Active Directory 故障排除经验谈
作者:wang 日期:2009-06-08
工具简介:
1、enalbe ndsi diagnostics log
修改注册表HLM\SYSTEM\Current ControlSet\services\ntds\diagnostics 取值范围:0-3
获得详细的底层信息
注意调整目录服务日志大小,以便存放所产生日志2、netdiag
进行网络功能诊断,可以帮助分析DNS等故障
eg:netdiag /v >c:\netdiag.txt
netdiag /debug >c:\netdiag.txt3、netdom
管理和检查信任关系,确认数据库复制是否正常
eg:netdom query dc
netdom query fsmo4、dcdiag
分析域控制器状态,针对域控制器特定功能执行测试
eg:dcdiag /v/c/e >c:\dcdiag.txt v详细 c开启更多测试项 a全站点的DC e全企业的DC Resolve DNS Configuration Problem
使用NSLOOKUP来验证DNS记录是否完整
如果DNS记录缺失,通过以下方法来进行修复
重启Net Logon 服务
使用nltest.exe/dsregdns
注意DNS配置要求:允许动态更新,区域名称和AD域名相一致,DNS服务器本身需要配置DNS域名后缀等Replication Failures目录服务复制:AD对象(用户,计算机等)
文件复制服务(FRS)SYSVOL (登录脚本,组策略)工具:
ad replication monitor:
检查AD的复制,图形化显示复制拓朴,强制复制
repadmin
诊断域控制器间复制故障,确认复制伙伴,确认活动目录对象复制来源,强制复制
ntfrsutl
检查文件复制服务状态,检查复制日程安排,强制轮询,检查复制集
dsastat
检查目录服务状态
eg:dsastat -s dc1;dc2Transfer Operation Master
ntdsutilCase1
现象描述:
在作为森林根域的PDC模拟器角色的DC上,系统日志中可以看到事件ID62
解决办法:
在根域PDC模拟器角色上配置外部时间源:
eg:net time /setsntp:time.windows.com
手动客户机时钟同步:
net stop w32time
w32tm -once
net start w32time
在windows xp 和2003上则运行
w32tm /resync
*注意如有防火墙则开启到Internet 时间服务器的UDP123端口Case2
现象描述:用户报告用户登陆,访问服务器“由于时间差异,访问拒绝”的现象
解决办法:
在Windows Server 2003上,如果正确配置了外部时间源,但无法与时间源进行时钟同步时,可能标明您需要
相应的补丁,参考如下文档:http://support.microsoft.com/default.aspx?scid=kb;en-us;830092Case3
现象描述:
某客户报告,客户端计算机启动缓慢,在出现“正在准备网络连接”提示时,会有长时间的停留
经过检查发现,客户端计算机虽然正确配置了DNS服务器地址,但在同时作为域控制器的DNS服务器上,发现没有相应的DNS记录
客户使用了SomeDomain形式的域名故障原因:Windows 2000 SP4/WindowsXP/Windows Server 2003不在顶级域下注册DNS记录
解决方法:
1. 修改注册表
Windows 2000 SP4/Windows XP
子键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
条目:UpdateTopLevelDomainZones
类型:DWORD
值:1
子键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
条目:AllowSingleLabelDnsDomain
类型:DWORD
值:1Windows Server 2003
子键: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\DNSClient
条目:UpdateTopLevelDomainZones
类型:DWORD
值:1
子键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
条目:AllowSingleLabelDnsDomain
类型:DWORD
值:12. 使用组策略
仅对XP/2003有效
