ADM-AD故障排查思路

排查无法加入域的故障

1、首先确定DC的主机名能否被成功解析
ping 域名
或者 ping DC的计算机全名
能够出现[IP]的算成功解析

2、如果说能成功解析DC的主机名，但是仍然加入不了域
这个时候，就要检查DC的SRV记录是否缺失了
命令：
nslookup
set q=srv
_ldap._tcp.dc._msdcs.域名

3、如果真正出现SRV记录缺失
在DC上重启DNS服务和Netlogon服务


排查无法登录域的情况

1、首先应该确认用户的密码是否正确
2、检查DC的还原点，看看Active Directory用户和计算机的Computer容器有没有客户机的记录
3、如果Active Directory用户和计算机没有客户机的记录，把客户机退出域再加回来，就可以解决问题
4、如果客户机退出域都加不回来，那么按照无法加入域的方式处理
5、如果客户机退出域再加回来，还是不管用，则表示担任全局编录服务器的DC挂掉了，这个时候需要把DC改成全局编录
修改全局编录
Active Directory站点和服务，依次展开到NTDS settings，右键NTDS Settings，选择“属性”

解决登陆域缓慢的问题
1、如果只有一个DC，缓慢是正常的，因为一个DC承载不了那么多的访问量
2、如果有两个DC，肯定是因为一个DC的DNS服务器出现问题或者是网络出现问题
3、解决办法：把首选DNS服务器里的IP和备选DNS服务器里的IP换一下
4、挂掉的那个DC，按照第一个“无法加入域”的故障进行处理
重启DNS和Netlogon服务

组策略不生效

1、检查一下是否刷新
gpupdate
gpupdate /force

2、应用对象有问题
密码、账户锁定 计算机配置
桌面、控制面板、软件分发 用户配置

3、检查冲突策略
是否设置了筛选
使用域上的策略与OU上的策略发生冲突

两个DC复制的问题

1、检查一下两台的DC的时间是否同步，如果时间不同步，输入命令
net time /DOMAIN:域名 /set

2、在创建用户的DC上
打开Active Directory站点和服务
找到对方DC
在NTDS setting上，右键
-->将配置复制到选定的DC

NSlookup命令的使用
server：暂时更改你的首选DNS服务器
set q=srv
_ldap._tcp.dc._msdcs.域名

set q=a
域名