Active Directory 故障排除经验谈

首选要安装windows server 2003安装光盘里面的SUPPORT\TOOLS文件夹里面的SUPTOOLS.MSI 安装完成以后经过开始--程序--Windows Support Tools--按Command Prompt 用netdiag工具进行网络诊断在使用这个工具的时候一般加一个v参数开启详细输出的模式若是你以为这个模式输出的信息还不够详细的话我建议你加debug参数我在Command Prompt里面输入netdiag /debug >netdiag080408.txt按回车键 080408是表示诊断的时间在Command Prompt里面输入notepad netdiag080408.txt 按回车键表示用记事原本打开刚才生成的文件一般经过netdiag分析以后会发现5%的故障是因为用户的输入错误地配置网络所形成的

经过使用netdom命令进行网络测试 netdom命令主要的做用是对客户端加入域以及信任关系的管理在Command Prompt里面输入netdom query按回车键能够看到域里面的工做站服务器域控制器 OU(组织单元) 主域控制器角色操做主机还有信任关系的查询这是最快捷的方法好比我但愿知道在这个域里面有那几台计算机是域控制器就输入netdom query dc 按回车键后就能够看到当前London和Florence这两二台计算机是域控制器

在Command Prompt里面输入netdom query fsmo按回车键来查看操做主机角色能够看到5种操做主机角色所有位于London这台计算机上同时看到域名叫作yejunsheng.com 使用dcdiag这个命令可以很是全面地测试若是你不加任何参数它测试的是当前你所在的这台计算机若是当前这台计算机已是域控制器我建议你加/v参数做一个详略地测试大概1/3的测试默认是不开起的你能够经过加/c参数开起全部的测试若是你关注的不仅是这一台域控制器还想测试全部站点或者整个企业里面全部的域控制器的话你还能够加/a参数或者加/e参数这个是测试整个企业范围内也就是测试整个活动目录森林内全部域控制器的诊断分析我在Command Prompt里面输入dcdiag /v /c >dcdiag080408.txt按回车键把它转存而后输入notepad dcdiag080408.txt按回车键用记事原本打开刚才生成的文件

经过开始--程序--管理工具--按DNS 展开正向查找区域能够看到_msdcs.yejunsheng.com这个区域被做为一个单独的区域建立也许你在安装域控制器以前 DNS服务已经作过配置了或者某种缘由不指望由活动目录的安装向导来帮你安装DNS服务器你要作的一件事情就是事先必定要正确地建立相关的DNS记录

我如今来模拟一下故障我把那些区域的记录都删除掉或者说你安装完成域控制器后根本都没有这些记录这都是可能的形成DNS没有正常注册的缘由是由于你没有正确地配置这个配置指的是两面方面第一个是在域控制器上在它的TCP/IP地址的DNS服务器地址里面没有正确地填写第二个指的是你的DNS服务器自己有一些小问题好比如今咱们已经把一些必需存在的区域删除掉了那么这是一个没有正确配置的DNS服务器为了诊断这个问题就用nslookup这个工具在命令提示符下输入nslookup按回车键若是你看到它的Default Server(默认服务器)不是活动目录的DNS服务器 (如今个人活动目录的DNS服务器的名称是London.yejunsheng.com) 而是指向某某电信或者是互联网的DNS服务器那么这个域控制器必定会有问题由于很明显不管在域内其余服务器的定位好比要寻找复制伙伴或者说是进行某些记录的交流必定要找DNS 实际上若是你的管理员有报告说计算机启动的时候特别慢不管是域控制器工做站成员服务器长时间会卡正在准备网络链接这个阶段 90%都是DNS出了问题我在命令提示符下输入_ldap.tcp.msdcs.yejunsheng.com按回车键你能够看到我进行这样的查询是为了找到yejunsheng.com这个域下面的相应的ldap服务器也就是域控制器它告诉我这个域控制器的记录没有找到这种状况下客户端经过DNS确定是找不到域控制器了

在命令提示符里面输入net stop netlogon & net start netlogon按回车键来从新启动netlogon服务在从新启动netlogon服务的过程当中用户是没有办法正常地去登陆请求的除非你有多台域控制器而后在DNS里面按刷新按钮来刷新一下区域或者按F5键来刷新区域你能够看到我刚才删除的那些记录又被修复回来了这是一种方法当记录丢失的时候能够经过从新启动netlogon服务可是netlogon服务实际上在域控制器每次关机再重启的过程当中也会被重启若是你已经通过数次关机重启记录仍是缺失那问题不是那么简单就能够解决了你要检查一下是否是你的区域建立有问题好比说根本没有任何区域

