活動目錄排錯筆記

經過幾年的網絡管理工作，總結了一些關於AD的排錯經驗現在拿出來同大家分享，其中一些說明抄了微軟的KB在這裏說明一下，排錯筆記有些地方可能寫的不是很全，看不明白的地方大家可以GOOGLE一下，不對的地方也請大家提出
活動目錄故障排除
一．  在活動目錄出現問題是大家首先獲得活動目錄的日誌，
1.  改註冊表獲得獲得更爲詳細目錄日誌
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
取值範圍：0-3
注意調整目錄服務日誌大小，以便存放所產生日誌
記錄的日誌在日誌目錄中查看
使用方法：
Dcidiag /v  /c  /e
/v 詳細日誌
/c 開啓更詳細的日誌
/e 查看整個森林的日誌
2.  現場快速排除使用命令：
DCDIAG:
1.  分析域控制器狀態
2.  針對域控制器特定功能執行測試
3． NETDOM:
1. 管理和檢查信任關係
2.確認數據庫複製是否正常
使用方法：
NETDOM query ?
NETDOM query dc (查詢那些機器裝有域控制器)
NETDOM quey fsmo (查看操作主機的角色)
4.  NETDIAG
1.進行網絡功能診斷，可以幫助分析DNS等故障
使用方法
NETDIAG /V  /DEBUG  >C:\ENTDIAG.TXT
/V  顯示詳細的日誌
/DEBUG  顯示更加詳細的日誌
二．  DNS配置故障
DNS服務器在active directory中，除了提供名稱格式的支持服務，一般的名稱到IP的查詢外，最重要的作用是記錄域控制器與全局變了服務器的相關信息，並向客戶端提供這些重要信息；
域控制器會在DNS服務器上註冊，註冊的記錄不僅包括主機記錄（A記錄），而且包括相應的服務記錄（SRV記錄），類似於：
_ldap._tcp.dc_msdcs.xyz.com.600 INsrv 0 100 389 dcserver1.xyz.com
上面這條記錄代表xyz.com域的域控制器是dcserver1.xyz.com;
客戶端需要查詢這些記錄，才能找到域控制器，並完成用戶登陸，active directoey 查詢等工作
Active directory 的正常工作，依賴於DNS服務的正確配置和正常工作
_msdcs區域中包含所有域控制器的服務記錄（SRV）
Active directory 森林的根域中的_msdcs區域中還額外包含森林中所有的全局編錄服務器的記錄
_msdcs區域的作用是爲了定位域控制器和全局編錄服務器，如果該區域不存在或記錄不正確，active directory會出現故障
驗證DNS的的完整性
使用NSLOOKUP來驗證DNS記錄是否完整
如果DNS記錄缺失，可以通過一下方法來進行修復：
1.  重新啓動NET logon服務
2.  使用nltest.exe /dsregdns （這個工具來自於support tools中）
DNS配置要求：允許動態更新，區域名稱和域名相一致，dns服務器本身需要配置dns域名後綴等
小竅門：如果計算機在啓動過程中常時間停留在正在準備網絡這裏，那麼90%的情況下是DNS出現了問題，2.如果在排除時使用NSLOOKUP進行dns檢查是出現電信或網通的DNS地址，那麼可以確定你的DNS配置一定有問題，前提是在域控制器上使用NSLOOKUP,命令：
Net stop netlogon & net start netlogon (停止並重啓netlogon*在計算機重啓的過程中netlogon服務同樣會重啓，如果在重啓數次還沒有修復_msdcs那麼就需要重建DNS了，
*如果在刪除DNS的過程中出現無法刪除DNS的情況，你可以稍等一會，因爲此時可能多臺域控制器正在複製信息，如果就一臺域控制器而且出現了這種情況，那就需要查看日誌了
*建立DNS時建議最好將_msdcs這一項單獨創建一個主要區域，創建完成後還要進行委派（目的是告訴森林中的其它域控制器全局編錄是在我這的），單獨創建_msdcs的前提是DNS是和域控制器安裝在同一臺服務器上的，注意一點是在使用嚮導時進行到“選擇如何複製區域數據時選擇第一項（至active directory林xx中的所有DNS服務器），”至於爲什麼選這一項可以查詢微軟KB這裏就不詳細介紹了。補充：如果DNS是在創建域控制器時集成的就不需要單獨創建_msdcs
活動目錄複製篇：
活動目錄數據複製檢測工具
1.  圖形工具
a.  Active Directory Replication Monitor (啓動命令是replmon)
檢查活動目錄的複製
圖形化顯示覆制拓撲
強制複製
