常見(jiàn) AD 排錯(cuò)工具1、enable ndsi diagnostics log:hklmsystemcurrentcontrolsetservicesntdsdiagnostics取值范圍：0-3可在

常見(jiàn) AD 排錯(cuò)工具

1、enable ndsi diagnostics log:

hklmsystemcurrentcontrolsetservicesntdsdiagnostics

取值范圍：0-3

可在事件查看器目錄服務(wù)中查看，3為上限, 日志量相當(dāng)大，應(yīng)注意調(diào)整日志文件大小。

2、dcdiag

dcdiag /v（詳細(xì)輸出） /c(開(kāi)啟所有項(xiàng)的測(cè)試) /a（對(duì)站點(diǎn)內(nèi)所有DC 進(jìn)行測(cè)試）

3、netdom

對(duì)客戶(hù)機(jī)加入域及信任關(guān)系管理

Example:

netdom query dc

netdom query fsmo

5-10的錯(cuò)誤是由于對(duì)網(wǎng)絡(luò)結(jié)構(gòu)的錯(cuò)誤認(rèn)識(shí)。

4、netdiag

Example:

netdiag /debug 〉netdiag041218.txt （加debug 參數(shù)為最詳細(xì)記錄）

notepad netdiag0411218.txt

5錯(cuò)誤是由網(wǎng)絡(luò)配置造成的

第二部分：AD 維護(hù)中三種常見(jiàn)故障：

一、DNS 配置相關(guān)故障

1、綜述：AD 中DNS 起到路標(biāo)和指示燈的作用，至少50的AD 故障源于DNS.

DNS 中最重要的是SRV 紀(jì)錄而不是A 紀(jì)錄，通常SRV 紀(jì)錄對(duì)應(yīng)有一個(gè)A 紀(jì)錄

SRV Record example: _ldap._tcp,dc._msdcs.xyz.com.600 IN srv 0 100 389 dcserver1.xyz.com

用戶(hù)登錄域時(shí)通過(guò)dns 服務(wù)器找尋dc 的，_msdcs區(qū)域中包含所有dc 的服務(wù)紀(jì)錄，作用就是為了定位域控制器和全局編目服務(wù)器，win2k 中若有多個(gè)域則只有根域中有該區(qū)域，子域中沒(méi)有。

2、幾個(gè)驗(yàn)證和修復(fù)工具

（1）使用nslookup 來(lái)記錄dns 記錄是否完整

（2）若dns 記錄缺失，可通過(guò)：

a ：重新啟動(dòng)Net Logon服務(wù)

b ：使用nltest.exe /seregdns （安裝support tools工具后才會(huì)有）

注意dns 配置要求：允許動(dòng)態(tài)更新，區(qū)域名稱(chēng)和AD 域名相一致，dns 服務(wù)器本身需要配置dns 域名后綴

3、實(shí)例演示：驗(yàn)證和修復(fù)dns 故障

2003中_msdcs區(qū)域作為獨(dú)立一個(gè)區(qū)域存在，若出現(xiàn)機(jī)器登錄域非常慢，90是dns 出了問(wèn)題。

（1）若出現(xiàn)記錄缺失情況：

stop netlogon & start netlogon 重新啟動(dòng)該服務(wù)，其實(shí)每次關(guān)機(jī)重啟時(shí)均會(huì)重新啟動(dòng)該服務(wù)。

（2）若無(wú)任何記錄區(qū)域

則新建記錄區(qū)域，若操作過(guò)程中出現(xiàn)無(wú)法刪除和拒絕提示時(shí)，則可能是因?yàn)槎嗯_(tái)DC 之間狀態(tài)沒(méi)有同步，只需稍等片刻即可。

多域環(huán)境中，_msdcs區(qū)域必須分開(kāi)創(chuàng)建，否則只能找到本域的dc ，而找不到森林中其它域的gc 服務(wù)器

（3）修復(fù)工具

nltest.exe /dzregdns

特點(diǎn)：速度快且不會(huì)對(duì)用戶(hù)有影響

從安全角度考慮，最好將dns 配置成活動(dòng)目錄集成區(qū)域,2003中新添?xiàng)l件轉(zhuǎn)發(fā)特性。

二、關(guān)于DC 之間的復(fù)制故障

nt4單向復(fù)制，PDC-〉BDC ，存在很多弊端。

DC 之間復(fù)制的內(nèi)容：

（1）目錄服務(wù)復(fù)制：主要是數(shù)據(jù)庫(kù)的復(fù)制（AD 對(duì)象，包括用戶(hù)，計(jì)算機(jī)等）

（2）文件復(fù)制服務(wù)（FRS)sysvol 文件夾，包括組策略實(shí)體。

2、排錯(cuò)工具

(1)AD replication monitor圖形工具

a. 檢查ad 復(fù)制

b. 圖形化顯示復(fù)制拓?fù)?/p>

c. 強(qiáng)制復(fù)制

（2）命令行工具repadmin

a. 診斷dc 間復(fù)制故障

b. 確認(rèn)復(fù)制伙伴

c. 確認(rèn)活動(dòng)目錄對(duì)象復(fù)制來(lái)源

d. 強(qiáng)制復(fù)制

dc 之間的文件復(fù)制服務(wù)

