<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />
2-3-2
域故障排错相关知识及工具软件的使用
大庆油田高级人才培训中心 张东辉
这部分我们要介绍域故障排错相关的知识和工具软件(包括Windows自带的、微软附加的、第三方的)的使用。我们力图把这些内容做个简单的分类,以方便讲解和讨论,总体思路由易到难。但我们大家要明确:实际的故障总是各种各样,千差万别的,常常综合有多方面的因素,我们也需要结合多种工具才能解决。而且简单的工具更常用,更应该掌握好。
2-3-2-1 TCP/IP排错工具
因为我们重点要讨论AD域的故障排错,在这部分我们只把一些常用命令做一下介绍,其它不太常用的大家了解一下就可以了。
一、Ping
对于ping命令大家经常使用,比较了解。现简述思路如下:
操作
|
正常工作
/
通
|
不正常工作
/
不通
|
查看:设备管理器
/
网卡
|
网卡及其驱动没问题,已经正常工作了。
|
考虑网卡的物理完好,及驱动是否正确,一般为后者。早期的非
PCI
网卡还可能是由于中断
IRQ
设置不当引起的。
|
Ping
127.0.0.1
|
说明
TCP/IP
协议没问题
|
需要重新安装
TCP/IP
协议,此故障极少见。
|
Ping
自己的
IP
|
说明本机所配
IP
正确,没有问题。
|
IP
地址冲突。解决:事件查看器查找冲突网卡的
MAC
地址,或
ping –a IP
获取冲突计算机的名字。
|
Ping
自己的默认网关
|
到默认网关的物理线路没问题
|
解决:首先查看网卡灯是否正常(一般:一灯亮一灯闪)。不正常说明本机到下一设备(
HUB/
交换机
/
路由)这段线路有问题或设备未加电、有故障、需重启等。
|
Ping
另一网段远程主机
IP
|
路由设备、外连线路没问题
|
检查路由器设置、外连线路。
也可能是目标主机的问题,可先
ping
一下另一台远程主机。
|
Ping
远程主机的域名
|
说明本机所配
DNS
没问题
|
检查本机
DNS
配置,检查
DNS
服务器
|
说明:
1、若目标或中间环节(如ISP)禁用了ICMP,比如安装了防火墙或筛选器等,会导致ping不通。提示为:Request time out。但其它访问(如:共享资源、HTTP、FTP等)不会因禁用ICMP,ping不通而受影响。
2、防火墙等禁用ICMP,主要是为了防止***的DoS(Denial-of-service)、DDoS***。因为被ping的计算机要做出响应,响应多了就无法向外提供其它服务甚至死机。安装了防火墙的计算机可以ping通其它计算机,因为防火墙的本质就是筛选器,针对访问的双向性,可配置输入、输出筛选。Ping命令使用到ICMP协议,ICMP类型为:入8,出0。禁止自己被别人ping,可以禁止“入8”,也可以禁止“出0”,但显然前者更好些。
二、Ipconfig
查看TCP/IP配置是否正确时,最好使用ipconfig /all命令,而不是图形界面。因为图形界面下是你给计算机所做的配置,而ipconfig下相当于把计算机当前的配置调出来查看。没问题时,二者是一样的;但有问题时,二者是会不同的。
此命令可用于DHCP租约的刷新和释放,及类标识的设置和查看。用于DNS的有:
¨
/flushdns 清除本机DNS缓存。
¨
/displaydns 显示本机DNS缓存,包括名字、IP、TTL等。
¨
/registerdns 向DNS服务器立即注册本机名称、IP地址。
三、Telnet
使用Telnet命令,用户可利用Telnet协议连接到远程计算机。一旦连上后,用户就可以在远程计算机(被称作Telnet 服务器)上使用基于字符的应用程序,就好象直接登录到远程计算机,在它的命令提示符方式下一样。可以使用Ctrl+]切换到telnet客户端配置,进行一些设置,若再回到目标机,使用ESC键+回车切换。
例如:设目标机(Telnet 服务器)IP为10.1.1.1,在本机上,开始/运行:cmd,键入Telnet 10.1.1.1。将会出现如下信息
欢迎使用
Microsoft Telnet Client
Escape
字符是‘
CTRL+]
’
您将要把您的密码信息关到
Internet
区内的一台远程计算机上。这可能不安全。您还要送吗(
y/n
):
键入y,回车。将出现如下欢迎界面:
*====================================
欢迎使用
Microsoft Telnet
服务器
*====================================
C:\>
注意C:\>表示的目标机(Telnet 服务器)的C盘根下。按住CTRL键再按],可切换到Microsoft Telnet>提示符下;按ESC键,再按回车,可切换回去。
