AD客户端常见问题解析.ppt

AD概述及域中客户端 议程 Windows2000 2003活动目录概述Windows2000 XP客户端启动 登录过程域中客户端常见问题常用工具 活动目录概述 活动目录的基本概念活动目录的结构管理操作主机DNS与活动目录管理用户和组组策略常用工具 什么是活动目录 Printer1 目录服务器名称 Server1OS Windows2000Type FileServerLocation 1stFloor名称 Server2OS NovellNetware4 0Type FileServerLocation 2ndFloor打印机名称 Printer1Type HP4SiColor NoDuplex YesLocation 3rdFloor 活动目录服务基于X 500数据库结构 用于在一个层次结构中组织网络资源 目录服务器名称 Server1OS Windows2000Type FileServerLocation 1stFloor名称 Server2OS NovellNetware4 0Type FileServerLocation 2ndFloor打印机名称 Printer1Type HP4SiColor NoDuplex YesLocation 3rdFloor 活动目录的对象 对象代表网络资源属性存储对象的信息 活动目录 打印机 Printer1 Printer2 SuzanFine 用户 DonHall 属性值 对象 打印机 用户 Printer3 活动目录的结构 活动目录逻辑结构活动目录物理结构Sites及活动目录的复制 活动目录逻辑结构 域Domains组织单元OrganizationalUnits树和森林TreesandForests全局编录GlobalCatalog 域Domains 域是一个安全边界域管理员只能在本域中执行管理操作 除非他被明确地赋予其他域管理员身份一个域是一个复制单元域控制器包含域中信息的完整集合 并且参与域信息的复制 Windows2000Domain User1User2 复制 能力复制单元大小命名管理委派 NT4 0对象40 000对象NetBIOS建立新域 Windows2000属性1 000 000 对象DNS在域内建立管理委派到OU 域的性能 组织单元 用OU来个对象进行分组管理委派到OU用于结构化活动目录公司的组织结构公司的管理构架 组织结构 Sales Vancouver Repair Users Sales Computers 网络管理型模型 组织单元的划分原则 基于部门OUs基于项目OUs基于业务功能OUs基于管理OUs基于对象OUs地理位置 Domain Paris Sales Repair 树和森林 全局编录GlobalCatalog 活动目录物理结构 域控制器Sites活动目录的复制 域控制器 Sites Sites 优化复制通信量是用户可以通过可信赖的 高速的连接登录域控制器 相关概念 SiteA SiteB SiteC Site层次 域结构 物理网络 SiteModel 活动目录的复制 多主机复制所有域控制器参预复制 对等的任何变化将从一台域控制器复制到所有域控制器任何变化可从不同的域控制器上产生Sites允许预定的复制ScheduleInterval DirectoryPartition复制 DirectoryPartition也称为命名上下文NamingContextorNC 复制协议 Transport拓扑结构复制模型压缩 RPCoverIPRingNotify PullNone RPCorSMTP SpanningTreeRequest PullFull Intra Site复制 Inter Site复制 SMTPoverIPisonlysupportedforDCofdifferentdomains i e Schema ConfigurationandGCreplication 操作主机 森林范围内 SchemaMasterDomainNamingMaster域范围内 PDCEmulatorRIDMasterInfrastructureMaster 操作主机介绍 只有作为操作主机的域控制器才能对活动目录信息作相应改变在操作主机上作的改变将会复制到其他的域控制器任何域控制器可以作为操作主机操作主机角色可以转移 操作主机的默认位置 森林中的第一台域控制器 森林范围你的角色 SchemamasterDomainnamingmaster 域范围内角色 RIDmasterPDCemulatorInfrastructuremaster 转移操作主机角色 不丢失数据方法 NTDSUtil exe图形界面 抓取操作主机角色 当且仅当某个操作主机无法再使用可能丢失数据方法 NTDSUtil DNS与活动目录 DNS在活动目录中的角色DNS和活动目录的命名空间活动目录中的DNS名字解析SRV记录 DNS在活动目录中的角色 名称解析DNS转换计算机名称到IP地址计算机之间相互确定地址Windows2000 2003域的名称Windows2000 2003使用DNS命名标准DNS域和活动目录的域使用共同的名称层析结构定位活动目录的物理组件DNS根据域控制器提供的服务来确定它们域中计算机使用DNS来定位域控制器何全局编录 DNS和活动目录的命名空间 活动目录中的DNS名字解析 SRV Service 资源纪录SRVRecords由域控制器注册域中计算机用DNS来定位域控制器 由域控制器注册的SRV记录 Netlogon服务负责注册域控制器的所有DNS纪录 建立一个新域 运行dcpromo exe建立rootdomain建立sub domain建立额外的domaincontroller 管理用户和组 用户帐户和组的介绍ActiveDirectory用户和计算机建立大量用户帐户管理用户帐户使用组 用户帐户和组的介绍 使用CSVDE使用LDIFDE使用脚本 VBScript 建立大量用户帐户 使用组 活动目录的组使用GlobalGroups使用DomainLocalGroups使用UniversalGroupsDistributedGroups 组策略 组策略介绍组策略设置的类型组策略对象和组策略容器组策略应用的顺序 组策略介绍 组策略作用 设置集中或分散的策略确保用户有他们需要的环境通过控制用户和计算机环境来降低TCO强制全体策略 组策略设置的类型 针对计算机和用户的组策略 GroupPolicySettingsforComputers GroupPolicySettingsforUsers 组策略对象和组策略容器 GPO设置应用于连接在在一个Site 域 和OU中的用户和计算机一个GPO可以连接在多个Site 域 