您所在的位置:读书频道 > 网络与维护 > 网络管理 > 3.35 挑战活动目录故障

3.35 挑战活动目录故障

2007-08-30 13:26 黄山 电子工业出版社易飞思公司 字号:T | T
一键收藏,随时查看,分享好友!

《网管员世界2007超值精华本》全书分为攻防实战、管理维护、故障诊断、疑难解答4个部分,共精选收录了400多篇实用、精彩的技术文章,该书第三章主要介绍了各种故障诊断,本节是挑战活动目录故障。

AD:

挑战活动目录故障
当您管理的网络不断扩大,软件、硬件和网络服务不断增多,这些资源如何有效管理?不同应用系统的令人头痛的用户安全验证如何统一?微软的活动目录(AD,Active Directory)是最好的解决方案。
活动目录的由来
活动目录,是Windows 2000服务器版操作系统的一种新的目录服务。它提供了单一登录的能力,并且为您的整个网络架构提供了一个集中的信息知识库。它大大简化了用户和计算机的管理,并且提供了网络资源的更便捷的访问方式。
活动目录的相关术语
活动目录是一项较新的技术,有许多术语或许是不曾听说过的,所以有必要了解活动目录相关术语。
1.层次化的目录结构
活动目录是由对象(Object)、组织单元(OU)、域(Domain)、域树(Tree)、森林(Forest)构成的层次结构。活动目录为每个域建立一个目录数据库的副本,这个副本只存储用于这个域的对象。如果多个域之间有相互关系,它们可以构成一个域树。在每个域树中,每个域都拥有自己的目录数据库副本存储自己的对象,并且可以查找域树中其他目录数据库的副本。多个域树构成森林。这种层次结构使得企业网络具有很强的扩展性,便于组织、管理及目录定位。
2.对象、组织单位
对象可以是一个用户、一台打印机或一个网络共享。它有描述它们的属性。组织单元可以是组织的任何部分,组织单位也称为容器(OU,Organizational Units)。组织单位是可以将对象和其他单位放入活动目录的容器中的,组织单位的主要用途是委派管理权。
3.域、域控制器
域是活动目录的核心单元,是对象(如计算机、用户等)的容器,这些对象有相同的安全需求、复制过程和管理。域名是基于通常的Internet“域名系统”结构。一个域可以有多个服务器,每个服务器存储域中的所有对象,没有主服务器,所有服务器都是同等的。这是一个多主机模型,对象可以在域的多个服务器之间复制。
4.域树、森林
一个域可以是其他域的子域或父域,这些子域、父域构成了一棵树—域树。域树实现了连续的域名空间,域树中的域层次越深级别越低,一个“.”代表一个层次,如域child.china.com 就比 china.com这个域级别低,因为它有两个层次关系,而china.com只有一个层次。多棵域树构成了森林,森林中的每一棵域树都有自己的唯一命名空间。
5.组策略
组策略是用户或计算机初始化时用到的配置设置。组策略设置定义了系统管理的用户的桌面环境的多个组件,实现软件自动分发和升级。组策略的实施限制了用户对计算机和网络的更改权限,提高了管理员管理网络结构的能力。
6.AD服务接口(ADSI)
ADSI是一个目录服务接口,它可用于编写应用程序以访问和管理AD和基于LDAP(轻型目录访问协议)的不同目录,简化了开发和管理跨平台多个目录系统的分布式应用程序,是实现单点登录的有效手段。
活动目录的意义
Windows是PC机的大脑,那么“目录服务”就是网络的灵魂。微软活动目录的作用主要体现在以下几方面。
1.单点登录
由于活动目录是以LDAP协议为基础的,各应用程序可通过ADSI调用AD的用户验证,这样统一了各应用系统的用户和密码,实现单点登录。
2.信息的安全性高
集成了关键的安全性,如Kerberos第五版本和公开密钥基础设施等,用户授权管理和目录进入控制已经整合在活动目录当中了,而它们都是Windows 2000操作系统的关键安全措施。
3.以策略为基础,管理更加简化
通过组策略您可以决定目录对象和域资源的进入权限,什么样的域资源可以被用户使用,以及这些域资源怎样使用等,从而帮助您更加经济高效地管理企业。
4.信息的复制性
活动目录使用多主机复制,使您能在任何域控制器上同步更新目录。多主机模式提供容错和负载平衡。
5.与DNS紧密结合
活动目录使用域名系统(DNS)来为服务器目录命名,AD将Internet的名称空间的概念和操作系统的目录服务融合在一起,这有利于在TCP/IP网络中计算机之间的相互识别和通信。
6.具有很强的可伸缩性和可扩展性
活动目录可包含在一个或多个域中,每个域具有一个或多个域控制器,以便您调整目录的规模以满足任何网络的要求。多个域可以合并为一棵域树,多个域树又可合并为树林,活动目录也就随着域的伸缩而伸缩,较好地适应了单位网络的变化。管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。
活动目录故障处理
活动目录其安全和稳定性毋庸置疑,但活动目录与各应用系统关联紧密,且活动目录内部众多功能模块也联系密切。活动目录不仅与网络的连通性相关,并且与网络的协议和安全策略有关,所以活动目录故障处理必须综合考虑。它不可能通过一篇文章或一本书就可学懂,但有正确的排错方法和步骤,可提高IT维护人员解决问题的能力。
1.排错方法的4个阶段
(1)界定阶段
 症状:报错信息。
 日志:计算机的出错日志文件。
 隔离:判断是否是用户、网络或计算机等的问题。
 复核:判断信息的准确性。
 问题描述。
(2)分析阶段
 研究:研究类似案例、微软技术文档、Bug或背景技术。
 测试:对问题进行测试。
 其他解法:远程控制、现场支持。
(3)解决方案阶段
 提出解决方案。
 确定方案是否解决问题,及可行性、便利性。
 绕过方法:用其他手段解决。
 问题根源。
 如何避免及最佳实践。
(4)总结
提出书面总结并解决潜在问题。
2.排错步骤(如图1所示)

