活动目录操横作的最佳实践排错.pptVIP

概要 分析方法的阐述 七步分析方法 活动目录排错分析流程图 排错的思路和宗旨 举例说明 Proposition 对一个复杂的分布式系统的排错可能是一个既有挑战性而又耗时的工程 但用结构化的分析方法，我们可以象剥洋葱一样迅速而又有效的找到问题的根本 七步分析方法 掌握活动目录的基本知识， 并对与它相关的子系统和其他应用有所了解 掌握操作主机(FSMO)的各个角色，ISTG，ISM 和其他关键服务 掌握所有和特定环境相关配置文档 能够对所发生的问题作一个简单的定位 依照活动目录排错分析流程来明确定位被影响的相关子系统 应用子系统排错分析方法 依照上述步骤对每一个疑点作分析， 直到发现问题 第一步：掌握活动目录的基本知识 Windows 2000 Resource Kit Distributed Systems Guide /windows2000 MCSE 培训课程和相关资料 Technet 第一步: 掌握活动目录的基本知识(什么是必须掌握的) 名字解析 – DNS 和 WINS 目录复制 – (纯Win200环境以及NT4兼容环境) 时间同步 组策略 – 文件复制系统 活动目录核心 – 全局目录, 域和森林相关概念 安全认证 – Kerberos / LANMAN MMC （控制台界面）和 support/reskit tools 第二步: “关键服务” 理解下列“关键服务”的用途… 操作主机 (FSMO) PDC 模拟主机 (PDC Emulator) 占用相对ID主机 (RID Master) 域名操作主机 (Domain Naming Master) 架构主机 (Schema Master) 结构主机 (Infrastructure Master) KCC/ ISTG (生成站间连接布局) 站间消息传递服务 ISM (inter-site messaging) 时间参考服务器 “关键服务”对于一般日常操作的作用，比如目录复制，密码更改 “关键服务”对客户机/服务器的排错会产生怎样的复杂性 密钥认证(森林内部访问) NTLM 身分验证(跨森林的访问) 第三步: 理解你的环境 掌握AD, DNS, DHCP和IP在你的环境中是怎样配置的 理解应用程序在你的环境中是怎样工作的 清楚的知道你的服务器是如何配置的 检查当前的日志文件 第三步: 参照相对应的执行文档 对站点和链接的描述和配置 DNS 的相关文档 DHCP 的相关文档 服务器的配置和分布 目录复制相关的配置文档 应用程序和服务的相关文档 管理模式的文档 其它公司自定义的管理，配置文档 第四步: 对问题作记录 记录每一件所指导的事件 出错信息 重现问题的步骤 相关客户机和服务器的操作系统版本, 补钉包的版本和硬件信息 用户登陆域和工作站所在域 是否其他用户有相同问题 是否用户能够访问其它相关资源 对域配置的错误理解经常会导致问题的发生 为了缩短解决问题的时间，尽量对问题的询问做到精确 第五步: 使用目录服务分析流程 分析流程第一步： 分析流程第二步 分析流程第三步 分析流程第四步 分析流程第五步 第六步: 对确认有问题的子系统进行排错 应用活动目录分析流程图对相关子系统做递归式排错 如果需要，参照相关的排错指导书，以获得更详尽的信息和步骤 (Windows 2000 Resource Kit) /windows2000 Technet 第七步: 循环上述步骤直到确认问题根源 体现问题的客户机和服务器经常是健康的 此时我们需要针对服务器工作链中相邻或相关的服务器进行检测，直到最后一台服务器 第七步: 举例目录复制路径计算法则 Guidelines 明确的定位有问题的客户机或服务器可能是非常困难的 问题的根源并不一定发生在出现问题症状的服务器上 把问题定位在你确认的焦点上. 不要被问题的现象所引导 举例分析 例 1: 用户反映他们改变了密码，但新的密码并没有生效 经过检查，我们可以确定DC1和DC2的目录复制存在问题 DC1和DC2所有的服务都正常 所有目录复制的入站链接都正常同步 没有权限、网络名字解析和查找不成功的问题 DC1和DC2在不同的站点，而且站点间的复制没有恰当的路径 问题根源 1: 在站点1上ISTG没有运行 由于运算问题，没有足够的复制链接生成 “关键服务”经常是问题的来源，而并非是发生问题的服务器和客户机 例 2: 用户抱怨不能访问某些资源 检查发现用户有正确的访问权限 管理员也不能访问同一资源 服务器能够被PING通，而且看起来工作正常，但服务器的安全通道没有建立 问题根源 2: 密钥认证没有被接受，原因是服务器间时间不同步 W32tm显示时间不同步 5 分钟 例 3: 客户抱怨“打印机搜索”向导没有办法找到工作站所在的站点(