•
nltest /dsgetdc:domainname
Repadmin命令
• 执行与复制相关的任务，包括管理和修改复制拓扑，强制复制事件
和显示复制元数据与最新矢量。
• Repadmin >txt • Repadmin
/showreps
命令
• 活动目录复制监视器Replication Monitor(ReplMon)
DNS 名称解析的故障排除
DNS 名称解析可能因为以下原因而失败： • 网络连接问题 • 客户端配置错误 • DNS 服务器可用性 • 名称注册或 DNS 复制问题 为了排查 DNS 名称解析故障： • 通过 ping DNS 服务器的 IP 地址测试网络连接 • 使用 IPconfig 检查客户端配置 • 使用 NSlookup 验证服务器可用性 • 清空 DNS 缓存 • 使用 NSlookup 验证 SRV 记录
第 1 节：Active Directory 域服务的故障排除
• AD DS 故障排除介绍 • 讨论：如何排查 AD DS 问题 • 用户访问错误的故障排除 • 演示：用户访问错误的故障排除工具 • 域控制器性能问题的故障排除
AD DS 故障排除介绍
在出现以下情况时，应开始排查 AD DS 故障：
演示：用户访问错误的故障排除工具
在本演示中，你将看到如何使用 Windows 工具排查用户访问错误。 Nslookup Net time Active dierctory MMC gpresult
域控制器性能问题的故障排除
大多数常见性能问题包括： • CPU 使用率高 • • 网络使用率高
为了解决性能问题：
数取值为用户或计算机。如果您忽略/scope参数，gpresult将同时显示用 户和计算机结果。
•/v 用以指定在输出结果中显示详细策略信息。 •/z 用以指定在输出结果中显示所有与组策略相关的可用信息。由于将比/v
参数产生更多信息，因此，当您使用该参数时，请将输出结果重定向到一个 文本文件（例如，gpresult /z >policy.txt）。
第 2 节：DNS 与 AD DS 集成的故障排除
• DNS 和 AD DS 故障排除概述 • DNS 名称解析的故障排除 • DNS 名称注册的故障排除 • DNS 区域复制的故障排除
DNS 和 AD DS 故障排除概述
出现以下情况时，应排查 DNS 和 AD DS 集成故障： • 用户无法登录到 AD DS • AD DS 复制失败 • AD DS 安装失败 为了排查 DNS 和 AD DS 集成故障，应验证： • DNS 客户端和服务器配置 • DNS 名称注册 • DNS 区域复制
DNS 名称注册的故障排除
DNS 名称注册可能因为以下原因而失败： • 客户端配置错误 • DNS 服务器可用性 • DNS 区域配置
为了排查 DNS 名称注册故障： • 验证客户端已配置为在 DNS 注册 • 测试 DNS 服务器可用性 • 验证 DNS 区域已配置为进行动态更新 • 使用 DCDiag /Test:DNS 命令测试 DNS • 通过重新启动 Netlogon 服务注册 SRV 记录
Net time
（w32tm.exe)
• 功能：使计算机的时钟与另一台计算机或域的时间同步。不带 /set
参数使用时，将显示另一台计算机或域的时间。
•
• • • •
格式：net time [\computername | /domain[:name]] [/set]
参数：
\computername
•/u <域>\<用户> 通过由<用户>或<域>\<用户>参数所指定的用户帐号
权限来运行GPResult命令。缺省值为当前登录到计算机上并输入这条命令 的用户权限。
•/p <口令> 给出/u参数中所指定的用户帐号权限。 •/user <目标用户名称> 指定需要显示相应RSOP数据的目标用户名称。 •/scope {<用户>|<计算机>} 显示用户或计算机结果。请验证/scope参
第 10 章 Active Directory 域服务、域名服务和 复制问题的故障排除
第 10 章： Active Directory 域服务、域名服务和复制问题 的故障排除
• 第 1 节：Active Directory 域服务的故障排除 • 第 2 节：DNS 与 AD DS 集成的故障排除 • 第 3 节：AD DS 复制的故障排除 • 实验：Active Directory 域服务、域名服务和复制问题的故障排除 • 习题
Nltest 域安全通道命令工具
• nltest.exe是一个非常强大的命令行工具，它能用来在Windows
NT域中测试信任关系和域控制器复制的状态Nltest.exe能够用来测 试一个域中的域控制器和运行Windows NT的域成员之间的信任关 系。Nltest.exe也可以用来在主域控制器（PDC）和备份域控制器 （BDC）之间效验信任关系。在一个明确指定信任关系的域中， nltest.exe能够用来测试在等待信任域中的所有域控制器和已信任 域中的一个域控制器之间的信任关系。
• 4.指定与某域控制器时间同步 •
net time \\NYC-dc1
/set。这将使本地计算机的时间与 NYC-DC1
nslookup
• Nslookup 是一个 监测网络中 DNS 服务器是否能正确实现域名解
析的命令行工具
• ls ，：列表显示A 和 NS 记录

