[Win Server] Windows Active Directory 域故障排错

紫阳

管理员

Rank: 20

帖子: 3396
积分: 49336
活跃度: 18643
来自: 福建厦门
在线时间: 924 小时
最后登录: 2008-8-29

处理器 大中小发表于 2008-6-29 20:50 只看该作者

Windows Active Directory 域故障排错

第二章第三节

Windows Active Directory 域故障排错

大庆油田高级人才培训中心张东辉

本节介绍Windows 2000/03 AD域故障的排错。首先我们会介绍活动目录（Active Directory）及其相关概念，然后介绍和域故障排错相关的知识、工具软件的使用，最后以实例的形式讲解针对具体的各种域故障如何进行排错，如何有效地利用组策略来管理AD域、管理网络。

通过本节的学习，读者可以掌握活动目录（Active Directory）及其相关概念，活动目录的功能、逻辑结构、物理结构；管理Windows 2000/03网络的方法，相关工具的使用；提高域故障排错能力，掌握活动目录上的最大应用：组策略。

2-3-1活动目录（Active Directory）及其相关概念

要掌握Windows 2000/03 AD域故障排错，首先就得知道什么是域，什么是活动目录，活动目录的工作原理如何。以下内容作为后面域排错的基础理论知识至关重要。

2-3-1-1为什么要使用活动目录？

为什么要使用活动目录？首先我们来看两个例子：
如果我们要记住10个、20个电话号码还可以，但更多的就无能为力了。这时我们就会想到把电话号码记录到电话簿上，需要时去查询。
如果我们家中只有10本、20本的书，我们会比较容易找到我们想要的那一本，但如果我们家中的书像图书馆那么多，这时我们就会想到把书分门别类地放好，并根据书的书名、作者、出版社、类别等属性信息做好索引，以利于查找。

有效地管理网络，也象管理电话号码、管理图书一样。我们会把网络中众多的对象：计算机、用户、用户组、打印机、共享夹……，分门别类、井然有序地放在活动目录这个大仓库中。使用活动目录对你公司的网络进行管理，才是积极有效的管理方法，而且网络规模越大，越能体现出活动目录在管理网络上的高效性。

2-3-1-2工作组（Workgroup）

当然如果网络规模很小，也可以使用Windows工作组模式来进行管理，但其管理功能极其有限。对于一台Windows计算机来讲，它要么隶属于工作组，要么隶属于域。工作组是微软的概念，一般的普遍称谓是对等网。
工作组通常是一个由不多于10台计算机组成的逻辑集合，如果要管理更多的计算机，微软推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的10台只是一个参考值，11台甚至20台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。
工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。顺便说明一下，工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的工作组名workgroup，也可以任意起个名字（不必担心重名），同一工作组或不同工作组间在访问时也没有什么分别，都需要输入目标计算机上的用户名、口令进行验证。
在工作组模式下，用户要访问10台计算机上的资源，就需要记住至少10个用户名和口令，工作组的这种分散管理性是它和域的集中式管理相比最大的缺点。AD域提供了对网络资源的集中控制，用户只需登录一次就可以访问整个活动目录的资源。

2-3-1-3活动目录（Active Directory）和域控制器（Domain Controller）

如果网络规模较大，这时我们就会考虑把网络中众多的对象（被称之为AD对象）：计算机、用户、用户组、打印机、共享夹……分门别类、井然有序地放在一个大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。
接下来，我们应该把这个数据库放在哪台计算机上呢？是这样的，我们把存放有活动目录数据库的计算机就称之为域控制器（Domain Controller），简称DC。

2-3-1-4活动目录架构（Active Directory Schema）

架构是关于AD对象类型属性的定义。一种类型AD对象应该有哪些属性是由架构来定义的，比如它定义了用户对象有姓、名、登录名、口令等一系列的属性。如果你想增加一个“性别”属性，这就要修改架构，一般称之为扩展AD架构，这要求你必须是林根域上的Schema Admins组成员才行。
整个活动目录的林中只有一个架构，因此在活动目录中创建的所有对象都遵从同样的规则。也就是说你对架构的修改将影响到林中的所有域，你没办法实现同一林中的一个域用户对象有“性别”属性，而另一个域没有。

2-3-1-5目录访问协议（DAP）和轻量级目录访问协议（LDAP）

AD对象存储在活动目录中，客户和应用程序就通过访问活动目录，来查找这些存放于活动目录中的对象。用户访问这些AD对象，当然要遵照一定的规则和约定，这就是协议。客户访问目录所用的协议被称之为目录访问协议（DAP），DAP是在X.500中定义的一个复杂协议，它的简化版本被称之为轻量级目录访问协议（LDAP），被微软的活动目录AD所采用。LDAP是用于查询和更新活动目录的目录服务协议。

2-3-1-6目录服务

回过头来，我们再来看一下目录服务的定义。目录服务由X.500标准定义，目录是指一个组织中关于人和资源信息的结构化、层次化的库。在微软的Windows 2000/03网络中，这个目录服务就是指活动目录（Active Directory）服务，又比如在Novell公司的NetWare上使用的目录服务叫NDS（Novell目录服务），目录服务的实质就是一种网络服务。
活动目录（Active Directory）作为网络目录服务，提供了用于组织、管理和控制网络资源的结构和功能，使我们有了集中管理Windows 2000/03网络的能力，管理员可以在一个地点管理整个网络。当然也可以利用OU进行委派控制，把一部分管理工作分派给OU管理员。

2-3-1-7活动目录的逻辑结构

活动目录的逻辑结构具有伸缩性，小：可以只是一台计算机，大：可以应用到大型跨国公司的网络。活动目录的逻辑组件包括：
l
活动目录林（Active Directory Forest）
l
活动目录树（Active Directory Tree）
l
活动目录域（Active Directory Domain）
l
组织单元（OU，Organizational Units）
l
全局目录（GC，Global Catalog）

mcse.com

sub.mcse.com

my.com

接下来，以上图为例，进行相关讨论。这整个是一个林，mcse.com为林根域，有两个树，一个由mcse.com和它的子域sub.mcse.com组成，另一个由my.com单独组成，林中有mcse.com，sub.mcse.com，my.com三个域。相关概念如下：

林根域：在林中建立的第一个域，如：mcse.com

树：共用连续的命名空间的多层域，如mcse.com（父域）和sub.mcse.com（子域）

树根域：树最高层的域，名最短。如：mcse.com和my.com
Windows 2000/03可采用多层域结构，但最有效、最简便的管理方法仍是单域，所以大家在实际工作中要记住一个原则“能用单域解决，就不用多域”。

一、域（Domain）
域是活动目录中逻辑结构的核心单元。一个域包含许多计算机，它们由管理员设定，共用一个目录数据库，一个域有一个唯一的名字。
域是安全边界，保证域的管理员只能在该域内有必要的管理权限，除非得到其它域的明确授权。每个域都有自己的安全策略和与其它域的安全联系方式。注意：1、无法在一个域内实现不同的帐号策略。2、父域对子域并没有任何管理特权，但要注意林根域下有企业管理员组Enterprise Admins，它默认对林中的其它域是有特权的。
父域和子域间默认就有双向可传递的信任关系，也就是说用户可以使用林中任意一个域内的计算机，登录到林内的任何一个域上（操作上就是使用欲要登录的那个域的用户帐号）；还可以，以自己本域的帐号登录，访问林内任何资源而不需要重新输入口令，当然要想能真正访问某一具体资源，在该资源上必须得有相应权限才行。

二、组织单元（OU，Organizational Units）

在域下面，我们可以规划OU，放入计算机、用户、用户组等对象。也就是说通过OU，我们可以把对象组织起来，并形成一个有层次的逻辑结构。OU下面可以再建小OU，微软建议嵌套层次不要超过3层，我们平常一般1到2层就够用了。

在规划OU时，要考虑到将来的管理和组策略的应用，一般应把有相同需求的计算机、用户等放在同一OU下。可以基于部门、基于管理责任，也可以基于地理位置来规划，使其最佳地适应你的公司的需求。

