活动目录常见故障排错工具.doc

“兵欲善其事，必先利其器”，这句话放在网络排错上可谓是再合适不过了，如果你去问一名从事网络工程师，在平时的网络排错中最希望得到什么？我估计十有八九都会跟你说好工具！的确，对于技术人员而言，工具就像是一款精良的武器，可以帮助你迅速掌握网络情况，找到问题的症结所在。在本文中，笔者结合平时对活动目录排错的经验，来向广大读者展示一些非常实用的工具，希望能够起到抛砖引玉，举一反三之功效。在这里，笔者拿一个简单的活动目录域作为案例：现在有一家企业，AAA集团，为了提高企业效益和员工的生产力，该集团组建了自己的办公网络，申请了一个域名：http:/aaa.ad。（在这里，笔者用虚拟的域名来做演示）。AAA集团的网络管理采用了Windows 2003活动目录域。为了方便员工间的交流和对外宣传，AAA集团还搭建了基于Exchange平台的电子邮件系统。域的规模不是很大，域控制器和Exchange邮件服务器各两台，场景一：每周的星期一，AAA集团的IT技术工程师都要对活动目录进行常规检查，就像医生给病人做体检一样，对于工程师来说，每一次的常规检查怎样才能做到迅速、准确呢？Dcdiag检测的信息相当丰富，限于文章篇幅，笔者不可能一一解释，这里笔者只解释一些经常关注的信息，请看下表： 显示内容 含义及作用 在实际中的应用 * Found 1 DC(s). Testing 1 of them. 检查森林中有几台DC，从而能够让你轻松获得用户网络环境大小。 如果曾经进行过DC的删除，从这一行能够很明确的看出，整个域环境究竟有几台DC。 Starting test: NCSecDesc 检测活动目录中主要分区的权限是否设定正确（域分区，架构分区等）。 DC1 passed test NCSecDesc表明DC1域控制器分区权限正常。 Starting test: Advertising The DC DC1 is advertising as a Key Distribution Center The DC DC1 is advertising as a time server. 检查域控制器上服务的正确性。 表明该DC是一台KDC。 表明该DC是一台时间服务器 有时用户会无意间停止的一些服务，结果给整个活动目录域带来问题。比如整个域内如果没有KDC，那么身份验证将无法进行，用户自然无法登陆到域内。 总的说来，DCDiag是一款功能强大，高效便捷的命令行工具，微软的网站上有专门的Dcdiag Examples，有兴趣的读者可以去看一看。这里，笔者给出其链接： /technet/prodtechnol/windowsserver2003/library/TechRef/824f106c-a90b-421b-aa44-ebc1403c8b4c.mspx 信息搜集工具MPS Report l信息搜集工具MPS Report是用来搜集信息的工具，也是一款在微软历史悠久的工具。它比较适合每月（或更长时间）对域内的服务器（如Exchange、DC等）检测时使用，详尽的报告可以让你对你的服务器运行情况了如指掌，更能够帮助你及时发现服务器的问题，以便作出相应解决方案。 我们可以从微软的网站上下载该工具 （/downloads/details.aspx?familyid=cebf3c7c-7ca5-408f-88b7-f9c79b7306c0&displaylang=en#filelist.） MPS Report更像是一个脚本，针对你服务器类型事先定义了一些变量，然后依次运行相关的工具得出一个报告，与Dcdiag相比，报告内容会更详细，因此，运行时间也会更长一些，但一般都不会超过10分钟。 在下载页面上，首先根据你服务器的类型选择相应的报告工具，（如你需要检测Exchange邮件服务器的状态，就下载MPSRPT_Exchange.EXE）下载到本地后，只需双击运行即可。由于是脚本类工具，因此整个过程不需要任何人工干预，这样也就大大减少了管理员的工作量（你可以不必一次又一次的敲命令）。最后，系统会自动弹出一个文件夹，解压该文件夹内的CAB包就会得到服务器运行状态检测结果，你可以选择有关txt日志文件来查看。 l 基础网络诊断工具 NetDiag （NetDiag Network Diagnostic） NetDiag是一款帮助你分析当前网络状况和连通性的工具，它会按照事先设定好的规则在你的机器上运行一系列测试，以确定网络客户机的状态和功能。你可以使用这些测试结果及 Netdiag.exe 提供的网络状态信息，找出基于 Windows 2000 的工作站或服务器上的网络和连接问题。此外，它还可以检查你的服务器打有哪些补丁（Hotfixes）。这款工具你可以从Windows 2000/2003安装光盘的Support Tools下得到。