四、Nslookup(结合加计算机到域问题,具体讲解)
Nslookup命令用于DNS的检查和排错,也可使用命令式或交互式。现结合加计算机到域问题,主要讲解交互式的使用。加入AD域的计算机必须满足下列三个 DNS 要求:
·
计算机必须配置了首选 DNS 服务器的 IP 地址。
·
_ldap._tcp.dc._msdcs.DNSDomainName 这条SRV记录必须存在于 DNS 中。
·
上面记录所指明的DC在DNS中,必须有相应的主机(A)记录才行。
确定是否为DNS问题,可使用nslookup命令。
1、开始/运行:cmd,打开命令提示符。
2、在命令提示符下键入nslookup,然后按 ENTER。
说明:
(1)此时应出现如下内容及提示符。
>
(2)此时如果出现如下内容及提示符,说明DNS服务器上未配置反向查找区域,倒也无碍大局。
***Can’t find server name for address 10.63.243.1: Non-existent domain
3、在“大于号”命令提示符处,键入:set q=srv
4、在“大于号”命令提示符处,键入:_ldap._tcp.dc._msdcs.ActiveDirectoryDomainName
说明:ActiveDirectoryDomainName为要加入域的DNS名称,如mcse03.com
5、正确结果应是如下内容,说明通过DNS解析可以找到域的DC。
Server: dc1.mcse03.com
Address: 10.63.243.1
_ldap._tcp.dc._msdcs.mcse03.com SRV service location:
Priority = 0
weight = 0
port = 389
svr hostname = dc1.mcse03.com
dc1.mcse03.com internet address = 10.63.243.1
2-3-2-2活动AD工具
一、批量用户帐号
Csvde
Ldifde
脚本
详见下小节Q6
二、Active Directory 迁移工具
该工具简化了在 Active Directory 域之间迁移用户、组和计算机或从 NT4 域迁移到 Active Directory 的步骤,并在实际迁移过程之前和之后分析迁移影响,可实现林间迁移。
1、安装:运行03光盘\I386\ADMT\admigration.msi。
2、使用:具体使用参考联机帮助。
2-3-2-3 组策略工具
一、Gpedit.msc
本地策略编辑器,在开始/运行下执行即可。
二、Secedit
secedit.exe,Windows2000/XP/03自带的自动化安全配置任务命令行工具,功能强大。此命令可用来对计算机的安全策略设置进行配置(confingure)与分析(analyze)、导出等,关于配置和分析平常我一般会使用MMC的图形界面。这里我们主要结合后面例子讲一下安全策略设置的导出、修改、配置。其它具体用法请使用"secedit /?"查看联机帮助文件。
¨
导出本机当前安全设置,如secedit /export /cfg c:\sectmp.inf
说明:.inf文件被称为安全模板,实质就是一个文本文件。可利用记事本进行编辑,名字、位置可任意,在secedit命令中通过/cfg参数指定.inf文件。
¨
将安全模板文件中的设置配置给计算机,如secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf
说明:安全模板文件中的设置不能直接配置给计算机,也不能直接与计算机配置比较(被称作分析analyze),需要先放到一个.sdb库中才行,如上面的sectmp.sdb,名字、位置可任意。
此命令还可用于2000组策略的强制刷新,讨论见后面的gpupdate。
三、Gpupdate
在2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce命令在03中已由gpupdate取代。在开始/运行下执行即可,命令格式如下:
¨
仅刷新计算机策略:gpupdate /target:computer
¨
仅刷新用户策略: gpupdate /target:user
¨
二者都刷新: gpupdate
此命令用于:修改了域/OU上的组策略,欲对客户机或用户马上生效,在客户机上运行此命令即可。否则需要:
¨
计算机策略:重启
¨
用户策略:重登录
或依赖自动刷新间隔:
¨
DC到DC:5分钟,多DC可能长达15分钟
¨
DC到域成员(非DC):90+ -30分钟,即60~120分钟。
