Active Directory 故障排除

网络技术应用网课程目的通过动手操作，深入了解ActiveDirectory的结构与原理，了解ActiveDirectory常见故障现象，掌握ActiveDirectory故障排除的工具与方法。2.实验场景为比较全面地掌握ActiveDirectory故障的各种场景，本实验涉及两个域五个服务器，结构如图一所示：图一：ActiveDirectory故障排除动手实验实验场景在以上场景中，将分别练习域控制器正常时的功能、各故障现象、故障恢复工具与方法等。网络技术应用网)ActiveDirectory的基本概念通过演练，了解ActiveDirectory的基本概念。包括相关管理工具的使用，以及操作主机、全局编录的概念。b)DNS与ActiveDirectory了解DNS与ActiveDirectory的关系，了解DNS配置错误导致的ActiveDirectory故障现象c)域控制器的备份与还原掌握用控制器的备份方法。掌握域控制器还原的概念，不同场景的还原方法。d)操作主机概念、操作主机迁移与占用掌握操作主机的概念。了解操作主机故障的现象。掌握操作主机角色迁移与强制启用的方法。e)域控制器故障与排错掌握用控制器崩溃后的处理办法。f)域控制器的卸载掌握域控制器降级失败后的卸载与清理方法。网络技术应用网实验目的通过动手操作，深入了解ActiveDirectory的结构与原理，了解ActiveDirectory常见故障现象，掌握ActiveDirectory故障排除的工具与方法。5.实验场景为比较全面地掌握ActiveDirectory故障的各种场景，本实验涉及两个域五个服务器，结构如图一所示：图一：ActiveDirectory故障排除动手实验实验场景在以上场景中，将分别练习域控制器正常时的功能、各故障现象、故障恢复工具与方法等。网络技术应用网实验环境配置实验涉及两个域五个服务器。域及服务器具体配置如下：根域：Nwtraders.msft该域中包括三台服务器，分别为：DC1.Nwtraders.msftIP:10.10.10.1根域中的第一台域控制器。同时具备五个操作主机角色、全局编目GC功能、以及DNS服务功能。DC2.Nwtraders.msftIP:10.10.10.2根域中的第二台域控制器。同时具有DNS服务功能。Svr3.Nwtraders.msftIP:10.10.10.3根域中的一台普通服务器。子域：Sales.Nwtraders.msft该域为Nwtraders.msft的子域。该域中包括一台服务器DC4，被配置为该域的域控制器，配置如下：DC4.Sales.Nwtraders.msftIP:10.10.10.4独立服务器Svr5Svr5为一台独立的服务器，不属于任何域。IP:10.10.10.5其他配置：管理员Adminisrator口令：P@ssw0rd所有服务器的IP配置如图二：网络技术应用网图二：各服务器IP配置IP配置说明：.IP地址子网ID为10.10.10，主机ID与每台服务器主机名的最后一位一致。.所有服务器的DNS同时指向DC1和DC2。虚拟机配置：该实验在MicrosoftVitrualPC2004虚拟机环境中运行。为保证性能，主机要求1G内存，10G空闲硬盘空间。该实验用到以下虚拟硬盘文件：Win03Base.vhd所有虚拟机的Base文件。DC1HardDisk.vhdDC1硬盘镜像文件。DC1.vmcDC1虚拟机配置文件。DC2HardDisk.vhdDC2硬盘镜像文件。DC2.vmcDC2虚拟机配置文件。Svr3HardDisk.vhdSvr3硬盘镜像文件。Svr3.vmcSvr3虚拟机配置文件。DC4HardDisk.vhdDC4硬盘镜像文件。DC4.vmcDC4虚拟机配置文件。Svr5HardDisk.vhdSvr5硬盘镜像文件。Svr5.vmcSvr5虚拟机配置文件。网络技术应用网将光盘中的以上文件复制到本地硬盘。双击相应的.vmc文件，或在VirtualPCConsole控制台中选中相关虚拟机，点击Start，即可打开虚拟机。打开虚拟机前请确认所有虚拟机已启动Undo功能。本实验过程中并不要求同时打开所有5个虚拟机。为了保证性能，建议在实验过程中根据实验要求只打开相应的虚拟机。•说明：•本课程以动手实验为主，讲稿仅用于给学员提供实验内容的基本概念和纲要。•本课程共计6小时。其中讲解1小时，学员操作5小时。•关于本课程的任何问题、意见、建议，请与课程设计者联系：FrankLFeng@hotmail.com网络技术应用网•7.动手实验实验一：了解ActiveDirectory实验目的：了解ActiveDirectory正常运行的情况下的功能与现象。实验要求：本实验使用DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5三台虚拟机。实验内容：Lab1.1浏览域控制器正常安装完成后的状态内容操作步骤0.实验准备(1)启动以下三台虚拟机：DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr51.