Книги, научные публикации Pages: | 1 | ... | 6 | 7 | 8 | 9 | 10 | ... | 18 |

Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000 ...

-- [ Страница 8 ] --

Раздел Performance Logs and Alerts Средствами оснастки Performance Logs and Alerts (Оповещение и журналы произ водительности) регистрируются показания счс-тчиков производительности и сис темные оповещения. Данные, поступающие от оборудования текущей системы, так же разрешается собирать средствами оснастки Windows Management Instrumen tation (Управляющий элемент WMI). Средствами этой оснастки отслеживаются данные Active Directory: протокола LDAP (Lightweight Directory Access Protocol), центра распространения ключей (Key Distribution Center KDC), диспетчера учет ных записей безопасности (Security Accounts Manager, SAM), администратора ло кальной безопасности (Local Security Authority, LSA) и службы Net Logon (Сете вой вход в систему). Когда активизирована регистрация трассировки событий (trace logging), выполняется постоянное наблюдение за такими ключевыми собы тиями, как вход в систему, аутентификация, операции LDAP, операции SAM. При этом также регистрируется процессорное время, метка времени и идентификаторы потоков. Включение и отключение регистрации трассировки выполняется средства ми Performance Logs and Alerts. Для оценки стоимости отдельных операций необ ходимы API-интерфейсы. Подробнее об API-интерфейсах трассировки событий, предоставляемых сторонними поставщиками систем управления, Ч на Web-страни це Web Resources по адресу web resources, ссылка Microsoft Platform SDK.

Как и System Monitor, компонент Performance Logs and Alerts поддерживает счет чики объектов производительности, таких, как NTDS, для наблюдения определен ных процессов. При этом разрешается задавать интервалы времени регистрации событий, а также распечатывать журналы регистрации или просматривать их в ре альном времени в окне System Monitor.

Подробнее об использовании оснастки Performance в справочной системе Win dows 2000 Server.

Оснастка Event Viewer В состав Windows 2000 входит оснастка Event Viewer (Просмотр событий) - сред ство наблюдения за такими системным]! событиями, как ошибки приложений, сис темные ошибки и успешный или неудачный запуск служб. Event Viewer регистри рует собранные данные в журнале событий. Например, средствами Б Event Viewer можно получить подробную информацию о том, когда реплицируются разделы ка талога, просмотрев записи о соответствующих событиях в журнале.

Также при подозрении на неполадки и службе каталогов, например, когда не вы полняется репликация данных, рекомендуется сначала изучить журнал событий.

Информация журналов событий помогает понять последовательность п виды со бытий, приводящих к снижению производительности. Подробнее об использовании оснастки Event Viewer Ч в справочной системе Microsoft Windows 2000 Server.

Средства наблюдения за производительностью Active Directory В этом разделе мы рассмотрим служебные программы командной строки и сцена рии Visual Basic, расположенные на компакт-диске, прилагаемом к брошюре Ре сурсы Microsoft Windows 2000 Server. Компакт-диск. Эти инструменты позволя ГЛАВА 8 Наблюдение за производительностью в Active Directory ют контролировать работу Active Directory, в том числе наблюдать за различиями между разделами каталогов, расписанием и топологией репликации, работой сети, каналами, производительностью локальных и удаленных компьютеров, а также за выделением пулов RID. Эти средства по умолчанию расположены в каталоге \S\ippnrt\Rfi$\i.it. Далее мы опишем служеб ную программу Performance Monitor (Pmon) и два сценария Visual Basic (VBS) DisplayRID и DispIayOld.

Служебная программа Pmon С помощью служебной программы командной строки Performance Monitor (Pmon.exe) выполняют мониторинг использования процессами таких ресурсов компьютера, как процессорное время и намять. Pmon также оценивает использование выгружаемых и невыгружаемых пулов и выявляет утечки памяти в процессах режима ядра. В Active Directory с помощью программы Pmon контролируется использование па мяти подсистемой LSA посредством наблюдения за процессом Lsass.exe.

Для просмотра списка текущих процессов в Pmon используются клавиши стрелка вверх и стрелка вниз*. Для выхода из программы достаточно нажать клавишу ESC или Q. Нажав любую другую клавишу, Вы обновите окно Pmon.exe.

Подробнее об использовании невыгружаемых и выгружаемых пулов - в книге Со провождение сервера. Ресурсы Microsoft Windows 2000 Server (Русская Редак ция, 2001).

Сценарий DisplayRID Сценарий DisplayRID на языке Visual Basic применяется для мониторинга выделе ния и использования пулов RID контроллерами домена. Например, для наблю;

г ния за пулом RID в домене ResKit следует ввести в командной строке:

cscript displayrid.vbs /DiResKit /U:Sales\Adrninistrator /W:mypass Полный синтаксис команды имеет следующий вид:

Cscript displayrid.vbs [/11:<имя_/7ользователя>] [/W: <лароль>] [/0:<имя_доиена>] Сценарий DispIayOld Сценарий DisplayOld на языке Visua! Basic позволяет обнаружить в Active Directory учетные записи компьютеров и пользователей, которые не входили в систему в те чение указанного периода времени. Информацию, возвращенную сценарием, мож но сохранить в файле в формате обмела данными LDAP (LDAP Data Interchange Format, LDIF), что позволяет при необходимости удалить найденные объекты из Active Directory. Например, чтобы найти учетные записи всех пользователей в под разделении Sales домена Reskit.com, которые не входили в систему последние 60 дней, введите команду:

cscript displayold.vbs /N:60 /С: user /D:ResKit /U: Sales\Administrator/W:mypass Полный синтаксис команды:

Cscript dispLayold, vbs /Ы:<количество_дней> [/\}\<имя_пользователя>] [/W: <пароль>~\ [/D: <имя_долена>] [/S: <нмя_сервера>] [/С: <имя_компьютера>\<имя_пользователя>'] [/Q] Обратите внимание, что у этого сценария только один обязательный параметр Служба каталогов Active Directory 324 ЧАСТЬ Регистрация трассировки событий Регистрация трассировки событий операции позволяет оценить затраты на ее вы полнение. В Active Directory существуют средства наблюдения за элементарными операциями LDAP, а также за операциями компонентов Kerberos, SAM, LSA и службы Net Logon. При включенной регистрации трассировки записываются све дения о таких ключевых событиях, как вход в систему, аутентификация, операции LDAP и операции SAM. Кроме того, регистрируются такие параметры, как исполь зование процессора, метка времени и. идентификаторы потоков. Средства регист рации событий службы Performance Logs and Alerts позволяют включать и отклю чать протоколирование трассировки. Для оценки стоимости отдельных операций требуется использовать API-интерфейс. Подробнее об API-интерфейсах трассиров ки Ч на Web-странице Web Resources по адресу windows2000/reskit/webresources, ссылка Microsoft Platform SDK. В составе Mic rosoft Platform SDK и комплекта ресурсов также имеются примеры программ и средств анализа данных, записанных в ходе трассировки.

Счетчики системного монитора Во время установки Active Directory Installation wizard (Мастер установки Active Directory) конфигурирует в объекте NTDS счетчики производительности, которые ведут статистику работы каталога. Эти счетчики регистрируют события всего ката лога, в том числе и глобальных каталогов. В окне оснастки Performance (Произво дительность) текущие процессы отображаются в графическом виде, кроме того, эта оснастка позволяет сохранять собранные сведения в журнале.

Объект NTDS Объект NTDS содержит счетчики производительности, отражающие статистику работы Active Directory. Например, несколько счетчиков, относящихся к агенту репликации каталогов (directory replication agent, DRA). Счетчиков производитель ности очень много, поэтому сначала следует решить, какая информация необходи ма, а затем подбирать нужные счетчлки.

Счетчики объекта NTDS также используются для планирования производительно сти и пропускной способности системы путем оценки базовой производительнос ти, например для регистрации событий превышения нагрузкой базовых значений.

Обычно счетчики, используемые для планирования производительности, содержат в своем имени слово Total (Всего). Существует три типа таких счетчиков:

Х статистические - отражают суммарное количество операций в секунду. Например, счетчик DRA Inbound Properties Total/Sec (Всего входящих свойств DRA/сек) по казывает общее количество свойств объектов, получаемых в секунду от партне ров входящей репликации;

Х процентные -- отражают долю нагрузки относительно суммарной нагрузки. На пример, счетчик DS % Writes from LDAP (% операций записи из LDAP в DS) показывает долю LDAP-операций и общем массиве операций службы каталогов;

Х накопительные Ч отражают состояние процессов с последнего запуска компью тера. Например, счетчик DRA Inbound Bytes Total Since Boot (Всего входящих байт DRA с момента загрузки) показывает общее количество входящих данных репликации в байтах, то есть сумму числа байт несжатых данных (данных, ко торые никогда не сжимаются) и количества байт сжатых данных (после сжатия), ГЛАВА 8 Наблюдение за производительностью в Active Directory У каждого счетчика существуют сноп особенности применения и ограничения. В таблице 8-1 перечислены наиболее важные счетчики для наблюдения за произво дительностью Active Directory.

Таблица 8-1. Счетчики Active Directory в объекте NTDS Описание Счетчик DRA Inbound Byres Compressed Размер (в байтах) входящих сжатых данных репли (Between Sites, After Compression) кации, то есть объем сжатых данных, полученных от агентов репликации (Directory System Agent, DSA) в /Sec [Входящих сжатых байт DRA (между сайтами, после сжатия)/сек] других сайтах DRA Inbound Bytes Compressed Исходный размер (в байтах) входящих сжатых дан (Between Sites, Before Compression) ных репликации (размер до сжатия данных, полу ченных от агентов DSA в других сайтах) /Sec [Входящих сжатых байт DRA (между сайтами, до сжатия)/'сек] Количество байт данных репликации, которые не DRA Inbound Bytes Not Compressed были сжаты на источнике, в секунду, то есть входя (Within Site)/Sec [Входящих несжа щие данные от агентов DSA в этом же сайте тых байт DRA (внутри сайта)/сек] DRA Inbound Bytes Total/Sec Общее количество входящих байт репликации. Рав но сумме несжатых (никогда не- сжимавшихся) бай г (Всего входящих байт DRA/сек) и сжатых байт (после сжатия) Число объектов, которые необходимо обработать дп DRA Inbound Full Sync Objects завершения полного процесса синхронизации Remaining (Осталось объектов вхо дящей полной синхронизации DRA) DRA Inbound Object Updates Remai- Количество обновлений объектов, полученных в ning in Packet (Оставшихся в пакете текущем пакете обновления репликации каталога, входящих обновлений объектов DRA) которые еще не применены на локальном сервере.

Позволяет выявить ситуацию, в которой сервер ус пешно получает обновления, но их внесение в базу данных лотстает Количество объектов (в секунду), получаемых от DRA Inbound Objects Applied/Sec партнеров обновления репликации и применяемых (Применено входящих объектов локальной службой каталогов. Этот счетчик не учи DRA/сек) тывает полученные, но не примененные изменения (например, когда такое изменение сделано ранее).

Показывает интенсивность обновлений репликации на сервере, вызванных изменениями на других сер верах Количество объектов в секунду, получаемых от парт DRA Inbound Objects Filtered/Sec (Отфильтровано входящих объектов неров по входящей репликации, которые не содер жат подлежащих применению обновлений DRA/сек) Общее количество объектов, получаемых в секунду DRA Inbound Objects/Sec от партнеров в процессе входящей репликации (Входящих объектов DRA/сек) DRA Inbound Properties Applied/Sec Количество свойств, обновленных посредством вхо дящей репликации в результате применения меха (Применено входящих свойств низма согласования DRA/сек) DRA Inbound Properties Filtered/Sec Количество ренликативных обновлений свойств, которые внесены в базу данных ранее (Отфильтровано входящих свойств DRA/сек) Общее количество свойств объектов, получаемых а DRA Inbound Properties Total/Sec (Всего входящих свойств DRA/сек) секунду от партнеров но входящей репликации (см. след, стр.) Служба каталогов Active Directory 326 ЧЛСТЬ Таблица 8-1. (продолжение) Описание Счетчик DRA Inbound Values (DNs Only)/Sec Количество получаемых в секунду от партнеров по входящей репликации значений свойств - состав | Входящие значения DRA ных имен объектов. Счетчик также учитывает ссыл (только ОМ)/сек] ки на другие объекты. Значения составных имен, например составы групп или списков распростране ния, требуют больше затрат на внесение в базу дан н ы х но сравнению с другими тинами значений. Это связано с тем, что объекты групп или списков рас пространения иногда содержат сотни и тысячи чле нов, и, как следствие, они гораздо больше простых объектов с одним или двумя атрибутами. Счетчик применяется для выяснения причин задержек при внесении коррективов в базу данных DRA Inbound Values Total/Sec Общее количество (в секунду) значений свойств объектов, полученных от партнеров по входящей (Всего входящих значений репликации. Входящие объекты обладают одним DRA/сек) или несколькими свойствами, у свойства может быть одно, несколько или ни одного значения. От сутствие у свойства значения указывает на удаление этого свойства DRA Outbound Bytes Compressed Сжатый размер (в байтах) исходящих сжатых байт (Between Sites, After Compression) репликации, то есть размер после сжатия от агентов /Sec [Исходящих сжатых байт DRA DSA в других сайтах (между сайтами, после сжатия)/сек] Исходный размер (в байтах) исходящих сжатых DRA Outbound Bytes Compressed (Between Sites, Before Compression) байт репликации, то есть размер после сжатия от /Sec [Исходящих сжатых байт DRA агентов DSA в других сайтах (между сайтами, до сжатия)/сек] DRA Outbound Bytes Not Compressed Количество исходящих байт репликации, которые не (Within Site)/'Scc [Исходящих нес- были сжаты, то есть полученных от агентов DSA в жатых байт DRA (внутри сайта)/сек] этом же сайте DRA Outbound Bytes Total/Sec Общее количество исходящих байт репликации.