当你的区域删除掉后你从新启动netlogon服务是不会帮你建立区域的对着正向查找区域右键--选择新建区域接着下一步能够看到里面有三个选项因为它如今已是一台域控制器了那么你能够设置为主要区域而且做活动目录集成也就是保存在活动目录当中我建议你若是你的DNS服务器跟域控制器在同一台计算机上那么就把在Active Directory中存储区(只有DNS服务器是域控制器时才可用)沟上活动目录集成的区域是比较好的选择由于它更加安全并且在复制管理上是自动进行的接着下一步

按照默认的选项吧(至Active Directory 域 yejunsheng.com 中的全部域控制器接着下一步注意:在区域名称里面必定要输入和你的活动目录的域名彻底一致才行接着下一步

注意:这一项必定要选择容许动态更新若是你选择活动目录集成的你就能够选择安全的动态更新若是你选择的是非活动目录集成的你必需选择容许非安全和安全动态更新这一些安全性会差一些接着下一步按完成就ok了

能够对msdcs区域做为独立区域建立我如今对着msdcs右键--选择删除你会看到没法删除DNS域这是因为可能我刚才在删除区域记录的时候两台域控制器之间复制尚未同步所形成的你等一段时间后就能够删除掉了缘由就在有多台域控制器并且多台域控制器上的数据不一致所所形成的删除掉msdcs这一项很重要特别是有多域环境的时候一个活动目录的森林里面有一个以上的域那么你必定要作的一件事情就是把msdcs这个区域做为一个独立的区域来建立

首选对着正向查找区域右键--选择新建区域--接着下一步--选择主要区域--接着下一步选择复制的时候你要选择至 Active Directory 林 yejunsheng.com 中的全部DNS服务器因为活动目录的森林是用根域的域名来命名的因此说咱们如今能够看到这个活动目录森林yejunsheng.com它并非指yejunsheng.com这个域而是指的整个森林中全部的DNS服务器固然这个DNS服务器自己必需是安装在域控制器上才行接着下一步区域名称叫输入_msdcsyejunsheng.com吧接着下一步注意:必须要容许动态更新接着下一步按完成就ok了为何要把它分开建立呢？由于在msdcs里面除了找到域控制器外还能够找到全局编录服务器若是说你没有把它做为独立的区域建立而且复制到森林其余的域里面那么其余域里面的DNS记录多是不包含这些记录的换句话说可能可以找到本域的域控制器可是没有办法找到森林的全局编录服务器因此说这个很重要

当把msdcs做为独立区域建立以后还须要作的一件事就是新建委派对着域名(yejunsheng.com)右键--选择新建委派接着下一步委派的域名就输入_msdcs 实际上你是但愿告诉其余的查询者 _msdcs是由谁来负责的接着下一步按添加由于我这台域控制器的FQDN名称是london.yejunsheng.com 因此我就在服务器彻底合格的域名里面输入london.yejunsheng.com 由于这台域控制器的IP地址为192.168.1.2 因此我在IP地址里面输入192.168.1.2按添加按肯定接着下一步按完成就ok了

我如今把_msdcs.yejunsheng.com这个区域里面的那些项全都删除掉而后在命令提示符里面输入nltest.exe /dsregdns按回车键你再到DNS服务器里面按一下F5键就能够看到刚才在_msdcs.yejunsheng.com这个区域里面的那些项了这个命令要比netlogon服务来得快并且最主要的是它不会对用户形成影响

经过开始--程序--管理工具--按Active Directory 站点和服务在站点内系统会自动生成域控制器之间的复制拓朴结构一般状况下会造成一个环形的结构也就是说在域控制器之间会有一个复制通道生成你能够按NTDS Settings 而后在里面对着计算机右键--选择当即复制副本好比我如今对着FLORENCE这台计算机右键--选择当即复制副本看到了吗？Active Directory 已复制了链接这就是一个强制地复制了

经过开始--运行--输入replmon按肯定来打开Active Directory Replication Monitor 对着Monitored Servers右键--按Add Monitored Server

这一步就选择第二项(Search the directory for the server to add) 接着按Next

因为我有三台域控制器我现把三台都添加在里面每添加一台按Finish就能够了

经过查看图标LONDON那台域控制器有一个蓝色小的地球在右上角代表它是一台全局编录服务器首选要对每台域控制器右键--选择Check Replication Topology 表示检查拓朴结构和生成的过程在作这个操做以前是由于域控制器之间有一些复制通道没有创建起来作这个操做就是强制地创建而且完成复制通道

