挑战活动目录故障
　　当您管理的网络不断扩大，软件、硬件和网络服务不断增多，这些资源如何有效管理？不同应用系统的令人头痛的用户安全验证如何统一？微软的活动目录（AD，Active Directory）是最好的解决方案。
　　活动目录的由来
　　活动目录，是Windows 2000服务器版操作系统的一种新的目录服务。它提供了单一登录的能力，并且为您的整个网络架构提供了一个集中的信息知识库。它大大简化了用户和计算机的管理，并且提供了网络资源的更便捷的访问方式。
　　活动目录的相关术语
　　活动目录是一项较新的技术，有许多术语或许是不曾听说过的，所以有必要了解活动目录相关术语。
　　1．层次化的目录结构
　　活动目录是由对象（Object）、组织单元（OU）、域（Domain）、域树（Tree）、森林（Forest）构成的层次结构。活动目录为每个域建立一个目录数据库的副本，这个副本只存储用于这个域的对象。如果多个域之间有相互关系，它们可以构成一个域树。在每个域树中，每个域都拥有自己的目录数据库副本存储自己的对象，并且可以查找域树中其他目录数据库的副本。多个域树构成森林。这种层次结构使得企业网络具有很强的扩展性，便于组织、管理及目录定位。
　　2．对象、组织单位
　　对象可以是一个用户、一台打印机或一个网络共享。它有描述它们的属性。组织单元可以是组织的任何部分，组织单位也称为容器（OU，Organizational Units）。组织单位是可以将对象和其他单位放入活动目录的容器中的，组织单位的主要用途是委派管理权。
　　3．域、域控制器
　　域是活动目录的核心单元，是对象（如计算机、用户等）的容器，这些对象有相同的安全需求、复制过程和管理。域名是基于通常的Internet“域名系统”结构。一个域可以有多个服务器，每个服务器存储域中的所有对象，没有主服务器，所有服务器都是同等的。这是一个多主机模型，对象可以在域的多个服务器之间复制。
　　4．域树、森林
　　一个域可以是其他域的子域或父域，这些子域、父域构成了一棵树—域树。域树实现了连续的域名空间，域树中的域层次越深级别越低，一个“.”代表一个层次，如域child.china.com 就比 china.com这个域级别低，因为它有两个层次关系，而china.com只有一个层次。多棵域树构成了森林，森林中的每一棵域树都有自己的唯一命名空间。
　　5．组策略
　　组策略是用户或计算机初始化时用到的配置设置。组策略设置定义了系统管理的用户的桌面环境的多个组件，实现软件自动分发和升级。组策略的实施限制了用户对计算机和网络的更改权限，提高了管理员管理网络结构的能力。
　　6．AD服务接口（ADSI）
　　ADSI是一个目录服务接口，它可用于编写应用程序以访问和管理AD和基于LDAP（轻型目录访问协议）的不同目录，简化了开发和管理跨平台多个目录系统的分布式应用程序，是实现单点登录的有效手段。
　　活动目录的意义
　　Windows是PC机的大脑，那么“目录服务”就是网络的灵魂。微软活动目录的作用主要体现在以下几方面。
　　1．单点登录
　　由于活动目录是以LDAP协议为基础的，各应用程序可通过ADSI调用AD的用户验证，这样统一了各应用系统的用户和密码，实现单点登录。
　　2．信息的安全性高
　　集成了关键的安全性，如Kerberos第五版本和公开密钥基础设施等，用户授权管理和目录进入控制已经整合在活动目录当中了，而它们都是Windows 2000操作系统的关键安全措施。
　　3．以策略为基础，管理更加简化
　　通过组策略您可以决定目录对象和域资源的进入权限，什么样的域资源可以被用户使用，以及这些域资源怎样使用等，从而帮助您更加经济高效地管理企业。
　　4．信息的复制性
　　活动目录使用多主机复制，使您能在任何域控制器上同步更新目录。多主机模式提供容错和负载平衡。
　　5．与DNS紧密结合
　　活动目录使用域名系统（DNS）来为服务器目录命名，AD将Internet的名称空间的概念和操作系统的目录服务融合在一起，这有利于在TCP/IP网络中计算机之间的相互识别和通信。
　　6．具有很强的可伸缩性和可扩展性
　　活动目录可包含在一个或多个域中，每个域具有一个或多个域控制器，以便您调整目录的规模以满足任何网络的要求。多个域可以合并为一棵域树，多个域树又可合并为树林，活动目录也就随着域的伸缩而伸缩，较好地适应了单位网络的变化。管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。

