<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" /> 2-3-2 域故障排错相关知识及工具软件的使用
大庆油田高级人才培训中心 张东辉

 

       这部分我们要介绍域故障排错相关的知识和工具软件(包括Windows自带的、微软附加的、第三方的)的使用。我们力图把这些内容做个简单的分类,以方便讲解和讨论,总体思路由易到难。但我们大家要明确:实际的故障总是各种各样,千差万别的,常常综合有多方面的因素,我们也需要结合多种工具才能解决。而且简单的工具更常用,更应该掌握好。

 

2-3-2-1 TCP/IP排错工具

 

       因为我们重点要讨论AD域的故障排错,在这部分我们只把一些常用命令做一下介绍,其它不太常用的大家了解一下就可以了。

一、Ping

对于ping命令大家经常使用,比较了解。现简述思路如下:

操作
正常工作 /
不正常工作 / 不通
查看:设备管理器 / 网卡
网卡及其驱动没问题,已经正常工作了。
考虑网卡的物理完好,及驱动是否正确,一般为后者。早期的非 PCI 网卡还可能是由于中断 IRQ 设置不当引起的。

Ping 127.0.0.1
说明 TCP/IP 协议没问题
需要重新安装 TCP/IP 协议,此故障极少见。

Ping 自己的 IP
说明本机所配 IP 正确,没有问题。
IP 地址冲突。解决:事件查看器查找冲突网卡的 MAC 地址,或 ping –a IP 获取冲突计算机的名字。

Ping 自己的默认网关
到默认网关的物理线路没问题
解决:首先查看网卡灯是否正常(一般:一灯亮一灯闪)。不正常说明本机到下一设备( HUB/ 交换机 / 路由)这段线路有问题或设备未加电、有故障、需重启等。

Ping 另一网段远程主机 IP
路由设备、外连线路没问题
检查路由器设置、外连线路。
也可能是目标主机的问题,可先 ping 一下另一台远程主机。

Ping 远程主机的域名
说明本机所配 DNS 没问题
检查本机 DNS 配置,检查 DNS 服务器
说明:
1、若目标或中间环节(如ISP)禁用了ICMP,比如安装了防火墙或筛选器等,会导致ping不通。提示为:Request time out。但其它访问(如:共享资源、HTTPFTP等)不会因禁用ICMPping不通而受影响。
2、防火墙等禁用ICMP,主要是为了防止***的DoSDenial-of-service)、DDoS***。因为被ping的计算机要做出响应,响应多了就无法向外提供其它服务甚至死机。安装了防火墙的计算机可以ping通其它计算机,因为防火墙的本质就是筛选器,针对访问的双向性,可配置输入、输出筛选。Ping命令使用到ICMP协议,ICMP类型为:入8,出0。禁止自己被别人ping,可以禁止“入8,也可以禁止“出0,但显然前者更好些。

 

二、Ipconfig

查看TCP/IP配置是否正确时,最好使用ipconfig /all命令,而不是图形界面。因为图形界面下是你给计算机所做的配置,而ipconfig下相当于把计算机当前的配置调出来查看。没问题时,二者是一样的;但有问题时,二者是会不同的。
       此命令可用于DHCP租约的刷新和释放,及类标识的设置和查看。用于DNS的有:
¨       /flushdns         清除本机DNS缓存。
¨       /displaydns      显示本机DNS缓存,包括名字、IPTTL等。
¨       /registerdns      DNS服务器立即注册本机名称、IP地址。

 

三、Telnet

使用Telnet命令,用户可利用Telnet协议连接到远程计算机。一旦连上后,用户就可以在远程计算机(被称作Telnet 服务器)上使用基于字符的应用程序,就好象直接登录到远程计算机,在它的命令提示符方式下一样。可以使用Ctrl+]切换到telnet客户端配置,进行一些设置,若再回到目标机,使用ESC+回车切换。
例如:设目标机(Telnet 服务器)IP10.1.1.1,在本机上,开始/运行:cmd,键入Telnet 10.1.1.1。将会出现如下信息

 

欢迎使用 Microsoft Telnet Client

Escape 字符是‘ CTRL+]