在域下面规划OU，不是仅仅为得到一个层次结构，我们主要目的是要基于OU实现委派控制和将来链接相应的组策略来实现管理控制。委派的权限可以是完全控制，也可以是仅指定有限的权限（如：修改OU内的用户口令）给一个或几个用户和组。

三、活动目录林（Active Directory Forest）

在林中建立的第一个域，被称为林根域，如前面提到的mcse.com。在刚开始时候，我们这个林中只有一个树，树内只有一个域，域内只有一台计算机作为域控制器。也就是说此时我们整个林就只有一台计算机。

接下我们也可以为它添加子域，如sub.mcse.com.，再添加了一个新树下的域my.com。这样我们的这个林下就有了两个树：一个树由mcse.com域、和它的子域sub.mcse.com构成，一个树仅由my.com域构成。

四、活动目录树（Active Directory Tree）

活动目录树是Windows 2000/03网络中的层次组织，同一树下的域共用连续的名字空间。如父域mcse.com（它同时也是树根域、林根域），树根域的名字一定是最短的。父域mcse.com和子域sub.mcse.com之间默认就有一个双向的、可传递的信任关系。也正由于这种信任关系的可传递性，使得sub.mcse.com和my.com间也有了双向信任关系。

五、全局目录（GC，Global Catalog）

全局目录GC包含了AD对象属性的子集，换句话说就是GC中包含了林中所有对象的摘要信息，也就是相对重要一些的属性，如用户对象的姓、名和登录名。全局目录GC本身必须首先是域控制器DC，GC不具有唯一性，可以有多个。

全局目录GC使用户能够：1、查询整个林中的AD信息，无论数据在林中什么位置。以利于林中的跨域访问。2、使用通用组，即利用通用组成员身份的信息登录网络。

2-3-1-8活动目录的物理结构

在活动目录中，物理结构与逻辑结构是相互独立的。域控制器DC和站点（Site）组成了活动目录的物理结构。

利用站点，我们可规划域控制器DC放置，优化AD复制，使用户就近查找DC登录。同时，知道物理结构将有助于排除复制和登录过程中出现的问题。

一、域控制器（Domain Controllers）

Windows 2000/03域控制器上存储有活动目录的副本，管理目录信息的变化，并把这些变化复制给该域上的其它域控制器。域控制器存储目录数据，管理用户登录、验证和目录搜索。

一个域至少得有一台域控制器，为了容错就应该有两台，甚至多台。这主要要看网络的规模及分布。

二、活动目录复制

同一域内的DC之间要复制域信息，同一林内的DC间要复制林信息。活动目录复制确保AD信息对整个网络上的所有DC和客户机都是可用的。而活动目录的物理结构决定了复制发生的时间和地点。

AD复制采用多主控复制模型，也就是说每个DC都存储有AD的可写副本，彼此间的复制是双向的。这点与NT4域的PDC到BDC（目录服务的只读副本）的单主控复制不同。

在所有的DC把它们的变化都同步到活动目录中以前，DC在短时间内可能有不同的信息。按照默认，这一时间，同一站点内不越过3x5=15分钟。

三、站点（Site）

站点就是一个或几个高速带宽连接的IP子网的集合。管理员规划的站点，必须真实反映网络的物理结构和连接情况，把高速连接的部分规划为一个站点。也就是说，站点内一定是高速连接，站点间是低速连接。
管理员利用规划站点，可以为活动目录配置访问和复制拓扑。使用Windows 2000/03网络可以使用最有效的链接和时间安排来复制和登录。创建站点，我们可以：1、优化AD复制，如：让其半夜进行，一天一次。2、优化用户登录，如：使用户就近查找本站点内高速连接的DC进行登录。
在活动目录中，物理结构与逻辑结构是相互独立的，没有什么必然的联系。一个站点可以有几个域，一个域也可以有几个站点。给站点起名字也是任意的，不必考虑和域名字间的联系。

2-3-1-9操作主机（或叫主控、FSMO）

前面我们介绍了AD复制采用多主控复制模型，但在有些特殊情况下，我们需要目录林进行单主控更新以避免冲突的发生。简单地说就是，这时我们就让一台DC说了算，来执行相关的AD改变，然后由它把变化复制到其它的DC上去，这台DC就是操作主机。共有五种操作主机，它们是：
•
架构主控
Schema master
林内唯一
•
域命名主控
Domain Naming master
林内唯一
•
PDC仿真器
PDC Emulator master

域内唯一
•
RID主控
RID master

域内唯一
•
基础结构主控
Infrastructure master

域内唯一
默认林根域的第一台DC就是这五种操作主机，同时还是GC。林内其它域的第一台DC是该域内的域唯一的那三种操作主机，即PDC仿真、RID、基础结构。。
操作主机具有唯一性，但我们可以把操作主机移动到其它DC上，只要保证原来的不再是操作主机，也就是说保证这种唯一性即可。
任何一台DC都可以是一操作主机（注意也只有DC才可以是操作主机），一台DC可以同时担当多种操作主机角色。
对于操作主机的管理，我们可以查看、传送、查封。传送（Transfer）和查封（Seizing）的区别在于：传送是在原操作主机联机的情况下进行的，传送后得到了新的操作主机，原来的操作主机就不再是操作主机了，传送保证操作主机的唯一性。查封是在原操作主机有故障或失效，脱机的情况下的强行传输，也就是重新推选一个新的操作主机，会有数据的丢失。查封不保证操作主机唯一性，原操作主机必须格式化后再接入网络。
对操作主机的管理，可以使用图形化界面（管理的位置，将在下面逐个介绍说明），也可以使用Ntdsutil命令。下面我们简单介绍一下各种操作主机的作用。

一、架构主控（Schema master）
操作：AD架构/AD架构上右键/操作主机
说明：默认情况下，架构的MMC管理工具不被安装。需要：
1、运行adminpak.msi安装AD管理工具。Adminpak.msi可在03光盘I386目录下找到，或在03的windows\system32下找到。或者手动，开始/运行：regsvr32 schmmgmt.dll
2、开始/运行：MMC，文件/添加删除管理单元/添加/AD架构

关于架构，我们前面介绍过：架构是关于AD对象类型属性的定义。架构主控控制对架构的所有原始更新，也就是说对架构的修改、扩展，必须连接到林内唯一的这台架构主机上进行，然后由它复制到到林内所有的DC上。
注意：只有架构管理员组（Schema Admins）可以对架构进行修改，例如安装Exchange Server、ISA阵列，就需要扩展架构，你应该以架构管理员身份进行。

二、域命名（Domain Naming master）
操作：AD域和信任关系/AD域和信任关系上右键/操作主机
只有域命名主机可以向目录林中添加域或者删除域，保证域的名字在林中唯一。若域命名主机不可用，则无法在目录林中添加或删除域。
为保证域的名字在林中唯一，域命名主机需要查询GC。若林功能级别为Windows 2000林模式，GC必须和域命名主机在同一台计算机上才行。若林功能级别为Windows Server 2003林模式，不要求GC必须和域命名主机非得在同一台计算机上。

三、PDC仿真器（PDC Emulator master）
操作：AD用户和计算机/域上右键/操作主机/PDC标签

PDC仿真主机在五种操作主机中是最重要的，它的利用率很高。如果PDC仿真主机失效，必须尽快解决。它主要负责：
1、如果Windows 2000/03域中还有NT4的BDC，它充当NT BDC的PDC，并为早期版本客户机提供服务。顺便说一下，NT4的域控制器在2000/03域中只能是BDC，不可能是PDC。
2、管理运行NT、95/98计算机的密码变化，写入活动目录AD
3、最小化密码变化的复制等待时间。若一台DC接受到密码变化的请求，它必须通知PDC仿真主控。用户登录时，如密码错误，进行验证的DC必先送至PDC仿真主控。因为普通DC不能确认到底是密码错误，还是它没有及时与PDC仿真主控同步。
4、同步全域中的域控制器、成员计算机的时间。加入域的计算机，没有自己的时间。这是因为时间参数，在AD复制中是一个极为重要的因素，决定多主控复制时，谁的修改最终生效。所以整个域的时间，都由PDC仿真主机来控制。你可以手动修改域成员计算机上的时间，但当AD复制过后，又会被改回成PDC仿真主机上的时间。如果目录林是多层域结构，最终以林根域上的PDC仿真主机的时间为准。
5、防止重写GPO的可能，修改组策略设置，默认也是要连接到PDC仿真主控上才行。当然这个默认值是可以修改的，或者找不到PDC仿真主控时，系统会提示你连到其它DC。

