珠海华发商都耐克:Windows Active Directory 域故障排错(二)

来源:百度文库 编辑:偶看新闻 时间:2024/05/01 21:41:37
Windows Active Directory 域故障排错(二) 2008-02-23 00:03:08标签:AD Windows 域 Server 2003 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://zhangdonghui.blog.51cto.com/304753/62868  2-3-2域故障排错相关知识及工具软件的使用大庆油田高级人才培训中心 张东辉        这部分我们要介绍域故障排错相关的知识和工具软件(包括Windows自带的、微软附加的、第三方的)的使用。我们力图把这些内容做个简单的分类,以方便讲解和讨论,总体思路由易到难。但我们大家要明确:实际的故障总是各种各样,千差万别的,常常综合有多方面的因素,我们也需要结合多种工具才能解决。而且简单的工具更常用,更应该掌握好。 2-3-2-1 TCP/IP排错工具        因为我们重点要讨论AD域的故障排错,在这部分我们只把一些常用命令做一下介绍,其它不太常用的大家了解一下就可以了。一、Ping对于ping命令大家经常使用,比较了解。现简述思路如下: 操作 正常工作/通 不正常工作/不通 查看:设备管理器/网卡 网卡及其驱动没问题,已经正常工作了。 考虑网卡的物理完好,及驱动是否正确,一般为后者。早期的非PCI网卡还可能是由于中断IRQ设置不当引起的。 Ping 127.0.0.1 说明TCP/IP协议没问题 需要重新安装TCP/IP协议,此故障极少见。 Ping 自己的IP 说明本机所配IP正确,没有问题。 IP地址冲突。解决:事件查看器查找冲突网卡的MAC地址,或ping –a IP获取冲突计算机的名字。 Ping 自己的默认网关 到默认网关的物理线路没问题 解决:首先查看网卡灯是否正常(一般:一灯亮一灯闪)。不正常说明本机到下一设备(HUB/交换机/路由)这段线路有问题或设备未加电、有故障、需重启等。 Ping 另一网段远程主机IP 路由设备、外连线路没问题 检查路由器设置、外连线路。 也可能是目标主机的问题,可先ping一下另一台远程主机。 Ping 远程主机的域名 说明本机所配DNS没问题 检查本机DNS配置,检查DNS服务器 说明:1、若目标或中间环节(如ISP)禁用了ICMP,比如安装了防火墙或筛选器等,会导致ping不通。提示为:Request time out。但其它访问(如:共享资源、HTTP、FTP等)不会因禁用ICMP,ping不通而受影响。2、防火墙等禁用ICMP,主要是为了防止黑客的DoS(Denial-of-service)、DDoS攻击。因为被ping的计算机要做出响应,响应多了就无法向外提供其它服务甚至死机。安装了防火墙的计算机可以ping通其它计算机,因为防火墙的本质就是筛选器,针对访问的双向性,可配置输入、输出筛选。Ping命令使用到ICMP协议,ICMP类型为:入8,出0。禁止自己被别人ping,可以禁止“入8”,也可以禁止“出0”,但显然前者更好些。 二、Ipconfig查看TCP/IP配置是否正确时,最好使用ipconfig /all命令,而不是图形界面。因为图形界面下是你给计算机所做的配置,而ipconfig下相当于把计算机当前的配置调出来查看。没问题时,二者是一样的;但有问题时,二者是会不同的。       此命令可用于DHCP租约的刷新和释放,及类标识的设置和查看。用于DNS的有:¨       /flushdns         清除本机DNS缓存。¨       /displaydns      显示本机DNS缓存,包括名字、IP、TTL等。¨       /registerdns      向DNS服务器立即注册本机名称、IP地址。 三、Telnet使用Telnet命令,用户可利用Telnet协议连接到远程计算机。一旦连上后,用户就可以在远程计算机(被称作Telnet 服务器)上使用基于字符的应用程序,就好象直接登录到远程计算机,在它的命令提示符方式下一样。可以使用Ctrl+]切换到telnet客户端配置,进行一些设置,若再回到目标机,使用ESC键+回车切换。例如:设目标机(Telnet 服务器)IP为10.1.1.1,在本机上,开始/运行:cmd,键入Telnet 10.1.1.1。将会出现如下信息 欢迎使用 Microsoft Telnet ClientEscape 字符是‘CTRL+]’您将要把您的密码信息关到Internet区内的一台远程计算机上。这可能不安全。您还要送吗(y/n): 键入y,回车。将出现如下欢迎界面: *====================================欢迎使用 Microsoft Telnet 服务器*====================================C:\> 注意C:\>表示的目标机(Telnet 服务器)的C盘根下。按住CTRL键再按],可切换到Microsoft Telnet>提示符下;按ESC键,再按回车,可切换回去。 四、Nslookup(结合加计算机到域问题,具体讲解)Nslookup命令用于DNS的检查和排错,也可使用命令式或交互式。现结合加计算机到域问题,主要讲解交互式的使用。加入AD域的计算机必须满足下列三个 DNS 要求:·         计算机必须配置了首选 DNS 服务器的 IP 地址。 ·         _ldap._tcp.dc._msdcs.DNSDomainName 这条SRV记录必须存在于 DNS 中。·         上面记录所指明的DC在DNS中,必须有相应的主机(A)记录才行。确定是否为DNS问题,可使用nslookup命令。1、开始/运行:cmd,打开命令提示符。2、在命令提示符下键入nslookup,然后按 ENTER。说明:(1)此时应出现如下内容及提示符。