您将要把您的密码信息关到 Internet 区内的一台远程计算机上。这可能不安全。您还要送吗( y/n ):

 

键入y,回车。将出现如下欢迎界面:

 

*====================================

欢迎使用 Microsoft Telnet 服务器

*====================================

C:\>

 

注意C:\>表示的目标机(Telnet 服务器)的C盘根下。按住CTRL键再按],可切换到Microsoft Telnet>提示符下;按ESC键,再按回车,可切换回去。

 

四、Nslookup(结合加计算机到域问题,具体讲解)

Nslookup命令用于DNS的检查和排错,也可使用命令式或交互式。现结合加计算机到域问题,主要讲解交互式的使用。加入AD域的计算机必须满足下列三个 DNS 要求:

·         计算机必须配置了首选 DNS 服务器的 IP 地址。

·         _ldap._tcp.dc._msdcs.DNSDomainName 这条SRV记录必须存在于 DNS 中。

·         上面记录所指明的DCDNS中,必须有相应的主机(A)记录才行。

确定是否为DNS问题,可使用nslookup命令。

1、开始/运行:cmd,打开命令提示符。

2、在命令提示符下键入nslookup然后按 ENTER

说明:

1)此时应出现如下内容及提示符。

       >

2)此时如果出现如下内容及提示符,说明DNS服务器上未配置反向查找区域,倒也无碍大局。

***Can’t find server name for address 10.63.243.1: Non-existent domain

3在“大于号”命令提示符处,键入:set q=srv

4、在“大于号”命令提示符处,键入:_ldap._tcp.dc._msdcs.ActiveDirectoryDomainName

说明:ActiveDirectoryDomainName为要加入域的DNS名称,如mcse03.com

5、正确结果应是如下内容,说明通过DNS解析可以找到域的DC
Server:  dc1.mcse03.com

Address:  10.63.243.1

_ldap._tcp.dc._msdcs.mcse03.com SRV service location:

Priority            = 0

weight             = 0

port                = 389

svr hostname   = dc1.mcse03.com

dc1.mcse03.com     internet address = 10.63.243.1

 

2-3-2-2活动AD工具

 

一、批量用户帐号

Csvde

Ldifde

脚本

详见下小节Q6

 

二、Active Directory 迁移工具

该工具简化了在 Active Directory 域之间迁移用户、组和计算机或从 NT4 域迁移到 Active Directory 的步骤,并在实际迁移过程之前和之后分析迁移影响,可实现林间迁移。

1、安装:运行03光盘\I386\ADMT\admigration.msi
2、使用:具体使用参考联机帮助。

 

2-3-2-3 组策略工具

 

一、Gpedit.msc

       本地策略编辑器,在开始/运行下执行即可。

 

二、Secedit

       secedit.exeWindows2000/XP/03自带的自动化安全配置任务命令行工具,功能强大。此命令可用来对计算机的安全策略设置进行配置(confingure)与分析(analyze)、导出等,关于配置和分析平常我一般会使用MMC的图形界面。这里我们主要结合后面例子讲一下安全策略设置的导出、修改、配置。其它具体用法请使用"secedit /?"查看联机帮助文件。
¨       导出本机当前安全设置,如secedit /export /cfg c:\sectmp.inf
说明:.inf文件被称为安全模板,实质就是一个文本文件。可利用记事本进行编辑,名字、位置可任意,在secedit命令中通过/cfg参数指定.inf文件。
¨       将安全模板文件中的设置配置给计算机,如secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf
说明:安全模板文件中的设置不能直接配置给计算机,也不能直接与计算机配置比较(被称作分析analyze),需要先放到一个.sdb库中才行,如上面的sectmp.sdb,名字、位置可任意。
       此命令还可用于2000组策略的强制刷新,讨论见后面的gpupdate

 

