活动目录(Active Directory)域故障解决实例
活动目录(Active Directory)系列
活动目录(Active Directory)系列之一:为什么我们需要域对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出 Active Directory系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器 Florence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
Active Directory 备份与还原
Active Directory 备份与还原在域的环境中,要定期的备份AD数据库,当AD数据库出现问题时,可以通过备份的数据还原AD数据库。
备份文件和文件夹的用户必须具有特定权限和权利的用户才可以,如果是本地组中的管理员或Backup Operator,则只能备份本地计算机上本地组所适用的所有文件和文件夹。
同样,如果是域控制器上的管理员或备份操作员,可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。
活动目录的备份第一步:依次打开命令提示符,输入【Ntbackup】回车第二步:选择【高级模式】,显示备份工具界面,也可以下一步通过向导第四步:选择备份选项卡,选中需要备份的磁盘或者System Status。
选择保存的路径注:如果只想备份活动目录的话,那么只需要备份一下系统状态就可以了。
但在这里建立最好是将整个系统盘做一个完整的备份,以防止丢失一些其他的数据。
第五步:开始备份,在选择备份方式时,需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡,这里可以选择你想备份的类型,第六步:单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步:进入目录服务还原模式。
重新启动计算机,在进入Windows Server 2003 的初始画面前,按F8键进入Window高级选项菜单界面。
通过键盘上的方向键选择【目录服务还原模式】第二步:进入还原向导操作。
运行【ntbackup】选择高级模式,选中要还原的数据第三步:点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息,应该妥善保护。
为了安全起见,应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。
如果想进行更深入的保护,可以把AD数据库文件转移到一个有冗余或者镜像的卷,以便磁盘发生错误的时候可以恢复。
第一步:进入【目录服务还原模式】第二步:进入命令提示符:输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车(选择数据库移动的盘符)完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见,还原目录数据库时需设置密码保护步骤如下:首先必须进入【目录服务还原模式】进入命令提示符,输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码,确认密码完成。
Active Directory管理和构架-第3部分(AD数据库的维护与操作主机角色)
PDC Emulator 仿真) (PDC仿真) 仿真
Internet 时间服务器
PDC Emulator
PDC Emulator 域控制器
Pre-Windows 2000客户端 Pre 客户端
Windows NT BDC
Windows 2000客户端 客户端
时间服务器
查看服务器所使用的时间服务器 net time /querysntp (simple network time protocol) 设置服务器所使用的时间服务器 net time /setsntp:服务器名 手动同步时间 W32tm /resync
Infrastructure Master(结构主机) (结构主机)
组嵌套
Group Membership List GUID SID New DN
移动 Infrastructure Master
结构主机
在任何时候, 在任何时候,每个域中只能有一个域控制器作为结 构主机。 构主机。结构主机负责更新从它所在的域中的对象 到其他域中对象的引用。 到其他域中对象的引用。结构主机将其数据与全局 编录的数据进行比较。 编录的数据进行比较。全局编录通过复制操作定期 接受所有域中对象的更新, 接受所有域中对象的更新,从而使全局编录的数据 始终保持最新。如果结构主机发现数据过时, 始终保持最新。如果结构主机发现数据过时,则它 从全局编录申请更新的数据。 从全局编录申请更新的数据。结构主机然后将这些 更新的数据复制到域中的其他域控制器。 更新的数据复制到域中的其他域控制器。
初始化事 务
写入事务 缓冲
写于数据 库文件
写入事务 日志文件 Ntds.dit EDB.log
维护活动目录数据库简介
集群无法启动故障
故障一:事件ID 为 4015 与 4004 :1。
DNS 服务器从 Active Directory 服务 (DS) 中遇到一个严重错误。
检查Active Directory 是否运行正常。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
2。
DNS 服务器无法完成枚举区域 的目录服务。
这台 DNS 服务器配置成使用从 Active Directory 中获得的信息并且没有它就无法加载区域。
请检查 Active Directory 运行正确并重复区域的枚举。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
3。
DNS 服务器无法完成枚举区域 10.168.192.in-addr.arpa 的目录服务。
这台DNS 服务器配置成使用从 Active Directory 中获得的信息并且没有它就无法加载区域。
请检查 Active Directory 运行正确并重复区域的枚举。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
4。
DNS 服务器无法完成枚举区域 _ 的目录服务。
这台 DNS 服务器配置成使用从 Active Directory 中获得的信息并且没有它就无法加载区域。
请检查 Active Directory 运行正确并重复区域的枚举。
扩展的错误调试信息(可能为空)是 ""。
事件数据包含此错误。
解决方法:1. 在DNS服务器上运行ipconfig /all 检查TCP/IP协议的配置是否正确,请把首选DNS服务器指向自己。
2. 在命令提示符下,运行 ipconfig /flushdns清除本地DNS缓存。
3. 在命令提示符下,运行 ipconfig /registerdns初始化计算机上配置的 DNS 名称和 IP 地址的手工动态注册。
4. 如果DNS区域数据存储在AD中,而DNS服务不能将数据传送到Active Directory的时候,会导致DNS 4004错误。
activedirectory域服务当前不可用是什么意思?
activedirectory域服务当前不可⽤是什么意思?