一台WindowsServer2003服务器提升为域控制器以后，会自动安装相关管理工具。(1)以帐户Administrator、口令P@ssw0rd登录域控制器DC1。(2)点击“开始”-“程序”-“管理工具”，查看成功安装“ActiveDirectory用户和计算机”，“ActiveDirectory域和信任关系”，“ActiveDirectory站点和服务”，“域安全策略”，“域控制器安全策略”。(3)作为对比，以帐户Administrator、口令P@ssw0rd登录独立服务器Svr5。点击“开始”-“程序”-“管理工具”，可以发现“本地安全策略”工具。说明一台服务器提升为域控制器后，“本地安全策略”工具被删除。2.同时，在文件系统中将会产生相关文件夹和文件来存储ActiveDirectory数据。(4)在虚拟机DC1中，打开资源管理器。(5)浏览“C:\WINDOWS\NTDS”文件夹。(6)浏览“C:\WINDOWS\SYSVOL”文件夹。(7)作为对比，可以发现独立服务器Svr5中没有这些文件夹。Lab1.2验证操作主机功能内容操作步骤网络技术应用网后，可以成功完成相关功能，如创建/删除用户、组、组织单位等。(1)如果对ActiveDirectory不太熟悉，可以通过打开“ActiveDirectory用户和计算机”工具进行创建或删除用户、组、组织单位等操作。2.由于默认安装时自动配置了操作主机功能，所以可以成功完成创建新域、删除域、等操作。操作主机的概念将在实验四和实验五种详细讨论。该操作作为实验四和实验五的对比实验。以了解正常情况下的现象。(2)尝试删除Sales.Nwtraders.msft域：a)以帐户Administrator、口令P@ssw0rd登录域控制器DC4。b)在菜单“开始”-“运行”中输入“Dcpromo.exe”，单击“确定”。c)在“ActiveDirectory安装向导”中，单击“下一步”。d)选中“这个服务器是域中的最后一个域控制器”，点击“下一步”。e)输入用户名“administrator”口令“P@ssw0rd”，单击“下一步”。f)在新口令中连输两次“P@ssw0rd”，单击“下一步”。g)单击“下一步”。h)可以看到，域控制器卸载正常进行。(3)尝试增加新域a)以帐户Administrator、口令P@ssw0rd登录域控制器Svr5。b)在菜单“开始”-“运行”中输入“Dcpromo.exe”，单击“确定”。c)在“ActiveDirectory安装向导”中，单击两次“下一步”。d)选择“新域的域控制器”，单击“下一步”。e)选择“在现有域树中的子域”，单击“下一步”。f)在用户名、口令、域中分别输入“administrator”“P@ssw0rd”“nwtraders.msft”，单击“下一步”。g)在“父域”中，输入“nwtraders.msft”，在“子域”中，输入“Tech”，单击“下一步”。h)连续单击“下一步”，直到开始创建子域。i)可以看到，子域创建正常进行。(4)Lab1.3了解全局编录GC内容操作步骤1.全局编录的概念全局编录是存储林中所有ActiveDirectory对象的网络技术应用网副本的域控制器。全局编录存储林中主持域的目录中所有对象的完全副本，以及林中所有其他域中所有对象的部分副本。全局编录中包含的所有域对象的部分副本是用户搜索操作中最常使用的部分。作为其架构定义的一部分，这些属性被标记为包含到全局编录中。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不会以不必要的域控制器参考影响网络性能。在林中的初始域控制器上，会自动创建全局编录。可以向其他域控制器添加全局编录功能，或者将全局编录的默认位置更改到另一个域控制器上。2.查看和更改全局编录角色。(1)以帐户Administrator、口令P@ssw0rd登录域控制器DC1。(2)点击“开始”-“程序”-“管理工具”-“ActiveDirectory站点和服务”。(3)依次展开“ActiveDirectory站点和服务”-“Sites”-“Default-First-Site-Name”-“Servers”-“DC1”。(4)右键点击“DC1”下的“NTDSSettings”，点击快捷菜单的“属性”，打开“NTDSSettings属性”对话框。(5)在对话框的“常规”属性页，可以看到“全局编录”前的复选框被选中。说明DC1具有全局编录角色。(6)可以通过选中或清空此复选框来启用或禁用一台服务器的全局编录角色。(7)为保证后续实验的正常进行，关闭DC1。单击DC1虚拟机右上角“关闭”按钮，在“Close”对话框中选择“Turnoffanddeletechanges”，单击“OK”，关闭DC1虚拟机。(8)用同样的方法关闭所有打开的虚拟机。网络技术应用网实验二：DNS问题实验目的：本实验了解由于DNS配置错误导致的故障现象。实验要求：本实验使用DC1.nwtraders.msft、Svr3.nwtraders.msft两台虚拟机。实验内容：Lab2.1了解SRV记录内容操作步骤0实验准备(1)确保作完实验1.2后已经以“Turnoffanddelet