(Всего исходящих байт DRA/сек) Равно сумме количества несжатых байт (никогда не сжимаемых) и количества сжатых байт (после сжатия) DRA Outbound Objects Filtered/Sec Количество объектов, полученных партнерами по репликации, но не нуждающихся в обновлениях (Отфильтровано исходящих объектов DRA/сек) DRA Outbound Objects/Sec Количество (в секунду) объектов, реплицируемых (Исходящих объектов DRA/сек) на партнеры по исходящей репликации DRA Outbound Properties/Sec Количество (в секунду) свойств, реплицируемых на (Исходящих свойств DRA/сек) партнеры по исходящей репликации. Счетчик ин формирует об объектах, возвращаемых сервсром источником, и применяется для выявления непола док при возвращении объектов ГЛАВА 8 Наблюдение за производительностью в Active Directory Таблица 8-1. (продолжение) Описание Счетчик DRA Outbound Values (DNs Only)/ Количество (в секунду) отправляемых партнерам по 5ес[Исходящие значения DRA исходящей репликации значений свойств Ч состав ныхимен объектов. Для внесения в базу данных зна (только DN)/ceKJ чения составных имен, например составы групп или списков распространения, требуется больше затрат по сравнению с другими типами значений. Это свя зано с тем, что объекты групп или списков распрост ранения иногда содержат сотни и тысячи членов, и, как следствие, они гораздо больше простых объектов с одним или двумя атрибутами DRA Outbound Values Total/Sec Общее количество (в секунду) значений свойств (Всего исходящих значений объектов, отправляемых партнерам по исходящей репликации DR А/сек) DRA Pending Replication Количество необработанных синхронизации катало Synchronizations (Ожидающих гов, расположенных в очереди данного сервера.

синхронизации репликации DRA) Счетчик позволяет определить объем отложенных репликативных данных, то есть информации, не вне сенной в базу данных Количество обновлений объектов, полученных в DRA Remaining Replication Updates текущем пакете обновления репликации каталога, но (Оставшихся в пакете входящих обновлений) еще не примененных на локальном сервере. Резкое снижение скорости применения объектов к базе дгн ных свидетельствует о нормальной работе, а посте пенное снижение скорости указывает на обработку сложного объекта. Счетчик позволяет оценить ско рость обработки сервером ренликативных данных и выявить слишком низкие значения этого показателя Количество запросов на синхронизацию, переданных DRA Sync Requests Made партнерам по репликации с момента последней (Запросов синхронизации DRA) перезагрузки DS Directory Reads/Sec (Операций Количество операций чтения в каталоге в секунду чтения в каталоге DS/сек) DS Directory Writes/Sec (Операций Количество операций записи в каталог в секунду записи в каталог DS/сек) Количество событий распространения дескриптор;

DS Security Descriptor Propagations безопасности, размещенных в очереди и ожидаю Events (Событий распространения дескриптора безопасности DS/сек) щих обработки DS Security Descriptor Suboperations Частота выполнения (в еекунду) подопераций рас пространения дескрипторов безопасности (Security /Sec (Подопераций дескриптора Descriptor Propagation). Одна операция распростра безопасности DS/сек) нения состоит из нескольких подопераций. Подопе рация примерно соответствует проверке одного объекта Текущее количество потоков, используемых службой DS Threads in Use каталогов (кроме потоков процесса самой службы (Используется потоков DS) каталогов). Счетчик показывает количество потоков, в данный момент обслуживающих клиентские АРЬ запросы. Позволяет оцепить эффективность добав ления дополнительных процессоров Сколько раз в секунду клиенты используют билет Kerberos Authentications/Sec (Про сеанса для данного контроллера домена для прохож верки подлинности Kerberos/сек) дения проверки подлинности на нем (см. след, стр.) 123ак. Служба каталогов Active Directory 328 ЧАСТЬ Таблица 8-1. (продолжение) Счетчик Описание Время (в миллисекундах), потребовавшееся на вы ШАР Bind Time (Время привязки LDAP) полнение последней успешной привязки LDAP LDAP Client Sessions (Сеансов Количество сеансов подключенных LDAP-клиентов LDAP-клиснтов) LDAP Searches/Sec Частота (в секунду), с которой LDAP-клиенты вы полняют операции поиска (Поисков LDAP в секунду) LDAP Successful Binds/Sec Число успешных привязок LDAP в секунду (Успешных привязок LDAP/сек) Количество (в секунду) операций проверки подлин NTLM Authentications (Проверок подлинности NTLM) ности по протоколу NTLM, выполняемых данным кот роллером домена Загрузка и выгрузка объекта NTDS вручную Иногда (очень редко) объект NTDS не загружается и недоступен в System Monitor.

В этом случае его следует загрузить вручную.

^ Загрузка объекта NTDS вручную 1. Перейдите в папку %SystemRoot%\System32.

2. Для загрузки информации о счетчике в реестр введите в командной строке:

lodctr.exe ntdsctrs.ini 3. Перезагрузите компьютер, чтобы счетчик приступил к сбору данных об Active Directory.

После выполнения этих действий служебная программа System Monitor пригодна для просмотра счетчиков для объекта NTDS.

^ Выгрузка объекта NTDS вручную 1. Перейдите в папку %SystemRoot%\System32.

2. Для выгрузки информации о счетчике из реестра введите в командной строке:

unLodctr.exe ntds Объект Database Объект Database (База данных) относится к Extensible Storage Engine (ESE) транзакционной СУБД, хранящей все объекты Active Directory. Этот объект про изводительности не устанавливается по умолчанию. Счетчики объекта Database применяются для выполнения тонкой настройки Active Directory. Некоторые счет чики позволяют выявить, требуется ли дополнительное дисковое пространство для хранения журналов или самой базы данных.

В настоящее время в Windows 2000 нет автоматизированного способа установки DLL-библиотеки Esentprf.dll, поэтому загрузить объект Database придется вручную.

Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) - делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства зашиты, призванные не допускать ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или разрушить ее. Не исключено, что по Наблюдение за производительностью в Active Directory ГЛАВА 8 следствия прямого редактирования реестра окажутся не такими, как Вы ожидали, и, возможно. Вам придется переустанавливать Windows 2000. Для настройки и кон фигурирования Windows 2000 рекомендуется использовать Control Panel (Паииль управления) или Microsoft Management Console (Консоль управления Microsoft), Перед изменением реестра советуем делать резервную копию. Подробнее о редак тировании параметров реестра Ч в справочной системе редактора реестра. Подроб нее о реестре - в техническом руководстве Technical Reference Microsoft Win dows 2000 Professional Resource Kit (файл Regentry.chm).

^ Загрузка объекта Database 1. Скопируйте DLL производительности (Escntprf.dll), расположенную в панке %SystemRoot%\System32, в любую другую папку (например, C:\Perf).

2. Запустите Regedt32.exe или Regedit.exe и проверьте наличие следующих разделов:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ESENT HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ESENT\Performance Если этих подразделов нет, создайте их. Подробнее о создании подразделов ре естра в справочной системе Microsoft Windows 2000 Server, 3. В подразделе Performance должны существовать перечисленные далее парамет ры. Если этих параметров нет, следует их создать, Х Имя параметра Ч Open;

тип данных REG_SZ;

значение ОрепРегог manceData.

Имя параметра Ч Collect;

тип данных - REG_SZ;

значение Х ColleetPertor manceData.

Х Имя параметра - Close;

тип данных - REC_SZ;

значение Ч ClosePerfor manceData, Х Имя параметра Library;

тип данных Ч REG_SZ;

значение Ч C:\perf\esentprf.dl (а точнее путь к местоположению, где Вы разместили копию esentprf.dll).

4. Перейдите в папку %5ysremRoof%\System32 или в другую папку, содержащую файлы Esentprf.ini и Esentprf.hxx, созданные в ходе компиляции Esentprf.dll.

5. Выполнение этого пункта не обязательно. Чтобы гарантировать отсутствие в реестре информации о предыдущем счетчике, введите в командной строке:

unlodctr.exe ESENT 6. Для загрузки информации о счетчике в реестр введите в командной строке:

Lodctr.exe E s e n t p r f. i n i 7. Для просмотра счетчиков для объекта Database перезапустите System Monitor, В таблице 8-2 перечислены счетчики объекта Database.

Таблица 8-2. Дополнительные счетчики Active Directory в объекте Database Счетчик Описание Cache % Hit Доля запросов к страницам, которые были выпо.7ше (Эффективность кэш-памяти) ны с использованием кэша базы данных без обраще ния к дисковому файлу. Если этот процент слиш ком мал, то, возможно, слишком мал размер кэша ба зы данных. Увеличить емкость кэша базы данных можно путем увеличения объема оперативной памяти (см. след, стр.) Служба каталогов Active Directory 330 ЧАСТЬ Таблица 8-2. (продолжение) Описание Счетчик Cache Page Fault Stalls/sec Количество страниц в секунду, которые не удается (Частота отказов кэша страниц) обслужить из-за отсутствия места в кэше. Если этот показатель большую часть времени не равен нулю, то, возможно, слишком мал порог очистки. Увели чить емкость кэша базы данных можно путем увели чения объема оперативной памяти Cache Page Faults/sec (Частота Количество страничных запросов, вынуждающих неудачных обращений к диспетчер кэша базы данных выделить место для кэшу страниц) новых страниц. Если эта величина слишком велика, размер кэш-памяти, вероятно, слишком мал. Увели чить емкость кэша базы данных можно посредством увеличения объема оперативной памяти Cache Size (Размер кэш-памяти) Размер кэш-памяти Ч это объем памяти, необходи мый диспетчеру кэша базы данных для хранения часто используемой информации в целях сокраще ния числа файловых операций. Размера кэша базы данных иногда не хватает для обеспечения опти мальной производительности, если в системе слиш ком мало оперативной памяти. Эту проблему реша ют расширением объема оперативной памяти. Если памяти в системе достаточно, а размер кэш-памяти не превышает определенного предела, следователь но, размер кэша искусственно занижен. Увеличив это значение, Вы повысите производительность File Bytes Read/sec (Байтовая Скорость (байты в секунду), с которой байты считы скорость записи файлов) ваются из файлов базы данных в кэш базы данных.

Слишком большое значение этой величины свиде тельствует о недостаточном размере кэш-памяти, Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти File Bytes Written/sec (Байтовая Скорость (байт в секунду), с которой байты записы скорость записи файлов) ваются в файл(ы) базы данных из кэша базы дан ных. Слишком большое значение этой величины обычно свидетельствует о недостаточном размере кэша базы данных. Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти File Operations Pending (Количество Количество операций чтения и записи в файлы базы незавершенных файловых операций) данных, инициированных диспетчером кэша базы данных и в данный момент выполняемых операци онной системой. Большое количество незавершен ных операций повышает пропускную способность системы, но, с другой стороны, увеличивает время выполнения отдельных операций. Обычно большое знамение указывает на лузкое место, которым явля ются файловые операции с файлами базы данных File Operations/sec Количество файловых операций чтения и записи, (Частота файловых операций) инициируемых диспетчером кэша базы данных, в секунду. Слишком большое значение этой величины обычно свидетельствует о недостаточном размере кэша базы данных. Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти Наблюдение за производительностью в Active Directory ГЛАВА Таблица 8-2. (продолжение) Счетчик Описание Log Record Stalls/sec Количество записей журнала в секунду, которые не (Частота задержанных записей) удается добавить в буферы из-за их переполнения Когда большую часть времени значение этого пока зателя отлично от нуля, значит, маловат буфер журнала Log Threads Waiting (Число Количество потоков, ожидающих записи своих дан потоков, ожидающих журнал) ных в журнал для завершения обновления базы данных. Если эта величина слитком велика, жури ал может стать причиной снижения производительности Log Writes/sec Количество операций записи данных в секунду из (Частота записи в журнал) буферов в файл(ы) журнала. Если это число при ближается к максимальной скорости записи устрой ства, на котором хранятся файлы журналов, это спо собно стать причиной снижения производительности Table Open Cache % Hit (Процент Доля таблиц баз данных, открытых с использовани таблиц, открытых в кэш-памяти) ем кэширования. Слишком низкое значение этого показателя обычно свидетельствует о иедостаточн ом размере кэш-памяти. Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти Table Open Cache Hits/sec (Частота Количество таблиц баз данных в секунду, открывания таблиц в кэш-памяти) открываемых с использованием кэширования.

Слишком низкое значение этого показателя обычно свидетельствует о недостаточном размере кэш-памя ти. Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти Table Open Cache Misses/sec Количество таблиц баз данных в секунду, открываемых без кэширования. Слишком высоко (Частота открывания без кэширования) значение этого показателя обычно свидетельствует о недостаточном размере кэш-памяти. Чтобы увеличить емкость кэша базы данных, надо расши рить объем оперативной памяти Table Opens/sec Общее количество таблиц базы данных, открываемых в секунду (Частота открывания таблиц) Примечание Счетчики снабжены подробными описаниями (в том числе указания ми о слишком высоком или слишком низком значении показателей), которые помогают правильно сконфигурировать систему. Например, если после изменений в Active Directory частота ошибок страниц кэша возросла, понятно, что Вы посту пили неверно и следует восстановить исходные значения. Следует иметь в виду, что невозможно изменять параметры и таким образом корректировать поведение счет чиков в System Monitor. Эти параметры конфигурируются другими способами, на пример через реестр или загрузочные INF-файлы.

Выбор счетчиков производительности в System Monitor Вы вправе выбирать счетчики производительности, которые требуется наблюдать в System Monitor. Существует три варианта графического отображения данных счетчиков: в виде диаграммы, гистограммы или отчета. Выбрав счетчик и щелкнув кнопку Explain (Объяснение), Вы получите возможность просмотреть его описа ние и подсказки, как улучшить работу системы.

332 ЧАСТЬ 1 Служба каталогов Active Directory ^ Выбор наблюдаемого счетчика производительности Active Directory 1. В меню Start (Пуск) последовательно раскройте подменю Programs (Програм мы) и Administrative Tools (Администрирование) и щелкните Performance (Си стемный монитор).

Откроется оснастка Performance (Производительность) с графической диаграм мой в области сведений.

2. Щелкните кнопку добавления счетчика (+), чтобы открыть окно Add Counters (Добавить счетчики).

3. Выберите имя компьютера, за работой которого Вы хотите наблюдать Ч локаль ный компьютер или другой контроллер домена.

4. Выберите объект производительности NTDS или Database (База данных).

5. Выберите счетчик производительности, который требуется добавить, и щелкни те кнопку Add (Добавить). Чтобы просмотреть подробное описание счетчика щелкните кнопку Explain (Объяснение).

G. Выбрав все требуемые счетчики, щелкните кнопку Close (Закрыть). Выбранные счетчики отобразятся в нижней части области сведений. System Monitor при сваивает каждому счетчику индивидуальный цвет для графического отображе ния данных.

Примечание При создании консоли системного монитора для экспорта в окне до бавления счетчика обязательно установите переключатель в положение Use local computer counters (Использовать локальные счетчики), в противном случае экс портированная консоль System Monitor будет привязываться к счетчикам компью тера, выбранного в списке, независимо от того, где установлена консоль. Подроб нее о создании консолей - на Web-странице Web Resources по адресу vvindows.microsoft.com/windows2000/reskit/webrcsources. ссылка Microsoft Platform SDK.