Default Server:  dc1.mcse03.com
Address:  10.63.243.1
       >(2)此时如果出现如下内容及提示符,说明DNS服务器上未配置反向查找区域,倒也无碍大局。***Can’t find server name for address 10.63.243.1: Non-existent domain
Default Server:  UnKnown
Address:  10.63.243.1
>
3、在“大于号”命令提示符处,键入:set q=srv4、在“大于号”命令提示符处,键入:_ldap._tcp.dc._msdcs.ActiveDirectoryDomainName说明:ActiveDirectoryDomainName为要加入域的DNS名称,如mcse03.com5、正确结果应是如下内容,说明通过DNS解析可以找到域的DC。Server:  dc1.mcse03.comAddress:  10.63.243.1_ldap._tcp.dc._msdcs.mcse03.com SRV service location:Priority            = 0weight             = 0port                = 389svr hostname   = dc1.mcse03.comdc1.mcse03.com     internet address = 10.63.243.1 2-3-2-2活动AD工具 一、批量用户帐号CsvdeLdifde脚本详见下小节Q6 二、Active Directory 迁移工具该工具简化了在 Active Directory 域之间迁移用户、组和计算机或从 NT4 域迁移到 Active Directory 的步骤,并在实际迁移过程之前和之后分析迁移影响,可实现林间迁移。1、安装:运行03光盘\I386\ADMT\admigration.msi。2、使用:具体使用参考联机帮助。 2-3-2-3 组策略工具 一、Gpedit.msc       本地策略编辑器,在开始/运行下执行即可。 二、Secedit       secedit.exe,Windows2000/XP/03自带的自动化安全配置任务命令行工具,功能强大。此命令可用来对计算机的安全策略设置进行配置(confingure)与分析(analyze)、导出等,关于配置和分析平常我一般会使用MMC的图形界面。这里我们主要结合后面例子讲一下安全策略设置的导出、修改、配置。其它具体用法请使用"secedit /?"查看联机帮助文件。¨       导出本机当前安全设置,如secedit /export /cfg c:\sectmp.inf说明:.inf文件被称为安全模板,实质就是一个文本文件。可利用记事本进行编辑,名字、位置可任意,在secedit命令中通过/cfg参数指定.inf文件。¨       将安全模板文件中的设置配置给计算机,如secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf说明:安全模板文件中的设置不能直接配置给计算机,也不能直接与计算机配置比较(被称作分析analyze),需要先放到一个.sdb库中才行,如上面的sectmp.sdb,名字、位置可任意。       此命令还可用于2000组策略的强制刷新,讨论见后面的gpupdate。 三、Gpupdate在2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce命令在03中已由gpupdate取代。在开始/运行下执行即可,命令格式如下:¨       仅刷新计算机策略:gpupdate /target:computer¨       仅刷新用户策略: gpupdate /target:user¨       二者都刷新:   gpupdate此命令用于:修改了域/OU上的组策略,欲对客户机或用户马上生效,在客户机上运行此命令即可。否则需要:¨       计算机策略:重启¨       用户策略:重登录或依赖自动刷新间隔:¨       DC到DC:5分钟,多DC可能长达15分钟¨       DC到域成员(非DC):90+ -30分钟,即60~120分钟。注意不是所有的组策略设置都可以利用gpupdate去强制刷新生效的,有些策略和启动或登录过程相关联,就必须得重启或注销。 三、Group Policy Management Console(GPMC允许在一个或多个林内跨站点、域和组织单位管理组策略。可对GPO进行备份、还原、复制和录入;可以添加、编辑、删除WMI筛选器;可以以建模模式或日志模式分析组策略作用的结果。       1、安装:到此处[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=[/url]0a6d4c24