　　活动目录故障处理
　　活动目录其安全和稳定性毋庸置疑，但活动目录与各应用系统关联紧密，且活动目录内部众多功能模块也联系密切。活动目录不仅与网络的连通性相关，并且与网络的协议和安全策略有关，所以活动目录故障处理必须综合考虑。它不可能通过一篇文章或一本书就可学懂，但有正确的排错方法和步骤，可提高IT维护人员解决问题的能力。
　　1．排错方法的4个阶段
　　（1）界定阶段
　　症状：报错信息。
　　日志：计算机的出错日志文件。
　　隔离：判断是否是用户、网络或计算机等的问题。
　　复核：判断信息的准确性。
　　问题描述。
　　（2）分析阶段
　　研究：研究类似案例、微软技术文档、Bug或背景技术。
　　测试：对问题进行测试。
　　其他解法：远程控制、现场支持。
　　（3）解决方案阶段
　　提出解决方案。
　　确定方案是否解决问题，及可行性、便利性。
　　绕过方法：用其他手段解决。
　　问题根源。
　　如何避免及最佳实践。
　　（4）总结
　　提出书面总结并解决潜在问题。
　　2．排错步骤
　　（1）判断网路是否正常
　　1）事件查看器是个非常有效的工具，它可判断网络、DNS、AD或其他问题。您可选择相关的事件，看其事件描述或在DOS状态键入“net helpmsg 事件ID号”可知故障的原因。
　　2）硬件问题：判断网卡、网络设备和计算机等硬件是否正常。
　　3）本机网络设置及网络的通信质量是否正常。
　　（2）判断DNS是否正常
　　超过半数的AD故障是因为DNS配置原因。解决DNS 故障可使用以下方法。
　　1）使用NSLOOKUP 来验证DNS 记录完整性，主要观察注册的记录是否包括主机记录（Ａ记录）和相应的服务记录（SRV记录）。
　　2）如果DNS记录缺失，通过以下方法来进行修复：
　　? 重新启动Net Logon服务。
　　? 使用nltest.exe/dsregdns。
　　3）注意DNS 配置要求：允许动态更新，区域名称和AD域名相一致，DNS服务器本身需要配置DNS域名后缀等。
　　4）正确配置服务器和客户端的DNS。
　　5）使用命令行指令DNSCMD管理和监测DNS。

　　（3）判断域控制器是否正常
　　一个域网络中至少应有两个域控制器，以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。域控制器的故障多表现为复制问题。
　　1）故障表现如下。
　　由于存在DNS查找故障，DSA操作无法继续。
　　操作被排队或者没有显示任何复制链接。
　　复制访问被拒绝或者正在删除名称上下文。
　　站点之间存在重复的连接对象。
　　多个域控制器中所应用的组策略不一致。
　　目录服务因太忙而无法完成操作。
　　2）排障工具如下。
　　图形化工具：Active Directory Replication Monitor
　　检查Active Directory复制。
　　图形化显示复制拓扑。
　　强制复制。
　　命令行工具：REPADMIN
　　诊断域控制器间复制故障。
　　确认复制伙伴。
　　确认活动目录对象复制来源。
　　强制复制。
　　（4）判断AD验证是否通过
　　1）AD验证不通过表现如下。
　　用户不能加入AD域。
　　域中的计算机之间不能通信。
　　2）排错手段如下。
　　确定用户、密码和域名正确并可通过验证。
　　AD组策略正确。
　　在本机登录的AD用户拥有本机必要权限。
　　（5）判断访问控制是否正常
　　1）要访问的计算机可ping通。
　　2）有访问计算机的必要权限。
　　排除实例
　　1．安装故障
　　（1） 故障现象：域控制器不能安装。
　　排错所需的信息和工具如下。
　　1）微软文档ID260371和ID251335。
　　2）Dcpromo.log，AD安装的每一步日志。
　　3）Dcpromoui.log，AD完成前的日志。
　　4）Event Log。
　　5）Network monitor，观察网络包的状态。
　　（2）排错步骤如下。
　　1）检查DNS的SRV记录及客户端DNS设置。
　　2）检查“信任此计算机来委派任何服务”权力。
　　3）检查用于安装的用户身份。
　　4）检查event log和dcpromo.log。例如，在dcpromo日志有：