Дополнительные материалы Подробнее о Windows 2000 Platform SDK Ч на Web-странице Web Resources no адресу по адресу ссылка Microsoft Platform SDK.

ГЛАВА Архивирование и восстановление данных в Active Directory Архивирование и восстановление данных крайне важно для нормальной работы компьютеров. В этой главе обсуждаются процедуры архивирования и восстановле ния данных только применительно к Active Directory Ч службе каталогов в соста ве Microsoft Windows 2000.

В этой главе Основные сведения Архивирование Active Directory Восстановление Active Directory См. также Х Подробнее об архивировании и восстановлении данных Ч в книге Сопровожде ние сервера. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Основные сведения В УТОЙ главе рассмотрены процедуры архивирования Active Directory с использо ванием служебных программ в составе Microsoft Windows 2000 Server Ч как обла дающих графическим пользовательским интерфейсом, так и выполняемых в коман дной строке. Для архивирования и восстановления Active Directory (впрочем, как и других данных и служб) применяется служебная программа с графическим ин терфейсом Windows 2000 Backup (Средства архивации и восстановления Win dows 2000). Служебная программа командной строки Ntdsutil используется совме стно с Windows 2000 Backup и позволяет более топко управлять восстановлением объектов в Active Directory, Служба каталогов Active Directory 334 ЧАСТЬ Архивирование Active Directory Программа Windows 2000 Backup обладает множеством функций, облегчающих операции архивирования Active Directory и позволяющих не прерывать соедине ние с сетью или работу контроллера домена, данные которого требуется заархиви ровать. В частности Windows 2000 Backup позволяет архивировать:

Х Active Directory на контроллере домена в рабочем состоянии в сети (online);

Х Active Directory и другие системные файлы и файлы данных;

Х Active Directory посредством командного файла;

Х Active Directory на любой съемный носитель, сетевой диск или в файл.

Хотя Windows 2000 Backup предоставляет несколько способов архивирования, Active Directory поддерживает только один из них Ч обычный архив (normal bac kup). В этом случае создается резервная копия всей системы работающего контрол лера домена. Процедура архивирования отменяет атрибут Archive (Архивный) за архивированных файлов и усекает файлы журналов базы данных. При этом для восстановления системы достаточно выполнить одну процедуру восстановления с архивного носителя. Эта процедура отличается от используемой в случае добавоч ного архива (incremental backup). При этом для полного восстановления системы необходимы как первый обычный архив, так и все добавочные архивы.

При архивировании Active Directory средствами Windows 2000 Backup программа также архивирует все системные компоненты и распределенные службы, от кото рых зависит работа Active Directory. Эти данные вместе с Active Directory называ ют данными состояния системы (System State data).

На контроллере домена Windows 2000 к данным состояния системы относятся за грузочные системные файлы, реестр, база данных регистрации компонентов СОМ+, служба репликации файлов (каталог SYSVOL), база данных служб сертификации (если они установлена), служба DNS (если она установлена), служба кластеров (если она установлена) и Active Directory. Таким образом, при использовании Windows 2000 Backup для создания резервной копии Active Directory архивирует ся не только Active Directory, но и многие вспомогательные компоненты. Рекомен дуется планировать архивирование Active Directory и выполнять его периодически.

Восстановление Active Directory Существует два способа восстановления данных на контроллере домена. Первый зак лючается в переустановке Windows 2000, конфигурировании контроллера домена, после чего база данных контроллера домена заполняется самыми свежими данны ми посредством стандартного механизма репликации. Второй способ предусматри вает применение программы Windows 2000 Backup для восстановления данных из архива без переустановки ОС и настройки контроллера домена. В этом методе суще ствует два основных способа восстановления данных с архивного носителя: прину дительный (authoritative) и непринудительный (nonauthoritative).

При непринудительном восстановлении распределенные службы контроллера до мена восстанавливаются из архива, а затем восстановленные данные обновляются путем репликации, то есть восстановленные разделы каталога получают самые по следние обновления от партнеров по репликации. Непринудительное восстановле ние обычно выполняют после неустранимого сбоя контроллера домена из-за про блем с аппаратурой или программным обеспечением.

Архивирование и восстановление данных в Active Directory ГЛАВА При принудительном восстановлении целые каталоги, поддеревья или отдельные объекты можно перезаписывать поверх остальных экземпляров этих объектов на контроллерах домена. В этом случае при выполнении обычной репликации данные восстановленного контроллера домена обладают более высоким приоритетом по от ношению к другим партнерам репликации. Принудительное восстановление обыч но выполняют для приведения системы в предыдущее состояние, например до оши бочного удаления некоторых объектов Active Directory. Служебная программа ко мандной строки Ntdsutil позволяет принудительно восстанавливать весь каталог, поддерево или отдельные объекты дерева, Разрешения и права пользователей Для архивирования или непринудительного восстановления Active Directory необ ходимо обладать определенными разрешениями и правами пользователей.

Х Для архивирования данных состояния системы необходимо войти в систему под учетной записью члена группы Backup Operators (Операторы архива) либо Administrators (Администраторы).

Х Выполнять восстановление данных состояния системы разрешается только чле нам локальной группы Administrators (Администраторы).

Все перечисленные группы Ч это встроенные группы пользователей Windows 2000.

для которых полностью сконфигурированы необходимые разрешения и права.

Поддержка средств архивирования сторонних поставщиков Программа Windows 2000 Backup поддерживает архивы на лептах, созданные про граммами архивирования сторонних производителей. Это чрезвычайно полезно, когда программное обеспечение этих производителей по каким-либо причинам не доступно, например, когда требуемая программа архивирования еще не установле на после полного восстановления системы. Кроме того, служебные программы сто ронних производителей позволяют применять удаленные ленточные накопители, что удобно при архивировании данных целого предприятия. Ленты, поддерживае мые Windows 2000 Backup, записываются в несжатом виде в формате MTF (Mic rosoft Таре Format).

Подробнее о конкретных процедурах архивирования и восстановления - в спра вочной системе Microsoft Windows 2000 Server.

Архивирование Active Directory Этот раздел посвящен архивированию Active Directory средствами стандартной программы с графическим интерфейсом Windows 2000 Backup (Средства архива ции и восстановления Windows 2000). Для запуска этой программы введите в ко мандной строке Ntbackup. Windows 2000 Backup применяется для архивирования и восстановления Active Directory и других служб и позволяет восстановить дан ные или системные компоненты в случае непредвиденного или случайного вывода их строя оборудования или программного обеспечения. В частности, Windows Backup поддерживает архивирование и восстановление:

Х данных всего сервера;

Х выбранных файлов;

Х данных состояния системы.

Служба каталогов Active Directory 336 ЧАСТЬ Как мы уже говорили, к данным состояния системы относится Active Directory и все другие системные компоненты и службы, от которых зависит работа этой служ бы каталогов. На контроллере домена под управлением Windows 2000 к данным состояния системы относятся загрузочные системные файлы, системный реестр, база данных СОМ-ь, служба репликации файлов (каталог SYSVOL), база данных служб сертификации (если она установлена), служба DNS (если она установлена), служба кластеров (если она установлена) и Active Directory. Данные DNS это информация интегрированных с Active Directory зон DNS. Данные службы класте ров содержат все контрольные точки реестра и журнал кворума, содержащий са мую последнюю информацию базы данных кластера. К Active Directory относятся следующие файлы:

Х Ntds.dit - база данных Active Directory;

Х Edb.chk Ч файл контрольной точки;

Х EdbMog Ч журналы Active Directory (размер каждого -- 10 Мб);

Х Resl.log и Res2.log Ч файлы резервного дискового пространства для журналов, Примечание По умолчанию файл базы данных Active Directory расположен в ката логе Winnt\Ntds. Впрочем, не исключено, что при назначении сервера контролле ром домена был указан другой путь.

В программе Windows 2000 Backup имеется мастер Backup Wizard (Мастер архива ции и восстановления), который применяется для управления процессом архиви рования. Тем не менее Вы вправе отказаться от его услуг и воспользоваться для выполнения архивирования графическим интерфейсом Windows 2000 Backup, ^- Архивирование данных состояния системы средствами мастера Backup Wizard (Мастер архивации и восстановления) 1. В меню Start (Пуск) выберите команду Run (Выполнить) и введите в команд ной строке команду Ntbackup.

2. В меню Tools (Сервис) выберите команду Backup Wizard (Мастер архивации) 3. Щелкните кнопку Next (Далее). На следующей странице мастера установите переключатель в положение Only back up the System State data (Архивировать только данные состояния системы) и щелкните кнопку Next.

4. Укажите путь, где требуется сохранить данные состояния системы, и щелкните Next.

5. Закончив настройку параметров, щелкните кнопку Finish (Готово).

Щелкнув кнопку Advanced (Дополнительно) па последней странице мастера Back up Wizard, Вы сможете задать дополнительные параметры архивирования, в том числе проверку данных, аппаратное сжатие, метки носителей, определите, следует ли добавлять новое задание архивирования к предыдущему (или перезаписать но ситель), а также следует ли запланировать это задание для выполнения по распи санию. Чрезвычайно полезна проверка данных. В этом случае программа Win dows 2000 Backup проверяет, отличаются ли архивируемые файлы контроллера до мена от копий в создаваемом архиве. Результат проверки в дальнейшем доступен для просмотра в оюге консоли Event V i e w e r (Просмотр событий). Если файлы от личаются, возвращается событие ошибки (Error), в противном случае Ч информа Архивирование и восстановление данных в Active Directory ГЛАВА ционное сообщение (Information). Подробнее об ошибках при архивировании - на Web-странице Web Resources по адресу resk.it/webresources, ссылка Microsoft Platform SDK. Подробнее об использовании программы Windows 2000 Backup, в том числе о параметрах архивирования Ч в справочной системе Microsoft Windows 2000 Server, Внимание! Для полного восстановления после сбоя понадобятся архивы всех дис ков и данных состояния системы. Чтобы создать такие архивы, запустите програм му Windows 2000 Backup и на странице What to Back Up (Что следует архивиро вать) мастера Backup Wizard (Мастер архивации и восстановления) установите пе реключатель в положение Back up everything on my computer (Архивировать все данные на этом компьютере).

^ Архивирование данных состояния системы вручную 1. В меню Start (Пуск) выберите команду Run (Выполнить) и введите в команд ной строке команду Ntbackup.

2. На вкладке Backup (Архивация) в области Click to select the check box for any drive, folder, or file that you want to back up (Установите флажки для всех объектов, которые Вы хотите заархивировать) отметьте флажком System State (Состояние системы). Данные состояния системы расположены в папке My Computer (Мой компьютер), 3. В поле со списком Backup destination (Местопазначение архива) выберите File (Файл) или другой тип носителя, где собираетесь сохранить архив.

4. В окне Backup media or file name (Носитель архива или имя файла) укажите имя файла или носителя, где следует сохранить архив.

5. Щелкните кнопку Start Backup (Архивировать). В открывшемся окне измени те при необходимости информацию о задании архивирования и щелкните Start Backup (Запуск).

При архивировании данных состояния системы и других файлов средствами слу жебной программы Windows 2000 Backup следует иметь в виду, что:

Х для архивирования данных состояния системы необходимо войти в систему под учетной записью члена группы Administrators (Администраторы) или Backup Operators (Операторы архива);

Х данные состояния системы не содержат Active Directory, если сервер, на кото ром они архивируются, не является контроллером домена;

Х в ходе архивирования разрешается архивировать как лить данные состояния системы, так и эти данные совместно с другими файлами;

Х архивировать данные состояния системы разрешается на диск, ленту или общий сетевой ресурс, даже когда контроллер домена находится в интерактивном ре жиме (online);

Х при архивировании на ленту, вероятно, придется воспользоваться оснасткой Removable Storage (Съемные ЗУ), чтобы добавить накопитель в пул носителей Backup. Накопитель, не внесенный в этот пул недоступен для архивирования.

ЧАСТЬ 1 Служба каталогов Active Directory Внимание! Так как Windows 2000 Backup поддерживает только локальное архиви рование Active Directory, для сохранения всего каталога Active Directory необходи мо выполнить архивирование на всех контроллерах домена предприятия. (Active Directory нельзя заархивировать на удаленном компьютере.) Это ограничение про граммы архивирования Windows 2000 Backup, поставляемой с Windows 2000. Мно гие программы архивирования сторонних производителей поддерживают удален ное архивирование и восстановление Active Directory.

Подробнее об устранении неполадок архивирования и об использовании консоли Event Viewer (Просмотр событий) Ч в главе 10 Выявление и устранение непола док, а также восстановление Active Directory.

Восстановление Active Directory Существует два способа восстановления Active Directory. Первый Ч переустановка операционной системы и заполнение базы данных Active Directory в ходе обычной репликации, а второй Ч восстановление из архива. В первом случае Active Directory восстанавливается до текущего состояния своих партнеров по репликации, а во вто ром Ч к предыдущему состоянию на момент создания архива.

Восстановление Active Directory путем переустановки и репликации Один из способов восстановления контроллера домена заключается в переустанов ке операционной системы Windows 2000 Server на потерпевшем сбой'компьютере и назначении его контроллером домена. Со временем самые последние обновления автоматически реплицируются на него службой Active Directory. Перед выполне нием такой операции средствами оснастки Active Directory Sites and Services (Active Directory Ч сайты и службы) одного из оставшихся контроллеров домена удалите все ссылки на старый контроллер домена.

Ярлык оснастки Active Directory Sites and Services расположен в меню Start\Programs\Admimstrative Tools (Пуг,к\Программы\Администрирование).

Затем следует переустановить Windows 2000 Server на компьютере и повысить его роль до контроллера домена средствами мастера Active Directory Installation wizard (Мастер установки Active Directory). В процессе репликации на этот контроллер домена скопируются обновленные данные Active- Directory и каталог SYSVOL.

Подробнее о мастере установки Active Directory Ч в справочной системе Microsoft Windows 2000. Средства поддержки Active Directory расположены в папке Sup port\Tools на установочном компакт-диске Microsoft Windows 2000 Server.

Восстановление Active Directory из архива Один из методов восстановления информации Active Directory на контроллере до мена заключается в восстановлении данных состояния системы из архива. В этом случае кроме службы Active Directory восстанавливаются все данные состояния системы, от которых зависит ее работа. Существует два основных способа восста новления Active Directory из архива: принудительный и непринудительный.

