常見 AD 排錯工具1、enable ndsi diagnostics log:hklmsystemcurrentcontrolsetservicesntdsdiagnostics取值范圍：0-3可在

常見 AD 排錯工具

1、enable ndsi diagnostics log:

hklmsystemcurrentcontrolsetservicesntdsdiagnostics

取值范圍：0-3

可在事件查看器目錄服務(wù)中查看，3為上限, 日志量相當大，應(yīng)注意調(diào)整日志文件大小。

2、dcdiag

dcdiag /v（詳細輸出） /c(開啟所有項的測試) /a（對站點內(nèi)所有DC 進行測試）

3、netdom

對客戶機加入域及信任關(guān)系管理

Example:

netdom query dc

netdom query fsmo

5-10的錯誤是由于對網(wǎng)絡(luò)結(jié)構(gòu)的錯誤認識。

4、netdiag

Example:

netdiag /debug 〉netdiag041218.txt （加debug 參數(shù)為最詳細記錄）

notepad netdiag0411218.txt

5錯誤是由網(wǎng)絡(luò)配置造成的

第二部分：AD 維護中三種常見故障：

一、DNS 配置相關(guān)故障

1、綜述：AD 中DNS 起到路標和指示燈的作用，至少50的AD 故障源于DNS.

DNS 中最重要的是SRV 紀錄而不是A 紀錄，通常SRV 紀錄對應(yīng)有一個A 紀錄

SRV Record example: _ldap._tcp,dc._msdcs.xyz.com.600 IN srv 0 100 389 dcserver1.xyz.com

用戶登錄域時通過dns 服務(wù)器找尋dc 的，_msdcs區(qū)域中包含所有dc 的服務(wù)紀錄，作用就是為了定位域控制器和全局編目服務(wù)器，win2k 中若有多個域則只有根域中有該區(qū)域，子域中沒有。

2、幾個驗證和修復(fù)工具

（1）使用nslookup 來記錄dns 記錄是否完整

（2）若dns 記錄缺失，可通過：

a ：重新啟動Net Logon服務(wù)

b ：使用nltest.exe /seregdns （安裝support tools工具后才會有）

注意dns 配置要求：允許動態(tài)更新，區(qū)域名稱和AD 域名相一致，dns 服務(wù)器本身需要配置dns 域名后綴

3、實例演示：驗證和修復(fù)dns 故障

2003中_msdcs區(qū)域作為獨立一個區(qū)域存在，若出現(xiàn)機器登錄域非常慢，90是dns 出了問題。

（1）若出現(xiàn)記錄缺失情況：

stop netlogon & start netlogon 重新啟動該服務(wù)，其實每次關(guān)機重啟時均會重新啟動該服務(wù)。

（2）若無任何記錄區(qū)域

則新建記錄區(qū)域，若操作過程中出現(xiàn)無法刪除和拒絕提示時，則可能是因為多臺DC 之間狀態(tài)沒有同步，只需稍等片刻即可。

多域環(huán)境中，_msdcs區(qū)域必須分開創(chuàng)建，否則只能找到本域的dc ，而找不到森林中其它域的gc 服務(wù)器

（3）修復(fù)工具

nltest.exe /dzregdns

特點：速度快且不會對用戶有影響

從安全角度考慮，最好將dns 配置成活動目錄集成區(qū)域,2003中新添條件轉(zhuǎn)發(fā)特性。

二、關(guān)于DC 之間的復(fù)制故障

nt4單向復(fù)制，PDC-〉BDC ，存在很多弊端。

DC 之間復(fù)制的內(nèi)容：

（1）目錄服務(wù)復(fù)制：主要是數(shù)據(jù)庫的復(fù)制（AD 對象，包括用戶，計算機等）

（2）文件復(fù)制服務(wù)（FRS)sysvol 文件夾，包括組策略實體。

2、排錯工具

(1)AD replication monitor圖形工具

a. 檢查ad 復(fù)制

b. 圖形化顯示復(fù)制拓撲

c. 強制復(fù)制

（2）命令行工具repadmin

a. 診斷dc 間復(fù)制故障

b. 確認復(fù)制伙伴

c. 確認活動目錄對象復(fù)制來源

d. 強制復(fù)制

dc 之間的文件復(fù)制服務(wù)

dc 之間復(fù)制sysvol 共享文件夾

（1）netlogon 共享：低版本客戶端的登錄腳本和系統(tǒng)策略

（2）sysvol 共享：為win2k 及以后客戶端提供組策略，導(dǎo)致組策略分發(fā)不成功

命令行排錯工具：ntfsutil

3、通常復(fù)制故障：

（1）拒絕訪問：時鐘不同步，網(wǎng)絡(luò)故障

（2）dns 查找故障，dsa 操作無法繼續(xù)

（3）操作被排隊或沒有顯示任何復(fù)制鏈接

（4）復(fù)制訪問被拒絕或正在刪除名稱上下文

（5）站點之間存在重復(fù)的連接對象

（6）多個域控中所應(yīng)用的組策略不一致

（7）目錄服務(wù)因太忙而無法完成操作

其中3-7項建議等待一段時間一般會自動解決

4、實例演示：使用工具診斷復(fù)制故障

（1）AD 中通常會自動生成環(huán)形復(fù)制拓撲結(jié)構(gòu)，域服務(wù)器之間的復(fù)制間隔為5分鐘，3臺DC 之間的同步大概需要為15分鐘左右（基于100M 以太網(wǎng)），使用站點和服務(wù)來操作。