和OU上一个Site 域 和OU上可以连接多个GPO 一个组策略应用的顺序 Computer Scripts StartupComputer SoftwareInstallationUser SoftwareInstallationUserProfileLogonScriptsUser Scripts LogonUser Scripts LogoffComputer Scripts Shutdown 常用工具 常用管理工具AD用户和计算机站点和服务AD域信任DNS管理器ResourceKit SupportTools工具排错工具事件察看器MPSReportNetworkMonitor Windows2000 XP客户端启动 登录过程 启动过程登录过程 启动过程 连接到网络确定Site和域控制器建立和域控制器的安全通道Kerberos认证加载组策略客户端证书时间同步动态DNS注册登录画面 GINA 连接到网络 连接到网络并加载TCP IP协议启动过程的开始静态TCP IP设置或者DHCP获得DHCP网络基础架构 不是AD必须的不使用DHCP 而使用静态TCP IP设置 AD依旧可以正常工作 确定Site和域控制器 客户端定位服务确定最近的一个Site 并存贮在注册表 HKEY LOCAL MACHINE SYSTEM CurrentControlSet Services Netlogon Parameters DynamicSiteName向DNS服务器发出查询请求 查找当前Site的DC客户端 ldap tcp dc msdcs Domain Name服务器端 ldap tcp dc msdcs main local随机挑选DC 如果DNS返回记录大于1 建立和域控制器的安全通道 安全通道客户端和DC之间建立的获得域的特定信息更新客户端计算机特定信息Eg 计算机密码 检查域成员信息SMB Kerberos认证 获取所有的必须的Tickets来建立IPC 的对话 加载组策略 RPCcall 转换名称到DistinguishedNameLDAP查询组策略使用SMB加载各项组策略 客户端证书 每次加载组策略时进行检查计算机证书状态下载企业CA证书下载有关SMARTCard证书 时间同步 TCP123端口域中时间同步机制客户端和登录DC同步DC和域中PDC同步其他域PDC和根域PDC同步根域PDC和外部时间源同步时间服务 w32time 类型NTPNT5DS 动态DNS注册 更新DNS记录 用户登录过程 按Ctrl Alt DelKerberos认证加载组策略完成显示桌面 按Ctrl Alt Del 登录名 Samaccountname 选择域UPN user 用户FQDN Kerberos认证 获得对话TicketKerberos ServerName Kerberos ServerName Kerberos ServerName krbtgt Kerberos ServerName ldap 加载组策略 RPCcall 转换名称到DistinguishedNameLDAP查询组策略使用SMB加载各项组策略 完成 断开和DC的连接 SMB 显示桌面 客户端常见问题 无法加入域登录慢组策略应用不成功InternetExplorer的一般除错步骤共享不能访问其他的机器 无法加入域 网络配置 TCP IP DNS客户端防火墙使用NetBIOS域名 但是没有NetBIOSoverTCP IP已经建立了和域控制器的连接FileandPrintSharing ClientforMicrosoftNetworks 无法加入域 续 SMBSigning拒绝访问计算机账户已存在权限修改普通用户只能加入10台计算机安装了Proxy2 0客户端KDC无法找到 无法加入域 一般排错 检查网络配置PingNSLookupPortqry停用SMBSigningNetworkMonitor 登录慢 网络DNS加载组策略运行大量脚本本地DC不可用RoamingProfileProxy2 0第三方应用程序AntiVirus防火墙第三方GINAWebClientservice 登录慢 一般排错 检查网络通讯检查DNS查看Eventlog复查Sysvol文件夹 是否太大复查脚本内容暂停第三方应用程序Netlogon日志和Userenv日志 109626 221833 带网络的安全模式NetworkMonitor 缓存登录 用户客户端无法联系到DC时 依旧可以使用域用户登录计算机默认10个用户HKEY LOCAL MACHINE Software Microsoft WindowsNT CurrentVersion Winlogon 组策略应用不成功 网络DNS计算机账户过期千兆网卡本地服务 WMI Registry 防火墙GPO应用权限访问DC权限BypassTraversecheckingAccessthiscomputerfromnetwork第三方GINADC上的Sysvol复制不成功Password和 账户锁定 策略是整个域强制的 组策略应用不成功 一般排错 检查网络检查DNS重新加入域检查本地服务检查防火墙检查GPO权限和用户权限SYSVOL复制排错 InternetExplorer的一般除错步骤 重新注册IE的重要文件scrrun dll msxml dll mshtml dll jscript dll urlmon dllshdocvw dll browseui dll softpub dllwintrust dll dssenh dll rsaenh dll gpkcsp dll sccbase dll slbcsp dll cryptdlg dll actxprxy dll shell32 dll oleaut32 dll 命令 Regsvr32 InternetExplorer的一般除错步骤 清空IE的临时文件 SSL状态 禁止第三方的网络插件 InternetExplorer的一般除错步骤 使用ProcessExplorer来查看是否有第三方的DLL附在IE的进程上面 如果有 暂时卸载它们 共享不能访问其他的机器 常见原因网络不通名字解析有问题 解析到了错误的IP地址对方文件共享的端口被关闭了常用对策检查网络连通情况检查WINS DNS HOSTS LMHOSTS文件直接用 IPaddress 的方式访问检查对方机器的445 TCP DIRECTHOSTSMB 137 139 UDP NETBIOSoverTcpip NBT 端口 常用工具 EventLogWindowsSupportToolsWindowsResourceKittoolsEnableDebuglogUserenv 221833 Netlogon 10