常见AD排错工具.docVIP

enable ndsi diagnostics log: hklm/system/currentcontrolset/services/ntds/diagnostics 取值范围：0-3 可在事件查看器目录服务中查看，3为上限,日志量相当大，应注意调整日志文件大小。 2、dcdiag dcdiag /v（详细输出） /c(开启所有项的测试) /a（对站点内所有DC进行测试） 3、netdom 对客户机加入域及信任关系管理 Example: netdom query dc netdom query fsmo 5%-10%的错误是由于对网络结构的错误认识。 4、netdiag Example: netdiag /debug 〉netdiag041218.txt （加debug参数为最详细记录） notepad netdiag0411218.txt 5%错误是由网络配置造成的 第二部分：AD维护中三种常见故障： 一、DNS配置相关故障 1、综述：AD中DNS起到路标和指示灯的作用，至少50%的AD故障源于DNS. DNS中最重要的是SRV纪录而不是A纪录，通常SRV纪录对应有一个A纪录 SRV Record example: _ldap._tcp,dc._.600 IN srv 0 100 389 用户登录域时通过dns服务器找寻dc的，_msdcs区域中包含所有dc的服务纪录，作用就是为了定位域控制器和全局编目服务器，win2k中若有多个域则只有根域中有该区域，子域中没有。 2、几个验证和修复工具 （1）使用nslookup来记录dns记录是否完整 （2）若dns记录缺失，可通过： a：重新启动Net Logon服务 b：使用nltest.exe /seregdns （安装support tools工具后才会有） 注意dns配置要求：允许动态更新，区域名称和AD域名相一致，dns服务器本身需要配置dns域名后缀 3、实例演示：验证和修复dns故障 2003中_msdcs区域作为独立一个区域存在，若出现机器登录域非常慢，90%是dns出了问题。 （1）若出现记录缺失情况： stop netlogon start netlogon 重新启动该服务，其实每次关机重启时均会重新启动该服务。 （2）若无任何记录区域 则新建记录区域，若操作过程中出现无法删除和拒绝提示时，则可能是因为多台DC之间状态没有同步，只需稍等片刻即可。 多域环境中，_msdcs区域必须分开创建，否则只能找到本域的dc，而找不到森林中其它域的gc服务器 （3）修复工具 nltest.exe /dzregdns 特点：速度快且不会对用户有影响 从安全角度考虑，最好将dns配置成活动目录集成区域,2003中新添条件转发特性。 二、关于DC之间的复制故障 nt4单向复制，PDC-〉BDC，存在很多弊端。 DC之间复制的内容： （1）目录服务复制：主要是数据库的复制（AD对象，包括用户，计算机等） （2）文件复制服务（FRS)sysvol文件夹，包括组策略实体。 2、排错工具 (1)AD replication monitor图形工具 a.检查ad复制 b.图形化显示复制拓扑 c.强制复制 （2）命令行工具repadmin a.诊断dc间复制故障 b.确认复制伙伴 c.确认活动目录对象复制来源 d.强制复制 dc之间的文件复制服务 dc之间复制sysvol共享文件夹 （1）netlogon共享：低版本客户端的登录脚本和系统策略 （2）sysvol共享：为win2k及以后客户端提供组策略，导致组策略分发不成功 命令行排错工具：ntfsutil 3、通常复制故障： （1）拒绝访问：时钟不同步，网络故障 （2）dns查找故障，dsa操作无法继续 （3）操作被排队或没有显示任何复制链接 （4）复制访问被拒绝或正在删除名称上下文 （5）站点之间存在重复的连接对象 （6）多个域控中所应用的组策略不一致 （7）目录服务因太忙而无法完成操作 其中3-7项建议等待一段时间一般会自动解决 4、实例演示：使用工具诊断复制故障 （1）AD中通常会