图1  排错步骤

(1)判断网路是否正常
1)事件查看器是个非常有效的工具,它可判断网络、DNS、AD或其他问题。您可选择相关的事件,看其事件描述或在DOS状态键入“net helpmsg 事件ID号”可知故障的原因。
2)硬件问题:判断网卡、网络设备和计算机等硬件是否正常。
3)本机网络设置及网络的通信质量是否正常。
(2)判断DNS是否正常
超过半数的AD故障是因为DNS配置原因。解决DNS 故障可使用以下方法。
1)使用NSLOOKUP 来验证DNS 记录完整性,主要观察注册的记录是否包括主机记录(A记录)和相应的服务记录(SRV记录)。
2)如果DNS记录缺失,通过以下方法来进行修复:
 重新启动Net Logon服务。
 使用nltest.exe/dsregdns。
3)注意DNS 配置要求:允许动态更新,区域名称和AD域名相一致,DNS服务器本身需要配置DNS域名后缀等。
4)正确配置服务器和客户端的DNS。
5)使用命令行指令DNSCMD管理和监测DNS。
(3)判断域控制器是否正常
一个域网络中至少应有两个域控制器,以便在当前域控制器出现故障时,可使用附加域控制器来代替当前域控制器,保证网络的正常运行。域控制器的故障多表现为复制问题。
1)故障表现如下。
 由于存在DNS查找故障,DSA操作无法继续。
 操作被排队或者没有显示任何复制链接。
 复制访问被拒绝或者正在删除名称上下文。
 站点之间存在重复的连接对象。
 多个域控制器中所应用的组策略不一致。
 目录服务因太忙而无法完成操作。