有时候我们在使⽤打印机打印的时候,出现Active directory域服务当前不可⽤错误,该怎么解决这个问题?下⾯我们就来对症下药,详细请看下⽂介绍。
1、我们⾸先需要知道出现Active directory域服务当前不可⽤错误,⼀般是因为在excel、word使⽤打印机打印,进⾏选择查找共享打印机提⽰错误的,需要先添加打印机,然后再打印,如下图所⽰:
2、进去控制⾯板之后,以⼩图标的⽅式显⽰,点击设备和打印机,点击添加打印机,如下图所⽰:
3、将打印机添加进来,然后⿏标右键设置为默认打印机,再去打印word,excel就不会出现Active directory域服务当前不可⽤,如下图所⽰:
4、需要注意的是,需要检查有没有开启打印机服务,按win+R键打开运⾏,输⼊“services.msc”,如下图所⽰:
5、点击确定之后,进去服务,找到Pint Spooler服务,双击进去,进⾏启动,启动打印机服务之后,就可以成功打印⽂件了,如下图所⽰:
以上就是active directory域服务当前不可⽤是的解决办法,希望⼤家喜欢,请继续关注。
域用户无法登录域故障处理(AD问题)
系统故障记录1. 故障记录日期:2010-01-142. 主机名及IP:3. 主机系统及应用:DC、FileServer4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于以下错误,安全帐户管理器初始化失败,目录服务无法启动。
错误状态:0xc00002e1."5. 检查过程及解决步骤:原因:经微软KB及网上资料信息显示该提示为病毒〔用户上传的文件〕可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。
解决方案1:准备进入目录复原模式,修复Active Directory数据库。
备注:由于系统安装时间比拟已久,复原密码未知,解决方案2:升级其他BDC为PDC,解决用户登陆问题。
备注:现已将FSBDC升级为PDC,用户已可正常登陆。
步骤1:用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。
使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
ntdsutilRolesConnectionsconnect to server FSBDCqseize domain naming masterseize infrastructure masterseize PDCseize RID masterseize schema masterq步骤2:升级FSBDC为GC在管理工具中,打开“Active Directory站点和服务”点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性,选中“全局编目”[此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过]当前状态为[已登记]ekin.liu2010-01-14 20:18:51 其他问题:在升级GC的时候,碰到一个问题,因原有xm.xingfa 的域信息没有完全清除,需要要清除后GC才能升级成功。
Active Directory域服务、域名服务和复制问题的故障排除
• 域控制器性能下降 • 监视系统生成警报 • 域控制器之间没有复制数据
事件排查
• 事件日志报告的事件 • 监视系统(如scom 2007)生产的警报 • 用户报告的问题 • IT人员注意到的问题
• 最佳做法:scom 2007和active directory management pack)
服务器或服务不可用 资源访问控制列表限制 配置问题
组策略
Gpresult.exe gpupdate /force
Netdiag命令
测试名称 Autonet 绑定 浏览器 DcList DefGw DNS 说明 检查网络适配器是否在使用APIPA(自动专用IP地址)。 列出网络绑定,包括接口名称、下面和上面模块名称,指出这个绑定目前是否启用 并且报告这个绑定的拥有者。 列出浏览器服务和重新定向器的全部网络协议。 获得一个这个域名的域名控制器列表。 用每一个配置的默认网关验证连接。 验证配置的DNS服务器的可用性并且验证客户端的DND注册。 从目录服务中获得任何域名控制器的名称,然后获得PDC仿真器的名称。验证存储 在本地安全认证中的域名GUID与存储在DC中的域名GUID是否一致。 逐个列出每一个网络适配器的TCP/IP设置。 查验每一个适配器的回送地址127.0.0.1 。 检查Ipsec是否启用。如果启用,列出这台计算机的所有现用的IPsec 政策。 列出IPX统计(如果安装的话) 验证Kerberos身份识别软件包是否是最新的。 联系所有可用的域名控制器并且确定哪一个LDAP身份识别协议正在使用。
时间同步nettime域控制器可用性netdiagset组成员身份问题故障排除物理网络问题ipconfigping名称解析问题pingnslookupipconfig登录问题netdiagdsamsc验证选择了正确的域名或本地计算机名验证令牌智能卡证书或配置gpresultnettimerepadmin服务器或服务不可用服务或事件查看器资源访问控制列表限制acladds权限组成员身份配置问题防火墙组策略gpresultexegpupdateforcenetdiag命令测试名称说明autonet检查网络适配器是否在使用apipa自动专用ip地址
交换机端口故障一例
后两次所有交换机端口工作状态都一样,此时开始怀疑该交换机是否
连块,了。
通过了解施工厂家得知,确定交换机的位置并没错。
寻线仪查找
到办公室信息模块,换机上逐个网线查找。
但还故障现象由于然后把数据做上,■ 山东 黄东
看所有端口工作状态,由于端口较多,方便查看,尽量复制下来单独保存。
然后拔下信息模块对应的网线接口,再次查看交换机端口工作状态,正常情况下一定会有一个端口工作状态与前面不一图1 查找交换机端口图2 开通端口
i s t r y、Windows Time、。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
活动目录(Active Directory)域故障解决实例[转贴2005-10-18 11:17:00 | 发表者: yuan615]这部分内容将以实例的形式,介绍活动目录(Active Directory)的域故障排除,基本上遵循由易到难,由简到繁的顺序来讲解讨论。
Q1、客户机无法加入到域?一、权限问题。
要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。
普通用户登录进来,更改按钮为灰色不可用。
并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。
二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。
”吗?这时如何在这台计算机上登录到域呀!显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。
也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。
这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。
再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。
注意:域管理员不受10台的限制。
三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。
解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
四、域xxx不是AD域,或用于域的AD域控制器无法联系上。
在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份验证。
DNS不可用时,也可以利用浏览服务,但会比较慢。
2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。