本地计算机策略--计算机配置--管理模版--网络--DNS客户端---更新顶级区域--启用*在客户现场,临时使用了手动加载netlogon.dns文件的方法:复制netlogon.dns内容到DNS数据库文件Case4
现象描述:
某用户对网络结构进行调整,以提高安全性
将所有服务器移动到同一个子网,并使用硬件防火墙在服务器子网和客户端计算机所在子网之间进行地址转换(NAT)
两台Windows 2000域控制器被移动到服务器子网
所有客户端计算机位于另外子网
客户端计算机可以访问域控制器的共享文件夹,DNS服务
但是客户端计算机无法登录域
解决方法:
防火墙只是转换了IP包头中的IP地址,没有转换NetBIOS 数据报包头中的源IP地址
NetBIOS 数据报的用途:
查找登录服务器
发送登录请求
进行域同步
浏览服务主机名称宣告
浏览服务工作组/域宣告
住浏览服务器存在和选举包
NET SEND /d: "Message “
**因些做此调整需要确认防火墙支持NetBIOS数据报包头转换。Case5
现象描述:
某用户报告,所有用户在注销时,都会提示与网络上的某个共享文件夹进行同步,但是实际上该文件夹并没有开启文件缓存功能,同时也没有任何登录和注销脚本与此相关
用户担心这是安全问题
解决方法:
经过检查,发现该文件夹下存放了所有用户的Application Data目录,应该是由于文件夹重定向策略引起的
但是检查所有目前的组策略对象,没有发现有相应设置的策略对象
使用GPMC进行分析,确认是管理人员曾经的测试所引的,在策略对象中重新定向Application Data目录到用户本地计算机,从而解决该问题Case6
现象描述:
某客户在两年前将同一Windows NT 4域的两台域控制器升级到Windows Server 2000域控制器
升级后未正确配置DNS服务,结果导致两年来两台域控制器在同步上一直存在故障,出现用户无法正常修改口令,经常性登录失败
用户曾经尝试卸载其中一台域控制器,打算重新安装,但是卸载失败
解决方法:
1、将其中一台域控制器卸载,然后重新安装,是较好的方法;
2、采用将其中一台与网络隔离,强制转移操作主机角色,然后卸载(如果正常卸载失败还可以考虑通过修改注册表的方法);改为currentcontrol set /product***/ServerNT
3、在保留的域控制器上,使用NTDSUTIL工具清除已卸载域控制器记录信息;
4、正确配置DNS服务;
5、重新安装域控制器。
1、enalbe ndsi diagnostics log
修改注册表HLM\SYSTEM\Current ControlSet\services\ntds\diagnostics 取值范围:0-3
获得详细的底层信息
注意调整目录服务日志大小,以便存放所产生日志2、netdiag
进行网络功能诊断,可以帮助分析DNS等故障
eg:netdiag /v >c:\netdiag.txt
netdiag /debug >c:\netdiag.txt3、netdom
管理和检查信任关系,确认数据库复制是否正常
eg:netdom query dc
netdom query fsmo4、dcdiag
分析域控制器状态,针对域控制器特定功能执行测试
eg:dcdiag /v/c/e >c:\dcdiag.txt v详细 c开启更多测试项 a全站点的DC e全企业的DC Resolve DNS Configuration Problem
使用NSLOOKUP来验证DNS记录是否完整
如果DNS记录缺失,通过以下方法来进行修复
重启Net Logon 服务
使用nltest.exe/dsregdns
注意DNS配置要求:允许动态更新,区域名称和AD域名相一致,DNS服务器本身需要配置DNS域名后缀等Replication Failures目录服务复制:AD对象(用户,计算机等)
文件复制服务(FRS)SYSVOL (登录脚本,组策略)工具:
ad replication monitor:
检查AD的复制,图形化显示复制拓朴,强制复制
repadmin
诊断域控制器间复制故障,确认复制伙伴,确认活动目录对象复制来源,强制复制
ntfrsutl
检查文件复制服务状态,检查复制日程安排,强制轮询,检查复制集
dsastat
检查目录服务状态
eg:dsastat -s dc1;dc2Transfer Operation Master
ntdsutilCase1
现象描述:
在作为森林根域的PDC模拟器角色的DC上,系统日志中可以看到事件ID62
解决办法:
在根域PDC模拟器角色上配置外部时间源:
eg:net time /setsntp:time.windows.com
手动客户机时钟同步:
net stop w32time
w32tm -once
net start w32time