四、相关标识符RID主控（RID master）
操作：AD用户和计算机/域上右键/操作主机/RID标签

在AD对象中的用户、组或计算机等对象，我们是可以为其分配权利权限的，被称为安全主体。安全主体与其它非安全主体对象的最主要的区别就在于：安全主体对象有安全标识符（SID），可以为其分配权利权限。大家要明确：在活动目录中，所有对象都有GUID（全局唯一标识符），只有安全主体对象才有SID。
当我们在域内创建安全主体（例如用户、组或计算机）对象时，域控制器将域的SID与安全主体对象RID标识符相结合，以创建唯一的安全标识符 (SID)。形如：
S-1-5-21-1553226038-2352558368-427082893-500
其中S-1-5表示NT Authority（标识符颁发机构）；上例中的21-1553226038-2352558368- 427082893为这个域的SID（每个域不同），在这个位置还可能是32（表示本地/域内置的本地组，都只能在DC/本机上使用，重复无妨，所以都是32），也可能是本机的SID（每台机不同）；后面跟的500表示administrator用户。
为了结合后面的案例，在这里我们把SID多作些介绍：

SID	名称	描述
S-1-5-域-500	Administrator	管理员帐户
S-1-5-域-501	Guest	供来宾访问计算机或访问域的内置帐户
S-1-5-域-502	krbtgt	密钥分发中心（KDC）服务使用的服务帐户
其它还有：Domain Admins（512），Domain Users（513），Domain Guests（514）。用户帐户、全局组可在林内或有信任关系的其它域使用，所以域间不可重复。
S-1-5-域-515	Domain Computers	一个包括加入域的所有客户端和服务器的全局组
S-1-5-域-516	Domain Controllers	一个包括域中所有域控制器的全局组。默认情况下，新的域控制器将添加到该组中。
S-1-5-根域-518	Schema Admins	域为混合模式时为全局组，纯模式时为通用组。默认成员林根域的 Administrator。被授权更改AD架构。
S-1-5-根域-519	Enterprise Admins	域为混合模式时为全局组，纯模式时为通用组。默认成员林根域的 Administrator。被授权更改AD林结构，例如添加子域，删除域。
S-1-5-32-544	Administratrs	域/本地管理员组，都只能在DC/本机使用，重复无妨。
其它还有：Users（545），Guests（546），Power Users （547），Account Operators（548），Server Operators（549），Print Operators（550），Backup Operators （551），Replicators（552），Remote Desktop Users（555）。都只能在本域内使用，域间重复无妨。
S-1-1-0	Everyone	包括所有用户（甚至匿名用户和来宾）的组。成员身份由操作系统控制。在03中管理员可决定是否包括Guest。
S-1-5-6	Service	一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
S-1-5-7	Anonymous	一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
S-1-5-18	Local System	操作系统使用的服务帐户。
S-1-5-19	Local Service	本地服务
S-1-5-20	Network Service	网络服务

RID操作主机就是负责向域内的DC分配 RID 池，每一个 Windows 2000/03 DC 都会收到用于创建对象的 RID 池（默认为 512个）。RID 操作主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。若DC分到的RID池被用尽，可以向RID操作主机自动再次申请。
通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。当对象从一个域移动到另一个域上时，RID主控将该对象从域中删除。

五、基础结构主控（Infrastructure master）
操作：AD用户和计算机/域上右键/操作主机/结构
标签
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时（如域本地组中包括另一域的一个全局组），此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。
如果被引用的对象移动，则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。也就是说，基础结构主机负责更新外部对象的索引（组成员资格），显然，单域不需要基础结构主机。
基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机。基础结构主机不应该和GC在同一个DC上，应手动移走，否则将不起作用。前面我们提到过，默认林根域的第一台DC就是这五种操作主机，同时还是GC。也就是说，这时基础结构主机实际上是失效的，不起作用。但这时只有一个林根域，基础结构主机不起作用也没关系，若以后构建多层域，需要手动将其与GC分开。

2-3-1-10域功能级别和林功能级别

域功能级别	2000	2000混合模式	DC：可包含NT4的BDC。
		2000本机模式	所有DC均为2000，可以使用通用组、多主复制、SID历史、通讯组与安全组的转换、组的同名嵌套。
	03	2000混合域功能级级别	只是DC中多了03，即DC：NT、2000、03
		2000本机域功能级级别	只是DC中多了03，即DC：2000、03，
		03临时域功能级级别	不常用，DC：03、NT。需要专门工具
		03域功能级级别	所有DC均为03，可以重命名域
林功能级别	2000林功能级别		默认值，域命名主控必须是GC
	03林功能级别		需要所有DC均为03，提升林时，会自动提升所有域为03域功能级级别。可传递的林信任关系、更灵活的组成员复制（基于操作）、更好的站点间路由选择、对GC的修复、架构的重新定义。

2-3-1-11标识名（DN）和相对标识名（RDN）

前面我们提到了客户使用LDAP协议来访问活动目录中的对象，那么LDAP是如何来标识一个在活动目录中的对象的呢？换句话说，LDAP是如何在活动目录找到对象A，而不会错找成对象B的呢？这就要用到一个命名路径，即标识名（DN）和相对标识名（RDN）。DN为活动目录中的对象标识出LDAP命名的完整路径；RDN用来标识容器中的一个对象，即它总是DN中的最前面一项。
如：在Active Directory用户和计算机中，在mcse.com域下有个OU：Finance（财务），在Finance下又有个小OU：Sales（销售），在其下有个用户，名叫Suzan Fine。则此用户对象的DN为：CN=Suzan Fine, OU=Sales, OU=Finance, DC=mcse DC=com。RDN为：CN=Suzan Fine。
说明：

1、其中DC表示DNS名字的域组件，OU表示组织单元，CN表示普通名字，CN可用于除了前两种以外的所有对象。比如：如果用户帐号不在OU中而是在默认容器Users中，为表示Users容器应使用CN。即：CN=Suzan Fine, CN=Users, DC=mcse, DC=com。
2、如果在命令中引用DN，且DN中有空格，如CN=Suzan Fine。应使用引号将整个DN括起来。如“CN=Suzan Fine, CN=Users, DC=mcse, DC=com”。

2-3-1-12 域名服务系统（DNS）

Windows 2000/03的活动目录服务与域名服务系统（DNS）紧密结合、集成一起，所以DNS故障是导致AD故障非常主要的因素之一，有统计数据显示AD故障的60%来自于DNS。
使用活动目录、构建Windows 2000/03的域，网络上必须有可用的DNS服务器，并且必须支持SRV记录（Service Location Resource Record）和动态更新功能。如：MS Win2000/03 DNS，UNIX的DNS BIND 8.12及以上版本，使用已有的NT4 DNS是不行的。

构建NT4域并不需要DNS的支持，但2000/03域必须有DNS，且满足上述要求。
SRV记录的作用是指明域和站点（site）的DC、PDC仿真、GC是谁。动态更新也是2000/03DNS的新特色，管理员不必再象NT4 DNS那样手动为计算机创建或修改相应记录，在域成员计算机重启，或改名、改IP时依赖周期性更新，自动动态注册或更新相应DNS记录。
如果没有DNS服务器的话，也不一定非得预装DNS，可以在安装AD过程中，选择在本机上安装2000 DNS。而且推荐初学者使用这种方法，因为系统会根据你提供的FQDN域名，自动创建好DNS区域（zone），并配置成AD集成区域，仅安全动态更新。如果需要向外连或反向解析，用户只需配置上转发器和反向区域即可，不需要的话，直接就可以用了。