Netdiag的参数也很多，其中，使用/v参数可以在详细模式下运行 Netdiag.exe，并显示有关执行的操作的信息；/l参数可将输出结果写入到Netdiag.log 文件，该文件会创建在运行 Netdiag.exe 的同一文件夹中；/debug参数可使NetDiag命令在调试模式下运行，这样输出的结果要比使用 /v 参数时多。关于Netdiag的详细使用方法，微软的网站上有专门的文章介绍，有兴趣的读者可以去看看，同样，笔者在这里给出相关链接： /default.aspx?scid=kb;zh-cn;321708 场景二：技术人员拿到了很多日志文件，但是每一个日志文件的内容很多，而且很杂乱，有success,也有fail，但是，对于技术人员来讲，fail才是他们所关心的，有没有一款免费工具能够把每个日志文件中失败的信息提取出来呢？ TOOL：Find String Find String 是一款能够在任何ASCII文件中搜索字串的工具，对于技术人员查看、归纳和提炼log文件的信息很有帮助。同时，Find String是一款系统自带的工具，位于Windowssystem32目录下，因此完全免费。 如在场景二中，工程师需要提取日志文件findstr.txt 中“fail”的信息，可以使用如下命令：findstr /i /l fail c:findstr.txt c:findstrnew.txt （其中，/i表示搜索时不分大小写，/l表示按字使用搜索字符串，引号内添入你希望搜索的字串），这样就可以将findstr.txt中含有fail的字符导入到findstrnew.txt文件中去。 由于是系统自带的命令，更多的功能和使用方法读者可以参考系统的“帮助和支持”中心。 场景三：某天，管理员需要将上次的Exchange存储备份还原到邮件服务器上面，但是却失败了。 单击报告，显示： 还原状态 操作: 还原 DC1Microsoft Information Store第一个存储组 的备份，还原为 DC1Microsoft Information Store第一个存储组 备份集 #1 在媒体 #1 上 备份描述: 集创建于 2005-7-25，22:35 于 2005-7-28，11:15 开始还原。 无法将 Exchange 数据还原到 DC1Microsoft Information Store第一个存储组， 详细信息，请检查应用程序事件日志 于 2005-7-28，11:15 完成还原。 目录: 0 文件: 0 字节数: 0 时间: 1 秒 -TOOL： l 事件查看器 事件查看器记录了应用程序、安全性、系统、目录服务、DNS服务等事件的信息，这些信息包含正确信息、警告和错误，我们可以首先查看这些信息获得排错的基本线索。 通过查看事件的详细信息，发现如下描述：“从 Microsoft Active Directory 中查找数据库以便还原时失败。备份媒体上指定的存储组是 a97a034f-82fe-415a-aaaf-3e800773754d。备份媒体上指定的数据库是 公用文件夹存储(DC1)，错误是 0xc7fe1f46”。 当我们拿到错误代码（0xc7fe1f46）后，我们怎么才能明白是什么含义呢？这时，我们就需要用到我们的第二个工具：Knowledge Base（微软知识库）！ 行文至此，笔者想在这里多说两句，笔者在实际的Troubleshooting和给网管人员培训时发现不少网管人员都存在这样几个“通病”。其一，他们很少去微软的网站，拿到问题后先是去百度或者google上去搜索，殊不知，像百度或者google这样的搜索引擎容量是很大的，因此信息也不够权威和精确，而微软的KB是微软最重要的知识共享系统，被誉为“解决实际问题的电子字典”，其中的解决方案都是微软专门的工程师经过理论分析、反复实验得出的，而且解决方案的思路也很清晰，对排错很有帮助，可以说是工程师“居家必备”的工具。因此，笔者建议，如果你经常和微软的产品“打交道”，微软的网站是一定要去的，尤其是要经常查KB；其二，还有不少管理员拿到返回的错误信息不知道该做什么，而是在那里自己琢磨，盲目操作，毫无疑问，这样的排措效率无疑是低下的，而且很可能会产生新的问题。所以，当我们拿到一个错误信息或者是错误代码的时候，应该首先去微软知识库KB上去查，其链接为。l Knowledge Base（微软知识库） 打开，在搜索一栏中输入错误代码0xc7fe1f46后，回车，可以看到一个解决方案。 插入0xc7fe1f46 Found！.html 通过查看KB我们得知，这是由于没有选中“This database can be overwritten by a restore”的原因，知道了原因，我们便可以很好的解决这个故障了。 