При непринудительном восстановлении после развертывания архива на контрол лере домена данные службы каталогов обновляются до текущего состояния в ходе ГЛАВА 9 Архивирование и восстановление данных в Active Directory обычной рс-пликации. Например, непринудительное восстановление выполняется при поломке основного жесткого диска на контроллере домена. В этом случае сле дует отформатировать новый диск, воссоздать на нем структуру разделов, существо вавшую на отказавшем диске, переустановить Windows 2000 Server в основной раз дел, восстановить все файлы данных, которые существовали на компьютере, и за тем восстановить распределенные службы вместе со службой каталогов Active Directory. Программа Windows 2000 Backup позволяет выполнять только неприну дительное восстановление распределенных служб (в том числе Active Directory), при котором все реплицированные данные на восстановленном компьютере авто матически обновляются путем репликации с другими контроллерами домена.

При принудительном восстановлении Active Directory из архива весь каталог, под дерево или отдельные объекты разрешается отметить для принудительного восста новления. При этом они получают более высокий приоритет (больший порядковый номер обновления) по отношению к любым экземплярам этих объектов на партне рах репликации, поэтому во время обычной репликации данные восстановленного контроллера заменяют собой более новые данные па партнерах. Принудительное восстановление обычно используется для приведения системы к предыдущему со стоянию, например, после ошибочного удаления объектов. Принудительное восста новление выполняется средствами программы командной строки Ntdsutil. При этом можно выбрать весь каталог, поддерево или отдельные объекты.

При восстановлении Active Directory из архива следует иметь в виду, что:

Х при замене отказавшего компьютера или контроллера домена другим или при установке других сетевых адаптеров, вероятно, придется вручную изменить па раметры сети;

Х при замене отказавшего компьютера или контроллера домена количество и раз мер томов диска должен быть такой же или больше, чем у предыдущей систе мы. При замене жесткого диска сначала установите Windows 2000 Server (на тот же диск, что и ранее), затем заново создайте разделы и тома (той же структуры и размера) и лишь затем восстанавливайте информацию Active Directory.

Непринудительное восстановление Active Directory средствами Windows 2000 Backup Служебная программа Windows 2000 Backup выполняет только непринудительное восстановление. После подключения восстановленного контроллера домена в сеть он определяет, что данные не обновлялись с момента архивирования, и начинает получать от партнеров и применять обновления по стандартному механизму реп ликации. Таким образом, все обновления каталогов (в том числе метаданные), про изошедшие после создания архива, попадают на контроллер в ходе обычной репли кации. Подробнее о реконструкции метаданных Ч в главе 6 Репликация Active Directory.

Восстановление Active Directory средствами Windows 2000 Backup Восстановить контроллер домена возможно только при отключенной службе Active Directory. Для этого следует загрузить контроллер домена в режиме Directory Services Restore Mode (Восстановление службы каталогов), Служба каталогов Active Directory 340 ЧАСТЬ ^ Загрузка контроллера домена в режиме Directory Services Restore Mode (Восстановление службы каталогов) 1. Перезагрузите контроллер домена.

2. В меню загрузки нажмите F8, чтобы перейти в меню Windows 2000 Advanced Options Menu (Меню дополнительных вариантов загрузки Windows 2000), 3. При помощи клавиш со стрелками выберите вариант Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter.

Примечание При перезагрузке компьютера в режиме Directory Services Restore Mode в систему следует войти под учетной записью Administrator (Администратор), воспользовавшись именем и паролем, которые хранятся в локальной базе данных администратора SAM. Применение имени и пароля администратора Active Direc tor}' невозможно, так как Active Directory не работает и не в состоянии выполнить проверку подлинности. В этом случае доступ к файлам Active Directory управляет ся администратором SAM.

Далее следует перейти к восстановлению данных состояния системы посредством мастера Restore Wizard (Мастер восстановления) или средствами графического интерфейса программы Windows 2000 Backup. Процедура восстановления с помо щью мастера Restore Wizard описана далее. Подробнее о восстановлении данных состояния системы вручную средствами программы Windows 2000 Backup -- в спра вочной системе Microsoft Windows 2000 Server.

^ Восстановление состояния системы средствами мастера Restore Wizard (Мастер восстановления) 1. В меню Start (Пуск) выберите команду Run (Выполнить) и введите Ntbackup.

2. В меню Tools (Сервис) выберите команду Restore Wizard (Мастер восстанов ления).

3. Щелкните кнопку Next (Далее). Выберите архив, из которого следует восста новить данные, отметьте флажком System State (Состояние системы) и затем щелкните кнопку Next.

4. Щелкните кнопку Finish (Готово).

По умолчанию данные состояния системы восстанавливаются в корневую папку системы и замещают существующие данные контроллера домена. Задав дополни тельные параметры восстановления, Вы сможете изменить такой режим восстанов ления некоторых компонентов данных состояния системы, однако это не примени мо к Active Directory. Для изменения стандартного местоположения восстанавли ваемых файлов щелкните кнопку Advanced (Дополнительно) на последней стра нице мастера и укажите, куда следует восстановить данные состояния системы. При выборе альтернативного расположения программа восстановить только загрузочные системные файлы, файлы реестра, файлы каталога SYSVOL и информацию базы данных службы кластеров. Базы данных Active Directory и СОМ+ и файлы служб сертификации Windows 2000 Backup восстанавливать не будет.

Внимэние! При восстановлении данных состояния системы местоположение корне вой папки системы должно совпадать с ее положением на момент архивирования.

Архивирование и восстановление данных в Active Directory ГЛАВА Нельзя восстановить архивный образ системы более старой, чем время жизни захоро ненных объектов для данного предприятия (количество дней, на протяжении которого объект существует в каталоге Active Director}' в виде захороненного до его уничтоже ния механизмом сбора мусора). Атрибут tombstoneLifeTime задается на объекте =< ;

cn=Directory Services,cn=WindovvsNT,cn=Services,cn=Corifiguration,dc' ^ M>?_clo,weHrt>, и его значение по умолчанию Ч 60 дней, хотя Вы вправе его изменить. Подробнее о настройке времени жизни захороненных объектов Ч в главе 2 Хранение данных в Active Directory. Для установки устаревшего архива потребуется переустановить опе рационную систему Windows 2000 Server. Подробнее об атрибуте tombstoneLifeTimc Ч в главе 2 Хранение данных в Active Directory.

Если контроллер домена восстановлен ш архива, старшего, чем время жизни захо роненных объектов, он может содержать удаленные объекты. Но захороненные объекты удаляются из реплики, поэтому событие удаления не реплицируется на восстановленный контроллер домена. Вот почему Windows 2000 Backup не позво ляет восстанавливать данные из устаревших архивов.

Подробнее о конкретных процедурах восстановления из архива средствами Backup в справочной системе Microsoft Windows 2000 Server, Примечание Архив, созданный на общем сетевом ресурсе на томе KITS, рекомен дуется восстанавливать па том диска с файловой системой NTFS Windows 2000, иначе некоторые данные или свойства могут потеряться. Например, при восстанов лении данных, из архива, созданного на томе FAT или версии NTFS, используемой в Microsoft Windows NT 4.0, теряются разрешения, параметры шифрованной фай ловой системы (Encrypting File System, EFS), информация о дисковых квотах, ин формация о подключенных дисках и о внешних хранилищах.

При восстановлении Active Directory программа Windows 2000 Backup восстанав ливает базу данных и параметры реестра, поэтому также восстанавливается конфи гурация протокола IP, DNS, файлы базы данных службы сертификации и служба репликации файлов (File Replication Service, FRS). После восстановления:

Х служба репликации файлов переустановлена и готова к репликации данных с партнеров по репликации FRS;

Х база данных Active Directory сверена и приведена в соответствие с архивной копией.

Далее сервер перегружается в обычном режиме работы и выполняет следующие действия:

проверяет файлы базы данных Active Directory на непротиворечивость и нов'1 ор Х но индексирует их;

Х реплицирует данные FRS с партнеров по репликации (подробнее о FRS в гла ве 18 книги Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская Редакция, 2001);

Х восстанавливает базу данных служб сертификации (подробнее о службах сер тификации - в главе 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000).

Взаимозависимости распределенных служб Служба Active Directory тесно связана с другими распределенными службами, та кими, как службы сертификации, FRS, DFS, реестр и т. п. Но этой причине восста ЧАСТЬ 1 Служба каталогов Active Directory новление Active Directory это не простая операция. В частности, Active Directory использует свои политики для привязки политик к доменам и организационным подразделениям. Несовпадение режимов восстановления всех зависимых служб или архивов, из которых они восстанавливаются, способно вызвать несогласованность в системе.

Примечание При архивировании отдельного файлового сервера, не реплицируемо го в пределах леса, таких зависимостей не возникает.

Последствия непринудительного восстановления Программа Windows 2000 Backup восстанавливает контроллер домена в неприну дительном режиме. Это означает, что при репликации между восстановленным кон троллером домена и его партнерами восстановленные разделы каталогов обновля ются текущими данными домена.

Таким образом, при восстановлении контроллера домена из архива все обновления каталогов, произошедшие после архивирования, применяются в ходе обычной реп ликации. Кроме того, обновляются метаданные репликации. Подробнее о восста новлении метаданных репликации Ч в главе 6 Репликация Active Directory.

Когда разделы каталога восстанавливаются из архива средствами Windows Backup, контроллер домена может безвозвратно потерять информацию об обнов лениях каталогов, произошедших со времени создания архива и выполненных на этом контроллере. Проиллюстрируем это утверждение. Допустим, архив создается в день 1. В день 2 на данном контроллере Вы добавляете какие-то новые объекты или выполняете изменения в Active Directory, но сведения об этих обновлениях не реплицируются на остальные контроллеры домена по причине неполадок сети. А в день 3 происходит невосстановимый сбои (не связанный с изменениями, выполнен ными в день 2) и единственный выход -- восстановить контроллер домена из архи ва. В этом случае новые объекты или изменения, произведенные на контроллере домена после архивирования, потеряны безвозвратно, так как они не реплицирова лись на другие контроллеры, и их невозможно автоматически воссоздать на вос становленном контроллере.

Если на контроллере домена выполнить некоторые обновления (например, создать или изменить объекты) до того, как он получит сведения об обновлении этих объек тов от партнеров по репликации, возникнет одна из двух ситуаций:

Х контроллер домена решит, что обладает самыми последними собственными об новлениями (то есть выполненными им самим). В этом случае он никогда не получит оставшиеся обновления, произошедшие на нем после архивирования и ранее реплицированные на другие контроллеры;

Х контроллер домена решит, что не обладает самыми последними собственными обновлениями. В этом случае все произведенные им ранее (до архивирования) обновления будут обратно реплицированы на него.

Проблемы возникают и когда контроллер домена попытается определить, какой из порядковых, номеров обновления (update sequence number, USN) принять за последний.

Если он начнет использовать имеющийся USN, возможны серьезные проблемы реп ликации из-за того, что у восстановленного контроллера домена нет полной инфор мации о состоянии сети: он знает только о самом себе и своих текущих источни ках репликации.

ГЛАВА 9 Архивирование и восстановление данных в Active Directory Решение заключается в создании нового GUID-идентификатора для данного кон троллера домена. Это выполняется автоматически в ходе восстановления. Восста новленный контроллер домена получает новый GUID и осведомлен о номере USN своих изменений по отношению к его состоянию на момент создания последнего архива. Контроллер домена сохраняет эту информацию о своем состоянии, чтобы затем партнеры по репликации не отправляли ему изменения, произошедшие ло кально до архивирования.

Восстановленный контроллер домена получает в ходе обычной репликации изме нения, произошедшие на нем после архивирования (и до восстановления), а также изменения, внесенные в каталог на других контроллерах домена. Последние анало гичным образом получают изменения, выполненные восстановленным контролле ром домена, как если бы это была обычная новая реплика.

Подробнее о репликации Ч в главе 6 Репликация Active Directory*.

Проверка выполнения непринудительного восстановления Убедитесь в успешном завершении процесса восстановления, проверив работу Active Directory, служб сертификации и репликации файлов. Базовая проверка Active Directory заключается в просмотре списков пользователей, групп и других объектов, существовавших до архивирования. Последовательность более тщатель ной проверки описана далее.

Внимание! Эту процедуру разрешается выполнять только сразу после восстановле ния контроллера домена и до его запуска в нормальном режиме и подключения к сети.

^ Расширенная проверка Active Directory после восстановления средствами Windows 2000 Backup 1. Перезагрузите компьютер в режиме Directory Services Restore Mode (Восста новление службы каталогов). Для этого в меню загрузки нажмите F8, чтобы пе рейти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000) и выберите режим загрузки Directory Services Restore Mode.

2. Войдите в систему под учетной локальной записью Adminstrator (Администра тор).

3. Проверьте корректность восстановления Active Directory из архива. Для этого следует проверить определенный параметр реестра. В командной строке введи те команду regedit или regedt32.

4. В разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ NTDS найдите параметр RestorelnProgress, Этот параметр автоматически создается программой Windows 2000 Backup пос ле успешного восстановления и заставляет Active Directory выполнить провер ку согласованности и переиндексировать файлы базы данных при перезагрузке.

По окончании этого процесса RestorelnProgress автоматически удаляется. Не добавляйте, не удаляйте и не изменяйте параметр RestorelnProgress I Служба каталогов Active Directory 344 ЧАСТЬ Примечание Восстановленная из архива база данных имеет неверный формат.

Программа Windows 2000 Backup добавляет параметр RestorelnProgress в под раздел NTDS, чтобы Active Directory привела базу данных в состояние, пригод ное для использования. Active Directory считывает эту запись во время инициа лизации системы и затем удаляет ее.

5. Закройте редактор реестра и запустите программу Ntdsutil. Введите команду Info для перехода в меню Information.

Files для перехода в меню Files, а затем Если файлы базы данных Active Directory успешно восстановлены, служебная программа Ntdsutil отобразит соответствующее сообщение. Подробнее о служеб ной программе Ntdsutil Ч на Web-странице Web Resources no адресу wiudows.microsoft.com/windows2000/reskit/webrcsources, ссылка Microsoft Plat form SDK, 6. Перезагрузите контроллер домена в обычном режиме.

После перезагрузки компьютера в обычном режиме Active Directory автоматичес ки обнаруживает выполнение восстановления, проверяет целостность и повторно индексирует базу данных. Просмотрите каталог и убедитесь, что все объекты, су ществовавшие в каталоге до архивирования, восстановлены.

