黑暗之魂3祭祀场屋顶:AD检查与排错:深入浅出Active Directory系列(三) - 李涛的技术专栏 -...

AD检查与排错:深入浅出Active Directory系列(三)
2009-03-28 07:39:55
标签：活动目录AD域域环境域控制器
原创作品，允许转载，转载时请务必以超链接形式标明文章原始出处 、作者信息和本声明。否则将追究法律责任。http://terryli.blog.51cto.com/704315/143058
上一节我们通过方法1安装了活动目录，本节我重点介绍安装后的检查和排错，本节内容接上一节。
本节的实验环境：
1，  域控制器DC1，它是上一节中我们安装的域控制器。
2，  客户端Client1，一个装有XP系统，并打了SP2补丁的客户端。
检查Active Directory是否正常
一，通过域控制器检查
首先启动域控制器DC1，登录界面如下图，我输入密码登录到contoso.com域。

如果能成功登录表示我们的域控制器正在工作，但还不能表明活动目录已经完全安装成功。所以我们还要在域控制器上检查如下几项：
第1项：查看管理工具中相关的项是否已经存在。如下图

第2项：检查Active Directory数据库文件与SYSVOL文件夹。Active Directory数据库文件会默认会安装到：C:\WINDOWS\NTDS文件夹中，此文件中有7个文件，其中ntds.dit便是Active Directory数据库文件，.log是日志文件。而SYSVOL文件夹会默认安装到：C:\WINDOWS\SYSVOL，里面有4个文件夹，其中sysvol是共享文件夹，里面还有一个共享文件夹scripts，这个共享文件夹在域contoso.com文件夹的里面。你可以在运行中用%systemroot%\NTDS和%systemroot%\SYSVOL打开相关的文件夹，还可以用net share命令查看共享。上面所述如下面这些图




第3项：检查DNS服务器内与AD相关的文件夹和SRV记录是否存在或完整。由于域控制器会把自己的主机名、IP地址以及所扮演的角色等数据登录到DNS服务器内，以便让其他的计算机通过DNS服务器来寻找这台域控制器。因此必须要检查这些文件夹和SRV记录，打开DNS，如下图

我们发现有一个叫contoso.com的正向查找区域，它是安装AD时候自动创建的，以便让域contoso.com中的成员（域控制器、成员服务器、Windows XP Professional客户端）将数据登记到这个区域。从上图中我们看到DC1已经成功将自己主机名称和IP地址登记到这个区域内。同时还有一个_msdcs.contoso.com的正向查找区域，因为我们安装活动目录时顺便安装了DNS服务器，所以也创建了这个区域，此时Windows Server 2003域控制器会将数据登记到_msdcs.contoso.com区域内，而不是_msdcs文件夹。
我们可以浏览这2个区域下的_TCP文件夹以及相应的SRV记录，如下图






从上面这些图中我们可以清晰的看到，域和站点的GC是谁，LDAP服务器是谁，以及KDC服务器是谁。
排错1：如果DNS中没有出现上面这些文件夹以及SRV记录。我们一般需要这么做。首先为域控制器指定正确的DNS服务器的IP地址，然后重新启动Net Logon服务。如果重启Net Logon服务还不正确，请按下面的步骤：1，首先为域控制器指定正确的DNS服务器的IP地址。2，在DNS服务器中建立和域名相同的正向查收区域，并启用动态更新。3，重新启动Net Logon服务。经过这3步相关的文件夹和SRV记录就应该出现了。
二，通过客户端加入域检查
首先我们登录到客户端Client1,然后我的电脑->右键单击属性->计算机名，如下图

单击“更改”按钮，弹出“计算机名称更改”对话框

在“计算机名称更改”对话框中选择域，同时输入域名，单击“确定”按钮。此时会弹出如下对话框。

上图显示加入contoso.com域失败，原因其实很简单，我们还没有配置Client1客户端的IP地址。但是我们可以利用NETBIOS名来加入域，比如在上面不输入contoso.com，而是输入contoso，然后单击确定，就会弹出如下对话框，说明通过NETBIOS名我们找到了域控制器，此时使用的是广播。

为了使用域名而不是NETBIOS名让客户端加入域，我们必须配置Clients客户端的IP地址。如下图

配置完IP之后，再次单击“计算机名称更改”对话框中的“确定”按钮。此时就会顺利找到域控制器了。我们知道计算机之间通信是通过IP地址进行的，我们这里输入域名contoso.com后，事实上是DNS服务器帮我们把contoso.com域名解析成域控制器的IP地址。所以客户端加入域需要DNS服务器的支持。此时弹出和上面用NETBIOS名加入域一样的对话框。我们在里面输入域的管理员账户和密码。单击“确定”按钮，如下图

此时弹出欢迎加入contoso.com域的对话框，如下图

单击确定之后会提示你必须重启计算机才能使更改生效。重启计算机后，我们发现Clinent1客户端的登录框已经变成如下图所示，表示这台计算机已经成功加入域。我们可以选择登录到本地，也可以选择登录到域。

当选择登录到域时，我们还必须在域控制器DC1上为这个客户端创建一个用户账户。
此时我们打开DC1的计算机Active Directory用户和计算机。我们发现Computers中已经多了一台计算机Client1。如下图

现在我们来创建一个用户账户，在Active Directory用户和计算机的Users上单击右键->新建->用户，过程如下图

密码默认要符合复杂度定义条件，A-Z，a-z，0-9，特殊字符等任选三种，同时长度必须大于等于7位。可以选择密码永不过期，这样可以解除默认42天的限制。

我们发现litao这个用户账户已经创建成功。如下图

最后我们用litao在Client1客户端登录域控制器DC1，第一次登录会稍慢一些。登录成功后的画面如下图。

我们发现客户端Client1在域环境下的桌面和原来的桌面已经不一样了（原来桌面上有很多截图），但是我们装的一个SnagIt8软件还在，而且可以用。
本文出自 “李涛的技术专栏” 博客，请务必保留此出处http://terryli.blog.51cto.com/704315/143058
2人
了这篇文章
类别：WinOS┆(7)┆阅读(3975)┆评论(17) ┆推送到技术圈┆返回首页
上一篇活动目录的安装:深入浅出Active Directory系列.. 下一篇AD的备份与标准还原：深入浅出Active Director..
相关文章
AD的备份与标准还原：深入浅出Active Direct..
活动目录基础--活动目录的相关术语
什么是域和域控制器?
活动目录之备份与恢复
域名更改
调整DC的网络对网络是否会有影响?
AD扫盲帖
架设域与维护域极好教程
用备份进行Active Directory的灾难重建：Act..
域的迁移
文章评论