编辑注意：事实上很多时候，这时问题并没有解决，原因是有时候管理员疏忽了卸下数据库导致还原仍然失败，但同样可在KB中查到，具体到本文用不用写，我个人认为没有必要，因为本文是重在讲工具而不是讲如何排措，请编辑定夺一下。 有一点请读者注意，知识库有中文和英文两种，英文内容要比中文多很多，建议英文水平好的读者看英文的KB。 场景四：用户在打开Microsoft Outlook 时，系统提示输入用户名和密码，输入有效凭据后，收到以下内容的错误信息：Your logon information is incorrect。去事件查看器中查看发现：事件 ID: 1000 事件来源: Userenv 描述:Windows不能确定用户或计算机名称。返回值 (1753)。 TOOL：错误代码查看工具 错误代码查看工具同样是为管理员和工程师准备的一本详尽字典，涵盖了大部分错误代码的原因（包含SQL-server，Windows Server等）。读者可以从微软网站上下载： /downloads/details.aspx?familyid=be596899-7bb8-4208-b7fc-09e02a13696c&displaylang=en 下载回来后，解压，得到一个文件夹Err，然后在命令行提示符下进入Err目录，键入err加错误代码，例如：err 1753 从图中可以看出，1753这个错误代码在SQL-Server和Windows中有着不同的含义，在Windows Server中表示RPC 终结点映射程序错误。同样，这时我们就可以去微软的KB上查询这个错误的原因以及相应的解决方案，在此笔者不再赘述。 场景五：活动目录域少不了组策略，但是在很多时候，用户最终生效的策略往往与管理员设想阴差阳错，那么对组策略的应用检查需要使用哪些工具呢？ TOOL： l GPResult.exe 谈到组策略，网管人员问的最多的问题莫过于“为什么我预先设定的策略没有生效？”，看似简单的一句话，其中却包含了很多问题。笔者认为，组策略的排错应该有一定的顺序。首先，要把故障再确定一下，例如，是什么策略没有生效？是计算机设定？还是用户设定？还是桌面设定？亦或是安全设定？等等等等。搞清楚这些问题以后，我们还应该确定，组策略对象是什么？它链接在何处？此外，用户或者是计算机是否链接在GPO（组策略对象）所在的OU下？用户的操作系统是什么？与服务器的连接速度是慢速还是快速？例如，如果客户端和服务器的连接速度过慢（拨号方式），那么应用程序安装策略是不会生效的。 确定了以上问题后，一般首先使用GPResult.exe（系统自带，2000在supporttools中）来获取用户或计算机的组策略设置和策略的结果集，看看这台计算机究竟被应用到了哪些策略，这时，需要注意的是没有被应用的策略，管理员应该从这里找原因，看看为什么这些策略没有被应用。另外，GPResult.exe还会显示出用户和计算机在哪个OU中，这时你应该注意设定的组策略与用户和计算机是否在同一个OU中Userenv.log 从文件的后缀名可以看出，这是一个日志文件，但这个日志文件是很重要的，原因是，当用户登录时，都会调用userenv.dll文件，这一过程会被Userenv.log详细记录，你可以查到用户配制文件加载以及组策略应用的详细过程，有助于我们的排错。 默认情况下，Userenv.log是没有被开启的，需要编辑注册表开启：打开注册表编辑器，定位至HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon下，新建一个DWORD值，命名为UserEnvDebugLevel，如果你使用的是2000、XP版本，使用10002数值，2003则改为30002，这样你在%systemroot%DebugUserMode下就可以找到userenv.log文件。（关于开启的方法，微软的网站上有相关的KB/default.aspx?scid=kb;zh-cn;221833） （小提示： 2000修改注册表后可能需要重新启动计算机） 经常有管理员会向笔者问这样的问题：“为什么我设定的组策略在用户那里有时候可以生效，有时候却无法生效？”其实，只要看下面这段信息，就不难找出问题的症结所在： USERENV(480.c70) 20:56:15:281 PingComputer: PingBufferSize set as 2048 USERENV(480.c70) 20:56:15:281 PingComputer: Adapter speed 10000000 bps USERENV(480.c70) 20:56:15:281 PingComputer: First time: 0 USERENV(480.c70) 20:56:15:281 PingComputer: Fast link. Exiting. 