dc 之間復(fù)制sysvol 共享文件夾

（1）netlogon 共享：低版本客戶(hù)端的登錄腳本和系統(tǒng)策略

（2）sysvol 共享：為win2k 及以后客戶(hù)端提供組策略，導(dǎo)致組策略分發(fā)不成功

命令行排錯(cuò)工具：ntfsutil

3、通常復(fù)制故障：

（1）拒絕訪問(wèn)：時(shí)鐘不同步，網(wǎng)絡(luò)故障

（2）dns 查找故障，dsa 操作無(wú)法繼續(xù)

（3）操作被排隊(duì)或沒(méi)有顯示任何復(fù)制鏈接

（4）復(fù)制訪問(wèn)被拒絕或正在刪除名稱(chēng)上下文

（5）站點(diǎn)之間存在重復(fù)的連接對(duì)象

（6）多個(gè)域控中所應(yīng)用的組策略不一致

（7）目錄服務(wù)因太忙而無(wú)法完成操作

其中3-7項(xiàng)建議等待一段時(shí)間一般會(huì)自動(dòng)解決

4、實(shí)例演示：使用工具診斷復(fù)制故障

（1）AD 中通常會(huì)自動(dòng)生成環(huán)形復(fù)制拓?fù)浣Y(jié)構(gòu)，域服務(wù)器之間的復(fù)制間隔為5分鐘，3臺(tái)DC 之間的同步大概需要為15分鐘左右（基于100M 以太網(wǎng)），使用站點(diǎn)和服務(wù)來(lái)操作。

（2）若無(wú)法復(fù)制成功，可利用復(fù)制監(jiān)視器工具來(lái)控制復(fù)制。

強(qiáng)制生成復(fù)制拓?fù)浣Y(jié)構(gòu)和顯示復(fù)制拓?fù)浣Y(jié)構(gòu)，拓?fù)浣Y(jié)構(gòu)圖中可以查看操作主機(jī)角色是否正常工作; 察看復(fù)制對(duì)象的USN(update serial number);察看復(fù)制過(guò)程中的一些錯(cuò)誤

（3）dsastat

三、Operation Master Roles(fsmo)

1、何時(shí)需要轉(zhuǎn)移操作主機(jī)角色？

2、決定操作主機(jī)角色擁有者：圖形化接口工具和ntdsutil

3、移轉(zhuǎn)方式：transfer(在線移轉(zhuǎn)）和seize(強(qiáng)制轉(zhuǎn)移)

4、移轉(zhuǎn)工具：圖形化接口工具（AD 用戶(hù)和計(jì)算機(jī)、AD 域和信任關(guān)系、AD 架構(gòu)）

5、命令行方式下轉(zhuǎn)移FSMO 角色：

ntdsutil.exe

roles

connections

connect to server servername

quit

seize pdc

rid master

infrastructure master

schema master

domain naming master

transfer

quit

盡可能使用transfer 而不是seize, 當(dāng)中的servername 是即將成為操作主機(jī)角色的服務(wù)器，圖形方式下，需要先連接其他的域控制器后才可以更改操作主機(jī)角色

第三部分：Troubleshooting Case Study

1、AD 的問(wèn)題一般分四個(gè)層面：網(wǎng)絡(luò)問(wèn)題、活動(dòng)目錄的支撐服務(wù)（dns/wins/etc）、活動(dòng)目錄的復(fù)制問(wèn)題、域控制器的個(gè)體原因。

2、典型案例：

case(1):時(shí)間源同步問(wèn)題

case(2):

