AD常用排錯工具

1、enable ndsi diagnostics log: hklm/system/currentcontrolset/services/ntds/diagnostics 取值範圍：0-3 可在事件檢視器目錄服務中查看，3為上限,日誌量相當大，應注意調整記錄檔大小。 2、dcdiag dcdiag /v（詳細輸出） /c(開啟所有項的測試) /a（對網站內所有DC進行測試）

3、netdom 對客戶機加入域及信任關係管理 Example: netdom query dc netdom query fsmo 5%-10%的錯誤是由於對網路結構的錯誤認識。 4、netdiag Example: netdiag /debug >netdiag041218.txt （加debug參數為最詳細記錄） notepad netdiag0411218.txt 5%錯誤是由網路設定造成的 第二部分：AD維護中三種常見故障：
一、DNS配置相關故障
1、綜述：AD中DNS起到路標和指示燈的作用，至少50%的AD故障源於DNS. DNS中最重要的是SRV紀錄而不是A紀錄，通常SRV紀錄對應有一個A紀錄 SRV Record example: _ldap._tcp,dc._msdcs.xyz.com.600 IN srv 0 100 389 dcserver1.xyz.com 使用者登入網域時通過dns伺服器找尋dc的，_msdcs地區中包含所有dc的服務紀錄，作用就是為了定位網域控制站和全域編目伺服器，win2k中若有多個域則只有根域中有該地區，子域中沒有。 2、幾個驗證和修複工具 （1）使用nslookup來記錄dns記錄是否完整 （2）若dns記錄缺失，可通過： a：重新啟動Net Logon服務 b：使用nltest.exe /seregdns （安裝support tools工具後才會有） 注意dns配置要求：允許動態更新，地區名稱和AD網域名稱相一致，dns伺服器本身需要配置dns網域名稱尾碼 3、執行個體示範：驗證和修複dns故障 2003中_msdcs地區作為獨立一個地區存在，若出現機器登入網域非常慢，90%是dns出了問題。 （1）若出現記錄缺失情況： stop netlogon & start netlogon 重新啟動該服務，其實每次關機重啟時均會重新啟動該服務。 （2）若無任何記錄地區 則建立記錄地區，若操作過程中出現無法刪除和拒絕提示時，則可能是因為多台DC之間狀態沒有同步，只需稍等片刻即可。 多域環境中，_msdcs地區必須分開建立，否則只能找到本域的dc，而找不到森林中其它域的gc伺服器 （3）修複工具 nltest.exe /dzregdns 特點：速度快且不會對使用者有影響 從安全形度考慮，最好將dns配置成活動目錄集成地區,2003中新添條件轉寄特性。 二、關於DC之間的複製故障
nt4單向複製，PDC->BDC，存在很多弊端。 DC之間複製的內容： （1）目錄服務複製：主要是資料庫的複製（AD對象，包括使用者，電腦等） （2）檔案複寫服務 (FRS)（FRS)sysvol檔案夾，包括組策略實體。 2、排錯工具 (1)AD replication monitor圖形工具 a.檢查ad複製 b.圖形化顯示複寫拓撲 c.強制複製 （2）命令列工具repadmin a.診斷dc間複製故障 b.確認複製夥伴 c.確認活動目錄對象複製來源 d.強制複製 dc之間的檔案複寫服務 (FRS) dc之間複製sysvol共用資料夾 （1）netlogon共用：低版本用戶端的登入指令檔和系統策略 （2）sysvol共用：為win2k及以後用戶端提供組策略，導致組策略分發不成功 命令列排錯工具：ntfsutil 3、通常複製故障： （1）拒絕訪問：時鐘不同步，網路故障 （2）dns尋找故障，dsa操作無法繼續 （3）操作被排隊或沒有顯示任何複製連結 （4）複製訪問被拒絕或正在刪除名稱上下文 （5）網站之間存在重複的連線物件 （6）多個域控中所應用的組策略不一致 （7）目錄服務因太忙而無法完成操作 其中3-7項建議等待一段時間一般會自動解決 4、執行個體示範：使用工具診斷複製故障 （1）AD中通常會自動產生環形複寫拓撲結構，網域服務器之間的複製間隔為5分鐘，3台DC之間的同步大概需要為15分鐘左右（基於100M乙太網路），使用網站和服務來操作。 （2）若無法複製成功，可利用複製監視器工具來控制複製。 強制產生複寫拓撲結構和顯示複寫拓撲結構，拓撲結構圖中可以查看操作主機角色是否正常工作;察看複製對象的USN(update serial number);察看複製過程中的一些錯誤 （3）dsastat 三、Operation Master Roles(fsmo)