从上面的信息中可以看出，这是在测试客户端和服务器是快速连接还是慢速连接，测试的方法就是ping一下，如果是慢速连接，有一些组策略的设定当然是不会生效的。在这里，笔者建议读者在日常的排错工作中不妨拿正常的日志信息和有问题的日志信息做比对，这样就会很快找出问题的原因。 Winlogon.log Winlogon.log是用来记录组策略中与安全相关设定的应用过程，它的开启同样需要修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonGPExtensions827D319E-6EAC-11D2-A4EA-00C04F79F83A下，新建一个名为ExtensionDebugLevel 的Dword值，数值设为2，然后到命令提示符状态下，键入secedit /refreshpolicy machine_policy /enforce命令激活，这样在%systemroot% SecurityLogs文件夹下就会自动生成一个Winlogon.log文件。通过查看该文件，管理员可以轻松获得每一个用户的安全权限是什么。 文本示例 场景六：随着应用需求的增长，一台服务器已经越来越无法胜任全部的工作，造成网络环境的恶化，因此，企业计划将来在域中多增加几台成员服务器。虽然成员服务器可以起到减轻负担和容错的效果，但是，也会带来新的问题。一个显著的问题就是：用户不会在一台DC上登陆，他会选择反应时间快的DC上进行身份验证等工作，多台DC间会进行复制以保证数据的一致性，但是，对于用户来讲，他登陆后，怎样才能查看自己是在哪台DC上登陆的呢？TOOL：Whoami & Set Whoami和Set的功能大体相同， whoami是Windows resource kit中的一个工具，可以在微软网站上下载得到： /downloads/details.aspx?FamilyID=3e89879d-6c0b-4f92-96c4-1016c187d429&DisplayLang=en。安装完成后，我们在命令提示符下进入resource kit文件夹，键入Whoami /?获得帮助，工具比较简单，通常使用whoami /all来获得详细信息，从输出的信息中能够很清楚的显示当前用户以及SID号等信息，在权限排错时很有用。 插入：whoami.txt 而set是Windows操作系统自带的一个小工具，可以显示、设置或删除环境变量，获取当前用户环境的详细信息。具体使用方法，在Windows的“帮助和支持中心”中有详细说明。不过，在使用中，set用的最多还是检查DNS域和USERDOMAIN 。参考下图。 插入set.txt 场景七：邮件服务器原来安装了某品牌的防火墙软件，后由于兼容性等问题，禁用了该防火墙，但是，问题随之而来，每次启动服务器时，都会报一个错误（如下图）。经查，原来是防火墙的服务仍然在每次启动计算机时启动，因此会报错，管理员想要删掉这个服务，却发现在“管理工具服务”当中，并没有对服务提供“删除”的选项。TOOL：SC SC是一款系统自带的工具，（XP，2003系统自带）我们可以使用 SC.exe 来测试和调试服务程序，可以设置存储在注册表中的服务属性来控制如何在启动时和作为后台程序运行时启动服务应用程序。同样，SC还有很多参数，这些参数可以配置指定的服务，检索当前服务的状态，也可以停止和启动服务，此外，SC更可以生成批处理文件来调用不同的 SC.exe 命令以自动启动或关闭服务序列。说白了，SC是一个类似于“控制面板”中“管理工具”项中的“服务”的命令行工具。 进入命令提示符，键入sc /?先来看一下帮助，不难看出，该命令的功能很强大，在日常管理中，我们一般使用sc queryex C:service.txt命令将现有的服务状态导出至一个文本文件。在上述场景中， 管理员需要删除指定的服务可以使用：sc delete KPfwSvc 删除防火墙自带的服务。 笔者发现，在大型的网络环境中，sc有时候更像是一个黑客工具，例如有些不怀好意得人往服务器上传一个黑客服务，但是这些服务往往名称较为可疑，而且也没有描述，因此很容易让网管人员发现，但是，使用sc命令可以远程更改服务名称，增加服务描述等信息，笔者在实际的网络管理中就曾经发现，有的黑客将自己上传来得后门服务改名为系统自带的服务名称（如ClipBook），甚至连描述都和系统服务的描述相同，这样就给我们的系统带来了很大的隐患，由于伪装的好，可能管理员一两个月都发现不了这个后门程序，这一点，请读者在日常的网管工作中多家留意。场景八：活动目录域运行一段时间后，活动目录的数据库发生了损坏，在事件查看器中发现错误代码为1018的错误，这时，管理员应该怎样做？ TOOL：Ntdsutil （NT Directory Service Utility） Ntdsutil是一个为活动目录提供管理的命令行工具，使用