問(wèn)題背景：用戶(hù)登錄或訪問(wèn)服務(wù)器，經(jīng)常出現(xiàn)“由于時(shí)間差異，訪問(wèn)拒絕“的提示

問(wèn)題解決：

與kerveros 協(xié)議有關(guān)，用來(lái)代替原先的ntlm 協(xié)議，所有的計(jì)算機(jī)（包括client 和server,os 為win2k 及以上），會(huì)自動(dòng)將根域的PDC 模擬器作為時(shí)間服務(wù)器，W32Time 服務(wù)按照一定的周期進(jìn)行時(shí)鐘校正：從計(jì)算機(jī)啟動(dòng)開(kāi)始，嘗試以45分鐘作為間隔，聯(lián)系時(shí)鐘服務(wù)器，進(jìn)行時(shí)鐘同步；如果同步成功，以8小時(shí)為間隔，進(jìn)行同步驗(yàn)證；如果同步失敗，開(kāi)始嘗試進(jìn)行時(shí)鐘同步。為了保證時(shí)間服務(wù)器正常工作，在根域的PDC 模擬器上建議設(shè)置外部時(shí)間源，指向INTERNET 上的時(shí)間服務(wù)器，在其他計(jì)算機(jī)上保證Windows Time服務(wù)正常啟動(dòng)。

具體要求：dc 之間時(shí)間相差不能超過(guò)5分鐘，client 與dc 之間相差不能超過(guò)30分鐘

問(wèn)題根源：kerberos 協(xié)議要求計(jì)算機(jī)時(shí)鐘同步經(jīng)過(guò)分析，發(fā)現(xiàn)客戶(hù)端計(jì)算機(jī)啟動(dòng)某個(gè)應(yīng)用程序，會(huì)在啟動(dòng)時(shí)與服務(wù)器（一臺(tái)unix 計(jì)算機(jī)）進(jìn)行時(shí)鐘校準(zhǔn)，而該服務(wù)器時(shí)鐘與DC 始終存在約45分鐘的差異，將域控制器時(shí)鐘與服務(wù)器同步，并建議設(shè)定同一時(shí)間源。

CASE(3)

問(wèn)題描述：某客戶(hù)報(bào)告，客戶(hù)端計(jì)算機(jī)啟動(dòng)緩慢，在出現(xiàn)“正在準(zhǔn)備網(wǎng)絡(luò)連接“提示時(shí)，會(huì)有長(zhǎng)時(shí)間停留，經(jīng)過(guò)檢查發(fā)現(xiàn)，客戶(hù)端計(jì)算機(jī)雖然已經(jīng)正確配置了DNS 服務(wù)器地址，但在同時(shí)作為域控制器的DNS 服務(wù)器上，發(fā)現(xiàn)沒(méi)有相應(yīng)的記錄，客戶(hù)使用了SOMEDOMAIN 形式的域名。

問(wèn)題原因：Win2k sp4/winxp/2003不在頂級(jí)域下注冊(cè)dns 記錄

解決方法：修改注冊(cè)表和使用組策略（客戶(hù)端本地計(jì)算機(jī)策略/管理模版/網(wǎng)絡(luò)/DNS客戶(hù)端），在客戶(hù)現(xiàn)場(chǎng)，臨時(shí)使用了手動(dòng)加載netlogon.dns 文件的方法（應(yīng)該注冊(cè)的dns 記錄）

systemroot/system32/config/netlogon.dns(應(yīng)該寫(xiě)到dns 服務(wù)器內(nèi)的記錄) ，將記錄復(fù)制到dns 服務(wù)器數(shù)據(jù)庫(kù)中，應(yīng)先將集成的dns 區(qū)域改成主區(qū)域，然后到dns 數(shù)據(jù)庫(kù)記錄文件進(jìn)行粘貼，然后再修改為AD 集成的DNS 區(qū)域（存在多個(gè)域時(shí)工作量大）

CASE(4)通過(guò)修改注冊(cè)表強(qiáng)行卸載dc:

鍵值位置：hklm/system/controlsset/control/productoptions/ProductType LanmanNt 修改為/ServerNT，重啟機(jī)器此時(shí)然后便可以卸載dc 了，原理為啟動(dòng)時(shí)會(huì)檢查該鍵值，如果為ServerNT ，便不啟動(dòng)dc 所需的相應(yīng)服務(wù)，但也有些副作用，如intersitemesseging 服務(wù)會(huì)報(bào)錯(cuò)，應(yīng)為它仍然會(huì)啟動(dòng)，而它相關(guān)聯(lián)的服務(wù)均已停止故出現(xiàn)報(bào)錯(cuò)信息，此時(shí)應(yīng)該將該服務(wù)設(shè)為手動(dòng)或禁用，強(qiáng)行卸載完DC 后，應(yīng)該在保留的DC 上利用NTDSUTIL 工具中的metadata cleanup 將無(wú)用的信息清除掉。

不能卸載之可能原因：網(wǎng)絡(luò)問(wèn)題，不能連通操作主機(jī)；長(zhǎng)久沒(méi)有同步等等。

本文來(lái)自“十萬(wàn)個(gè)為什么”電腦學(xué)習(xí)網(wǎng) http://www.why100000.com