Перед изменением реестра советуем делать резервную копию. Подробнее о редак тировании параметров реестра Ч в справочной системе редактора реестра. Подроб нее о реестре Ч в техническом руководстве Technical Reference Microsoft Win dows 2000 Professional Resource Kit (файл Regentrychm).

Восстановление Active Directory на компьютере с конфигурацией, отличной от исходной Для восстановления Active Directory на другом компьютере, на нем должно быть такое же количество жестких дисков, как и на исходном. Кроме того, если на но вом контроллере домена установлен другой видеоадаптер или несколько сетевых адаптеров, удалите их из системы перед восстановлением данных. После перезаг рузки компьютера механизм Plug and Play скорректирует конфигурацию.

Принудительное восстановление Принудительное восстановление выполняется после непринудительного восстанов ления Active Directory из архива, и в его процессе весь каталог, поддерево или от дельные объекты отмечаются для принудительного восстановления в лесе. Таким образом, в условиях обычной репликации восстановленный контроллер домена ста новится полномочным (authoritative) по отношению к партнерам по репликации.

Даже если принудительно восстановленный набор реплик старше текущих реплик, все равно реплицироваться на остальные контроллеры домена будет именно он, Архивирование и восстановление данных в Active Directory ГЛАВА 9 Принудительное восстановление выполняется после непринудительного восстанов ления. Далее средствами служебной программы Ntdsutil отмечаются объекты для принудительного восстановления и последующей репликации их на другие кон троллеры доменов и перезаписи существующих копий этих объектов во всем лесе.

Внимание! Для принудительного восстановления разрешается помечать только объекты разделов домена или конфигурации. Схему восстанавливать принудитель но запрещено, так как это способно поставить под угрозу целостность данных. На пример, если схема изменена путем создания объекта нового или модифицирован ного класса>

Принудительное восстановление часто используется в случае ошибочного удаления объектов из Active Directory и репликации сведений об этом удалении на другие контроллеры доменов. Для восстановления таких объектов Active Directory npin y дительно восстанавливается из архива, созданного до их удаления. После восста новления контроллера домена, по до его перезагрузки ранее удаленные объекты помечаются для принудительного восстановления. Далее после приведения кон троллера домена в рабочее состояние такие объекты реплицируются на другие кон троллеры домена в ходе обычной репликации. Удаленные (а точнее, захороненные) объекты не реплицируются, так как порядковый номер обновления у принудитель но восстановленных объектов выше, чем у удаленных объектов.

Следует заметить, что принудительное восстановление не влияет на объекты, со зданные после архивирования. При наличии в домене хотя бы одного другого кон троллера (кроме восстанавливаемого) после принудительного восстановления все объекты, созданные в каталоге после архивирования, остаются в Active Directory.

Допустим, архив создается в понедельник, а во вторник создается новая учетная запись пользователя по имени Джеймс Смит, которая реплицируется на другие кон троллеры домена. В среду случайно удаляется учетная запись другого пользовате ля - Эми Андерсон. Для принудительного восстановления Эми Андерсон без го вторного ввода информации можно восстановить контроллер домена из архива, со зданного в понедельник. Затем средствами Ntdsutil отметить учетную запись Эми Андерсон для принудительного восстановления. Она будет успешно восстановле на, при этом учетная запись Джеймса Смита не исчезнет.

Принудительным восстановлением средствами Ntdsutil не следует злоупотреблять, так как при этом каталог восстанавливается в состоянии на момент архивирования, и все более поздние обновления безвозвратно теряются. Эта операция применяет ся для выборочного восстановления объектов, поддеревьев, подразделений или даже целых деревьев, но прибегать к принудительному восстановлению следует только при условии точной идентификации конкретной неполадки и если Вы уве рены, что это устранит проблему, Примечание Как принудительное, так и непринудительное восстановление никак не влияет на службы сертификации, так как данные этих служб не реплицируются, Однако восстановление обоих типов влияет на FRS. Но служебная программа ко мандной строки Ntdsutil ue используется для принудительного восстановления FRS. Для принудительного восстановления FRS следует восстановить файлы этой службы в альтернативном месте, перезагрузить контроллер домена и после публи Служба каталогов Active Directory 346 ЧАСТЬ кации обшего ресурса SYSVOL скопировать восстановленные файлы из альтерна тивного места в исходное. Копировать файлы разрешается только после публика ции обшего ресурса SYSVOL, в противном случае восстановление потерпит неуда чу и будут нарушены некоторые политики.

Принудительное восстановление Active Directory средствами Ntdsutil Для выполнения принудительного восстановления Active Directory заархивируйте и восстановите контроллер домена средствами программы Windows 2000 Backup (подробнее о выполнении этих операций Ч в разделе Архивирование Active Directory ранее в этой главе). Когда !3ы завершите восстановление, по до того, как приведете контроллер в рабочее состояние и подключите его к сети, выполните ко манды Ntdsutil.

^ Принудительное восстановление Active Directory 1. Непринудительно восстановите Active Directory и перезагрузите компьютер.

Перезапустите контроллер домена и в меню загрузки нажмите F8, чтобы перей ти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000). Выберите вариант Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter. В этом режиме кон троллера работает в изолированном режиме.

2. В командной строке введите ntdsutil и нажмите Enter. Введите authoritative restore и еще раз нажмите Enter.

1. Для принудительного восстановления всего каталога введите Restore data base и нажмите Enter.

2. Для принудительного восстановления части или поддерева каталога, напри мер подразделения, введите:

Restore subtree <составное_нмя_подкаталога> Нажмите Enter.

Например, чтобы восстановить подразделение Marketing домена Reskit.com, введите следующие команды:

ntdsutil authoritative restore Restore Subtree OU=Marketing,DC=Reskit,DC=COM 3. Для принудительного восстановления всего каталога и игнорирования стар шинства версий введите команду:

Restore database verinc <увеличениеномера_версии> и нажмите Enter.

4. Для принудительного восстановления поддерева каталога и игнорирования старшинства версий введите команду:

Restore subtree <нмя_подкаталога> verinc <увеличение^номера_версии> и нажмите Enter.

Во время принудительного восстановления утилита Ntdsutil открывает файл Ntds.dit, увеличивает номера версий, пересчитывает записи, требующие обнов ГЛАВА 9 Архивирование и восстановление данных в Active Directory ления, проверяет номера обновленных записей и сообщает о завершении опера ций. Если не указать, на сколько увеличить номер версии, Ntdsutil сделает это автоматически.

Введите команду quit и нажмите Enter для выхода из Ntdsutil.

Х1 Перезагрузите контроллер домена в обычном режиме и приведите его в рабочее состояние.

При подключении восстановленного контроллера домена к сети, все изменения с дополнительных контроллеров домена, не перезаписанные при принудительном восстановлении, реплицируются на него. Принудительно восстановленные объек ты реплицируются на другие контроллеры домена леса. Ранее удаленные объекты, отмеченные для принудительного восстановления, реплицируются с восстановлен ного контроллера домена на остальные контроллеры домена.

Так как у восстановленных объектов такие же значения атрибутов objectGUID и objectSID, работа механизма безопасности с этими объектам продолжается как обычно и взаимозависимости между объектами сохраняются.

Подробнее об использовании Ntdsutil Ч в главе 10 Выявление и устранение непо ладок, а также восстановление Active Directory и в приложении В Ntdsutil.exe Ч служебная программа диагностики Active Directory.

Примечание Описанный выше процесс применяется главным образом для прину дительного восстановления Active Directory. Но отдельным объектам Active Direc tory (например, подразделениям, доменам и сайтам) сопоставлены групповые по литики;

они хранятся в каталоге SYSVOL. О принудительном восстановлении Active Directory и SYSVOL Ч в разделе Принудительное восстановление всей базы данных Active Directory далее в этой главе.

Принудительное восстановление всей базы данных Active Directory При принудительном восстановлении всей базы данных Active Directory следует убедиться в корректности всех выбранных элементов. Для этого копируют каталог SYSVOL из альтернативного места в существующий каталог SYSVOL Таким обра зом предохраняют целостность групповой политики на компьютере.

^ Восстановление всей базы данных Active Directory 1 Средствами Windows 2000 Backup создайте архив данных состояния системы, 2 Перезагрузите компьютер в режиме Directory Services Restore Mode (Восстанов ление службы каталогов), 3 Восстановите данные состояния системы в исходное и в альтернативное место положение.

4 Средствами Ntdsutil отметьте всю базу данных Active Directory для принуди тельного восстановления.

5 Перезагрузите компьютер в обычном режиме.

В После опубликования общего ресурса SYSVOL скопируйте каталог SYSVOL из альтернативного местоположения (поверх существующего). Чтобы убедиться в успешном завершении копирования, следует проверить содержимое каталога $\ъ\'о\\<имя_домепа> - он должен содержать папки Scripts и Policies.

348 ЧАСТЬ 1 Служба каталогов Active Directory Принудительное восстановление отдельных объектов Active Directory При принудительном восстановлении части базы данных Active Directory (в том числе объектов политик) необходимо выполнить описанные далее дополнительные процедуры с каталогом SYSVOL.

1. Средствами Windows 2000 Backup создайте архив данных состояния системы.

2. Перезагрузите компьютер в режиме Directory Service Restore Mode (Восстанов ление службы каталогов).

3. Восстановите данные состояния системы в первоначальное и в альтернативное местоположение.

4. Средствами Ntdsutil поочередно пометьте каждый требуемый объект для при нудительного восстановления.

5. Перезагрузите компьютер в обычном режиме.

6. После опубликования общего ресурса SYSVOL скопируйте из альтернативного места в исходное только те папки политики (идентифицируемые GUID), кото рые относятся к восстановленным объектам Policy.

Внимание! При принудительном восстановлении как всей базы данных Active Di rectory, так и отдельных объектов важно копировать SYSVOL и данные политики из альтернативного местоположения после опубликования обшей папки SYSVOL.

Если компьютер расположен в реплицированном домене, на опубликование ресур са SYSVOL уходит несколько минут. Это время необходимо для синхронизации с партнерами по репликации.

Если все компьютеры домена принудительно восстановлены и перезагружены од новременно, каждый их них будет ждать неопределенное время синхронизации с другими. В таком случае восстановите один из контроллеров домена первым, что бы опубликовать первым его общий ресурс SYSVOL. Затем восстановите осталь ные компьютеры непринудительно.

Проверка принудительного восстановления В ходе принудительного восстановления восстанавливаются атрибуты существую щих объектов или удаленные объекты. Каждый атрибут принимает его текущее значение. Впрочем, меняются не сами значения атрибутов, а их метаданные. Это позволяет указать, где и когда каждому атрибуту присвоено его текущее значение.

Во время репликации другие контроллеры домена рассматривают это как обновле ние и изменяют текущие значения. У каждого контроллера может быть свое поня тие текущего значения. Для принудительно восстановленного контроллера доме па им является значение на момент архивирования. Для других контроллеров Ч значение, полученное после применения всех обновлений, сделанных после архи вирования.

Служебную программу командной строки Repadmin применяют для проверки уве личения номера версии каталога или поддерева, то есть проверки успешного завер шения восстановления. Для этого введите команду show metadata с параметром, равным точному составному имени восстановленного каталога или поддерева. Под робнее об использовании программы Repadniin Ч в главе 10 Выявление и устра нение неполадок, а также восстановление Active Directory.

Архивирование и восстановление данных в Active Directory ГЛАВА 9 В процессе принудительного восстановления обновляются переменные метаданных, описанные в таблице 9-1.

Таблица 9-1. Переменные метаданных, обновляемые в ходе принудительного восстановления Атрибут Результат Для каждого контроллера домена Увеличивается на единицу в результате принудительно Highest-Committed-USN го восстановления каждого объекта, так как номера USN зависят от машины. Это означает, что они сравни ваются только с другими USN, сгенерированными текущим контроллером домена Для каждого объекта и каждого контроллера домена Устанавливается равным текущему значению атрибута USN-Changed Highest-Committed-USN. У разных контроллеров домена обычно разные атрибуты USN-Changed одного и того же объекта, даже если они синхронизированы Для каждого объекта Устанавливается равным текущему времени When-Changed Для каждого атрибута Устанавливается равным GUID текущего контроллера Originating-DC-GUID домена Устанавливается р а н н ы м текущему значению атрибута Originating-VSN Highest- Committed- USN Устанавливается равным номеру версии выше, чем version номер версии любой другой копии данного объекта на остальных контроллерах домена. (Подробнее Ч далее в этой главе) Устанавливается равным текущему времени When-Changed Устанавливается равным текущему значению атрибута Property-IJSN Originating- USN Создается новая запись метаданных Is-Deleted Обновления, выполняемые в ходе принудительного восстановления, реплицируют ся как и любые другие обновления, за одним исключением: номер версии этих об новлений выше, чем у обычных обновлений.

Кроме того, номер версии увеличивается из расчета 100 000 на каждый день после обновления заархивированных данных (количество дней задает тот, кто выполняет принудительное восстановление). Бы справе изменить этот номер версии.

Влияние принудительного восстановления на доверительные отношения и сетевые соединения Сведения о доверительных отношениях между родительскими и дочерними объек тами в доменах Windows 2000, а также доверительных отношениях Kerberos и NTLM с другими доменами Windows NT 4.0 или Windows 2000 хранятся в разделе домена. Сведения о доверительных отношениях и пароли учетных записей коми ь ютера согласуются через определенные интервалы времени (при этом назначаются новые пароли). При принудительном восстановлении всего раздела домена, эти дан ные восстанавливаются до вида на момент архивирования. Несовпадение восста новленных и текущих паролей нарушает доверительные отношения и приводит к Служба каталогов Active Directory 350 ЧАСТЬ недействительности учетных записей. Нарушение доверительных отношений спо собно привести к потере связи с контроллерами других доменов. При восстановле нии старого пароля учетной записи рабочая станция или рядовой сервер может потерять доступ к контроллеру домена. Таким образом, если принудительно вос становленный объект влияет на доверительные отношения или пароли учетных за писей, необходимо переопределить пароли. Поэтому следует очень внимательно выбирать объекты для принудительного восстановления. Восстанавливайте толь ко те части раздела домена, которые совершенно необходимы.

Примечание По умолчанию пароли меняются каждые 7 дней (это не относится к учетным записям компьютеров). Предыдущий пароль также сохраняется. Поэтому принудительное восстановление из архива, сделанного раньше, чем за 14 дней, мо жет повлиять на доверительные отношения.

