Windows 2000活动目录的运行日志和诊断工具.doc

Windows 2000活动目录的运行日志和诊断工具在Windows 2000系统中，Active Directory以其突出的特点和完备的性能而日益受到用户的重视。Active Directory 目录服务使用结构化的数据存储作为目录信息结构的基础。Active Directory 的优点：具备信息安全性 、实现了基于策略的管理 、系统可扩展性和伸缩性 、系统间信息的复制 、集成 DNS服务 、与其他目录服务的互操作性等。其出色的性能，同时也在应用中带来相应的难度。故此，系统在运行过程中，按照约定的模式记录了大量的日志文件，保存了Active Directory运行时的状态轨迹；而且，在Windows 2000 Resource Kit中，提供了相应的辅助和诊断工具，以便用户可以准确地判断使用中出现的问题，保证系统的运行处于可靠、安全和高效的状态。Windows 2000 Resource Kit中提供的工具有这样几类：计算机管理工具：发布工具类诊断工具类文件和磁盘工具类网络管理工具类性能管理工具类同时，在Windows 2000系统内部还具备了相应的管理工具，包括：性能管理、设备管理、系统安全模式、网络管理、注册表管理、系统更新管理、系统故障报告管理和一些涉及网络连接、DNS解析、协议管理等方面的MS DOS命令形式的应用工具。Active Directory的运行日志记录Active Directory的运行日志可以通过注册表的修改而实现对于性能的全面监测。相关的注册表记录为HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNTDSDiagnostics。因此。我们可以获得有关性能分析的全面数据日志文件。与Active Directory有关的日志文件有：1.DCPromoUI.log保存在%SystemRoot%Debug目录下，记录了有关Active Directory的安装/卸载的详细数据。即运行Active Directory Installation Wizard (也就是dcpromo)，就开始建立成功/出错的信息记录。一般包括下述内容：* 用于复制的源域控制器的名称 * 将要复制到目标服务器的目录内容* 在每个域的组成部分中的复制项目* 目标域控制器的服务配置 * 有关注册表和文件的存取控制权限 (ACEs) 设置 * SYSVOL 目录 * 应用错误信息 *在安装/卸载过程中Administrator 所作的选择2.DCPromos.log保存在%windir%debug目录下，在由Windows 3.1或Win NT升级到Windows 2000的过程中生成。3.DCPromo.log默认的保存路径为%SystemRoot%Debug ，由Active Directory Installation Wizard产生。 它记录了升级/降级（promotion or demotion）过程中的信息，包括site name, Active Directory database 和日志文件的路径，以及有关计算机账号的信息和时间同步等；DCPromo.log 文件全面记录了 Active Directory database的生成、SYSVOL目录树及服务的安装/修改。4.Netsetup.log记录了在一台计算机加入Windows 2000域时所需要的信息，包括Networking Setup (NetSetup)安装的全部Microsoft支持模块，防止出错的预防措施和对于第三方程序模块的支持。5.Netlogon.log由NetLogon service 生成，并将记录动态记录于指定服务器的DNS database 。记录了详尽的DNS相关数据。一般应用于域名解析等应用。6.Ntfrsapi.log保存在%SystemRoot%Debug目录下， 是用于File Replication service (FRS) 的文本格式的日志文件。它保存了在安装/卸载Active Directory 的过程中出现的复制问题和发生的事件。7.Userenv.log保存在%SystemRoot%Debug 目录下，用于记录在用户和组策略实施过程中出现的问题和事件。同时，在Active Directory的运行过程中，相应的事件也记录到系统的日志文件中，也作为对于Active Directory性能状态的监控和判断的重要论据。常用的诊断工具Active Directory的运行可以通过Windows 2000 Resource Kit提供的一些工具软件进行诊断、监控和调整，使之保持安全可靠和高效的运行状态。根据微软的TechNet提供的资料，可以考虑以下述的方式，使用不同的诊断工具。网络方面：事件管理器PINGIPCONFIG（用于网络的IP协议配置的检测）NETDIAG（用于网络的隔离检测）NLTEST（用于测试域的信任关系）DNS方面：事件管理器NSLOOKUPPINGNBTSTATDNSCMD（用于DNS的管理）Active Directory方面：事件管理器DCDIAG（用于活动目录劾DNS结合的检测）NTDSUTIL（用于备份和恢复活动目录的配置）DSASTAT（用于域控制器上的命名差异的检查）存取权限控制方面：事件管理器DSACLS（用于活动目录的对象的查询和安全属性的操作）NETDOM（用于管理windows2000的域和信任关系）Clone Principal（用于克隆迁移windows NT上的用户和组）SDCHECK（用于安全的脚本检查）用于网络和连接方面诊断的工具NETDIAG.exeNETDIAG提供了针对网络配置和连接方面的详尽的诊断功能，具体项目有：Ndis - 网卡的测试 IpConfig - IP 配置测试 Member - 域成员的关系测试 NetBT Transports - NetBT 传输测试 Autonet - Automatic Private IP Addressing (APIPA) 地址测试 IpLoopBk - IP loopback （PING）测试 DefGw - 默认网关测试 NbtNm - NetBT 名称测试 WINS - WINS 服务测试 Winsock - Winsock 测试 DNS - DNS 测试 Browser - 重定向和浏览测试 DsGetDc - DC （域控制器）发现测试 DcList - DC （域控制器）列表测试Trust - 信任关系测试 Kerberos - Kerberos 测试 Ldap - LDAP测试 Route - 路由表测试 Netstat - Netstat 信息测试 Bindings - 绑定测试 WAN - WAN 配置测试 Modem - Modem 诊断测试 NetWare - NetWare 测试 IPX - IPX 测试 另外，还可以给出当前系统所安装的所有ServicePack和HotFix列表，用于为完善系统安全方面提供参考。相关的测试结果，可以直接以文本形式生成报告文件；或者，直接生成NetDiag.log文件。用于Active Directoy与DNS结合的诊断工具DCDIAG.exe本工具仅适用于网络连接状态下的域控制器，而不是独立的单机。DCDIAG可以分析Active Directoy的目录树或网络中的域控制器状态，并生成一个检测报告，报告将所有通过诊断测试得到的问题汇集。当系统管理人员或技术支持人员分析问题和排除故障时候，可以依此作为判断的依据。 DCDIAG可以针对指定的方面的问题进行测试，包括： *网络的连通性*复制 *网络拓扑的完整性*目录分区Head权限 *用户权限 *取得域控制器位置*Inter-site 状态 *信任校验*安全边界 在实际应用中，DCDIAG特别适用于因为Active