2)排障工具如下。
图形化工具:Active Directory Replication Monitor
 检查Active Directory复制。
 图形化显示复制拓扑。
 强制复制。
命令行工具:REPADMIN
 诊断域控制器间复制故障。
 确认复制伙伴。
 确认活动目录对象复制来源。
 强制复制。
(4)判断AD验证是否通过
1)AD验证不通过表现如下。
 用户不能加入AD域。
 域中的计算机之间不能通信。
2)排错手段如下。
 确定用户、密码和域名正确并可通过验证。
 AD组策略正确。
 在本机登录的AD用户拥有本机必要权限。
(5)判断访问控制是否正常
1)要访问的计算机可ping通。
2)有访问计算机的必要权限。
排除实例
1.安装故障
(1) 故障现象:域控制器不能安装。
排错所需的信息和工具如下。
1)微软文档ID260371和ID251335。
2)Dcpromo.log,AD安装的每一步日志。
3)Dcpromoui.log,AD完成前的日志。
4)Event Log。
5)Network monitor,观察网络包的状态。
(2)排错步骤如下。
1)检查DNS的SRV记录及客户端DNS设置。
2)检查“信任此计算机来委派任何服务”权力。
3)检查用于安装的用户身份。
4)检查event log和dcpromo.log。例如,在dcpromo日志有:
* 06/12 20:09:12 [info] Error - The attempt to configure the machine account tests on Server aduser.adsr.com failed.[5]
* 06/12 20:09:12 [info] NtdsDemote
在命令行键入“net helpmsg 5”,显示“access is denied”,得知安装用户无安装权力,在组策略的“允许计算机和用户账户被信任以便用于委派”中添加此安装用户,AD安装问题即解决。
5)使用Network monitor。
2.组策略故障
(1)故障现象:GPO不起作用,某些特定GPO设定无法应用,事件日志中组策略应用错误信息。
排错所需的信息和工具如下。
1)微软文档ID221833和ID245422。
2)Gpresult,在客户端查看组策略是否已经应用。例如,在命令行中键入Gpresult /z,可知当前客户端用户在域中所应用的所有组策略。
3)Gpotool,检查域复制时组策略一致性。
4)Userenv.log,功能全面的组策略日志,它要在注册表中被激活才可生效。
5)Eventlog。
6)Winlogon.log,与安全相关组策略日志。
7)Netmon,简洁易用的网络状况分析软件,可以显示基于IP、TCP、UDP和ICMP协议的网络状况。
(2)排错基本步骤如下。
1)刷新客户端。
2)激活Verbose Debug Logging。
3)网络连接及DNS。
4)GPO应用顺序(Gpresult)。
5)GPO一致性(Gpotool)。
6)GPO权限设定。
7)针对特殊的组策略在注册表中激活相应的Log。
3.活动目录备份和恢复
如果一个域内存在不止一台PC,当重新安装其中的一台PC时备份Active Directory并不是必需的,您只需要将其中的一台PC从域中删除,重新安装,并使之回到域中,那么另外的PC自然会将数据复制到这台PC上。如果一个域内剩下最后一台PC,那就非常有必要对Active Directory进行备份。
(1)备份过程
1)单击“开始”→“程序”→“附件”→“系统工具”,启动Windows 2000备份工具。
2)选择“备份向导”,在备份向导中选择“只备份系统状态数据”,单击“下一步”按钮。
3)在“备份保存的位置”页面中输入存放备份数据的文件名,如“ad20060215”,单击“下一步”按钮,完成备份向导。
(2)还原过程
还原有两种:其一是从域的其他域控制器中恢复AD,前提是域中还有一台域控制器正常。其二是从备份介质进行恢复,它有两种模式—授权还原和非授权还原。
 非授权还原
非授权还原可使新数据会覆盖您使用备份恢复的数据。步骤如下:
1)在目录服务恢复模式下启动Windows 2000 自带的恢复程序:单击“开始”→“程序”→“附件”→“系统工具”,启动Windows 2000恢复工具。
2)选择“恢复向导”,跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。
3)选择合适的备份文件,完成数据恢复。重新启动机器即可。
4)注意,通常情况下,您不能恢复60天以前备份的Active Directory数据,除非您进行了设置。
 授权还原
授权还原是手动强制使域恢复到原来的好的状态。步骤如下。
1)使用非还原模式恢复Active Directory,重新启动机器。
2)在“目录服务恢复模式”启动Windows 2000,以超级管理员身份登录。
3)在命令行输入“ntdsutil”,启动命令行工具。恢复整个Active Directory数据库,使用下列命令。
authoritative restore
restore database
恢复部分Active Directory数据的aduser用户,使用下列命令:
authoritative restore
restore object cn=aduser,ou=child,dc=china,dc=com
“目录服务”是网络的灵魂,对活动目录的任何故障处理,首先要把故障处理思路在试验环境中测试成功,做好充足的应急措施,方可在运行环境中实施。

【责任编辑:雪花 TEL:(010)68476606-8007】

回书目   上一节   下一节

分享到:

  1. Linux服务器配置全程实录
  2. 揭秘--优秀PPT这样制作

热点职位

更多>>

热点专题

更多>>

读书

Java面向对象编程
Java是当前最流行的程序设计语言之一。本书以Java最新版本Java SE5为基础,涵盖了Java SE5最新特性,由浅入深地介绍了Java SE5的

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院