注意不是所有的组策略设置都可以利用gpupdate去强制刷新生效的,有些策略和启动或登录过程相关联,就必须得重启或注销。
三、Group Policy Management Console(GPMC)
允许在一个或多个林内跨站点、域和组织单位管理组策略。可对GPO进行备份、还原、复制和录入;可以添加、编辑、删除WMI筛选器;可以以建模模式或日志模式分析组策略作用的结果。
1、安装:到此处[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=[/url]0a6d4c
24
-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-cn下载软件gpmc.msi(中文版),双击安装。
-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-cn下载软件gpmc.msi(中文版),双击安装。
2、使用: 可利用GPMC对组策略对象进行备份和还原。操作:开始/运行,键入gpmc.msc。(或者开始/程序/管理工具/AD用户和计算机/域上/右键/属性/组策略/打开,将打开GPMC,而不是2000/03默认的组策略编辑器了)在其下找到要备份的组策略,右键,选择:备份或还原。
其它使用,到此处
[url]http://www.microsoft.com/china/windowsserver2003/gpmc[/url]
/gpmcwp.mspx下载使用说明(英文),或参考联机帮助(中文)
/gpmcwp.mspx下载使用说明(英文),或参考联机帮助(中文)
四、gpresult
在命令提示符下,显示用户或计算机的组策略设置和策略的结果集 (RSoP)。
使用:开始/运行:cmd,键入gpresult。具体参数,参见联机帮助。
五、LDP.exe
可以用这个工具绑定DC,获得对象的信息,还可以“修改”,搜索、添加、删除等。还允许你查找被删除的对象。作用类似AD用户和计算机,功能更强大。可查看AD对象更详细的信息,如GUID、SID等。
1、安装:运行03光盘\SUPPORT\TOOLS\ suptools.msi,将安装在C:\Program Files\Support Tools夹下,还有许多别的工具,如接下来的ADSIedit.msc。
2、使用:
(1)开始/运行:ldp,启动LDP。
(2)连接/绑定:管理员帐号。
(3)查看/树,输入BaseDN,如dc=mcse03,dc=com。
这样就可以对AD对象进行查看、编辑、添加、删除等。:
六、ADSIedit.msc
可进行ADSI低级编辑。
安装:同前
使用:开始/运行:ADSIedit.msc
2-3-2-4 Ntdsutil工具
Ntdsutil.exe是微软提供的管理活动目录(Active Directory)的命令行工具,专供有经验的管理员使用的。它的功能十分强大,采用分层的多级命令结构,使用 Ntdsutil 可以:
¨
Authoritative restore授权恢复
对AD对象、子树、甚至整个AD(注意:架构不能进行授权恢复)进行授权恢复。目录恢复模式下进行。
¨
Files 活动目录库、日志文件
执行活动目录的AD库的管理维护,包括:压缩、移动、检查、恢复、设置路径等。目录恢复模式下进行。
¨
Metadata cleanup元数据库清理
删除从网络上非正常卸载域控制器后留下的元数据垃圾。不要进到目录恢复模式下进行。
¨
Roles操作主控
管理、传送、查封操作主机。不要进到目录恢复模式下进行。
…………
Ntdsutil工具包括一系列菜单,允许在不同管理任务之间进行切换。默认情况下,Ntdsutil 安装在 systemroot\System32 文件夹内,并可在命令提示符下键入Ntdsutil进行访问。
每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。用户在Ntdsutil子菜单下键入命令时,可简写,只要每个单词不同于本级命令中的其它命令即可,如:
list roles for connected server
connect to server xxx
为方便起见,您只需指定每个单词,使其与特定菜单中输入的任何其他单词不同。因此,当您越来越熟悉此工具时,就可以键入“li r f c s”而不用键入“list roles for connected server”。
关于Ntdsutil工具的具体使用,我们将在活动目录(Active Directory)域故障解决实例详细讲解。
转载于:https://blog.51cto.com/zhangdonghui/62868