（2）若無法復(fù)制成功，可利用復(fù)制監(jiān)視器工具來控制復(fù)制。

強制生成復(fù)制拓撲結(jié)構(gòu)和顯示復(fù)制拓撲結(jié)構(gòu)，拓撲結(jié)構(gòu)圖中可以查看操作主機角色是否正常工作; 察看復(fù)制對象的USN(update serial number);察看復(fù)制過程中的一些錯誤

（3）dsastat

三、Operation Master Roles(fsmo)

1、何時需要轉(zhuǎn)移操作主機角色？

2、決定操作主機角色擁有者：圖形化接口工具和ntdsutil

3、移轉(zhuǎn)方式：transfer(在線移轉(zhuǎn)）和seize(強制轉(zhuǎn)移)

4、移轉(zhuǎn)工具：圖形化接口工具（AD 用戶和計算機、AD 域和信任關(guān)系、AD 架構(gòu)）

5、命令行方式下轉(zhuǎn)移FSMO 角色：

ntdsutil.exe

roles

connections

connect to server servername

quit

seize pdc

rid master

infrastructure master

schema master

domain naming master

transfer

quit

盡可能使用transfer 而不是seize, 當中的servername 是即將成為操作主機角色的服務(wù)器，圖形方式下，需要先連接其他的域控制器后才可以更改操作主機角色

第三部分：Troubleshooting Case Study

1、AD 的問題一般分四個層面：網(wǎng)絡(luò)問題、活動目錄的支撐服務(wù)（dns/wins/etc）、活動目錄的復(fù)制問題、域控制器的個體原因。

2、典型案例：

case(1):時間源同步問題

case(2):

問題背景：用戶登錄或訪問服務(wù)器，經(jīng)常出現(xiàn)“由于時間差異，訪問拒絕“的提示

問題解決：

與kerveros 協(xié)議有關(guān)，用來代替原先的ntlm 協(xié)議，所有的計算機（包括client 和server,os 為win2k 及以上），會自動將根域的PDC 模擬器作為時間服務(wù)器，W32Time 服務(wù)按照一定的周期進行時鐘校正：從計算機啟動開始，嘗試以45分鐘作為間隔，聯(lián)系時鐘服務(wù)器，進行時鐘同步；如果同步成功，以8小時為間隔，進行同步驗證；如果同步失敗，開始嘗試進行時鐘同步。為了保證時間服務(wù)器正常工作，在根域的PDC 模擬器上建議設(shè)置外部時間源，指向INTERNET 上的時間服務(wù)器，在其他計算機上保證Windows Time服務(wù)正常啟動。

具體要求：dc 之間時間相差不能超過5分鐘，client 與dc 之間相差不能超過30分鐘

問題根源：kerberos 協(xié)議要求計算機時鐘同步經(jīng)過分析，發(fā)現(xiàn)客戶端計算機啟動某個應(yīng)用程序，會在啟動時與服務(wù)器（一臺unix 計算機）進行時鐘校準，而該服務(wù)器時鐘與DC 始終存在約45分鐘的差異，將域控制器時鐘與服務(wù)器同步，并建議設(shè)定同一時間源。

CASE(3)

問題描述：某客戶報告，客戶端計算機啟動緩慢，在出現(xiàn)“正在準備網(wǎng)絡(luò)連接“提示時，會有長時間停留，經(jīng)過檢查發(fā)現(xiàn)，客戶端計算機雖然已經(jīng)正確配置了DNS 服務(wù)器地址，但在同時作為域控制器的DNS 服務(wù)器上，發(fā)現(xiàn)沒有相應(yīng)的記錄，客戶使用了SOMEDOMAIN 形式的域名。

問題原因：Win2k sp4/winxp/2003不在頂級域下注冊dns 記錄

解決方法：修改注冊表和使用組策略（客戶端本地計算機策略/管理模版/網(wǎng)絡(luò)/DNS客戶端），在客戶現(xiàn)場，臨時使用了手動加載netlogon.dns 文件的方法（應(yīng)該注冊的dns 記錄）

systemroot/system32/config/netlogon.dns(應(yīng)該寫到dns 服務(wù)器內(nèi)的記錄) ，將記錄復(fù)制到dns 服務(wù)器數(shù)據(jù)庫中，應(yīng)先將集成的dns 區(qū)域改成主區(qū)域，然后到dns 數(shù)據(jù)庫記錄文件進行粘貼，然后再修改為AD 集成的DNS 區(qū)域（存在多個域時工作量大）

CASE(4)通過修改注冊表強行卸載dc:

鍵值位置：hklm/system/controlsset/control/productoptions/ProductType LanmanNt 修改為/ServerNT，重啟機器此時然后便可以卸載dc 了，原理為啟動時會檢查該鍵值，如果為ServerNT ，便不啟動dc 所需的相應(yīng)服務(wù)，但也有些副作用，如intersitemesseging 服務(wù)會報錯，應(yīng)為它仍然會啟動，而它相關(guān)聯(lián)的服務(wù)均已停止故出現(xiàn)報錯信息，此時應(yīng)該將該服務(wù)設(shè)為手動或禁用，強行卸載完DC 后，應(yīng)該在保留的DC 上利用NTDSUTIL 工具中的metadata cleanup 將無用的信息清除掉。

不能卸載之可能原因：網(wǎng)絡(luò)問題，不能連通操作主機；長久沒有同步等等。

本文來自“十萬個為什么”電腦學(xué)習(xí)網(wǎng) http://www.why100000.com