WindowsActiveDirectory域故障排错(二).doc

Windows Active Directory 域故障排错（二） 这部分我们要介绍域故障排错相关的知识和工具软件（包括Windows自带的、微软附加的、第三方的）的使用。我们力图把这些内容做个简单的分类，以方便讲解和讨论，总体思路由易到难。但我们大家要明确：实际的故障总是各种各样，千差万别的，常常综合有多方面的因素，我们也需要结合多种工具才能解决。而且简单的工具更常用，更应该掌握好。 2-3-2-1 TCP/IP排错工具 因为我们重点要讨论AD域的故障排错，在这部分我们只把一些常用命令做一下介绍，其它不太常用的大家了解一下就可以了。 一、Ping 对于ping命令大家经常使用，比较了解。现简述思路如下： 操作 正常工作/通 不正常工作/不通 查看：设备管理器/网卡 网卡及其驱动没问题，已经正常工作了。 考虑网卡的物理完好，及驱动是否正确，一般为后者。早期的非PCI网卡还可能是由于中断IRQ设置不当引起的。 Ping 说明TCP/IP协议没问题 需要重新安装TCP/IP协议，此故障极少见。 Ping 自己的IP 说明本机所配IP正确，没有问题。 IP地址冲突。解决：事件查看器查找冲突网卡的MAC地址，或ping –a IP获取冲突计算机的名字。 Ping 自己的默认网关 到默认网关的物理线路没问题 解决：首先查看网卡灯是否正常（一般：一灯亮一灯闪）。不正常说明本机到下一设备（HUB/交换机/路由）这段线路有问题或设备未加电、有故障、需重启等。 Ping 另一网段远程主机IP 路由设备、外连线路没问题 检查路由器设置、外连线路。 也可能是目标主机的问题，可先ping一下另一台远程主机。 Ping 远程主机的域名 说明本机所配DNS没问题 检查本机DNS配置，检查DNS服务器 说明： 1、若目标或中间环节（如ISP）禁用了ICMP，比如安装了防火墙或筛选器等，会导致ping不通。提示为：Request time out。但其它访问（如：共享资源、HTTP、FTP等）不会因禁用ICMP，ping不通而受影响。 2、防火墙等禁用ICMP，主要是为了防止黑客的DoS（Denial-of-service）、DDoS攻击。因为被ping的计算机要做出响应，响应多了就无法向外提供其它服务甚至死机。安装了防火墙的计算机可以ping通其它计算机，因为防火墙的本质就是筛选器，针对访问的双向性，可配置输入、输出筛选。Ping命令使用到ICMP协议，ICMP类型为：入8，出0。禁止自己被别人ping，可以禁止“入8”，也可以禁止“出0”，但显然前者更好些。 二、Ipconfig 查看TCP/IP配置是否正确时，最好使用ipconfig /all命令，而不是图形界面。因为图形界面下是你给计算机所做的配置，而ipconfig下相当于把计算机当前的配置调出来查看。没问题时，二者是一样的；但有问题时，二者是会不同的。 此命令可用于DHCP租约的刷新和释放，及类标识的设置和查看。用于DNS的有： ????????/flushdns 清除本机DNS缓存。 ????????/displaydns 显示本机DNS缓存，包括名字、IP、TTL等。 ????????/registerdns 向DNS服务器立即注册本机名称、IP地址。 三、Telnet 使用Telnet命令，用户可利用Telnet协议连接到远程计算机。一旦连上后，用户就可以在远程计算机（被称作Telnet 服务器）上使用基于字符的应用程序，就好象直接登录到远程计算机，在它的命令提示符方式下一样。可以使用Ctrl+]切换到telnet客户端配置，进行一些设置，若再回到目标机，使用ESC键+回车切换。 例如：设目标机（Telnet 服务器）IP为，在本机上，开始/运行：cmd，键入Telnet 。将会出现如下信息 欢迎使用 Microsoft Telnet Client Escape 字符是‘CTRL+]’ 您将要把您的密码信息关到Internet区内的一台远程计算机上。这可能不安全。您还要送吗（y/n）： 键入y，回车。将出现如下欢迎界面： *==================================== 欢迎使用 Microsoft Telnet 服务器 *==================================== C:\> 注意C:\>表示的目标机（Telnet 服务器）的C盘根下。按住CTRL键再按]，可切换到Microsoft Telnet>提示符下；按ESC键，再按回车，可切换回去。 四、Nslookup（结合加计算机到域问题，具体讲解） Nslookup命令用于DNS的检查和排错，也可使用命令式或交互式。现结合加计算机到域问题，主要讲解交互式的使用。加入AD域的