第10章

ActiveDirectory

域服務、域名服務和

復制問題的故障排除第10章：ActiveDirectory域服務、域名服務和復制問題的故障排除第1節(jié)：ActiveDirectory域服務的故障排除第2節(jié)：DNS與ADDS集成的故障排除第3節(jié)：ADDS復制的故障排除實驗：ActiveDirectory域服務、域名服務和復制問題的故障排除習題第1節(jié)：ActiveDirectory域服務的故障排除ADDS故障排除介紹討論：如何排查ADDS問題用戶訪問錯誤的故障排除演示：用戶訪問錯誤的故障排除工具域控制器性能問題的故障排除事件排查事件日志報告的事件監(jiān)視系統(tǒng)（如scom2007)生產的警報用戶報告的問題IT人員注意到的問題最佳做法：scom2007和activedirectorymanagementpack)討論：如何排查ADDS問題你將使用哪些工具來排查ADDS問題？如何驗證你的解決方法是否奏效？網絡：ipconfig.exe、net.exe、ping.exe和netdiag.exe。客戶端：事件查看器、控制面板。服務器：事件查看器、控制面板、WindowsServerActiveDirectory、MMC管理單元工具和MicrosoftOperationsManager（MOM）。Scom2007，netdom，服務：事件查看器、控制面板、dcdiag.exe、repadmin.exe、replmon.exe和nslookup.exe。用戶訪問錯誤的故障排除用戶訪問錯誤可能是以下錯誤的結果：網絡訪問錯誤（物理連接，域名解析，防火墻）身份驗證錯誤授權錯誤（ACL）為了解決用戶訪問錯誤，請驗證：網絡連接時間同步（nettime）域控制器可用性（netdiag,set)用戶賬戶和用戶鎖定設置組成員身份Netdiag命令測試名稱說明Autonet檢查網絡適配器是否在使用APIPA（自動專用IP地址）。綁定列出網絡綁定，包括接口名稱、下面和上面模塊名稱，指出這個綁定目前是否啟用并且報告這個綁定的擁有者。瀏覽器列出瀏覽器服務和重新定向器的全部網絡協議。DcList獲得一個這個域名的域名控制器列表。DefGw用每一個配置的默認網關驗證連接。DNS驗證配置的DNS服務器的可用性并且驗證客戶端的DND注冊。DsGetDc從目錄服務中獲得任何域名控制器的名稱，然后獲得PDC仿真器的名稱。驗證存儲在本地安全認證中的域名GUID與存儲在DC中的域名GUID是否一致。IpConfig逐個列出每一個網絡適配器的TCP/IP設置。IpLoopBk查驗每一個適配器的回送地址

。IPSec檢查Ipsec是否啟用。如果啟用，列出這臺計算機的所有現用的IPsec政策。IPX列出IPX統(tǒng)計（如果安裝的話）Kerberos驗證Kerberos身份識別軟件包是否是最新的。Ldap聯系所有可用的域名控制器并且確定哪一個LDAP身份識別協議正在使用。Nltest域安全通道命令工具nltest.exe是一個非常強大的命令行工具，它能用來在WindowsNT域中測試信任關系和域控制器復制的狀態(tài)Nltest.exe能夠用來測試一個域中的域控制器和運行WindowsNT的域成員之間的信任關系。Nltest.exe也可以用來在主域控制器（PDC）和備份域控制器（BDC）之間效驗信任關系。在一個明確指定信任關系的域中，nltest.exe能夠用來測試在等待信任域中的所有域控制器和已信任域中的一個域控制器之間的信任關系。

nltest/dsgetdc:domainnameReplmon命令活動目錄復制監(jiān)視器ReplicationMonitor(ReplMon)Net

time（w32tm.exe)功能：使計算機的時鐘與另一臺計算機或域的時間同步。不帶/set參數使用時，將顯示另一臺計算機或域的時間。格式：nettime[\computername|/domain[:name]][/set]參數：