Влияние, оказанное принудительным восстановлением на доверительные отношения, зависит от его масштаба восстановления. Чем большая часть иерархии домена вовле чена в восстановление, тем больше влияние на доверительные отношения. Дабы уп ростить восстановление доверительных отношений и сократить операции по об ратному присоединению компьютеров к домену, необходимо регулярно выполнять архивирование. Впрочем, всегда существуют доверительные отношения, пользовате ли и учетные записи компьютеров, которые нуждаются в перенастройке.

Сброс паролей доверительных отношений Windows 2000 выполняется средствами оснастки Active Directory Domains and Trusts (Active Directory домены и доверие).

Подробнее о процедурах сброса паролей -- в справочной системе Microsoft Windows 2000 Server. Сброс паролей учетных записей компьютеров выполняется средствами оснастки Active Directory Users and Computers (Active Directory пользователи и компьютеры). Для сброса доверительных отношений и паролей учет ных записей также применяется служебная программа командной строки Netdom.

Подробнее об использовании Netdom Ч па компакт-диске, прилагаемом к брошюре Ресурсы Microsoft Windows 2000 Server. Компакт-диск*, а также в главе 10 Выяв ление и устранение неполадок, а также восстановление Active Directory.

Подробнее о доверительных отношениях между родителями и потомками в гла ве 1 Логическая структура Active Directory.

Дополнительные материалы Подробнее об API-интерфейсах архивирования и восстановления данных в Windows 2000 - - на Web-странице Web Resources по адресу windows.microsoft.com/windows2000/reskit/webresources, ссылка Microsoft Platform SDK.

Подробнее о восстановлении после сбоев -- в книге Windows 2000 Professional Getting Started на компакт-диске с операционной системой Windows 2000 или Windows 2000 Server.

Подробнее об архивировании и восстановлении данных Ч в справочной систе ме Microsoft Windows 2000 Server.

ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory Для диагностирования и устранения неполадок в работе службы каталогов Active Directory в Microsoft Windows 2000 необходимо в полном объеме ознакомиться с содержанием предыдущих глав этой книги, а также в совершенстве знать служеб ные программы с прилагаемого к книге компакт-диска Microsoft Windows 2000 Server Resource Kit и компакт-диска с операционной системой Microsoft Windows Server. Обнаружение и устранение неполадок затрудняется тем, что Active Directory тесно взаимодействует с другими службами и протоколами: DNS используется для разрешения имен, в качестве протокола доступа к каталогам применяется LDAP, а TCP/IP служит R качестве транспортного протокола. Выделение ресурсов иногда становится невозможным из-за неудачной или неправильной конфигурации служб и протоколов. Излагая материал этой главы, мы предполагаем, что Вы усвоили со держание остальных глав этой книги, посвященных Active Directory, В этой главе Особенности архитектуры Active Directory Диагностика и устранение неполадок в Active Directory Дополнительные способы устранения неполадок Восстановление после сбоя См. также Х Подробнее о диагностике и устранении неполадок Ч в книге Сопровождение сервера. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001) Х Подробнее об устранении неполадок при установке и обслуживании программ - в главе 25 книги Распределенные системы. Книга '2, Ресурсы Microsoft Windows 2000* (Русская Редакция, 2001) и на Web-странице Web Resources но адресу ссыл ка ResourceLink, Служба каталогов Active Directory 352 ЧАСТЬ Особенности архитектуры Active Directory Чтобы точно определять причины неполадок Active Directory, Вы должны знать ее архитектуру и понимать, как она взаимодействует с другим сетевым службами и протоколам. Active Directory в Microsoft Windows 2000 -- это база данных, храня щая информацию и ресурсы. Кроме того, это обновленная и расширеная версия службы каталогов. Новые функциональные возможности позволили облегчить уп равление большими массивами информации и упростить работу администраторов и конечных пользователей. Однако, с другой стороны, это усложнило архитектуру службы каталогов. Поэтому, прежде чем рассказывать о диагностике и устранении неполадок Active Directory, в последующих разделах мы познакомим Вас со струк турой системы: архитектурой Active Directory и обслуживающими се протоколами и службами. Подробнее об архитектуре Active Directory - в главе 2 Храпение дан ных в Active Directory.

Протоколы Основные протоколы, используемые R Active Directory - это DNS (Domain Name System) и TCP/IP и LDAP (Lightweight Directory Access Protocol).

DNS DNS считается стандартом де-факто системы именования в ТР-сетях и использу ется для поиска компьютеров в Интернете. В Windows 2000 служба DNS применя ется для обнаружения компьютеров и контроллеров доменов (то есть для поиска Active Directory). Отдельные компьютеры и рядовые серверы находят контроллер домена, обращаясь к DNS. Поэтому при установке или обновлении до Microsoft Windows 2000 Server обязательно наличие инфраструктуры DNS, или ее придется установить вместе с Windows 2000.

Все домены и компьютеры в Windows 2000 обладают DNS-именами (например, reskit.com Ч имя домена, Serverl.reskit.com имя компьютера). Таким образом, домены и компьютеры представлены, как в качестве объектов Active Directory, так и в качестве узлов в DNS. Подробнее о DNS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

TCP/IP TCP/IP является базовым транспортным протоколом службы каталогов Active Directory. Подробнее о TCP/IP и книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

LDAP LDAP - это структурированный протокол, используемый для просмотра и управ ления информацией иерархических баз данных. Протокол LDAP описан в докумен те RFC 2251 Lightweight Directory Access Protocol. В Active Directory этот про токол применяется для просмотра и изменения сведений, содержащихся в службе каталогов. Active Directory поддерживает обе версии LDAP Ч LDAPv2 и LDAPvS.

Работа LDAP построена на основе модели клиент сервер, в которой клиент передает серверу LDAP-запрос на операцию, а сервер, выполнив его, возвращает результат клиенту Ч будь то данные или сообщение об ошибке.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Примечание Единственное, что требуется от серверов, Ч это возвращение резуль татов, - в спецификации протокола нет ни слова о необходимости синхронного взаимодействия клиентов и серверов. Запросы и отпеты между клиентом и серве ром могут проходить в любом порядке, а единственное требование Ч чтобы клиент в конечном счете получил результаты всех своих запросов, Способность проводить поиск в каталоге подразумевает способность клиента вы полнять несколько операций, в том числе поиск сервера, подключение, привязку, обновление, добавление и удаление записей. Для администратора оказывается по лезной возможность управлять информацией в Active Directory, но самое большое достоинство службы каталогов для конечного пользователя Ч это средства для про смотра информации. Например, при необходимости пользователь может найти в каталоге телефон или номер комнаты коллеги.

Подробнее о LDAPv3 Ч на Web-странице Web Resources по адресу microsoft.com/windows2000/reskit/webresources, ссылка RFC 2251.

Агент системы каталогов Агент системы каталогов (directory system agent, DSA) - это процесс, который обеспечивает доступ к хранилищу - физическому месту расположения информа ции каталога на жестком диске. В Active Directory DSA является частью процесса администратора локальной безопасности (Local Security Authority, LSA). Основная задача DSA - управление каталогом, а для этого ему надлежит знать, что представ ляют из себя отдельные объекты каталога. В частности, он проверяет соответствие вновь создаваемых объектов каталога и их атрибутов как обязательных, так и необязательных Ч определению этих объектов в схеме.

DSA также управляет топологией репликации, определяя, когда и какие события запускают синхронизацию реплик. Таким образом, DSA фактически реализует службу каталогов. Доступ клиентов к каталогу осуществляется по одному из под держиваемых DSA механизмов:

Х по протоколу LDAP. Клиенты под управлением Windows 2000, а также под уп равлением Windows 98 (в том числе и Windows 95) с установленными компонен тами клиента Active Directory взаимодействуют с DSA по протоколу LDAPv3;

Х через MAPI-интерфейс. MAPI-клиенты, такие, как Microsoft Exchange Server версии 5.5, получают доступ к DSA по протоколу удаленного вызова процедур (remote procedure call, RPC) MAPI-интерфейса;

Х клиенты под управлением Microsoft Windows NT версии 4.0 или более ранней получают доступ к DSA с помощью интерфейса диспетчера учетных записей безопасности (Security Account Manager, SAM);

Х для обмена между контроллерами доменов Active Directory в процессе реплика ции используется частная реализация RPC-протокола, разработанная в Microsoft.

Подробнее о DSA Ч в главе 2 Хранение данных и Active Directory.

Уровень базы данных Уровень базы данных, (database layer) обеспечивает объектное представление инфор мации, хранящейся в базе данных, в соответствии с заданной в схеме семантикой.

Он изолирует более высокие уровни службы каталогов от самой системы базы дал Служба каталогов Active Directory 354 ЧАСТЬ ных. Уровень базы данных является внутренним интерфейсом, который не виден пользователям. Запросы на доступ к базе данных направляются только через уро вень базы данных и никогда не попадают напрямую в ядро Extensible Storage Engine.

Active Directory поддерживает иерархическое пространство имен, в котором каж дый объект уникально идентифицируется в базе данных по его уникальному атри буту именования Ч относительному составному имени (relative distinguished name, RDN). Полное составное имя объекта (distinguished name, DN) состоит из относи тельного составного имени самого объекта и цепочки его родительских объектов. В базе данных хранятся RDN-имена всех объектов с ссылками на соответствующие родительские объекты. Уровень базы данных генерирует составное имя, обрабаты вая и соединяя в одну строку эти ссылки.

Примечание Относительные составные имена уникальны только среди потомков одного объекта-родителя, то есть в одном родительском объекте-контейнере не мо жет быть двух объектов с одинаковыми RDM-именами. Составное имя идентифи цирует сам объект и уникально в пределах всего каталога.

Главная функция уровня базы данных это преобразование составных имен в це лочисленную структуру, называемую тегом составного имени (distinguished name tag) и используемую во всех внутренних операциях базы данных. Уровень базы дан ных следит за уникальностью тегов составных имен среди записей базы данных.

Все описывающие объект данные хранятся в виде набора атрибутов в столбцах таб лиц базы данных. Уровень базы данных отвечает за создание, поиск и удаление от дельных записей, атрибутов и их значений. Для получения сведений об атрибутах в нем используется кэш схемы (отдельная структура в памяти DSA).

Подробнее о кэше схемы Ч в главе 4 Схема Active Directory*. Подробнее о состав ных именах и относительных составных именах Ч в главе 1 Логическая структура Active Directory.

Extensible Storage Engine В основе Active Directory положен механизм индексно-последовательного доступа (Indexed Sequential Access Method, ISAM), получившим название Jet. Это же ядро базы данных используется в сервере Microsoft Exchange Server, в службе репликации файлов (File Replication service, FRS), редакторе конфигурации безопасности, служ бе сертификации, WINS и многих других компонентах Windows. В Windows 2000 он называется Extensible Storage Engine (ESE).

Для обеспечения целостности Active Directory в базе данных ESE (Esent.dll) ис пользуется концепция транзакций и журналы. Каждый запрос к DSA о добавлении, обновлении или удалении объектов или атрибутов обрабатывается как единая тран закция. После выполнения транзакция регистрируется в ряде журналов, связанных с Ntds.dit файлом. По умолчанию файлом базы данных Active Directory размешен в файле %System A'rwt%\NTDS\Ntds.dit. По умолчанию журналы хранятся в этом же каталоге.

Подробнее о ESE Ч в главе 2 Храпение данных в Active Directory. Подробнее с службе репликации файлов - в главе 18 книги Распределенные системы. Книга 2.

Ресурсы Microsoft Windows 2000 (Русская Редакция, 2001).

ГЛАВА 10 Выявление и устранение неполадок, атакже восстановление Active Directory Локатор контроллеров доменов Когда приложение запрашивает доступ к Active Directory, поиск сервера Active Directory (контроллера домена) осуществляется локатором контроллеров доменов (domain controller locator) Ч алгоритмом, выполняющимся в контексте службы Net Logon (Сетевой вход в систему). Локатор находит контроллеры домена по их DNS именам (для компьютеров, поддерживающих IP или DNS) или по NetBIOS-имена ми (для компьютеров под управлением Microsoft Windows 3.x, Microsoft Windows for Workgroups, Microsoft Windows NT версии 3.5 или более поздней, Windows !) или Windows 98). Кроме того, локатор может использоваться в сетях, не поддержи вающих IP-транспорт.

Вот какую последовательность действий выполняет локатор в процессе поиска кон троллера домена.

1. Клиент (компьютер, которому требуется найти контроллер домена) инициа лизирует локатор как RPC-процедуру локальной службы Net Logon (Сетевой вход в систему). В этой службе также реализована API-функция локатора (DsGetDcName).

2. Клиент собирает сведения, необходимые для розыска контроллера домена, и передает их службе Net Logon в параметрах DsGetDcName.

3. Для поиска контроллера домена па основании полученной от клиента инфор мации службой Net Logon используется один из двух способов.

Х Если службе Net Logon передано DNS-имя, применяется локатор, совмесг] и мый с IP /DNS, то есть DsGetDcName обращается к API-функции DnsQut-ry для просмотра записей ресурсов служб (Service Resource, SRV) и записей А из DNS после добавления в начало соответствующей строки имени домена, указывающего, на запись SRV.

Компьютер, пытающийся войти в домен Windows 2000, опрашивает записи SRV в DNS в общей форме:

_<имя_службы>.<имя_протокола>.<иН5-имя_домена> Серверы Active Directory поддерживают протокол LDAP поверх TCP, поэто му клиенты находят LDAP-еервер, запрашивая в DNS запись следующего вида:

Х Если службе Net Logon (Сетевой вход в систему) передается DNS-имя, то используется локатор, совместимый с Microsoft Windows NT версии 4.0, то есть применяется транспортно-зависимый механизм (например, WINS).

Примечание В Windows NT 4.0 и более ранних версиях поиск (discovery) кон троллера домена выполнялся для определения подлинности либо в основном, либо в доверенном домене.

4. Служба Net Logon направляет дейтаграмму (то есть ping) на компьютеры, кото рые зарегистрировали искомое имя. Для NetBIOS-имен дейтаграмма имеет вид почтового сообщения, а в случае DNS-имен дейтаграмма реализована как LDAP поиск по протоколу UDP (User Datagram Protocol). UDP Ч это протокол переда чи дейтаграмм без установлегшя соединения, часть набора протоколов TCP/IP.

Протокол TCP - это транспортный протокол с созданием соединения.

Служба каталогов Active Directory 356 ЧАСТЬ Примечание U DP-дейтаграмм а пересылается на определенный порт, что позво ляет приложениям на разных компьютерах обмениваться дейтаграммами через заранее заданный порт.