如果决定在安装AD过程中在本机安装DNS，应在安装前，将本机TCP/IP配置/DNS服务器指向自己，这样在安装AD完成后重启时，SRV记录将被自动注册到DNS服务器的区域当中去的，生成四个以下划线开头的文件夹，如_msdcs，03DNS在这里夹的层次结构有所变化，但本质没变。当然如果忘了指，也可以后补上，只不过需要多重启一次。

03DNS新特色：
1、条件转发。
转发器的作用是，如果本机无法解析DNS客户所发的查询请求，转发给转发器所指定的DNS服务器。在03DNS中新增了条件转发，即不同的DNS区域，可指定不同的转发器。
利用条件转发，不仅可改善DNS查询，更重要的是有其实际意义。例如两个公司合并时，可将利用条件转发，基于对方域名将转发器配置为指向对方的DNS服务器。这样DNS服务器就能解析对方网络中的DNS名称，并对其他网络信息建立巨大的缓存。又由于不必查询 Internet 上的 DNS 服务器，将大大减少DNS查询所用的时间。
2、存根（stub）区域

上面的场景也可用存根区域来解决，在03DNS中创建对方的存根区域，并指明对方的权威DNS服务器。注意在存根区域下只有对方域的SOA、NS及与NS相关的A记录，不会有对方其它的具体资源的记录。在有些情况下，与条件转发的作用还是有所不同的。

2-3-1-13 组策略（Group Policy）
组策略是活动目录上的最大应用，可以应用于2000/XP/03。组策略使许多重复的管理工作自动化、简单化，所以说组策略的应用程度是衡量2000/03管理员的重要尺度。
组策略对象（GPO）也是一种AD对象，并且可设置权限。在域内创建，可链接到站点（Site）、域（Domain）、组织单元（OU），使组策略的设置对一定范围的计算机/用户生效。本地（Local）策略可理解为一个特殊的组策略：在工作组下也可使用，只对本地用户和该计算机生效。使用gpedit.msc进行管理，设置后立即生效，不需刷新。
组策略设置的默认优先级是：LSDOU原则，本地策略优先级最低。可通过阻止继承（将阻止所有策略继承）、禁止替代（也就是必须继承，针对某个具体的GPO来设置）、组策略筛选器（实质为GPO权限）改变默认的优先级。
组策略对象（GPO）包括组策略容器（GPC）和组策略模板（GPT）两部分。GPC位于AD用户和计算机/System/Policies（需要选中查看下的高级功能），仅是GPO的属性和版本信息，计算机通过GPC来查找GPT。具体的策略设置值存储在GPT中，位于DC的windows\sysvol\sysvol下，以GUID为文件夹名。注意安装AD系统自带的两个GPO，使用固定的GUID，分别是：
¨
默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9
¨
默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。

组策略具体的设置内容2000到达600多条，03又新增200条左右。

组策略设置中的安全模板（计算机和用户）部分，通过注册表生效，但并不永久改变注册表。若用户手动修改注册表中的组策略设置值，若策略未变，组策略不负责强制改回。

安全策略是组策略的子集（一部分），只不过其MMC工具被单独提出来，放到管理工具下了。
本文出自 “张东辉的博客” 博客，请务必保留此出处http://zhangdonghui.blog.51cto.com/304753/62867

搜索更多相关主题的帖子: 域故障张东辉 Directory Active Windows

紫阳
紫阳★木

TOP

紫阳

管理员

Rank: 20

帖子: 3396
积分: 49336
活跃度: 18643
来自: 福建厦门
在线时间: 924 小时
最后登录: 2008-8-29

主板大中小发表于 2008-6-29 20:51 只看该作者

2-3-2域故障排错相关知识及工具软件的使用

大庆油田高级人才培训中心张东辉

这部分我们要介绍域故障排错相关的知识和工具软件（包括Windows自带的、微软附加的、第三方的）的使用。我们力图把这些内容做个简单的分类，以方便讲解和讨论，总体思路由易到难。但我们大家要明确：实际的故障总是各种各样，千差万别的，常常综合有多方面的因素，我们也需要结合多种工具才能解决。而且简单的工具更常用，更应该掌握好。

2-3-2-1 TCP/IP排错工具

因为我们重点要讨论AD域的故障排错，在这部分我们只把一些常用命令做一下介绍，其它不太常用的大家了解一下就可以了。
一、Ping
对于ping命令大家经常使用，比较了解。现简述思路如下：

操作	正常工作/通	不正常工作/不通
查看：设备管理器/网卡	网卡及其驱动没问题，已经正常工作了。	考虑网卡的物理完好，及驱动是否正确，一般为后者。早期的非PCI网卡还可能是由于中断IRQ设置不当引起的。
Ping 127.0.0.1	说明TCP/IP协议没问题	需要重新安装TCP/IP协议，此故障极少见。
Ping 自己的IP	说明本机所配IP正确，没有问题。	IP地址冲突。解决：事件查看器查找冲突网卡的MAC地址，或ping –a IP获取冲突计算机的名字。
Ping 自己的默认网关	到默认网关的物理线路没问题	解决：首先查看网卡灯是否正常（一般：一灯亮一灯闪）。不正常说明本机到下一设备（HUB/交换机/路由）这段线路有问题或设备未加电、有故障、需重启等。
Ping 另一网段远程主机IP	路由设备、外连线路没问题	检查路由器设置、外连线路。也可能是目标主机的问题，可先ping一下另一台远程主机。
Ping 远程主机的域名	说明本机所配DNS没问题	检查本机DNS配置，检查DNS服务器

说明：
1、若目标或中间环节（如ISP）禁用了ICMP，比如安装了防火墙或筛选器等，会导致ping不通。提示为：Request time out。但其它访问（如：共享资源、HTTP、FTP等）不会因禁用ICMP，ping不通而受影响。
2、防火墙等禁用ICMP，主要是为了防止黑客的DoS（Denial-of-service）、DDoS攻击。因为被ping的计算机要做出响应，响应多了就无法向外提供其它服务甚至死机。安装了防火墙的计算机可以ping通其它计算机，因为防火墙的本质就是筛选器，针对访问的双向性，可配置输入、输出筛选。Ping命令使用到ICMP协议，ICMP类型为：入8，出0。禁止自己被别人ping，可以禁止“入8”，也可以禁止“出0”，但显然前者更好些。

二、Ipconfig
查看TCP/IP配置是否正确时，最好使用ipconfig /all命令，而不是图形界面。因为图形界面下是你给计算机所做的配置，而ipconfig下相当于把计算机当前的配置调出来查看。没问题时，二者是一样的；但有问题时，二者是会不同的。

此命令可用于DHCP租约的刷新和释放，及类标识的设置和查看。用于DNS的有：
¨
/flushdns
清除本机DNS缓存。
¨
/displaydns
显示本机DNS缓存，包括名字、IP、TTL等。
¨
/registerdns
向DNS服务器立即注册本机名称、IP地址。

三、Telnet
使用Telnet命令，用户可利用Telnet协议连接到远程计算机。一旦连上后，用户就可以在远程计算机（被称作Telnet 服务器）上使用基于字符的应用程序，就好象直接登录到远程计算机，在它的命令提示符方式下一样。可以使用Ctrl+]切换到telnet客户端配置，进行一些设置，若再回到目标机，使用ESC键+回车切换。
例如：设目标机（Telnet 服务器）IP为10.1.1.1，在本机上，开始/运行：cmd，键入Telnet 10.1.1.1。将会出现如下信息

欢迎使用 Microsoft Telnet Client
Escape 字符是‘CTRL+]’
您将要把您的密码信息关到Internet区内的一台远程计算机上。这可能不安全。您还要送吗（y/n）：