-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-cn下载软件gpmc.msi(中文版),双击安装。       2、使用: 可利用GPMC对组策略对象进行备份和还原。操作:开始/运行,键入gpmc.msc。(或者开始/程序/管理工具/AD用户和计算机/域上/右键/属性/组策略/打开,将打开GPMC,而不是2000/03默认的组策略编辑器了)在其下找到要备份的组策略,右键,选择:备份或还原。其它使用,到此处[url]http://www.microsoft.com/china/windowsserver2003/gpmc[/url]
/gpmcwp.mspx下载使用说明(英文),或参考联机帮助(中文) 四、gpresult在命令提示符下,显示用户或计算机的组策略设置和策略的结果集 (RSoP)。使用:开始/运行:cmd,键入gpresult。具体参数,参见联机帮助。 五、LDP.exe        可以用这个工具绑定DC,获得对象的信息,还可以“修改”,搜索、添加、删除等。还允许你查找被删除的对象。作用类似AD用户和计算机,功能更强大。可查看AD对象更详细的信息,如GUID、SID等。       1、安装:运行03光盘\SUPPORT\TOOLS\ suptools.msi,将安装在C:\Program Files\Support Tools夹下,还有许多别的工具,如接下来的ADSIedit.msc。       2、使用:(1)开始/运行:ldp,启动LDP。(2)连接/绑定:管理员帐号。(3)查看/树,输入BaseDN,如dc=mcse03,dc=com。这样就可以对AD对象进行查看、编辑、添加、删除等。: 六、ADSIedit.msc       可进行ADSI低级编辑。       安装:同前使用:开始/运行:ADSIedit.msc 2-3-2-4 Ntdsutil工具Ntdsutil.exe是微软提供的管理活动目录(Active Directory)的命令行工具,专供有经验的管理员使用的。它的功能十分强大,采用分层的多级命令结构,使用 Ntdsutil 可以:¨       Authoritative restore授权恢复对AD对象、子树、甚至整个AD(注意:架构不能进行授权恢复)进行授权恢复。目录恢复模式下进行。¨       Files  活动目录库、日志文件执行活动目录的AD库的管理维护,包括:压缩、移动、检查、恢复、设置路径等。目录恢复模式下进行。¨       Metadata cleanup元数据库清理删除从网络上非正常卸载域控制器后留下的元数据垃圾。不要进到目录恢复模式下进行。¨       Roles操作主控管理、传送、查封操作主机。不要进到目录恢复模式下进行。…………Ntdsutil工具包括一系列菜单,允许在不同管理任务之间进行切换。默认情况下,Ntdsutil 安装在 systemroot\System32 文件夹内,并可在命令提示符下键入Ntdsutil进行访问。每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。用户在Ntdsutil子菜单下键入命令时,可简写,只要每个单词不同于本级命令中的其它命令即可,如:list roles for connected serverconnect to server xxx为方便起见,您只需指定每个单词,使其与特定菜单中输入的任何其他单词不同。因此,当您越来越熟悉此工具时,就可以键入“li r f c s”而不用键入“list roles for connected server”。       关于Ntdsutil工具的具体使用,我们将在活动目录(Active Directory)域故障解决实例详细讲解。

本文出自 “张东辉的博客” 博客,请务必保留此出处http://zhangdonghui.blog.51cto.com/304753/62868

如何取消WINDOWS的ACTIVE DESKTOP 系统提示 Active Movie Windows:explorer.exe -应用程序错误 windows xp 如何安装Active Directory(活动目录)? 关于windows active movie 的问题,高手进 Trojan.DL.Direc.这是什么病毒? Microsft Windows遇到意外错误,电脑已经关闭Active Desktop.我要怎样才能恢复它啊??? windows 2000中 工作组,独立工作站和没有active Directory 是什么 Active Directory(活动目录)的Windows 2000 Server 如何设置 详细步骤 怎么样设置windows xp 不要 阻止Active X控件的安装,加急!万分感谢! Active Armor active disktop Active Desktop active反义词 active是什么意思 Active desktop ACTIVE DESTTOP ACTIVE是什么意思? 我机器开了以后桌面上出现个恢复Active DesKtop 说是Microsoft Windows 遇到意外错误 怎么解决? 我机器开了以后桌面上出现个 恢复Active DesKtop 说是Microsoft Windows 遇到意外错误 Active Desktop??是什么啊? 怎么关active桌面 active怎么用 active控件是什么呀? active player 怎么快进