2.  命令行工具
a.  dsastat –s:xx;xx (xx代表你的DC名字s後面是：xx是； )此命令代表比對兩臺服務器的狀態是否相同,只看結果的最後是不是pass即可
b.  REPADMIN
診斷域控制器間複製故障
確認複製夥伴
確認活動目錄對象複製來源
強制複製
* 小常識：
SYSVOL共享文件夾
a.  NETLOGON共享：低版本客戶端的登陸腳本和系統策略
b.  SYSVOL共享  ：爲windows2000及以後客戶端提供組策略
命令行排錯工具-NTFRSUTL
a.  檢查文件複製服務狀態
b.  檢查複製日程安排
c.  強制輪詢
d.  檢查複製集
複製問題導致的故障：
a.  拒絕訪問
b.  由於存在DNS查找故障，DSA操作無法繼續
c.  操作被排隊或者沒有顯示任何複製連接
d.  複製訪問被拒絕或者正在刪除名稱上下文
e.  站點之間存在重複的連接對象
f.  多個域控制器中所應用的組策略不一致
g.  目錄服務因太忙而無法完成操作
兩個站點間的立即複製操作：
Active directory 站點和服務—>域名（test）?servers?NTDS Setting—>點擊右邊方框中的；自動生成；--?右鍵立即複製即可（域服務器的複製大概5分鐘同步，根據站點間的距離的不同複製的時間也相應的不同）
a.  如果在複製時報錯那麼就需要調用Active Directory Replication Monitor這個工具了（replmon.exe）*補充一句：如果在點擊立即複製沒有報錯那麼至少可以保證你的複製是正常的，如果出現報錯那麼就需要a中提到的這個工具了
用replmon這個工具可以用圖形的方式顯示出所有站點的拓撲圖，而且可以確認操作主機的功能是否正常
b.  第二個重要的工具是命令行工具dsastat.exe檢查目錄服務的狀態
Dsastat  -s|test1:test2 >c:\dsastat.txt(比對test1和test2這臺服務器的活動目錄服務數據狀態是否一致)*補充：如果比對出問題，有些是可以解決的而有些是無法解決，據我知道的大部分是無法解決的，哈哈沒辦法，如果出現這樣的問題那就找個板凳拿捲紙找格牆角哭去吧
三．  操作主機問題
1.fsmo角色的轉移
A 圖形化接口工具
B  NTDSUTIL工具
這兩格工具的使用在這裏就不詳細介紹了，因爲在我們bbs.winos.cn論壇中都有詳細的說明，如果想學習那就辛苦點搜索一下
什麼是fsmo http://bbs.winos.cn/viewthread.php?tid=55443&highlight=fsmo
Fsmo的轉移 http://bbs.winos.cn/viewthread.php?tid=7195&highlight=fsmo （基於命令行的轉移）
Fsmo的轉移 http://bbs.winos.cn/viewthread.php?tid=1527 （基於圖形化的轉移）
四．  活動目錄發生故障的層面
網絡層：包括網絡的連通性，可用性（比如丟包問題，具微軟工程師說大功率的設備，天花板走線，因爲天花板中有強電電路所有有時造成干擾）
活動目錄的支撐服務:如tcp/ip  DNS  WINS
活動目錄的複製問題：
關掉了一些服務所導致：
比較常見的一些錯誤案例
1.  在日誌中出現 這個機器是目錄林根域的PDC。請用net命令 net time /setsntp，配置尾部時間源同步
出現這個錯誤我們可以在命令提示符下，運行:net time /setsntp:時間服務器(時間服務器有time,windows.com /time.nist.gov等)
需要注意的是有時防火牆關閉了udp123端口造成pdc不能和外部時間服務器同步。在說明一點域服務器間時間差不能超過5分鐘，客戶機和服務器不能超過30分鐘，這是默認設置的你自己也可以調整。當然時間錯誤還有很多其它原因比如時區選擇錯誤等
2.  第二個有意的案例是：某客戶報告，客戶端計算機啓動緩慢，在出現”正在準備網絡連接”提示時，會有長時間的停留，這個問題我們一般會認爲是DNS的問題，經檢查DNS配置正確，通過細緻檢查發現這個管理源在設置DNS時只使用了XXX而不是xxx.com或xxx.n et的域名，造成了DNS不註冊的現象(不知這裏我的說明，大家看明白了沒有)所以造成客戶端無法找到域控制器，
微軟的廣播也有一個關於活動目錄排錯的，所以大家可以結合微軟的廣播來看上面的筆記，案例是微軟的案例我只是手工錄入到了我的筆記中，微軟廣播下載地址http://download.microsoft.com/do ... fc/msft081804vx.zip