\computername要檢查或同步的服務器名。

/domain[:name]指定要與其時間同步的域。

/set使本計算機時鐘與指定計算機或域的時鐘同步。1、改變計算機的默認時間服務器語法：nettime/setsntp[:時間服務器地址]如下：

net

time/setsntp:2、顯示指定計算機的的當前時間語法：nettime\\computer如下：

>nettime\\3、指定要與之同步的域語法：nettime/set/domain[:域名]

>nettime/set/domain:4.指定與某域控制器時間同步nettime\\NYC-dc1/set。這將使本地計算機的時間與NYC-DC1

nslookupNslookup是一個監(jiān)測網絡中DNS服務器是否能正確實現域名解析的命令行工具ls，：列表顯示A和NS記錄ls–tSRV，。列表顯示域的SRV記錄的SetType=ns查看名稱服務器。Settype=mx查看郵件服務器記使用GPResult命令行工具/s<計算機名稱>指定遠程計算機名稱或IP地址（請不要使用反斜杠）。缺省值為本地計算機。/u<域>\<用戶>通過由<用戶>或<域>\<用戶>參數所指定的用戶帳號權限來運行GPResult命令。缺省值為當前登錄到計算機上并輸入這條命令的用戶權限。/p<口令>給出/u參數中所指定的用戶帳號權限。/user<目標用戶名稱>指定需要顯示相應RSOP數據的目標用戶名稱。/scope{<用戶>|<計算機>}顯示用戶或計算機結果。請驗證/scope參數取值為用戶或計算機。如果您忽略/scope參數，gpresult將同時顯示用戶和計算機結果。/v用以指定在輸出結果中顯示詳細策略信息。/z用以指定在輸出結果中顯示所有與組策略相關的可用信息。由于將比/v參數產生更多信息，因此，當您使用該參數時，請將輸出結果重定向到一個文本文件（例如，gpresult/z>policy.txt）。域控制器性能問題的故障排除大多數常見性能問題包括：

CPU使用率高

網絡使用率高為了解決性能問題：

找出CPU使用率較高的進程ü

將應用程序或服務移至其他服務器ü

監(jiān)視特定于應用程序的網絡流量ü

在多個服務器上分布ADDS和DNS角色ü

檢查并修改復制拓撲ü

使用64位硬件部署域控制器ü活動目錄管理工具Admp（包含在scom中）Adminpak.msiGpmcADManagerPlus成都東谷ADMaster活動目錄工具包DNS和ADDS故障排除概述出現以下情況時，應排查DNS和ADDS集成故障：

用戶無法登錄到ADDSADDS復制失敗ADDS安裝失敗為了排查DNS和ADDS集成故障，應驗證：

DNS客戶端和服務器配置DNS名稱注冊DNS區(qū)域復制DNS名稱解析的故障排除DNS名稱解析可能因為以下原因而失敗：網絡連接問題客戶端配置錯誤DNS服務器可用性名稱注冊或DNS復制問題為了排查DNS名稱解析故障：通過pingDNS服務器的IP地址測試網絡連接使用IPconfig檢查客戶端配置使用NSlookup驗證服務器可用性清空DNS緩存使用NSlookup驗證SRV記錄DNS區(qū)域復制的故障排除當出現以下情況時，調查DNS區(qū)域復制問題：

DNS相關問題與特定DNS服務器客戶端有關區(qū)域信息在不同的DNS服務器上不一致DNS服務器可用性不穩(wěn)定存在DNS復制或名稱注冊問題ADDS集成區(qū)域的ADDS復制故障排除。為了排查標準區(qū)域傳送問題：驗證網絡連接驗證主服務器和輔助服務器配置驗證“起始授權機構”記錄驗證區(qū)域傳送配置