在windows xp 和2003上则运行
w32tm /resync
*注意如有防火墙则开启到Internet 时间服务器的UDP123端口Case2
现象描述:用户报告用户登陆,访问服务器“由于时间差异,访问拒绝”的现象
解决办法:
在Windows Server 2003上,如果正确配置了外部时间源,但无法与时间源进行时钟同步时,可能标明您需要
相应的补丁,参考如下文档:http://support.microsoft.com/default.aspx?scid=kb;en-us;830092Case3
现象描述:
某客户报告,客户端计算机启动缓慢,在出现“正在准备网络连接”提示时,会有长时间的停留
经过检查发现,客户端计算机虽然正确配置了DNS服务器地址,但在同时作为域控制器的DNS服务器上,发现没有相应的DNS记录
客户使用了SomeDomain形式的域名故障原因:Windows 2000 SP4/WindowsXP/Windows Server 2003不在顶级域下注册DNS记录
解决方法:
1. 修改注册表
Windows 2000 SP4/Windows XP
子键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters
条目:UpdateTopLevelDomainZones
类型:DWORD
值:1
子键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
条目:AllowSingleLabelDnsDomain
类型:DWORD
值:1Windows Server 2003
子键: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\DNSClient
条目:UpdateTopLevelDomainZones
类型:DWORD
值:1
子键:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters
条目:AllowSingleLabelDnsDomain
类型:DWORD
值:12. 使用组策略
仅对XP/2003有效
本地计算机策略--计算机配置--管理模版--网络--DNS客户端---更新顶级区域--启用*在客户现场,临时使用了手动加载netlogon.dns文件的方法:复制netlogon.dns内容到DNS数据库文件Case4
现象描述:
某用户对网络结构进行调整,以提高安全性
将所有服务器移动到同一个子网,并使用硬件防火墙在服务器子网和客户端计算机所在子网之间进行地址转换(NAT)
两台Windows 2000域控制器被移动到服务器子网
所有客户端计算机位于另外子网
客户端计算机可以访问域控制器的共享文件夹,DNS服务
但是客户端计算机无法登录域
解决方法:
防火墙只是转换了IP包头中的IP地址,没有转换NetBIOS 数据报包头中的源IP地址
NetBIOS 数据报的用途:
查找登录服务器
发送登录请求
进行域同步
浏览服务主机名称宣告
浏览服务工作组/域宣告
住浏览服务器存在和选举包
NET SEND /d:
**因些做此调整需要确认防火墙支持NetBIOS数据报包头转换。Case5
现象描述:
某用户报告,所有用户在注销时,都会提示与网络上的某个共享文件夹进行同步,但是实际上该文件夹并没有开启文件缓存功能,同时也没有任何登录和注销脚本与此相关
用户担心这是安全问题
解决方法:
经过检查,发现该文件夹下存放了所有用户的Application Data目录,应该是由于文件夹重定向策略引起的
但是检查所有目前的组策略对象,没有发现有相应设置的策略对象
使用GPMC进行分析,确认是管理人员曾经的测试所引的,在策略对象中重新定向Application Data目录到用户本地计算机,从而解决该问题Case6
现象描述:
某客户在两年前将同一Windows NT 4域的两台域控制器升级到Windows Server 2000域控制器
升级后未正确配置DNS服务,结果导致两年来两台域控制器在同步上一直存在故障,出现用户无法正常修改口令,经常性登录失败
用户曾经尝试卸载其中一台域控制器,打算重新安装,但是卸载失败
解决方法:
1、将其中一台域控制器卸载,然后重新安装,是较好的方法;
2、采用将其中一台与网络隔离,强制转移操作主机角色,然后卸载(如果正常卸载失败还可以考虑通过修改注册表的方法);改为currentcontrol set /product***/ServerNT
3、在保留的域控制器上,使用NTDSUTIL工具清除已卸载域控制器记录信息;
4、正确配置DNS服务;
5、重新安装域控制器。
评论: 0 | 引用: 0 | 查看次数: 2294
发表评论