WindowsActiveDirectory域故障排錯(二)

..WindowsActiveDirectory域故障排錯〔二 這部分我們要介紹域故障排錯相關(guān)的知識和工具軟件〔包括Windows自帶的、微軟附加的、第三方的的使用。我們力圖把這些內(nèi)容做個簡單的分類,以方便講解和討論,總體思路由易到難。但我們大家要明確：實際的故障總是各種各樣,千差萬別的,常常綜合有多方面的因素,我們也需要結(jié)合多種工具才能解決。而且簡單的工具更常用,更應(yīng)該掌握好。2-3-2-1TCP/IP排錯工具 因為我們重點要討論AD域的故障排錯,在這部分我們只把一些常用命令做一下介紹,其它不太常用的大家了解一下就可以了。一、Ping對于ping命令大家經(jīng)常使用,比較了解。現(xiàn)簡述思路如下：操作正常工作/通不正常工作/不通查看：設(shè)備管理器/網(wǎng)卡網(wǎng)卡及其驅(qū)動沒問題,已經(jīng)正常工作了?？紤]網(wǎng)卡的物理完好,及驅(qū)動是否正確,一般為后者。早期的非PCI網(wǎng)卡還可能是由于中斷IRQ設(shè)置不當(dāng)引起的。Ping說明TCP/IP協(xié)議沒問題需要重新安裝TCP/IP協(xié)議,此故障極少見。Ping自己的IP說明本機所配IP正確,沒有問題。IP地址沖突。解決：事件查看器查找沖突網(wǎng)卡的MAC地址,或ping–aIP獲取沖突計算機的名字。Ping自己的默認網(wǎng)關(guān)到默認網(wǎng)關(guān)的物理線路沒問題解決：首先查看網(wǎng)卡燈是否正?！惨话悖阂粺袅烈粺糸W。不正常說明本機到下一設(shè)備〔HUB/交換機/路由這段線路有問題或設(shè)備未加電、有故障、需重啟等。Ping另一網(wǎng)段遠程主機IP路由設(shè)備、外連線路沒問題檢查路由器設(shè)置、外連線路。也可能是目標主機的問題,可先ping一下另一臺遠程主機。Ping遠程主機的域名說明本機所配DNS沒問題檢查本機DNS配置,檢查DNS服務(wù)器說明：1、若目標或中間環(huán)節(jié)〔如ISP禁用了ICMP,比如安裝了防火墻或篩選器等,會導(dǎo)致ping不通。提示為：Requesttimeout。但其它訪問〔如：共享資源、HTTP、FTP等不會因禁用ICMP,ping不通而受影響。2、防火墻等禁用ICMP,主要是為了防止黑客的DoS〔Denial-of-service、DDoS攻擊。因為被ping的計算機要做出響應(yīng),響應(yīng)多了就無法向外提供其它服務(wù)甚至死機。安裝了防火墻的計算機可以ping通其它計算機,因為防火墻的本質(zhì)就是篩選器,針對訪問的雙向性,可配置輸入、輸出篩選。Ping命令使用到ICMP協(xié)議,ICMP類型為：入8,出0。禁止自己被別人ping,可以禁止"入8”,也可以禁止"出0”,但顯然前者更好些。二、Ipconfig查看TCP/IP配置是否正確時,最好使用ipconfig/all命令,而不是圖形界面。因為圖形界面下是你給計算機所做的配置,而ipconfig下相當(dāng)于把計算機當(dāng)前的配置調(diào)出來查看。沒問題時,二者是一樣的；但有問題時,二者是會不同的。 此命令可用于DHCP租約的刷新和釋放,及類標識的設(shè)置和查看。用于DNS的有：/flushdns 清除本機DNS緩存。/displaydns 顯示本機DNS緩存,包括名字、IP、TTL等。/registerdns 向DNS服務(wù)器立即注冊本機名稱、IP地址。三、Telnet使用Telnet命令,用戶可利用Telnet協(xié)議連接到遠程計算機。一旦連上后,用戶就可以在遠程計算機〔被稱作Telnet服務(wù)器上使用基于字符的應(yīng)用程序,就好象直接登錄到遠程計算機,在它的命令提示符方式下一樣。可以使用Ctrl+]切換到telnet客戶端配置,進行一些設(shè)置,若再回到目標機,使用ESC鍵+回車切換。例如：設(shè)目標機〔Telnet服務(wù)器IP為.1,在本機上,開始/運行：cmd,鍵入Telnet。將會出現(xiàn)如下信息歡迎使用MicrosoftTelnetClientEscape字符是‘CTRL+]’您將要把您的密碼信息關(guān)到Internet區(qū)內(nèi)的一臺遠程計算機上。