键入y，回车。将出现如下欢迎界面：

*====================================
欢迎使用 Microsoft Telnet 服务器
*====================================
C:\>

注意C:\>表示的目标机（Telnet 服务器）的C盘根下。按住CTRL键再按]，可切换到Microsoft Telnet>提示符下；按ESC键，再按回车，可切换回去。

四、Nslookup（结合加计算机到域问题，具体讲解）
Nslookup命令用于DNS的检查和排错，也可使用命令式或交互式。现结合加计算机到域问题，主要讲解交互式的使用。加入AD域的计算机必须满足下列三个 DNS 要求：
·
计算机必须配置了首选 DNS 服务器的 IP 地址。
·
_ldap._tcp.dc._msdcs.DNSDomainName
这条SRV记录必须存在于 DNS 中。
·
上面记录所指明的DC在DNS中，必须有相应的主机（A）记录才行。
确定是否为DNS问题，可使用nslookup命令。
1、开始/运行：cmd，打开命令提示符。
2、在命令提示符下键入nslookup，然后按 ENTER。
说明：
（1）此时应出现如下内容及提示符。
Default Server:
dc1.mcse03.comAddress:
10.63.243.1
>
（2）此时如果出现如下内容及提示符，说明DNS服务器上未配置反向查找区域，倒也无碍大局。
***Can’t find server name for address 10.63.243.1: Non-existent domain
Default Server:
UnKnownAddress:
10.63.243.1>3、在“大于号”命令提示符处，键入：set q=srv
4、在“大于号”命令提示符处，键入：_ldap._tcp.dc._msdcs.ActiveDirectoryDomainName
说明：ActiveDirectoryDomainName为要加入域的DNS名称，如mcse03.com
5、正确结果应是如下内容，说明通过DNS解析可以找到域的DC。
Server:
dc1.mcse03.com
Address:
10.63.243.1
_ldap._tcp.dc._msdcs.mcse03.com SRV service location:
Priority
= 0
weight
= 0
port
= 389
svr hostname
= dc1.mcse03.com
dc1.mcse03.com
internet address = 10.63.243.1

2-3-2-2活动AD工具

一、批量用户帐号
Csvde
Ldifde
脚本
详见下小节Q6

二、Active Directory 迁移工具
该工具简化了在 Active Directory 域之间迁移用户、组和计算机或从 NT4 域迁移到 Active Directory 的步骤，并在实际迁移过程之前和之后分析迁移影响，可实现林间迁移。
1、安装：运行03光盘\I386\ADMT\admigration.msi。
2、使用：具体使用参考联机帮助。

2-3-2-3 组策略工具

一、Gpedit.msc

本地策略编辑器，在开始/运行下执行即可。

二、Secedit

secedit.exe，Windows2000/XP/03自带的自动化安全配置任务命令行工具，功能强大。此命令可用来对计算机的安全策略设置进行配置（confingure）与分析（analyze）、导出等，关于配置和分析平常我一般会使用MMC的图形界面。这里我们主要结合后面例子讲一下安全策略设置的导出、修改、配置。其它具体用法请使用"secedit /?"查看联机帮助文件。
¨
导出本机当前安全设置，如secedit /export /cfg c:\sectmp.inf
说明：.inf文件被称为安全模板，实质就是一个文本文件。可利用记事本进行编辑，名字、位置可任意，在secedit命令中通过/cfg参数指定.inf文件。
¨
将安全模板文件中的设置配置给计算机，如secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf
说明：安全模板文件中的设置不能直接配置给计算机，也不能直接与计算机配置比较（被称作分析analyze），需要先放到一个.sdb库中才行，如上面的sectmp.sdb，名字、位置可任意。

此命令还可用于2000组策略的强制刷新，讨论见后面的gpupdate。

三、Gpupdate
在2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce命令在03中已由gpupdate取代。在开始/运行下执行即可，命令格式如下：
¨
仅刷新计算机策略：gpupdate /target:computer
¨
仅刷新用户策略：　gpupdate /target:user
¨
二者都刷新：　　　gpupdate
此命令用于：修改了域/OU上的组策略，欲对客户机或用户马上生效，在客户机上运行此命令即可。否则需要：
¨
计算机策略：重启
¨
用户策略：重登录
或依赖自动刷新间隔：
¨
DC到DC：5分钟，多DC可能长达15分钟
¨
DC到域成员（非DC）：90+ -30分钟，即60~120分钟。
注意不是所有的组策略设置都可以利用gpupdate去强制刷新生效的，有些策略和启动或登录过程相关联，就必须得重启或注销。

三、Group Policy Management Console（GPMC）
允许在一个或多个林内跨站点、域和组织单位管理组策略。可对GPO进行备份、还原、复制和录入；可以添加、编辑、删除WMI筛选器；可以以建模模式或日志模式分析组策略作用的结果。

1、安装：到此处http://www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24
-8cbd-4b35-9272-dd3cbfc81887&displaylang=zh-cn下载软件gpmc.msi（中文版），双击安装。

2、使用：可利用GPMC对组策略对象进行备份和还原。操作：开始/运行，键入gpmc.msc。（或者开始/程序/管理工具/AD用户和计算机/域上/右键/属性/组策略/打开，将打开GPMC，而不是2000/03默认的组策略编辑器了）在其下找到要备份的组策略，右键，选择：备份或还原。
其它使用，到此处http://www.microsoft.com/china/windowsserver2003/gpmc
/gpmcwp.mspx下载使用说明（英文），或参考联机帮助（中文）

四、gpresult
在命令提示符下，显示用户或计算机的组策略设置和策略的结果集 (RSoP)。
使用：开始/运行：cmd，键入gpresult。具体参数，参见联机帮助。

五、LDP.exe

可以用这个工具绑定DC，获得对象的信息，还可以“修改”，搜索、添加、删除等。还允许你查找被删除的对象。作用类似AD用户和计算机，功能更强大。可查看AD对象更详细的信息，如GUID、SID等。

1、安装：运行03光盘\SUPPORT\TOOLS\ suptools.msi，将安装在C:\Program Files\Support Tools夹下，还有许多别的工具，如接下来的ADSIedit.msc。

2、使用：
（1）开始/运行：ldp，启动LDP。
（2）连接/绑定：管理员帐号。
（3）查看/树，输入BaseDN，如dc=mcse03,dc=com。
这样就可以对AD对象进行查看、编辑、添加、删除等。:

六、ADSIedit.msc

可进行ADSI低级编辑。

安装：同前
使用：开始/运行：ADSIedit.msc

2-3-2-4 Ntdsutil工具
Ntdsutil.exe是微软提供的管理活动目录（Active Directory）的命令行工具，专供有经验的管理员使用的。它的功能十分强大，采用分层的多级命令结构，使用 Ntdsutil 可以：
¨
Authoritative restore授权恢复
对AD对象、子树、甚至整个AD（注意：架构不能进行授权恢复）进行授权恢复。目录恢复模式下进行。
¨
Files
活动目录库、日志文件
执行活动目录的AD库的管理维护，包括：压缩、移动、检查、恢复、设置路径等。目录恢复模式下进行。
¨
Metadata cleanup元数据库清理
删除从网络上非正常卸载域控制器后留下的元数据垃圾。不要进到目录恢复模式下进行。
¨
Roles操作主控
管理、传送、查封操作主机。不要进到目录恢复模式下进行。
…………
Ntdsutil工具包括一系列菜单，允许在不同管理任务之间进行切换。默认情况下，Ntdsutil 安装在 systemroot\System32 文件夹内，并可在命令提示符下键入Ntdsutil进行访问。
每级菜单下都可以通过键入：？或HELP，查看本级菜单下可用的命令。用户在Ntdsutil子菜单下键入命令时，可简写，只要每个单词不同于本级命令中的其它命令即可，如：
list roles for connected server
connect to server xxx
为方便起见，您只需指定每个单词，使其与特定菜单中输入的任何其他单词不同。因此，当您越来越熟悉此工具时，就可以键入“li r f c s”而不用键入“list roles for connected server”。

