分类: 系统运维
2010-03-07 22:21:31
三种方法确认活动目录使用正常
若要在企业内部网络中建立起一个域管理环境,则重要的一步就是需要活动目录的支持。所以,在安装完成域控制器后,我们网络管理员首先需要确认活动目录是否运行正常。只要确认活动目录安装无误后,才能够继续下面的工作。
第一招:检查活动目录数据库文件与SYSVOL文件夹
我们要知道活动目录的SYSVOL文件夹的重要性。在这个文件夹中,会存储一些重要的信息,如我们后续建立的组策略等等。为了安全起见,我们需要手工检查这个文件夹的准确性。一般来说,SYSVOL文件夹下有四个文件夹,其中,sysvol文件夹必须为共享文件夹。SYSVOL文件夹的默认位置在%systemroot%\SYSVOL文件夹内。所以,我们可以在开始、运行中,直接输入%systemroot%\SYSVOL这个路径,来打开SYSVOL文件夹,看其下面是否有四个文件夹,并且,sysvol文件夹是否是共享。若不符合这些特征的话,则说明域控制器安装有问题,需要进一步查出问题的原因,否则的话,域控制器运行可能会不正常。
活动目录数据库文件与日志文件也是活动目录运行的基础文件之一。特别是日志文件,是我们后续排除故障的重要依据。所以,我们在域控制器安装以后,要确保域控制器已经正确安装了活动目录数据库文件与日志文件。一般,我们也可以通过手工来检查这些文件是否安装准确。如我们可以在开始、运行处,直接输入%systemroot%\ntds,打开ntds文件夹,然后来检查文件夹与文件是否被正确建立。
第二招:利用NSLOOKUP命令来检查SRV纪录
为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。也就是说,当SRV纪录不能够被正确定义时,活动目录的运行将会受到非常重大的不利影响。
要如何验证SRV纪录是否准确呢?我们可以利用NSLOOKUP命令来判断,具体方法如下:
1、NSLOOKUP命令是一个命令行程序,是用来查询域名信息的一个很重要的命令。我们可以在开始、运行处,输入CMD命令,进入到命令行界面。一般情况下,在这个界面中就可以直接调用NSLOOKUP命令。
2、然后在提示符下面输入nslookup命令。不需要输入完整的路径,直接输入该命令即可。然后,设置nslookup的类型,利用命令set type=srv命令来进行。
3、然后,我们输入_ldap._tcp.dc_msdcs.域名,从显示出来的结果中,我们可以查看域控制器是否已经成功的将其扮演LDAP服务器角色的信息登记到了DNS服务器内。
LDAP是一个轻量目录协议,他的作用就是使得每个用户能够定位组织、个体以及其它稳拿滚落资源,如打印机等设备的软件协议。LDAP使你能寻找一个个体而不需要知道何处他们的位置,虽然还有其它信息能帮助你查。LDAP 目录被组织成一个简单的“树”型层结构,由以下级别组成。最上面是,根目录,又称开始地或树的源,下面的分支都从这里出来。个体,如用户、共享文件,和共享资源,比如打印。LDAP 目录可能分布在许多服务器之中。各台服务器可能有阶段性地同步总目录的一个复制的版本。LDAP 服务器被称为目录系统代理。LDAP 服务器从用户处得到一个请求并负责完成这个请求,如果有必要的话还会把它传送给目录系统代理,通过它对其它目录系统代理保持同步是非常有必要的,其保证为用户提供一个协调应答。
可见,LDAP协议对于活动目录的重要性。故需要通过NSLOOKUP命令来检查这个协议配置的准确性。
4、在有必要的情况下,还可以利用其它类似的命令来查看其它的SRV纪录,最常见的可以利用_tcp来查询。 _TCP是SRV中的一个重要的分组。在这个分组中,收集了DNS区域中的所有域控制器。如果客户端找不到它们特定的站点,或者具有本地SRV记录的任何域控制器都没有响应,需要寻找网络中其他地方的域控制器,就应该将这些客户端放到这个分组中。
在实际工作中,我们最常见的错误就是在DNS服务器中找不到SRV纪录。如当我们建立了DNS服务器与域控制器之后,若部署DNS服务器或者域控制器的主机IP地址属性中,在主DNS地址中必须填写这台DNS服务器的IP地址。否则的话,在DNS服务器中将找不到这条SRV纪录。当出现这个问题的时候,我们不需要重新安装活动目录,而只需要把IP地址属性中的主DNS纪录改过来,然后,重新启动NETLOGON服务即可。
另外,以前我在Windows2000的服务器系统上部署域控制器的时候,也发现过SRV纪录丢失的情况。经过我的测试,当域控制器或者DNS服务器配置不当的时候,就可能造成2000环境下的SRV纪录出现丢失的情况。如当DNS服务器被配置为动态获得IP地址,也就是说,其是DHCP服务器的客户端,而不是固定IP地址,就会出现SRV纪录丢失;又或者DNS中该区域不支持动态更新,或者DNS区域具有不同于活动目录域名的名称时,也会出现这种错误。一般在这种情况下,我们也不需要重新安装活动目录,而只需要把配置改正确即可,如配置DNS服务器使之采用静态的IP地址;又或者在活动目录命名中创建正向搜索区域,并且设置为自动更新。然后重新启动以下Netlogon服务即可。重新启动Netlogon服务,会强迫域控制器重新注册适当的SRV纪录。
另外,反向搜索不是必须的。如我们有时候在运行NSLOOKUP命令的时候,会出现timedout的错误提示。则表示没有在DNS服务器中建立一个用来存储此DNS服务器的PTR纪录的反向查找区域。一般来说,可以不用理睬这个错误信息。没有反向搜索纪录,不会影响活动目录的运行。
第三招:SRV登记失败问题
我在安装活动目录的那篇文章中,谈到可以先建立DNS服务器,再建立域控制器;也可以先建立域控制器,然后再建立DNS服务器。若我们是先建域控制器再顺便建立DNS服务器的话,则在活动目录安装的过程中,会自动在此DNS服务器内建立一个支持这个域的区域。但是,如果我们在建立域控制器的过程中,采用其它的DNS服务器,则该DNS服务器内需要一个用来支持活动目录域的区域。如果目前DNS服务器内没有这个区域,则必须在建立域控制器前,预先添加这个域。
当出现一些特定的情况,无法在DNS服务器上正常添加域时,可以手工进行登记。当然,如此处理的话是有前提条件的。一般情况下,只有因为域控制器IP地址属性出现错误、网络连接出现问题或者DNS配置错误的情况下,才可以利用这种方法来处理。
如果是因为域控制器的IP地址设置出现了问题或者主机名称没有被正确登记到DNS服务器内的话,则可以到该域控制器上,进行手工登记。如可以利用registerdns参数进行定义。
总之,在域控制器安装完毕后,需要确保其安装的准确性。否则的话,我们后续的工作可能都会白做。再说,验证其安装的准确性,也不是一件很麻烦的事情。另外,最好能够在活动配置完成后,对域控制器进行备份。防止因为后续配置的错误,导致灾难性的损失,从而需要重新安装活动目录。