這可能不安全。您還要送嗎〔y/n：鍵入y,回車。將出現(xiàn)如下歡迎界面：*====================================歡迎使用MicrosoftTelnet服務(wù)器*====================================C:\>注意C:\>表示的目標機〔Telnet服務(wù)器的C盤根下。按住CTRL鍵再按],可切換到MicrosoftTelnet>提示符下；按ESC鍵,再按回車,可切換回去。四、Nslookup〔結(jié)合加計算機到域問題,具體講解Nslookup命令用于DNS的檢查和排錯,也可使用命令式或交互式。現(xiàn)結(jié)合加計算機到域問題,主要講解交互式的使用。加入AD域的計算機必須滿足下列三個DNS要求：計算機必須配置了首選DNS服務(wù)器的IP地址。_ldap._tcp.dc._msdcs.DNSDomainName這條SRV記錄必須存在于DNS中。上面記錄所指明的DC在DNS中,必須有相應(yīng)的主機〔A記錄才行。確定是否為DNS問題,可使用nslookup命令。1、開始/運行：cmd,打開命令提示符。2、在命令提示符下鍵入nslookup,然后按ENTER。說明：〔1此時應(yīng)出現(xiàn)如下內(nèi)容及提示符。 >〔2此時如果出現(xiàn)如下內(nèi)容及提示符,說明DNS服務(wù)器上未配置反向查找區(qū)域,倒也無礙大局。***Can’tfindservernameforaddress:Non-existentdomainDefaultServer:UnKnown>3、在"大于號"命令提示符處,鍵入：setq=srv4、在"大于號"命令提示符處,鍵入：_ldap._tcp.dc._msdcs.ActiveDirectoryDomainName說明：ActiveDirectoryDomainName為要加入域的DNS名稱,如/r/5、正確結(jié)果應(yīng)是如下內(nèi)容,說明通過DNS解析可以找到域的DC。_ldap._tcp.dc._SRVservicelocation:Priority =0weight =0port =3892-3-2-2活動AD工具一、批量用戶帳號CsvdeLdifde腳本詳見下小節(jié)Q6二、ActiveDirectory遷移工具該工具簡化了在ActiveDirectory域之間遷移用戶、組和計算機或從NT4域遷移到ActiveDirectory的步驟,并在實際遷移過程之前和之后分析遷移影響,可實現(xiàn)林間遷移。1、安裝：運行03光盤\I386\ADMT\admigration.msi。2、使用：具體使用參考聯(lián)機幫助。2-3-2-3組策略工具一、Gpedit.msc 本地策略編輯器,在開始/運行下執(zhí)行即可。二、Secedit secedit.exe,Windows2000/XP/03自帶的自動化安全配置任務(wù)命令行工具,功能強大。此命令可用來對計算機的安全策略設(shè)置進行配置〔confingure與分析〔analyze、導(dǎo)出等,關(guān)于配置和分析平常我一般會使用MMC的圖形界面。這里我們主要結(jié)合后面例子講一下安全策略設(shè)置的導(dǎo)出、修改、配置。其它具體用法請使用"secedit/?"查看聯(lián)機幫助文件。導(dǎo)出本機當(dāng)前安全設(shè)置,如secedit/export/cfgc:\sectmp.inf說明：.inf文件被稱為安全模板,實質(zhì)就是一個文本文件。可利用記事本進行編輯,名字、位置可任意,在secedit命令中通過/cfg參數(shù)指定.inf文件。將安全模板文件中的設(shè)置配置給計算機,如secedit/configure/dbc:\sectmp.sdb/CFGc:\sectmp.inf說明：安全模板文件中的設(shè)置不能直接配置給計算機,也不能直接與計算機配置比較〔被稱作分析analyze,需要先放到一個.sdb庫中才行,如上面的sectmp.sdb,名字、位置可任意。 此命令還可用于2000組策略的強制刷新,討論見后面的gpupdate。三、Gpupdate在2000中使用的刷新組策略命令secedit