关于Ntdsutil工具的具体使用，我们将在活动目录（Active Directory）域故障解决实例详细讲解。
本文出自 “张东辉的博客” 博客，请务必保留此出处http://zhangdonghui.blog.51cto.com/304753/62868

紫阳
紫阳★木

TOP

紫阳

管理员

Rank: 20

帖子: 3396
积分: 49336
活跃度: 18643
来自: 福建厦门
在线时间: 924 小时
最后登录: 2008-8-29

内存大中小发表于 2008-6-29 21:01 只看该作者

Windows Active Directory 域故障排错（三）

2-3-3活动目录（Active Directory）域故障解决实例

   这部分内容将以实例的形式，介绍活动目录（Active Directory）的域故障排除，基本上遵循由易到难，由简到繁的顺序来讲解讨论。

Q1、客户机无法加入到域？

一、权限问题。
要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。
二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。”吗？这时如何在这台计算机上登录到域呀！
显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。注意：域管理员不受10台的限制。
三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。
四、域xxx不是AD域，或用于域的AD域控制器无法联系上。
   在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的 IP 地址，然后开始进行网络身份验证。DNS不可用时，也可以利用浏览服务，但会比较慢。2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。
加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。
   加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，需要等待较长的时间，所以不推荐。再者，由于客户机的DNS指的不对，则它无法利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它，这本应该是可以的。
   若客户机的DNS配置没问题，接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC（具体见前）。能找到的话，再ping一下DC看是否通。

Q2、用户无法登录到域？

一、用户名、口令、域
   确保输入正确的用户名和口令，注意用户名不区分大小写，口令是区分大小写的。看一下欲登录的域是否还存在（比如子域被非正常删除了，域中唯一的DC未联机）。
二、DNS
   客户机所配的DNS是否指向DC所用的DNS服务器，讨论同前。
三、计算机帐号
   基于安全性的考虑，管理员会将暂时不用的计算机帐号禁用（如财务主管渡假去了），出错提示为“无法与域连接……，域控制器不可用……，找不到计算机帐户……”，而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中，将计算机帐号启用即可。
   对于 Windows 2000/XP/03，默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步，登录时就会出现出错提示：“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法：重设计算机帐户，或将该计算机重新加入到域。
四、默认普通域用户无权在DC上登录
   见下一小节的Q1。
五、跨域登录中的问题
在2000及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS配置去找DNS服务器，DNS根据SRV记录告诉它DC是谁，客户机联系DC，验证后登录。
　　如果是在林中跨域登录，是首先查询DNS服务器，问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域（不一定是本林的），要保证DNS能找到对方的域。

Q3、如何解决本地或域管理员密码丢失？

　　本地管理员密码丢失，可通过删除sam文件（2000SP3以前）或通过NTpassword软件来解决。但要解决域管理员密码丢失，它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了，接下来我们将详细讨论使用此盘解决管理员密码丢失问题。
1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”，大约178M；
2、下载后解压缩，将其内容刻录成光盘；
3、用此光盘启动计算机，显示XP安装界面，Start ERD Commander 2002环境；
4、出现选择菜单，选择第一项：ERD Commander 2002；
5、出现类似XP的启动界面
6、进入选择系统安装的路径，一般会自动测出操作系统、版本及是否域控制器；
7、出现类似的XP桌面：选择Start/Administrative Tools/Locksmith；
8、进入ERD Commander 2002 locksmith向导界面，下一步；
9、选择Administrator，重设其密码；（此时切不可手动重新启动计算机，否则此修改将无效）
10、选择Start/Logoff，点OK；
11、稍候片刻，点reboot后重新启动计算机
凤凰启动盘中的ERD Commander 2002功能强大，不仅可破解本地管理员密码，包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码，均已实验证明。
由于可自动识别操作系统和版本，及是否DC，所以用户在操作时，重设密码的方法都是一样的。对于03，重设密码时要注意符合密码策略中要求的符合复杂性要求，且密码最小长度为7，否则重设的密码会无效。

Q4、无法使用域内的共享打印机？

   现象：计算机重启或注销，再登录进来，无法使用以前安装的域内的共享网络打印机，
为用户重新安装打印机，当时可以打印，但不久问题又会出现。用户反映说有时能打印，有时就是不能打印。
   其原因在于用户没有登录到域（很多用户即使计算机加入到了域，也经常习惯性地选择登录到本地机），没有域用户身份，当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病，它并不象你访问共享文件夹那样，由于没有身份而提示你输入用户名和密码来进行验证，而是直接提示你“拒绝访问，无法连接”、“当前打印机安装有问题”，“RPC服务不可用”等等（在不同的操作系统或应用程序中提示会所不同）。
   解决办法有3种，最好还是用方法1。：
1、要求用户将其域用户帐号加入到本地管理员组，以后每次都以域用户帐号登录。
说明：这本身就是微软推荐的一种办法。因为如果不这样，普通用户以本地管理员身份登录时，控制本机没问题，但访问域资源时需要输入域用户名和口令；而用户若以域用户身份登录，又没有本机管理特权。比如说：无法关机，无法修改网络等配置，无法安装软件、驱动等。这样做了以后，用户以域用户身份登录，同时他又是本地管理员。
2、在打印服务器上启用Guest用户，保证everyone有打印权限。但这样做不安全，所以不推荐。
3、在客户机上每次要使用打印机前，在开始—运行：\\PrintServer，这时会提示你输入用户名和密码。通过验证后，再去使用打印机。很显然这样方法比较麻烦。

Q5、无法访问域内的共享资源？

   上例中我们提到过客户机如果加入到了域，但用户选择登录到本地机。当访问域内共享资源时，会提示输入用户名和口令。若不出现提示，直接出现拒绝访问。一般是由于目标计算机上启用了guest，而guest用户没有权限造成的。
   接下来的讨论实质和域的关系不太，但确实是我们访问网络共享资源中经常会碰到的问题：基于UNC路径的IP形式来访问时的故障，如在开始/运行：\\10.63.243.1。
前提：在网卡、协议、连接没问题的情况下。即在可ping通的前提下，若\\10.63.243.1不通，排错可从下面几个方面来考虑。
1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。
提示：“\\10.63.243.1 文件名、目录名或卷标语法不正确”。
检查：服务是否安装、是否选中，或重装一下。
操作：网上邻居/右键/属性/本地连接/右键/属性
2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。
提示：
（1）若目标机（为域成员）上的net logon服务停了：“试图登录，但网络登录服务未启动”。
（2）若目标机上的server服务停了：“\\10.63.243.1 文件名、目录名或卷标语法不正确。”
（3）若本机的worstation服务停了：“\\10.63.243.1 网络未连接或启动”。连其它计算机，也是一样的提示。
检查：相应服务是否已经正常启动。
操作：我的电脑/右键/管理/服务和应用程序/服务下
3、由于本机与其它计算机重名（指NetBIOS名称）的影响
提示：访问任何计算机均提示：“找不到网络路径”。
检查：重启一下，看是否有“网络中存在重名”的提示。可能上次开机时没注意给忽略了。
操作：我的电脑/属性/网络标识/属性/计算机名下，修改计算机名。
4、XP/03由于默认安全策略：“帐户：使用空白密码的本地帐户只允许进行控制台登录”的影响
提示：\\10.63.243.1无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败：用户帐户限制。可能的原因包括不允许空密码，登录时间限制，或强制的策略限制。
检查：改用非空密码的帐户试试，或查看XP/03目标机上的本地策略。
操作：开始/运行：gpedit.msc。计算机配置/Winodws设置/安全设置/本地策略/安全选项下，由默认值“启用”改为“禁用”。
注意：域帐号访问不受此策略限制。
5、网络共享访问被筛选器的设置所阻止
提示：找不到网络路径
检查： TCP/IP筛选、IPSEC、RRAS筛选器是否被启用，且TCP端口139和445被禁用。
操作：
（1）网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—TCP/IP筛选
（2）网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—IP安全机制
（3）开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规：输入/输出筛选器。
说明：
（1）RRAS筛选器只在2000/03 Server版中才有，IPSEC只有在2000的上述位置才有。
（2）若你就想设置筛选器，基于端口控制，不让别人访问你的网络共享资源，需要同时禁止TCP：139和445口。
（3）由于此种原因产生的访问故障，一般是由于实验后忘了复原，或别人故意和你开玩笑。