5. Все доступные контроллеры домена отвечают на дейтаграмму, подтверждал свое активное состояние и отвечая на запрос DsGetDcName.

6. Служба Net Logon передает клиенту информацию от первого откликнувшегося контроллера домена.

7. Служба Net Logon помещает информацию о контроллере домена в кэш, чтобы при последующих запросах не повторять весь процесс розыска. Кроме того, та кое квитирование позволяет создать привязку к одному контроллеру домена и, таким образом, обеспечить постоянство внешнего вида Active Directory.

Примечание Регистрацию событий в журнале отладки службы Net Logon (Се тевой вход в систему) можно запустить из командной строки, выполнив команду nltest\dbflag:0x2000ffff. Перезапустите компьютер и посмотрите па записи в разде ле [IN1T] файла Net Logcm.log в папке %Systemroot%\Debug. Служба Net Logon про должает заносить в журнал событии сведения об известных ей неполадках, поэто му рекомендуется прежде всего обращаться именно к этому журналу.

В общем случае для запуска журнала отладки совсем не обязательно перезапус кать компьютер Ч мы сто выполнили для просмотра изменений в разделе [INTTJ файла Net Logon.log. После установки флага dbflag журнал отладки активизи руется автоматически.

На рис. 10-1 проиллюстрирован процесс поиска контроллера домена.

Начало Сбор сведений;

DNS-имя домена, GUID домена, имя сайта Нашел т клиент DNS-имя ли GUID домена?

Вызов локатора, совместимого Нашел ли локатор хотя бы один windows NT 4 О доступный контроллер домена?

Да I Возвратить результат клиенту Рис. 10-1. Процесс поиска контроллера домена Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА Примечание Локатор можно вызывать, передавая имя домена в формате NetBIOS;

в этом случае запрос передается локатору, совместимому с Windows NT 4.0, При входе в систему или при подключении к сети клиент должен найти контроллер домена. Для этого он посылает в DNS запрос па поиск контроллеров домена в своей подсети, и система DNS находит ближайший контроллер в своей подсети.

Обнаружив контроллер домена, клиент подключается и получает доступ к Active Directory no протоколу LDAP. В процессе обмена контроллер домена определяет сайт, в котором находится клиент, но IP-адресу его подсети. Если клиент подклю чился к контроллеру домена, расположенному не в ближайшем (оптимальном) сай те, клиенту возвращается имя его сайта и сведения о том, находится ли текущий контроллер домена в ближайшем сайте. Если клиент уже пытался разыскать кон троллер домена в этом сайте (например, отправив в DNS запрос на поиск контрол лера домена в своей подсети), но не нашел его, он использует неоптимальный кон троллер домена. В противном случае клиент повторяет запрос в DNS на поиск кон троллера в указанном сайте. Контроллер домена применяет часть информации DSA для идентификации сайтов и подсетей.

Примечание После обнаружения клиентом контроллера домена, сведения об этом контроллере каптируются. Если контроллер домена находится не в оптимальном сайте, по истечении пятнадцати минут клиент очищает кэш. Далее он пытается най ти оптимальный контроллер домена в своем сайте.

Установив связь с контроллером домена, клиент получает возможность войти в си стему и подтвердить свою подлинность, а также при необходимости (к W i n dows 2000) установить защищенный канал обмена. Только после этого клиент вы полняет обычные запросы и ищет информацию в каталоге.

При входе в систему клиент устанавливает связь по протоколу LDAP с контролле ром домена, далее запрос передается диспетчеру учетных записей безопасности, а затем он последовательно попадает в DSA, на уровень базы данных и, наконец, в саму базу данных ESE. Таким образом, в процессе входа задействованы несколько подсистем, и для эффективного решения возникающих проблем Вам надо научить ся определять и диагностировать возникающие в них неполадки.

Подробнее о локаторе Ч в главе 3 Разрешение имен в Active Directory.

Диагностика и устранение неполадок в Active Directory В процессе идентификации, анализа причин и устранения неполадок Active Directory необходимо следовать определенной последовательности действий. Она позволяет точно установить вид сбоя, изучить его, а затем решить проблему. Последователь ность действий по выявлению и устранению неполадок в Active Directory проиллю стрирована на рис. 10-2.

Служба каталогов Active Directory 358 ЧАСТЬ Начало Для устранения неполадок использовать:

Х Event Viewer (Просмотр событий) ХPING Х IPConfig Х NLTest Х NetDiag Х NetMon Для устранения неполадок использовать:

Х Event Viewer (Просмотр событий) Работает ли механизм Х PING разрешения имен?

ХNSLOOKUP Х WBTSTAT ХDNSCMD Для устранения неполадок использовать:

Х Event Viewer (Просмотр событий) Работает ли контроллер домена?

Х DCDiag Х DSAStat Х NTDUTIL Для устранения неполадок использовать:

Нет Х Event Viewer (Просмотр событий) Выполняется ли проверка Х NetSetup подлинности?

Для устранения неполадок использовать:

Х Event Viewer (Просмотр событий) Работает ли управление доступом? ХDSACLS ХNETDOM Х Клонирование участника безопасности -SDCHECK Готово Рнс. 10-2. Последовательность действий при выявлении и устранении неполадок в Active Directory Внимание! В этой главе мы попытались на основе имеющихся данных привести примеры основных типов неполадок, а также описать служебные программы, кото рые можно использовать для диагностики и идентификации, а также предложить возможные решения. По мере эксплуатации Windows 2000 Active Directory на вес большем числе систем новые сведения о работе службы каталогов будут доступны на Web-странице Web Resources по адресу windows2000/reskit/webresources, ССЫЛКУ Microsoft Personal Online Support.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Сетевые соединения Первый таг к выявлению и устранению неполадок Active Directory проверка наличия сетевых соединений. В данном разделе описаны диагностические средства, приведены примеры наиболее вероятных неполадок сетевых соединений и предла гаемые способы их устранения. Чтобы удостовериться в правильности работы сети, сначала проверьте работу перечисленных ниже подсистем.

Event Viewer Оснастка Event Viewer (Просмотр событий) Ч одна из наиболее полезных служеб ных программ, применяемых не только для выявления неполадок сетевых соедине ний, но и сбоев в разрешении имен, в службе каталогов, а также других неполадок.

Возвращаемые ею коды ошибок четко классифицированы, что позволяет легко ус тановить проблему и проанализировать ее причины. Всегда проверяйте журнал со бытий: нет ли в нем записей о каких-либо событиях, которые являются предвест никами возможных проблем в будущем.

Проверьте папку журнала системных событий (System.Log) и проанализируйте ука занные в ней типы ошибок и предупреждений. Для каждой ошибки или предуп реждения откройте страницу свойств Event Properties (Свойства) и изучите опи сание данного сбоя и возвращенные данные. В поле Data (Данные) установите пе реключатель в положение Words (Слова) и преобразуйте шсстнадцатеричный код в десятичные числа. Обнаружив в столбце Event (Тип) значок ошибки, восполь зуйтесь командой net helpmsg для получения краткого описания соответствующей неполадки.

Например, первые четыре цифры 8007 кода ошибки указывают па сетевую ошибку или сбой интерфейса Microsoft Win32 API. Для расшифровки кодов ошибок пред назначена команда net helpmsg. Чтоб ею воспользоваться, необходимо сначала пре образовать последние четыре цифры шестнадцатеричного кода ошибки в десятич ное представление и ввести в командной строке:

net helpmsg <ноиер_сообщеняя_в_десятичном_представлении> Программа возвратит описание соответствующей ошибки. Например, если СОМ возвратила ошибку с кодом 8007054В, требуется преобразовать шеетнадцатеричное число 054В в десятичное представление Ч 1355, после чего ввести в командной строке:

net helpmsg Программа возвратит следующее сообщение, указывающее, что ошибка вызвана отсутствием или недоступностью домена:

The specified domain either does not exist or could not be contacted, (Указанный домен не существует или к нему невозможно подключиться) Ошибки типа access denied (доступ запрещен) или had password (неверный пароль), скорее всего, свидетельствуют о проблемах с безопасностью, а не о непо ладках в сети. Ошибка No logon servers (отсутствие сервера входа в систему) обычно возникает при невозможности обнаружить указанный контроллер домена для входа. Код ошибки No logon servers содержит в качестве источника Net Logon, Ошибка нарушения доступа (access denied) может содержать в качестве источника SAM.

! ? 3 а к 402:

Служба каталогов Active Directory 360 ЧАСТЬ Подробнее о команде Net Helpmsg и объяснениях кодов ошибок - на Web-страни це Web Resources по адресу webresources, ссылка Microsoft Platform SDK.

Оборудование Убедитесь, что оборудование, такое, как сетевой концентратор, кабели и т. п., фун кционируют должным образом. Например, если значок Local Area Connection (Подключение по локальной сети) диспетчера Network and Dial-up Connections (Сеть и удаленный доступ к сети) на Control Panel (Панель управления) отмечен красным крестиком, то это, как правило, значит, что сетевой кабель отсоединен.

Подробнее о проверке работы оборудования - в книге Сопровождение сервера.

Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Прежде всего, убедитесь в правильности работы сетевых адаптеров и драйверов.

Это можно сделать несколькими способами непосредственно из панели управления.

Можтто открыть объект Add/Remove Hardware (Установка оборудования) на па нели управления и щелкнуть Add/Troubleshooting (Добавить/произвести диагно стику устройства) для отлаживаемого устройства или выбрать вкладку Hardware (Оборудование) в окне System Properties (Свойства системы) панели управления.

Другой способ Ч выбор Hardware Wizard (Диспетчер устройств) на вкладке Hardware (Оборудование ) в окне System Properties (Свойства системы) панели управления.

В окне Hardware Wizard укажите требуемое устройство а затем проверьте, работа ет ли оно должным образом. Исследуйте свойства представленных в окне мастера устройства, дважды щелкая их значки устройства. Состояние устройства отобра. жено на вкладке General (Общие). Если устройство работает некорректно, щелк ните кнопку Troubleshooter (Устранение неполадок), чтобы получить справку.

Соединение с локальной сетью Следующее, что нужно проконтролировать при проверке сетевого соединения, это наличие и исправность соединения с локальной сетью и корректность IP-адре сов. Для этого используется служебная программа командной строки IPConfig, предназначенная для просмотра и обновления параметров конфигурации протоко ла IP на данном компьютере. IPConlig применяют также для динамического обнов ления DNS при регистрации записей о компьютере в службе DNS.

^ Просмотр параметров конфигурации IP 1. Введите в командной строке ipconfig /all и нажмите Enter.

2. Просмотрите выведенный текст и проверьте следующее:

Х есть ли у компьютера IP-адрес;

Х задан ли основной шлюз;

Х указан ли сервер DHCP.

3. С помощью ping проверьте связь с основным шлюзом и сервером DHCP.

^ Проверка наличия связи по протоколу TCP/IP средствами команды ping 1. В командной строке обратитесь по адресу замыкания на себя;

для этого выпол ните команду:

ping 127.0.0. Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Если эта команда не выполнена, то компьютер, вероятно, не был перезагружен после установки и настройки TCP/IP.

Обратитесь командой ping по IP-адресу компьютера.

Если эта команда не выполнена, перезапустите компьютер и проверьте таблицу маршрутизации командой route print.

Обратитесь командой ping по IP-адресу основного шлюза.

Если эта команда не выполнена, проверьте правильность IP-адреса основного шлюза и работоспособность этого шлюза (маршрутизатора).

Обратитесь командой ping по IP-адресу удаленного узла (узла, находящегося в 4.

другой подсети).

Если эта команда не выполнена, проверьте правильность IP-адреса удаленного узла, работоспособность этого узла, а также работоспособность всех шлюзов (маршрутизаторов) между локальным компьютером и удаленным узлом.

Обратитесь командой ping по IP-адресу DNS-сервера.

Если эта команда не выполнена, проверьте правильность IP-адреса DNS-серве ра, работоспособность DNS-сервера, а также работоспособность всех шлюзов (маршрутизаторов) между локальным компьютером и DNS-сервером.

Примечание Команду ping используйте для проверки связи по протоколу TCP/IP и обнаружения неполадок связи между различными компьютерами. При невоз можности соединиться с сервером ping возвращает сообщение Request timed out (тайм-аут запроса), Пример локальной сети без сетевого соединения Здесь приводится пример неудачной конфигурации TCP/IP для локальной сети.

Сведения о недоступных компонентах выделены курсивом. Обратите внимание на отсутствие IP-адресов, что свидетельствует о некорректном соединении с локаль ной сетью.

ipconfig /all Windows 2000 IP Configuration Host Name : SERVER Primary DNS Suffix : reskit.com Node Type : Hybrid IP Routing Enabled : No WINS Proxy Enabled : No DNS Suffix Search List : reskit.com serverl.reskit.com Ethernet adapter Local Area Connection:

Media State : Cable Disconnected Description : 3Com EtherLink XL 10/100 PCI TX NIC (3C905B-TX) Physical Address : 00-10-5A-99-F7- Служба каталогов Active Directory 362 ЧАСТЬ Пример сети с исправным сетевым соединением Ниже показан пример корректного соединения с локальной сетью. Обратите вни мание на наличие IP-адресов.

ipconfig /all Windows 2000 IP Configuration Host Name : SERVER Primary DNS Suffix : reskit.com Node Type : Hybrid IP Routing E-nabled : No WINS Proxy Enabled : No DNS Suffix Search List : resklt.com serverl.reskit.com Ethernet adapter Local Area Connection:

Description : 3Com EtherLink XL 10/100 PCI TX NIC (3C905B-TX) Physical Address : 00-10-5A-99-F7- DHCP Enabled : No IP Address : 172.25.128. Subnet Mask : 255.255.252. Default Gateway : 172.25.128. Servers : 172.26.128. Primary WINS Server : 172.25.254. Сохранение данных конфигурации IP в текстовом файле Иногда требуется сохранить для дальнейшего анализа параметры конфигурации IP соединения с локальной сетью, полученные с помощью IPConfig. Эти данные мож но сохранить в текстовом файле, задав следующую команду в командной строке:

ipconfig /all <имялокального^цнска>:\<нмя_файла>.'\:х1.