1、何時需要轉移操作主機角色。 2、決定操作主機角色擁有者：圖形化介面工具和ntdsutil 3、移轉方式：transfer(線上移轉）和seize(強制轉移) 4、移轉工具：圖形化介面工具（AD使用者和電腦、AD域和信任關係、AD架構） 5、命令列方式下轉移FSMO角色： ntdsutil.exe roles connections connect to server servername quit seize pdc        rid master        infrastructure master        schema master        domain naming master transfer quit 儘可能使用transfer而不是seize,當中的servername是即將成為操作主機角色的伺服器，圖形方式下，需要先串連其他的網域控制站後才可以更改操作主機角色 第三部分：Troubleshooting Case Study
1、AD的問題一般分四個層面：網路問題、活動目錄的支撐服務（dns/wins/etc）、活動目錄的複製問題、網域控制站的個體原因。 2、典型案例： case(1):時間源同步問題 case(2): 問題背景：使用者登入或訪問伺服器，經常出現"由於時間差異，訪問拒絕"的提示 問題解決： 與kerveros協議有關，用來代替原先的ntlm協議，所有的電腦（包括client和server,os為win2k及以上），會自動將根域的PDC模擬器作為時間伺服器，W32Time服務按照一定的周期進行時鐘校正：從電腦啟動開始，嘗試以45分鐘作為間隔，聯絡時鐘伺服器，進行時鐘同步；如果同步成功，以8小時為間隔，進行同步驗證；如果同步失敗，開始嘗試進行時鐘同步。為了保證時間伺服器正常工作，在根域的PDC模擬器上建議設定外部時間源，指向INTERNET上的時間伺服器，在其他電腦上保證Windows Time服務正常啟動。 具體要求：dc之間時間相差不能超過5分鐘，client與dc之間相差不能超過30分鐘 問題根源：kerberos協議要求電腦時鐘同步經過分析，發現用戶端電腦啟動某個應用程式，會在啟動時與伺服器（一台unix電腦）進行時鐘校準，而該伺服器時鐘與DC始終存在約45分鐘的差異，將網域控制站時鐘與伺服器同步，並建議設定同一時間源。 CASE(3) 問題描述：某客戶報告，用戶端電腦啟動緩慢，在出現"正在準備網路連接"提示時，會有長時間停留，經過檢查發現，用戶端電腦雖然已經正確配置了DNS伺服器位址，但在同時作為網域控制站的DNS伺服器上，發現沒有相應的記錄，客戶使用了SOMEDOMAIN形式的網域名稱。 問題原因：Win2k sp4/winxp/2003不在頂級域下註冊dns記錄 解決方案：修改註冊表和使用組策略（用戶端本機電腦策略/管理模版/網路/DNS用戶端），在客戶現場，臨時使用了手動載入netlogon.dns檔案的方法（應該註冊的dns記錄） %systemroot%/system32/config/netlogon.dns(應該寫到dns伺服器內的記錄)，將記錄複製到dns伺服器資料庫中，應先將整合的dns地區改成主地區，然後到dns資料庫記錄檔案進行粘貼，然後再修改為AD整合的DNS地區（存在多個域時工作量大） CASE(4)通過修改註冊表強行卸載dc: 索引值位置：hklm/system/controlsset/control/productoptions/ProductType LanmanNt修改為/ServerNT，重啟機器此時然後便可以卸載dc了，原理為啟動時會檢查該索引值，如果為ServerNT，便不啟動dc所需的相應服務，但也有些副作用，如intersitemesseging服務會報錯，應為它仍然會啟動，而它相關聯的服務均已停止故出現報錯資訊，此時應該將該服務設為手動或禁用，強行卸載完DC後，應該在保留的DC上利用NTDSUTIL工具中的metadata cleanup將無用的資訊清除掉。 不能卸載之可能原因：網路問題，不能連通操作主機；長久沒有同步等等。   原文地址 http://www.99191.com/Article/windows/200712/4770.html