Q6、在AD域中，如何批量添加域用户帐号？

作为网管，有时我们需要批量地向AD域中添加用户帐户，这些用户帐户既有一些相同的属性，又有一些不同属性。如果逐个添加、设置的话，十分地麻烦。一般来说，如果不超过10个，我们可利用AD用户帐户复制来实现。如果再多的话，我们就应该考虑使用csvde.exe或ldifde.exe来减轻我们的工作量了。最后简单介绍一下利用脚本（可利用循环功能）批量创建用户帐号

一、AD用户帐户复制
1、在“AD域和计算机”中建一个作为样板的用户，如S1。
2、设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。
3、在S1上/右键/复制，输入名字和口令。
说明：
1、  只有AD域用户帐户才可以复制，对于本地用户帐户无此功能。
2、  帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下：
选项卡

复制到新用户帐号的属性
常规

无。
地址

除了“街道”之外所有
帐户

除了“用户登录名”之外所有
配置文件

除“配置文件路径”和“主文件夹”。欲复制它们，应该使用%username%变量，如：\\server\share\%username%
电话

无
单位

除了“职务”之外所有。
隶属于

全部
拨入

无，将默认值应用于新帐户。
环境

无，将默认值应用于新帐户。
会话

无，将默认值应用于新帐户。
远程控制

无，将默认值应用于新帐户。
终端服务配置文件

无，将默认值应用于新帐户。
二、比较csvde与ldifde

csvde逗号分隔符目录交换

ldifde轻型目录访问协议互换格式目录交换
功能

只能用来添加对象，不能用于删除/修改

可用于添加/删除/修改对象
格式

字段名1,字段名2,字段名3,……
记录1此值,记录1此值,记录1此值,……

字段名1: 记录1此值
字段名2: 记录1此值
字段名3: 记录1此值
　　　　　……
举例

Dn,objectclass,samaccountname,
userprincipalname,useraccountcontrol
“cn=s1,ou=test,dc=mcse,dc=com”,user,s1
s1@mcse.com,512

Dn: cn=s1,ou=test,dc=mcse,dc=com
Objectclass:user
Samaccountname:s1
Userprincipalname:s1@mcse.com
useraccountcontrol:512
共同点

用于导入的文本文件必须包含：
l       用户帐号的OU，对象的类型以及用户登录名的路径，用户主名
l       默认（即不指定时）：用户帐户为禁用。启用：512，禁用：514
l       可包含个人信息，但不可包含密码，只能用默认的空口令。
l       或通过设pwdLastSet字段值为0，使“用户下次登录时须更改密码”（不设这个字段，默认也是如此）。
l       通过设userAccountControl字段值为66048，可使“密码永不过期”。

三、以csvde.exe为例说明：域用户帐户的导出/导入
　　操作步骤如下：
1、  在“AD域和计算机”中建一个用户，如S1。
2、  设置相关需要的选项，如所属的用户组、登录时间、用户下次登录时需更改密码等。
3、  在DC上，开始/运行：cmd
4、  键入：csvde  –f  demo.csv
说明：
（1）不要试图将这个文件导回，来验证是否好使。因为这个文件中的好多字段在导入时是不允许用的，如：ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么，其值应该怎么写，出错信息如下：
objectGUID:写

UNPRINTABLEBINARY(16)

"由于安全原因不允许修改。"
objectSid:写

UNPRINTABLEBINARY(28)

"由于该属性处于“安全帐户管理器” (SAM)，不允许访问该属性。"
（2）可通过-d –r参数指定导出范围和对象类型。例如：
   -d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”
            -r “< Objectclass=user>”
5、  以上面的文件为参考基础，创建自己的my.csv，并利用复制、粘贴、修改得到多条记录。例如：
dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName
"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com
"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcse.com
………………，其它可用字段，我试了一下，见下表（不全）：
用户帐户属性

字符名

说明
“常规”标签
姓

Sn

名

Givename

英文缩写

Initials

显示名称

displayName

描述

Description

办公室

physicalDeliveryOfficeName

电话号码

telephoneNumber

电话号码：其它

otherTelephone

多个以英文分号分隔
电子邮件

Mail

网页

wWWHomePage

网页：其它

url

多个以英文分号分隔
“地址”标签
国家/地区

C

如：中国CN，英国GB
省/自治区

St

市/县

L

街道

streetAddress

邮政信箱

postOfficeBox

邮政编码

postalCode

“帐户”标签
用户登录名

userPrincipalName

形如：S1@mcse.com
用户登录名（以前版本）

sAMAccountName

形如：S1
登录时间

logonHours

见注释1
登录到

userWorkstations

多个以英文逗号分隔
用户帐户控制

userAccountControl

启用：512，禁用：514，66048
帐户过期

accountExpires

“配置文件”标签
配置文件路径

profilePath

登录脚本

scriptPath

主文件夹：本地路径

homeDirectory

连接

homeDrive

到

homeDirectory

“电话”标签
家庭电话

homePhone

若是其它，均在前面加other，如otherhomePhone
多个以英文分号分隔
寻呼机

Pager
移动电话

mobile, othermobil
传真

FacsimileTelephoneNumber
IP电话

ipPhone
注释

Info
“单位”标签
职务

Title

部门

Department

公司

Company

“隶属于”标签
隶属于

memberOf

用户组的DN不需使用引号，多个用分号分隔
“拨入”标签
远程访问权限（拨入或VPN）

msNPAllowDialin

允许访问

值：TRUE

拒绝访问

值：FALSE

回拨选项

msRADIUSServiceType

由呼叫方设置或回拨到

值：4

总是回拨到

msRADIUSCallbackNumber

“环境”、“会话”、“远程控制”、“终端服务配置文件”、“COM+”标签
说明：这些标签，平常极少用到，我也没试。如果需要可以自己导出来看一下，像一些复杂的字段，如：userParameters，还是用粘贴吧
6、导入到AD，键入 csvde  –i –f  my.csv  –j c:\
说明：-j用于设置日志文件位置，默认为当前路径。此选项可帮助用户在导入不成功时排错。

有一点大家必须明确的是：我们在这里做AD域用户帐户复制、做AD域用户帐户的导出/导入，并不能代替“AD备份和恢复”。我们只是在批量创建用户帐号，帐号的SID都是重新生成的，权利权限都得重新设才行。（当然我们可以把导入的用户，通过memberof字段设到一些用户组中去，使它有权利权限。但这与利用“AD备份和恢复”到原状，完全是两回事）。

四、利用脚本创建批量用户帐户

1、利用脚本创建用户帐号（用户可参考下例）。
Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")
Set objOU = objDomain.Create("organizationalUnit", "ou=Management")
objOU.SetInfo
说明：在fabrikam.com域创建一个名叫Management的OU。

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objUser = objOU.Create("User", "cn= AckermanPila")
objUser.Put "sAMAccountName", "AckermanPila"
objUser.SetInfo
objUser.SetPassword "i5A2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
说明：在Management OU下创建一个名叫AckermanPila的用户，口令为i5A2sj*!，启用。

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objGroup = objOU.Create("Group", "cn=atl-users")
objGroup.Put "sAMAccountName", "atl-users"
objGroup.SetInfo
objGroup.Add objUser.ADSPath
objGroup.SetInfo
说明：在Management OU下创建一个名叫atl-users的用户组，将用户AckermanPila加入到这个组中。