找出 CPU 使用率较高的进程 监视特定于应用程序的网络流量

在多个服务器上分布AD DS 和 DNS 角色
检查并修改复制拓扑 使用 64 位硬件部署域控制器

将应用程序或服务移至其他服务器
活动目录管理工具
• Admp （包含在scom中） • Adminpak.msi • Gpmc • ADManager Plus • 成都东谷ADMaster活动目录工具包
Directory、MMC 管理单元工具和 Microsoft Operations Manager（MOM）。Scom2007，netdom， replmon.exe 和 nslookup.exe。
• 服务：事件查看器、控制面板、dcdiag.exe、repadmin.exe、
用户访问错误的故障排除
讨论：如何排查 AD DS 问题
• 你将使用哪些工具来排查 AD DS 问题？ • 如何验证你的解决方法是否奏效？
• 网络：ipconfig.exe、net.exe、ping.exe 和 netdiag.exe。 • 客户端：事件查看器、控制面板。 • 服务器：事件查看器、控制面板、Windows Server Active
要检查或同步的服务器名。 /domain[:name]
•
• •
指定要与其时间同步的域。
/set 使本计算机时钟与指定计算机或域的时钟同步。
• 1、改变计算机的默认时间服务器 •
语法：net time /setsntp [:时间服务器地址]
•
•
如下：
net time /setsntp:
• 2、显示指定计算机的的当前时间 • • •
语法：net time \\computer 如下： >net time \\
3、指定要与之同步的域
•
•
语法：net time /set /domain [:域名]
>net time /set /domain:
用户访问错误可能是以下错误的结果： • 网络访问错误（物理连接，域名解析，防火墙） • 身份验证错误
• 授权错误（ACL）
为了解决用户访问错误，请验证： • 网络连接 • 时间同步 （net time） • 域控制器可用性 （netdiag,set)
• 用户账户和用户锁定设置
• 组成员身份
问题 物理网络问题 名称解析问题
NbtNm
执行与nbtstat -n 指令类似的行动。也就是验证工作站服务名称<00>与计算机 名称一致，并且验证Messenger =服务名称 <03> ，服务器服务名称<20>出 现在所有的接口，并且所有这些名称都没有冲突。
列出每一个网络适配器配置的细节，包括适配器名称、设置、媒体、GUID和统计。 列出NetBIOS over TCP/IP (NetBT)上的全部传输协议。 列出当前TCP/IP连接和协议统计。
• ls –t SRV ，。列表显示域的 SRV 记录的 • Set Type=ns 查看名称服务器。
• Set type=mx 查看邮件服务器记
使用GPResult命令行工具
/s <计算机名称> 指定远程计算机名称或IP地址（请不要使用反斜杠）。 缺省值为本地计算机。
DsGetDc IpConfig IpLoopBk IPSec IPX Kerberos Ldap
成员
调制解调器
检查证实主要域名的细节，包括计算机的任务、域名和域名GUID。查看 NetLogon 服务是否开始，向域名列表增加主要域名并且查询主要域名安全标识 符。 为这个系统上的每一台调制解调器提供配置信息。
故障排除 Ipconfig ping Ping Nslookup Ipconfig Netdiag Dsa.msc 验证选择了正确的域名或本地计算机名 验证令牌智能卡证书或配置 Gpresult Net time repadmin 服务或事件查看器 ACL， AD DS权限，组成员身份 防火墙
登录问题
• 用户报告身份验证或授权错误 • 事件查看器中出现 AD DS 相关事件
• 域控制器性能下降 • 监视系统生成警报 • 域控制器之间没有复制数据