優(yōu)化DNS服務器禁用遞歸刪除根提示限制循環(huán)輪換配置僅用于轉發(fā)的服務器為多主機計算機禁用本地子網優(yōu)先排序禁用對多主機名稱的循環(huán)輪回修改區(qū)域傳輸設置DNS故障排除主機名稱解析的故障排除方法？恢復服務器默認首選項主機記錄注冊故障排除動態(tài)更新故障排除無法解析名稱空間中的某些域名不能解析DNS區(qū)域外的名稱DNS上的轉發(fā)器故障排除。第3節(jié)：ADDS復制的故障排除ADDS復制要求常見復制問題Repadmin工具DCDiag工具確定復制錯誤的原因分布式文件復制問題的故障排除ADDS復制要求ADDS復制需要：可路由的IP基礎結構DNS名稱解析域控制器之間的RPC或簡單郵件傳輸協議（SMTP）連接KerberosV5身份驗證用于安裝新域控制器的輕型目錄訪問協議（LDAP）連接文件復制服務或分布式文件系統(tǒng)復制

常見復制問題復制大幅增加

網絡流量

可能的原因復制未完成或未發(fā)生復制緩慢客戶端計算機

收到緩慢響應

癥狀站點未通過站點鏈接連接站點組中無橋頭服務器客戶端站點中沒有聯機的域控制器沒有足夠的域控制器站點拓撲和計劃低效率帶寬不足站點拓撲不正確

Repadmin工具使用Repadmin命令行工具可以：查看和手動創(chuàng)建復制拓撲強制發(fā)生域控制器之間的復制事件查看復制元數據語法：

repadmincommandarguments[/u:[domain\]userpw:{password|*}]

DCDiag工具使用Dcdiag命令行工具可以：分析域控制器的狀態(tài)，并報告任何問題

執(zhí)行一系列測試來驗證不同的系統(tǒng)方面語法：

dcdiagcommandarguments[/v/f:Log]確定復制錯誤的原因系統(tǒng)監(jiān)視器NTDS計數器

測試方法

站點未通過站點鏈接連接

站點中沒有橋頭服務器站點拓撲和計劃低效率

可能的原因Dcdiag/test:TopologyRepadmin/bridgeheadsRepadmin/latency站點中沒有域控制器聯機Dcdiag/test:ReplicationDcdiag/test:Connectivity沒有足夠的域控制器站點拓撲不正確

ADDS站點和服務Repadmin/latencyVDcdiag/test:Intersite分布式文件復制問題的故障排除

WindowsServer2008使用FRS或DFSR在域控制器之間復制SYSVOL目錄FRS和DFRS需要域控制器之間有LDAP和RPC連接使用Ntfrsutl和FRSDiag排查FRS復制故障使用DFSRAdmin排查DFRS復制故障üüüüntfrsutlacldiag.exe(ACL診斷，1，確定用戶對AD資源是什么權限；也可重置ACL為默認狀態(tài))

adsiedit.msc(ADSI編輯，2，添、刪、移目錄對象<含schema和配置命名上下文>；看、改、刪目錄對象屬性)

dcdiag.exe(DC診斷，1，分析在林或企業(yè)中DC的狀態(tài)；報告任何錯誤<含DNS配置>)

dfsutil.exe(分布式文件系統(tǒng)用，1，管理所有DFS問題，檢查DFS服務器的并發(fā)配置；顯示DFS拓撲結構)

dsacls.exe(1，查看或修改目錄對象的ACL)

dsastat.exe(目錄服務用，1，在DC上對比名稱上下文和找出不同點)

ldifde(1，在win2003或XPpro計算機上創(chuàng)、改、刪目錄對象)

ldp.exe(LDP工具，3，允許LDAP操作，如：連、綁、改、添、刪，tobeperformedagainstAD)

movetree.exe(AD對象管理，1，移動AD對象，如：在單個林中的DC間OU和用戶來完成域合并或組織架構重組)

netdom.exe(windows域管理，1，管理WIN2003域和信任關系)

nltest.exe(1，提供PDC的列表，強行遠程關機、提供有關信任和復制的相關信息)

ntfrsutl(1，用于NTFRS<NTservice>卸下內部表格、線程、和內存信息；依賴于本地和遠程服務器的)

repadmin.exe(復制診斷工具，1，診斷域間復制問題)

replmon.exe(AD復制監(jiān)視器，3，以圖像方式顯示復制拓撲，監(jiān)視