Wscript.echo "Script ended successfully"
说明：显示“脚本成功结束”信息

2、利用脚本中的循环功能实现批量创建用户帐号

Set objRootDSE = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://cn=Users," & _
                                                objRootDSE.Get("defaultNamingContext"))
For i = 1 To 1000
Set objUser = objContainer.Create("User", "cn=UserNo" & i)
objUser.Put "sAMAccountName", "UserNo" & i
objUser.SetInfo
objUser.SetPassword "i5A2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
Next
WScript.Echo "1000 Users created."
说明：在当前域的Users容器中创建UserNo1到UserNo1000，共1000个用户帐户
Q7、我的计算机不知道怎么回事，系统时间总是被改快1小时？

加入域的计算机，没有自己的时间。这是因为时间参数，在AD复制中是一个极为重要的因素。如：决定多主控复制时，谁的修改最终生效。所以整个域的时间，都由域的PDC仿真主控来控制，整个林的时间都由林根域上的PDC仿真主控来控制。
   说明：如果整个林的时间都快1小时，对你AD的正常工作没有任何影响。
   解决：修改林根域的PDC仿真主控计算机的时间。实际工作中，要先查看域内计算机的时区设置是否正确。

Q8、建立AD域，需要有什么样的权限才行？

1、若是创建林内的第一个域，即林根域，只要有目标计算机上的本地管理员权限即可。
2、作为已有域的附加DC，需要该域的域管理员（Domain Admins）权限。
3、安装子域的DC，或新树的DC，都涉及到林结构的改变，需要林管理员（Enterprise Admins）权限才行。

Q9、如何在2000域中添加一台03的DC？

   03和2000比，功能更强大了，在域和AD的体系结构上也有了一些变化（参见前面：域、林功能级别）。但微软的产品十分讲究向前兼容，我们可以实现在一个2000域中加入03DC、加入03DNS，并且DC间的AD复制，DNS间的区域传输，都好像没有版本差异一样。
   但要注意：直接就在03计算机上安装AD是不行的，会收到出错提示“Active Directory版本不同”。我们需要做一些准备工作，在2000DC（SP2及更高）上运行03光盘/I386/adprep，
具体第一步：adprep /forestprep进行林准备，第二步adprep /domainprep进行域准备。
　　顺便说一下：03可以作为2000域的附加DC，2000也可以作为03域的附加DC，而直接在2000上安装AD即可，不需要准备。

Q10、创建AD域时，由于没有NTFS分区，导致AD安装失败？

在2000/03成员或独立服务上上运行dcpromo命令，安装AD，将其提升为DC，其上必须有一个NTFS 5.0分区，用来保存AD的sysvol文件夹。
注意：2000的NTFS分区是NTFS 5.0，NT4的是NTFS 4.0，NT4必须安装SP4后，才可访问2000的NTFS分区。
如果C是引导分区，即系统夹winnt或windows所在分区，采用FAT32分区，系统会自动查找下一个可用的NTFS分区来存放系统卷，如d:\sysvol。如果找不到NTFS分区，就会出错，导致AD安装失败。这时可利用convert命令将某个FAT32分区转成NTFS分区，这个转换会保持数据的完好。但要注意这个转换是单向不可逆，想回复到FAT分区，除非重新格式化该分区。
以转换D盘为例，具体操作如下：
1、开始/运行：convert d: /fs:ntfs
2、提示是否转换，键入y确认转换。
说明：这时并没有真正开始转换，如果后悔，可以到注册表HLM\当前控制\控制\会话管理\BootExecute下，删除其值Convert d: /fs:ntfs 。
3、重新启动计算机，将在登录界面出现前，真正实施FAT到NTFS的转换。

Q11、安装AD域时，出现NetBIOS名称冲突？

   在安装AD时，安装选项会要求输入：新域的DNS全名，在这里应该输入新域的完全有效域名FQDN，形如：mcse.com。系统会打算以mcse作为此域的NetBIOS名称，并在网络中检查是否存在重名，需要等一会儿。
如果不重名则设为mcse（建议用户不要修改此名），重名系统则自动设为mcse0，建议用户最好换个名字，因为你的网络可能还会有2000以前版本的老系统，考虑到NetBIOS名称解析和DNS名称解析的互助，保持一致性比较好。
说明：NetBIOS名称，只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的，如果确信域内计算机都是2000及以上系统（它们通过DNS定位域），其实NetBIOS名称冲不冲突，都无所谓。
这种冲突可能源自于网络中如果已有一个域，名字叫做mcse.org，DNS名虽然不冲突，但是NetBIOS名称冲突。也可能是你安装了一个mcse.com域未能完全成功，又再次安装导致的，这样情况倒可以强行将NetBIOS名称将为mcse，而不是mcse0。

Q12、安装AD完成后，重启登录非常慢，甚至长达20分钟之久。

这一般是由于用一台运行了一段时间的2000/03 Server来安装AD造成的，故障较难定位。若重启几次后就正常了，则不必理会。如果多次重启后还是非常慢，那就要重装系统及AD了。建议：最好在新装的系统上来安装AD，这样不容易出问题。

Q13、安装AD时，选择了在本机安装DNS，但安装结束后，在DNS中未生成SRV记录？

如果决定在安装AD过程中在本机安装DNS，应在安装前，将本机TCP/IP配置中的DNS服务器指向自己，这样在安装AD完成后重启时，SRV记录将被自动注册到DNS服务器的区域当中去的，生成四个以下划线开头的文件夹，如_msdcs。
03DNS在这里夹的层次结构有所变化，将_msdcs.域名夹提升了一级，直接放到了查找区域下，但本质没变。
如果安装前忘了将DNS指向自己，也可以后补上。然后到计算机管理/服务下，重启Net Logon服务即可。这样可以把启动时未能注册到DNS服务器的SRV记录（缓存在windows\system32\cache中）写入DNS。如果仍然不行的话，那只好重启DC了。

Q14、安装子域失败。

   在保证权限（需要林管理员权限，不要误以为是父域管理员权限）、DNS没问题的情况下，最常见的安装子域失败的原因就是域命名主控失效，出错提示为：“由于以下原因，操作失败：AD无法与域命名主机xxx联系。指定的服务器无法运行指定的操作。”
说明：域命名主控要正常工作，它本身要求GC必须可用。这是由于：为了保证域的名字在林中唯一，域命名主机需要查询GC。若是2000林，GC必须和域命名主机在同一台计算机上才行。若是2003林，不要求GC必须和域命名主机非得在同一台计算机上。
解决：保证域命名主控联机，如果确信其已无法正常工作，可强制传给（查封seize）林内的任意一台DC，子域的DC也可以。原来的主控必须被重做系统后，才可连入网络，以保证域命名主控的林唯一性。

Q15、修改用户密码需要几分钟，甚至更长的时间。

前面我们介绍过：PDC仿真主控负责最小化密码变化的复制等待时间，若一台DC接受到密码变化的请求，它必须通知PDC仿真主控。若是PDC仿真主机失效，收到该请求的DC必须经过一段时间的查找后，确认真的找不到PDC仿真主控了，才会自己修改用户密码。所以在此情况下，应首先检查PDC仿真主控。
如果确信其已无法正常工作，可强制传给（查封seize）域内的任意一台DC。原来的主控必须被重做系统后，才可连入网络，以保证PDC仿真主控的域唯一性。

Q16、正常卸载AD时的常见问题

   在实际工作中有时我们需要改变服务器角色，或者将实验中安装的DC回复到普通成员/独立服务器身份，这就要进行AD的卸载。
1、卸载时会提示给新的本地管理员设置密码
2、附加DC卸载后，仍在域中。
3、如果AD不能卸载，应从以下几方面考虑：
（1）网卡是否正常工作
即使你整个林中只有一台计算机，也要保证网卡正常工作，才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载，提示“卸载SYSVOL文件夹出错”
（2）权限
权限要求与安装AD时类似，若一个林中只有一个域，那么你要卸载的就是林根域，需要林管理员（Enterprise Admins）权限；卸载附加DC需要该域的域管理员（Domain Admins）权限；卸载子域或树，涉及到林结构的改变，也需要林管