Active_Directory管理和构架-第7部分.pptVIP

DC之间复制sysvol共享文件夹 netlogon共享：低版本客户端的登录脚本和系统策略 sysvol共享：为win2k及以后客户端提供组策略，导致组策略分发不成功 命令行排错工具：ntfrsutl 通常复制故障 （1）拒绝访问：时钟不同步，网络故障 （2）dns查找故障，dsa操作无法继续 （3）操作被排队或没有显示任何复制链接 （4）复制访问被拒绝或正在删除名称上下文 （5）站点之间存在重复的连接对象 （6）多个域控中所应用的组策略不一致 （7）目录服务因太忙而无法完成操作 其中3-7项建议等待一段时间一般会自动解决 AD 数据的清理 手动从 Active Directory 中删除孤立的域 手动清除Metadata 手动清除AD数据库 常用的排错工具 开启AD调试模式 Netdiag的使用 Dcdiag的使用 Netdom的使用 LDAP Query的使用 KB的使用 MPSRPT的使用 开启AD调试模式 获得详细的底层信息 (1) 修改注册表 (2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics (3) 取值范围：0－3 可在事件查看器目录服务中查看，3为上限,日志量相当大，应注意调整日志文件大小。 使用 Netdiag.exe 测试和查看网络配置 对于任何平台，都可以使用 netdiag /v /l 命令来获取非 IPSec 特定的网络信息。这些选项的典型用途包括： 用一个命令报告计算机的 IP 配置和路由配置。 测试 WINS 和 DNS 名称解析和一致性。 报告计算机的内部版本号和安装在该计算机上的即时修复程序。 测试域成员资格的有效性，域成员是否可以成功地与域控制器联系，以及信任关系。 “/l”选项可生成 Netdiag.log 文件。此文件将写入到运行 Netdiag.exe 的文件夹。 命令工具 Dcdiag dcdiag /v（详细输出） dcdiag /c (开启所有项的测试) dcdiag /a（对站点内所有DC进行测试 Netdom netdom query fsmo(查看所有操作主机） netdom query dc(查看所有域控服务器） 5%-10%的错误是由于对网络结构的错误认识 KB Knowledge Base (知识库） 微软最重要的知识共享系统，解决实际技术问题的电子字典 /search/?adv=1 Demo 实验7-2 活动目录故障排除 * Show code Change User Name * Show code Change User Name * Show code Change User Name * * * * * * * * * * * * * * * * * * 活动目录诊断及故障排除 内容 DNS 故障排除 全局编录的管理 FSMO配置管理 SYSVOL管理 AD 站点复制优化 AD 数据的清理 常用的排错工具 DNS 故障排除 AD与DNS服务的关系 使用Nslookup确认域控制器 SRV 记录的创建 恢复丢失的DNS SRV记录 恢复丢失的DNS AD整合区域 重建AD整合的DNS服务 AD与DNS服务的关系 DNS服务器 储存资源记录 指示计算机或服务所在的地址等信息 域控制器 储存域中的对象 提供身份验证、安全原则及各种对象的信息等 DNS在Active Directory所扮演的角色 支持Active Directory的DNS的需求 支持SRV记录(必需) 记录域控制器的LDAP、 GC、 Kerberos 、Kpasswd等服务 支持动态更新通讯协议(建议) 可以让我们减少建立SRV记录的麻烦 可以让域控制器可以使用动态IP地址 支持增量区域传送IXFR(建议) 可以降低区域传送(Zone Transfer)时的网络流量 SRV记录 告诉我们Active Directory域服务的位置 计算机名称 端口 优先级 权数 使用Nslookup确认域控制器 SRV 记录 从 DNS 服务器中，在命令提示符下键nslookup 键入 set type=srv，然后按下 ENTER 键。 键入 _ldap._tcp.dc._msdcs. domainname（这里的 domainname?为您的域名），然后按下 Enter 键。 DNS 配置错误 DNS中最重要的是SRV纪录而不是A纪录，通常SRV纪录对应有一个A纪录 _ldap._tcp.dc_ 600 IN SRV 0 100 389 _msdcs区域中包含所有dc的服务纪录，作用就是为了定位域控制器和全局编目服务器 DNS起到路标和指示灯，50%的