所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器。
加入域时,如果输入的域名为FQDN格式,形如,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。
”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。
加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。
而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。
再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。
那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。
若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC (具体见前)。
能找到的话,再ping一下DC看是否通。
Q2、用户无法登录到域?一、用户名、口令、域确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。
看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。
二、DNS客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。
三、计算机帐号基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。
可到AD用户和计算机中,将计算机帐号启用即可。
对于Windows 2000/XP/03,默认计算机帐户密码的更换周期为30 天。
如果由于某种原因该计算机帐户的密码与LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。
解决办法:重设计算机帐户,或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录见下一小节的Q1。
五、跨域登录中的问题在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS 根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。
如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。
所以要保证林内有可用的GC。
如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。
Q3、如何解决本地或域管理员密码丢失?本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。
但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”,大约178M;2、下载后解压缩,将其内容刻录成光盘;3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;4、出现选择菜单,选择第一项:ERD Commander 2002;5、出现类似XP的启动界面6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;8、进入ERD Commander 2002 locksmith向导界面,下一步;9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)10、选择Start/Logoff,点OK;11、稍候片刻,点reboot后重新启动计算机凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。
还可以破解NT/2000/03域管理员密码,均已实验证明。
由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。
对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。
Q4、无法使用域内的共享打印机?现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机,为用户重新安装打印机,当时可以打印,但不久问题又会出现。
用户反映说有时能打印,有时就是不能打印。
其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。
而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。
解决办法有3种,最好还是用方法1。
:1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。
说明:这本身就是微软推荐的一种办法。
因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。
比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。
这样做了以后,用户以域用户身份登录,同时他又是本地管理员。
2、在打印服务器上启用Guest用户,保证everyone有打印权限。
但这样做不安全,所以不推荐。
3、在客户机上每次要使用打印机前,在开始—运行:\\PrintServer,这时会提示你输入用户名和密码。
通过验证后,再去使用打印机。
很显然这样方法比较麻烦。
Q5、无法访问域内的共享资源?上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。
当访问域内共享资源时,会提示输入用户名和口令。
若不出现提示,直接出现拒绝访问。
一般是由于目标计算机上启用了guest,而guest 用户没有权限造成的。
接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC 路径的IP形式来访问时的故障,如在开始/运行:\\10.63.243.1。
前提:在网卡、协议、连接没问题的情况下。
即在可ping通的前提下,若\\10.63.243.1不通,排错可从下面几个方面来考虑。
1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。
提示:“\\10.63.243.1 文件名、目录名或卷标语法不正确”。
检查:服务是否安装、是否选中,或重装一下。
操作:网上邻居/右键/属性/本地连接/右键/属性2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。
提示:(1)若目标机(为域成员)上的net logon服务停了:“试图登录,但网络登录服务未启动”。
(2)若目标机上的server服务停了:“\\10.63.243.1 文件名、目录名或卷标语法不正确。
”(3)若本机的worstation服务停了:“\\10.63.243.1 网络未连接或启动”。
连其它计算机,也是一样的提示。
检查:相应服务是否已经正常启动。
操作:我的电脑/右键/管理/服务和应用程序/服务下3、由于本机与其它计算机重名(指NetBIOS名称)的影响提示:访问任何计算机均提示:“找不到网络路径”。
检查:重启一下,看是否有“网络中存在重名”的提示。
可能上次开机时没注意给忽略了。
操作:我的电脑/属性/网络标识/属性/计算机名下,修改计算机名。
4、XP/03由于默认安全策略:“帐户:使用空白密码的本地帐户只允许进行控制台登录”的影响提示:\\10.63.243.1无法访问。
您可能没有权限使用网络资源。
请与这台服务器的管理员联系以查明您是否有访问权限。
登录失败:用户帐户限制。
可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。
检查:改用非空密码的帐户试试,或查看XP/03目标机上的本地策略。
操作:开始/运行:gpedit.msc。
计算机配置/Winodws设置/安全设置/本地策略/安全选项下,由默认值“启用”改为“禁用”。
注意:域帐号访问不受此策略限制。