/refreshpolicy

machine<或user>_policy

/enforce命令在03中已由gpupdate取代。在開始/運行下執(zhí)行即可,命令格式如下：僅刷新計算機策略：gpupdate

/target:computer僅刷新用戶策略：gpupdate

/target:user二者都刷新：gpupdate此命令用于：修改了域/OU上的組策略,欲對客戶機或用戶馬上生效,在客戶機上運行此命令即可。否則需要：計算機策略：重啟用戶策略：重登錄或依賴自動刷新間隔：DC到DC：5分鐘,多DC可能長達15分鐘DC到域成員〔非DC：90+

-30分鐘,即60~120分鐘。注意不是所有的組策略設(shè)置都可以利用gpupdate去強制刷新生效的,有些策略和啟動或登錄過程相關(guān)聯(lián),就必須得重啟或注銷。三、GroupPolicyManagementConsole〔GPMC允許在一個或多個林內(nèi)跨站點、域和組織單位管理組策略?？蓪PO進行備份、還原、復(fù)制和錄入；可以添加、編輯、刪除WMI篩選器；可以以建模模式或日志模式分析組策略作用的結(jié)果。1、安裝：到此處0a6d4c24

-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-cn下載軟件gpmc.msi〔中文版,雙擊安裝。2、使用：可利用GPMC對組策略對象進行備份和還原。操作：開始/運行,鍵入gpmc.msc?！不蛘唛_始/程序/管理工具/AD用戶和計算機/域上/右鍵/屬性/組策略/打開,將打開GPMC,而不是2000/03默認的組策略編輯器了在其下找到要備份的組策略,右鍵,選擇：備份或還原。其它使用,到此處

/gpmcwp.mspx下載使用說明〔英文,或參考聯(lián)機幫助〔中文四、gpresult在命令提示符下,顯示用戶或計算機的組策略設(shè)置和策略的結(jié)果集<RSoP>。使用：開始/運行：cmd,鍵入gpresult。具體參數(shù),參見聯(lián)機幫助。五、LDP.exe 可以用這個工具綁定DC,獲得對象的信息,還可以"修改",搜索、添加、刪除等。還允許你查找被刪除的對象。作用類似AD用戶和計算機,功能更強大?？刹榭碅D對象更詳細的信息,如GUID、SID等。 1、安裝：運行03光盤\SUPPORT\TOOLS\suptools.msi,將安裝在C:\ProgramFiles\SupportTools夾下,還有許多別的工具,如接下來的ADSIedit.msc。2、使用：〔1開始/運行：ldp,啟動LDP?！?連接/綁定：管理員帳號?！?查看/樹,輸入BaseDN,如dc=mcse03,dc=com。這樣就可以對AD對象進行查看、編輯、添加、刪除等。:六、ADSIedit.msc可進行ADSI低級編輯。 安裝：同前使用：開始/運行：ADSIedit.msc2-3-2-4Ntdsutil工具Ntdsutil.exe是微軟提供的管理活動目錄〔ActiveDirectory的命令行工具,專供有經(jīng)驗的管理員使用的。它的功能十分強大,采用分層的多級命令結(jié)構(gòu),使用Ntdsutil可以：Authoritativerestore授權(quán)恢復(fù)對AD對象、子樹、甚至整個AD〔注意：架構(gòu)不能進行授權(quán)恢復(fù)進行授權(quán)恢復(fù)。目錄恢復(fù)模式下進行。Files 活動目錄庫、日志文件/r