这个时候就对着LONDON这台全局编录服务器右键--选择Show Replication Topologies(显示复制拓朴结构)

这个时候按View--再按Connections Objects Only后就能够看到那三台域控制器了

若是你想看站点内的链接是怎么样的就对着每一台域控制器右键--选择Show Intra-Site Connections就ok了如今能够看到几条链接线了代表经过这几条链接线这三台域控制器之间会有一个复制的链接当你有多台域控制器的时候这个拓朴结构图很是重要你能够根据这个拓朴结构图发现一些问题好比如今有三台域控制器为何第一台到第三台就很慢可是从第一台到第二台就很快若是你有多个站点的话它也能够显示出来在站点和站点之间究竟是那些域控制器在作这样操做

对着域控制器右键--选择Properties能够看到域控制器的属性来查看一些内容好比能够看到链接这三台域控制器的复制链接

若是说在站点和服务当中当即复制失败你能够把复制的内容缩小到某一部份数据分区的数据上来展开LONDON--DC=yejunsheng.dc=com 对着shanghai \FLORENCE右键--选择第一项(Synchronize with this Replication Partner)就ok了完成以后你能够把它生成报告或者显示其余信息

在命令提示符里面输入dsastat -s;London;Florence按回车键来比对这两台域控制器的活动目录数据库的状态是否是同样的

经过开始--运行输入%systemroot%\system32\config按肯定找到netlogon.dns这个文件而后用记事原本打开它你能够看到里面的内容这些就是它应该写到DNS里面的记录若是你刷新了重启netlogon服务尚未完整的话你能够把这些记录复制到相应的DNS区域文件里面

我如今把netlogon.dns这个文件里面的内容所有选定而后右键--选择复制

对着域名(yejunsheng.com)右键--选择属性--按更改--把在Active Directory 中存储区域的沟去掉变成主要区域不能放在活动目录里面由于放在活动目录里面咱们就没有办法去粘贴进去了按肯定就能够了

经过开始--运行--输入%systemroot%\system32按肯定找到yejunsheng.com.dns这个文件而后用记事本打开它对着里面右键--选择粘贴把刚才复制的内容所有粘贴到里面就ok了在作这个操做的时候我建议你最好要先把DNS服务器中止掉而后再来作粘贴完成以后再重启DNS服务这样的话域控制器的记录确定就已经完整添加在里面了

当你安装gpmc.msi这个软件后你能够经过开始--运行--输入gpmc.msc按肯定对着组策略结果右键--选择组策略结果向导我就选择这台计算机吧接着下一步

这一步就选择当前用户(YEJUNSHENG\Administrator)吧接着下一步按完成就ok了

经过组策略结果能够知道全部的内容它会把全部影响这台计算机以及影响这个用户的策略对象作一个结合最后给出的是一个比较完整的结果经过这个报告你能够看到有多少个策略影响到用户影响到计算机以及最终做用的结果是什么特别是有些策略是相互冲突的时候你能够查到里面相互冲突的内容

经过开始--运行--输入regedit按肯定来打开注册表编辑器在左下角的那个路径下找到ProductOptions这个文件双击打开ProductType这个子键当前这个数值是LanmanNT代表它是一台域控制器若是你想把域控制器的功能中止掉的话就把数值数据改为ServerNT 按肯定就ok了注意:S要大写 NT也要大写若是不正确输入的话这个修改是不生效的

打开服务而后双击Intersite Messaging(站点间消息) 这个服务只是在域控制器上是有效的若是你经过修改注册表的方法来删除域功能的话这个服务不会自动中止掉的你只要把启动类型改为禁用就ok了按肯定

我如今来到全局编录服务器这边把FLORENCE这台计算机删除掉对着FLORENCE右键--选择删除--选择最下面那一项按删除就ok了

经过开始--运行--输入cmd按肯定来打开命令提示符在命令提示符里面输入cd \按回车键--输入ntdsutil按回车键--输入Metadata Cleanup按回车键--输入Conn按回车键--输入Conn to ser London.yejunsheng.com按回车键(链接到要保留的那台域控制器)--输入sel ope tar按回车键--输入list site按回车键--输入sel site 0按回车键--输入list do in site按回车键--输入sel do 0按回车键--输入list ser in site按回车键--输入sele ser 1按回车键--输入quit按回车键--输入remove sel server按回车键此时它会弹出服务器删除确认对话框你按是就ok了按是以后彻底计算机名称叫作Florence.yejunsheng.com这台域控制器就被彻底删除了