三、Gpupdate

2000中使用的刷新组策略命令secedit /refreshpolicy machine(user)_policy /enforce命令在03中已由gpupdate取代。在开始/运行下执行即可,命令格式如下:
¨       仅刷新计算机策略:gpupdate /target:computer
¨       仅刷新用户策略: gpupdate /target:user
¨       二者都刷新:   gpupdate
此命令用于:修改了域/OU上的组策略,欲对客户机或用户马上生效,在客户机上运行此命令即可。否则需要:
¨       计算机策略:重启
¨       用户策略:重登录
或依赖自动刷新间隔:
¨       DCDC5分钟,多DC可能长达15分钟
¨       DC到域成员(非DC):90+ -30分钟,即60~120分钟。
注意不是所有的组策略设置都可以利用gpupdate去强制刷新生效的,有些策略和启动或登录过程相关联,就必须得重启或注销。

 

三、Group Policy Management ConsoleGPMC

允许在一个或多个林内跨站点、域和组织单位管理组策略。可对GPO进行备份、还原、复制和录入;可以添加、编辑、删除WMI筛选器;可以以建模模式或日志模式分析组策略作用的结果。
       1、安装:到此处[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=[/url]0a6d4c 24
-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-cn下载软件gpmc.msi(中文版),双击安装。
       2、使用: 可利用GPMC对组策略对象进行备份和还原。操作:开始/运行,键入gpmc.msc。(或者开始/程序/管理工具/AD用户和计算机/域上/右键/属性/组策略/打开,将打开GPMC,而不是2000/03默认的组策略编辑器了)在其下找到要备份的组策略,右键,选择:备份或还原。

其它使用,到此处 [url]http://www.microsoft.com/china/windowsserver2003/gpmc[/url]
/gpmcwp.mspx下载使用说明(英文),或参考联机帮助(中文)

 

四、gpresult

在命令提示符下,显示用户或计算机的组策略设置和策略的结果集 (RSoP)
使用:开始/运行:cmd,键入gpresult。具体参数,参见联机帮助。

 

五、LDP.exe

 

       可以用这个工具绑定DC,获得对象的信息,还可以“修改”,搜索、添加、删除等。还允许你查找被删除的对象。作用类似AD用户和计算机,功能更强大。可查看AD对象更详细的信息,如GUIDSID等。

       1、安装:运行03光盘\SUPPORT\TOOLS\ suptools.msi,将安装在C:\Program Files\Support Tools夹下,还有许多别的工具,如接下来的ADSIedit.msc

       2、使用:

1)开始/运行:ldp,启动LDP
2)连接/绑定:管理员帐号。
3)查看/树,输入BaseDN,如dc=mcse03,dc=com
这样就可以对AD对象进行查看、编辑、添加、删除等。:

 

六、ADSIedit.msc

       可进行ADSI低级编辑。

       安装:同前

使用:开始/运行:ADSIedit.msc

 

2-3-2-4 Ntdsutil工具

Ntdsutil.exe是微软提供的管理活动目录(Active Directory)的命令行工具,专供有经验的管理员使用的。它的功能十分强大,采用分层的多级命令结构,使用 Ntdsutil 可以:
¨       Authoritative restore授权恢复
AD对象、子树、甚至整个AD(注意:架构不能进行授权恢复)进行授权恢复。目录恢复模式下进行。
¨       Files  活动目录库、日志文件
执行活动目录的AD库的管理维护,包括:压缩、移动、检查、恢复、设置路径等。目录恢复模式下进行。
¨       Metadata cleanup元数据库清理

删除从网络上非正常卸载域控制器后留下的元数据垃圾。不要进到目录恢复模式下进行。
¨       Roles操作主控
管理、传送、查封操作主机。不要进到目录恢复模式下进行。
…………
Ntdsutil工具包括一系列菜单,允许在不同管理任务之间进行切换。默认情况下,Ntdsutil 安装在 systemroot\System32 文件夹内,并可在命令提示符下键入Ntdsutil进行访问。
每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。用户在Ntdsutil子菜单下键入命令时,可简写,只要每个单词不同于本级命令中的其它命令即可,如:
list roles for connected server

connect to server xxx

为方便起见,您只需指定每个单词,使其与特定菜单中输入的任何其他单词不同。因此,当您越来越熟悉此工具时,就可以键入“li r f c s”而不用键入“list roles for connected server”

       关于Ntdsutil工具的具体使用,我们将在活动目录(Active Directory)域故障解决实例详细讲解。