　　* 06/12 20:09:12 [info] Error - The attempt to configure the machine account tests on Server aduser.adsr.com failed.[5]
　　* 06/12 20:09:12 [info] NtdsDemote
　　在命令行键入“net helpmsg 5”，显示“access is denied”，得知安装用户无安装权力，在组策略的“允许计算机和用户账户被信任以便用于委派”中添加此安装用户，AD安装问题即解决。
　　5）使用Network monitor。

　　2．组策略故障
　　（1）故障现象：GPO不起作用，某些特定GPO设定无法应用，事件日志中组策略应用错误信息。
　　排错所需的信息和工具如下。
　　1）微软文档ID221833和ID245422。
　　2）Gpresult，在客户端查看组策略是否已经应用。例如，在命令行中键入Gpresult /z，可知当前客户端用户在域中所应用的所有组策略。
　　3）Gpotool，检查域复制时组策略一致性。
　　4）Userenv.log，功能全面的组策略日志，它要在注册表中被激活才可生效。
　　5）Eventlog。
　　6）Winlogon.log，与安全相关组策略日志。
　　7）Netmon，简洁易用的网络状况分析软件，可以显示基于IP、TCP、UDP和ICMP协议的网络状况。
　　（2）排错基本步骤如下。
　　1）刷新客户端。
　　2）激活Verbose Debug Logging。
　　3）网络连接及DNS。
　　4）GPO应用顺序（Gpresult）。
　　5）GPO一致性（Gpotool）。
　　6）GPO权限设定。
　　7）针对特殊的组策略在注册表中激活相应的Log。
　　3．活动目录备份和恢复
　　如果一个域内存在不止一台PC，当重新安装其中的一台PC时备份Active Directory并不是必需的，您只需要将其中的一台PC从域中删除，重新安装，并使之回到域中，那么另外的PC自然会将数据复制到这台PC上。如果一个域内剩下最后一台PC，那就非常有必要对Active Directory进行备份。
　　（1）备份过程
　　1）单击“开始”→“程序”→“附件”→“系统工具”，启动Windows 2000备份工具。
　　2）选择“备份向导”，在备份向导中选择“只备份系统状态数据”，单击“下一步”按钮。
　　3）在“备份保存的位置”页面中输入存放备份数据的文件名，如“ad20060215”，单击“下一步”按钮，完成备份向导。
　　（2）还原过程
　　还原有两种：其一是从域的其他域控制器中恢复AD，前提是域中还有一台域控制器正常。其二是从备份介质进行恢复，它有两种模式—授权还原和非授权还原。
　　? 非授权还原
　　非授权还原可使新数据会覆盖您使用备份恢复的数据。步骤如下：
　　1）在目录服务恢复模式下启动Windows 2000 自带的恢复程序：单击“开始”→“程序”→“附件”→“系统工具”，启动Windows 2000恢复工具。
　　2）选择“恢复向导”，跳过欢迎画面，备份程序会显示可以用于数据恢复的备份集。
　　3）选择合适的备份文件，完成数据恢复。重新启动机器即可。
　　4）注意，通常情况下，您不能恢复60天以前备份的Active Directory数据，除非您进行了设置。
　　授权还原
　　授权还原是手动强制使域恢复到原来的好的状态。步骤如下。
　　1）使用非还原模式恢复Active Directory，重新启动机器。
　　2）在“目录服务恢复模式”启动Windows 2000，以超级管理员身份登录。
　　3）在命令行输入“ntdsutil”，启动命令行工具。恢复整个Active Directory数据库，使用下列命令。
　　authoritative restore
　　restore database
　　恢复部分Active Directory数据的aduser用户，使用下列命令：
　　authoritative restore
　　restore object cn＝aduser,ou＝child,dc=china,dc=com
　　“目录服务”是网络的灵魂，对活动目录的任何故障处理，首先要把故障处理思路在试验环境中测试成功，做好充足的应急措施，方可在运行环境中实施。