斷復制故障
(1)AD中通常會自動生成環形復制拓撲結構,域服務器之間的復制間隔為5分鐘,3臺DC之間的同步大概需要為15分鐘左右(基于100M以太網),使用站點和服務來操作。
(2)若無法復制成功,可利用復制監視器工具來控制復制。
強制生成復制拓撲結構和顯示復制拓撲結構,拓撲結構圖中可以查看操作主機角色是否正常工作;察看復制對象的USN(update serial number);察看復制過程中的一些錯誤
(3)dsastat
三、Operation Master Roles(fsmo)
1、何時需要轉移操作主機角色?
2、決定操作主機角色擁有者:圖形化接口工具和ntdsutil
3、移轉方式:transfer(在線移轉)和seize(強制轉移)
4、移轉工具:圖形化接口工具(AD用戶和計算機、AD域和信任關系、AD架構)
5、命令行方式下轉移FSMO角色:
ntdsutil.exe
roles
connections
connect to server servername
quit
seize pdc
rid master
infrastructure master
schema master
domain naming master
transfer
quit
盡可能使用transfer而不是seize,當中的servername是即將成為操作主機角色的服務器,圖形方式下,需要先連接其他的域控制器后才可以更改操作主機角色
第三部分:Troubleshooting Case Study
1、AD的問題一般分四個層面:網絡問題、活動目錄的支撐服務(dns/wins/etc)、活動目錄的復制問題、域控制器的個體原因。
2、典型案例:
case(1):時間源同步問題
case(2):
問題背景:用戶登錄或訪問服務器,經常出現"由于時間差異,訪問拒絕"的提示
問題解決:
與kerveros協議有關,用來代替原先的ntlm協議,所有的計算機(包括client和server,os為win2k及以上),會自動將根域的PDC模擬器作為時間服務器,W32Time服務按照一定的周期進行時鐘校正:從計算機啟動開始,嘗試以45分鐘作為間隔,聯系時鐘服務器,進行時鐘同步;如果同步成功,以8小時為間隔,進行同步驗證;如果同步失敗,開始嘗試進行時鐘同步。為了保證時間服務器正常工作,在根域的PDC模擬器上建議設置外部時間源,指向INTERNET上的時間服務器,在其他計算機上保證Windows Time服務正常啟動。
具體要求:dc之間時間相差不能超過5分鐘,client與dc之間相差不能超過30分鐘
問題根源:kerberos協議要求計算機時鐘同步經過分析,發現客戶端計算機啟動某個應用程序,會在啟動時與服務器(一臺unix計算機)進行時鐘校準,而該服務器時鐘與DC始終存在約45分鐘的差異,將域控制器時鐘與服務器同步,并建議設定同一時間源。
CASE(3)
問題描述:某客戶報告,客戶端計算機啟動緩慢,在出現"正在準備網絡連接"提示時,會有長時間停留,經過檢查發現,客戶端計算機雖然已經正確配置了DNS服務器地址,但在同時作為域控制器的DNS服務器上,發現沒有相應的記錄,客戶使用了SOMEDOMAIN形式的域名。
問題原因:Win2k sp4/winxp/2003不在頂級域下注冊dns記錄
解決方法:修改注冊表和使用組策略(客戶端本地計算機策略/管理模版/網絡/DNS客戶端),在客戶現場,臨時使用了手動加載netlogon.dns文件的方法(應該注冊的dns記錄)
%systemroot%/system32/config/netlogon.dns(應該寫到dns服務器內的記錄),將記錄復制到dns服務器數據庫中,應先將集成的dns區域改成主區域,然后到dns數據庫記錄文件進行粘貼,然后再修改為AD集成的DNS區域(存在多個域時工作量大)
CASE(4)通過修改注冊表強行卸載dc:
鍵值位置:hklm/system/controlsset/control/productoptions/ProductType LanmanNt修改為/ServerNT,重啟機器此時然后便可以卸載dc了,原理為啟動時會檢查該鍵值,如果為ServerNT,便不啟動dc所需的相應服務,但也有些副作用,如intersitemesseging服務會報錯,應為它仍然會啟動,而它相關聯的服務均已停止故出現報錯信息,此時應該將該服務設為手動或禁用,強行卸載完DC后,應該在保留的DC上利用NTDSUTIL工具中的metadata cleanup將無用的信息清除掉。
不能卸載之可能原因:網絡問題,不能連通操作主機;長久沒有同步等等。
總結
以上是生活随笔為你收集整理的ad用户和计算机报错,AD常用排错工具的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: html中scrolling的作用是什么
- 下一篇: 呼市计算机应用那个职高好,呼和浩特职业高