驗證AD DS是否安裝成功
在執行完AD DS的安裝後,可以通過以下步驟來檢查AD DS是否成功安裝
1、 檢查AD站點和服務中的DC下是否有子對象
1) 打開“Start”—“Administrative Tools”—“Active Directory Sites and Services”
2)出現如下“Active Directory Sites and Services”窗口,展開“Site”—展開您的站點,默認是“Default-First-Site-Name”—展開“Servers”—展開您安裝的域控制器—查看域控制器下是否有子對象,比如NTDS Settings
2、 驗證AD用戶和計算機中是否存在“Domain Controller”容器
1) 打開“Start”—“Administrative Tools”—“Active Directory Users and Computers”
2) 展開域名,查看是否存在Domain Controller容器,以及容器中是否存在安裝的域控制器,和域控制器是否在正確的站點中
3、 驗證默認容器是否存在
1) 在“Active Directory Users and Computers”窗口中,檢查默認容器Computers、ForeignSecurityPrincipals、Users是否存在
4、 驗證Active Directory數據庫
1) Active Directory數據庫就是Ntds.dit文件,檢查該文件是否存在以及是否在正確路徑下,默認安裝在%Systemroot%\Ntds文件夾中
5、 驗證全局編錄服務器(Global Catalog)
默認情況下,安裝的第一臺域控制器會成爲全局編錄服務器,之後安裝的域控制器需要指定是否擔任全局編錄服務器
1) 打開“Start”—“Administrative Tools”—“Active Directory Sites and Services”,依次展開“Site” —展開您的站點,默認是“Default-First-Site-Name”—展開“Servers”—展開域控制器—在NTDS Settings上右鍵—點擊“Properties”,出現“NTDS Settings Properties”對話框,檢查“Global Catalog”選項是否選中。
6、 檢查SYSVOL和Netlogon共享狀態
1) 域控制器都有SYSVOL(%Systemroot%\SYSVOL\sysvol)和NETLOGON(%Systemroot%\SYSVOL\sysvol\<Domain Name>\SCRIPTS)共享文件,使用命令net share檢查
2) 檢查DFS Replication和Netlogon服務是否啓動。依次點擊“Start”—“Administrative Tools”—“Services”,檢查兩項服務是否啓動並設置爲Automatic
3) 檢查SYSVOL複製權限設置,可以在命令行中運行dcdiag /test:netlogons檢查
4) 檢查%Systemroot%\Sysvol\sysvol\<Domain Name>\Policies下是否存在默認域策略和默認域控制器策略,這些策略顯示以下全局唯一標識符(GUID)
{31B2F340-016D-11D2-945F-00C04FB984F9}:表示“默認域”策略
{6AC1786C-016F-11D2-945F-00C04fB984F9}:表示“默認域控制器”策略
{6AC1786C-016F-11D2-945F-00C04fB984F9}:表示“默認域控制器”策略
7、 驗證SRV資源記錄
1) 打開“Start”—“Administrative Tools”—“DNS”
2) 檢查_msdcs/dc/_sites/Default-First-Site-Name/_tcp中是否存在域控制器的SRV資源記錄
3) 檢查_msdcs/dc/_tcp中是否存在域控制器的SRV資源記錄
8、 驗證域控制器的計算機帳號
1) 在命令行中執行命令dcdiag /test:machineaccount 檢查, 如果成功,將提示“<Domain Controller Name> passed test MachineAccount”
9、 驗證域控制器的DNS註冊
1) 在命令行中執行命令dcdiag /test:dns 檢查,如果成功,將提示“<Domain Controller Name> passed test DNS”
10、 檢查域控制器是否可以與FSMO操作主機正常聯繫
1) 在命令行中執行以下命令 dcdiag /s:<Domain Controller Name> /test:KnowsOfRoleHolders /v
11、 檢查域控制器(DC)是否能聯繫密鑰發行中心(KDC)、時間服務器、首選時間服務器、主目錄服務器和全局編錄服務器
1) 在命令行中執行以下命令 dcdiag /s:<Domain Controller Name> /test:fsmocheck