По умолчанию файл будет сохранен в текущем каталоге. Для просмотра и редакти рования файла достаточно дважды щелкнуть его мышкой. Подробнее об устране нии неполадок протокола TCP/IP в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Клиентское соединение Для проверки работоспособности клиента используется программа Netdiag. Она помогает отделить неполадки сети от сбоев в соединениях посредством проведения нескольких испытаний. Получаемые и результате этих испытаний важнейшие дан ные о состоянии сети позволяют обнаруживать и отлично идентифицировать не поладки в сети. Кроме того, поскольку Netdiag не нуждается ни в каких ключах и параметрах командной строки, Вы можете сосредоточиться на анализе результатов ее работы и не тратить время на обучение пользователей работе с ней.

Netdiag выполняет следующие проверки (тесты):

Х Ndis Ч тест сетевой карты;

Х IpConfig - тест конфигурации IP;

Х Member Ч тест членства в домене;

Х NetBT Transports Ч тест транспорта NetBT;

Х Autonet тест APIPA (Automatic Private IP Addressing);

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Х TpLoopBk ping no адресу замыкания па себя (127.0.0.1);

Х DefGw Ч тест основного шлюза;

Х NbtNm Ч проверку NctBT-имени;

Х WINS Ч тест службы WINS;

Х Winsock Ч тест Winsock;

Х DNS-тест DNS;

Х Browser тест редиректора и обозревателя;

Х DsGetDc Ч тест поиска контроллера домена;

Х DcList проверку списка контроллеров доменов;

Х Trust Ч тест доверительных отношений;

Х Kerberos Ч тест Kerberos;

Х Ldap Ч тест LDAP;

Х Route Ч проверку таблицы маршрутизации;

Х Netstat Ч тест информации NetsLat;

Х Bindings Ч тест создания привязки;

Х WAN - тест конфигурации WAN;

Х Модем диагностику модема;

Х Netware Ч тест Netware;

Х IPX тест IPX.

После запуска netdiag.exe и завершения работы программы найдите в выведенной информации слово FATAL оно указывает на вероятную ошибку, Подробнее о служебной программе Netdiag в справочной системе Microsoft Windows 2000 Support Tools.

Пример неудачной регистрации в DNS и проверка защищенного канала Ниже прикедсн пример сведений, предоставленных Netdiag, в случае неполадок в процессе регистрации в DNS и проверки безопасности канала. Сбои отмечены кур сивом.

Computer Name: Server"!

DNS Host Name: Server1.reskit.reskit.com System info : NT Server 5.0 (Build 2091) Processor : x86 Family 6 Model 5 Stepping 2, Genuinelntel List of installed hotfixes :

Q Netcard queries test : Passed Per interface results:

Adapter : Local Area Connection Netcard queries test... : Passed Host Name : Server1.dns.reskit.com IP Address : 172.16.85. Subnet Mask : 255.255.252. Default Gateway : 172.16.84. Primary WINS Server.... : 172.16.254. Secondary WINS Server... : 172.16.254. Dns Servers.. : 172,55.254. Служба каталогов Active Directory 364 ЧАСТЬ 172.16.254. AutoConfigu ration results : Passed Default gateway test : Passed NetBT name test : Passed WINS service test : Passed Global results:

Domain membership test : Passed NetBT transports test : Passed List of NetBt transports currently configured.

NetBT_Tcpip_<69F6A885-C07C-49E4-ABFF-D15FB4B678E8} 1 Net8t transport currently configured.

Autonet address test : Passed IP loopback ping test : Passed Default gateway test : Passed NetBT name test : Passed Winsock test : Passed DNS test : Failed FATAL]: The DNS registration for Serverl. reskit. reskit.com is incorrect on all DNS servers.

Redir and Browser test : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_<69F6A885-C07C-49E4-ABFF-D15FB4B678E8} The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser NetBT_Tcpip_{69F6A885-C07C-49E4-ABFF-D15FB4B678E8} The browser is bound to 1 NetBt transport.

DC discovery test : Passed DC list test : Failed Trust relationship test ;

Failed [FATAL] Secure channel to domain 'Reskit' is broken. [ERROR_NO_TRUST_SAM_ACCOUNT] Kerberos test : Skipped LDAP test : Passed Bindings test : Passed WAN configuration test : Skipped No active remote access connections, Modem diagnostics test : Passed The command completed successfully Подробнее о диагностике и устранении неполадок регистрации в DNS Ч в разделе Разрешение имен далее в этой главе. Подробнее о диагностике и устранении не поладок защищенного канала Ч в разделе Проверка подлинности далее в этой главе, Пример успешного сетевого соединения Ниже приведен пример сообщений, выводимых программой Netdiag для успешно го клиент-серверного соединения.

Computer Наша: Serverl DNS Host Name: Serverl.Reskit.coir Processor : x86 Family 6 Model 5 Stepping 1, Genuinelntel List of installed hotfixes :

Q Netcard queries test : Passed Per interface results:

Adapter : Local Area Connection Netcard queries test : Passed Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Host Name : Server1.Reskit.Reskit.com IP Address : 172.16.128. Subnet Mask : 255.255.252. Default Gateway : 172.16.128. Primary WINS Server.... : 172.16.254. : 172.16.128. Dns Servers AutoConfiguration results. : Passed Default gateway test... : Passed NetBT name test : Passed No remote names have been found.

WINS service test : Passed Global results:

Domain membership test : Passed NetBT transports test : Passed List of NetBt transports currently configured, NetBT_Tcpip_{F5A7E415-9DOB-444B-8028-11238D589BDO} 1 NetBt transport currently configured.

Autonet address test : Passed IP loopback ping test : Passed Default gateway test : Passed NetBT name test : Passed Winsock test : Passed DNS test : Passed PASS - All the DNS entries for DC are registered on DNS server 172.16.128.19, Redir and Browser test : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_{F5A7E415-9DOB-444B-8028-11238D589BDO} The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser NetBT_TcpipJF5A7E415-9DOB-444B-8028-11238D589BDO} The browser is bound to 1 NetBt transport.

DC discovery test : Passed DC List test : Passed Trust relationship test : Skipped Kerberos test : Passed LDAP test : Passed Bindings test : Passed WAN configuration test : Skipped No active remote access connections.

Modem diagnostics test : Passed The command completed successfully Сохранение данных, возвращенных Netdiag, в текстовом файле Иногда требуется сохранить для дальнейшего анализа сведения о сетевом клиенте и серверном соединении, полученные с помощью Netdiag. Эти данные можно запи сать в текстовом файле, задав следующую команду в командной строке*:

NetDiag.exe <имя_локального_диска>:\<имя_файла>.Ъх По умолчанию файл сохранится в текущем каталоге. Для просмотра и редактиро вания файла достаточно дважды щелкнуть его мышью.

* Эти сведения некорректны Ч сообщения NexDiag регистрируются в файле при наличии ключа/1.

По умолчанию и м я файла - NenDiag.log. Ч Прим, перев.

Служба каталогов Active Directory 366 ЧАСТЬ Соединение с контроллером домена Проверьте работоспособность контроллера домена. Для проверки сетевого соеди нения с контроллером своего домена (а также других доменов сети) используйте ping. При наличии соединения IP-адреса должны разрешаться корректно.

Для этого, например, выполните следующие команды:

ping <иия_Вашвго_коитроллера_домена> ping <имя_дополнитвльного_контроллера_домена> ping <имя_дополнительного_контроллера_домена> Успешна ли хотя бы одна из предыдущих процедур? Проверьте также, верно ли разрешается IP-адрес компьютера. Если да, переходите к следующему разделу.

Доверительные отношения между клиентом и контроллерам домена Существует множество причин, по которым нарушается целостность защищенного канала между клиентом и доменом. Одна из них Ч это отсутствие соответствующе го разрешения, как показано в следующем примере:

nltest /sc_query: reskit [FATAL] Secure channel to domain 'RESKIT' is broken. [ERROR_ACCESS_DENIED] Flags: Trusted DC Name Trusted DC Connection Status Status = 5 0x5 ERROR_ACCESS_DENIED The command completed successfully Для определения правильности настройки доверия, обычно проверяют наличие за щищенного канала:

Х для запроса о состоянии защищенного канала выполните команду Nltest /sc_query Х для запуска попытки принудительного восстановления защищенного канала выполните команду Nltest / Х для принудительного восстановления защищенного канала на определенном контроллере домена выполните команду Nltest /зс_гезеъ\<имя_домена>\<нмя_компьютера> Примечание Результаты выполнения команды Nltest /sc_query ненадежны Ч она возвращает не текущее состояние канала, а состояние на момент его последнего использования. Для проверки доверительных отношений рекомендуется сначала выполнить nltest /sc_query и в случае успеха этой команды рекомендуется запус тить nltest /8с_ге&е&<домен>\<значение_1?спате_возвращенное^/5с_диег1/>.

^ Определение причины неполадок доверительных отношений 1. Войдите в систему под локальной учетной записью.

'2. С помощью служебной программы Nltest установите следующие флаги Net Logon (Сетевой вход в систему):

Nltest /dbflag:0x2000ffff 3. Выполните следующую команду:

nltest /sc_reset :<имя_домена,_к_которому_по_Вашему_мнению^относится_компыотвр> Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 В файле %#stem.Roo%\debug\netlogon.log описаны причины невозможности ус тановить защищенный канал. Одна из них Ч неготовность SYSVOL на данном компьютере. Соответствующая запись об ошибке в Netlogon.log может иметь следующий вид:

08/30 10:15:19 [MAILSLOT] Returning paused to 'ReskitV since: SysVol not ready Ниже перечислены обычные причины сбоев системы доверительных отношений:

Х No SAM Trust Account Ч отсутствие учетной записи SAM, что обычно вызвано отсутствием учетной записи данного компьютера;

Х Access denied Ч запрещение доступа, вызванное, как правило, несовпадением паро лей доверия. Будьте внимательны с этим типом ошибки: такую же ошибку Вы по лучите, если у Вас нет разрешения на выполнение команд sc_query или sc_reset.

Примечание Частая причина проблем с учетными записями и соответствующими нарушениями в работе защищенных каналов Ч установка компьютеров с одинако выми именами. Обычный способ устранения такой неполадки Ч повторное выпол нение операции присоединения, Вот еще один пример сбоя доверительных отношений между клиентом и контрол лером домена:

nltest /sc_query:reskit Flags: Trusted DC Name Trusted DC Connection Status Status = 1787 Ox54b ERRQR_NOSAM_TRU$T_ACCOUNT The command completed successfully В данном случае клиент полагает, что он присоединен к домену, однако не может найти свою учетную запись на контроллере домена.

Подробнее о доверительных отношениях Ч в главе 1 Логическая структура Active Directory.

Средства диагностики доверительных отношений Служебная программа командной строки Nltest позволяет проверить состояние доверительных отношений, а также соединения и трафик между сетевым клиентом и контроллером домена. Nltest выявляет наличие защищенного канала подключе ния к контроллеру домена клиентов под управлением как Windows 2000, так и Windows NT. Эта служебная программа также помогает находить домены и сайты, а также получать полный список всех доступных контроллеров домена и серверов глобального каталога. Кроме того, она позволяет узнать все контроллеры доменов, доступные для конкретного пользователя, а также получать сведения о нем.

Чтобы при поиске контроллера клиентом под управлением Windows 2000 не при менялись сведения из кэша, при вызове Nltest нужно задать параметр /force:

nltest /dsgetdc:<имя_требуемого_домена> /force Примечание Команда Nltest /dsgetdc: используется для запуска локатора, то есть параметр /dsgetdc:<имя_требуемого_домена> заставляет программу искать кон троллер заданного домена, a /force запрещает использовать сведения из кэша. Мож но также задавать параметры /gc или /pdc, чтобы искать глобальный каталог или эмулятор PDC, соответственно. При поиске глобального каталога требуется задать имя дерева, то есть DNS-имя корневого домена.

Служба каталогов Active Directory 368 ЧАСТЬ Возвращение ошибки ERROR_NO_IjOGON_SERVERS при проверке защищенно го канала с использованием Nltest обычно свидетельствует о том, что невозможно найти контроллер заданного домена. Чтобы проверить доступность контроллера домена, необходимо выполнить команду nltest /dsgetdc: <ы.мя_д<шена>. Если кон троллер недоступен, проверьте регистрацию в DNS и сетевые соединения.

Подробнее о подтверждении регистрации в DNS в разделе Разрешение имен далее в этой главе.

Ниже показан пример неудачной попытки найти контроллер определенного домена:

nltest /SC_QUERY:resklt Flags: Trusted DC Name Trusted DC Connection Status Status = 1311 Ox51f ERROR_NQ_LOGON_SERVERS The command completed successfully Следующий пример иллюстрирует неудачную попытку найти контроллер указан ного домена с применением параметра /dsgetdc:

nltest /dsgetdc:reskit /force DsGetDcName failed: Status = 1355 Ox54b ERROR_NO_SUCH_DOMAIN Ниже приведен пример удачной попытки найти контроллер определенного домена:

nltest /dsgetdc:reskit /force DC: \\server Address: \\172.16.132. Dom Guid: Ca21b03b-6dd3-11d1-8a7d-b8dfb156871f Dom Name: reskit Forest Name: reskit.com DC Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS.FOREST CLOSE_SITE The command completed successfully Неполадки сервера DHCP Чтобы определить, не является ли сервер DHCP причиной неполадок, необходимо освободить IP-адрес компьютера, перезапустить DHCP и затем восстановить этот адрес. Эти действия выполняются следующей последовательностью команд:

ipconfig /release net stop dhcp net start dhcp ipconfig /renew Если после этой операции клиенту все равно не удается создать соединения с кон троллером домена (даже при условии корректности IP-адреса), следует изучить след попытки соединения в анализаторе пакетов в сетевом мониторе.

Подробнее о DHCP Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows Server* (Русская Редакция, 2001). Подробнее о сервере DHCP - в справочной системе Windows 2000 Server.

Использование сетевого монитора для анализа неполадок сетевого обмена Анализатор пакетов в Network Monitor (Сетевой монитор) помогает отследить весь (входящий и исходящий) трафик компьютера;

также как трафик к и от сервера DHCP, ответственного за выпуск IP-адресов. В составе Windows 2000 Server постав Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА ляется лоблегченная версия анализатора. Полная версия, позволяющая использо вать все возможности сетевого монитора, включена в состав Microsoft Systems Management Server.

^ Установка сетевого монитора 1. Щелкните кнопку Start (Пуск), затем Ч Settings (Настройка) и затем Ч Control Panel (Панель управления). В окне панели управления дважды щелкните зна чок Add/Remove Programs (Установка и удаление программ).

В диалоговом окне Add/Remove Programs (Установка и удаление программ) 2.

щелкните кнопку Add/Remove Windows 2000 Components (Добавление и уда ление компонентов Windows).

В мастере компонентов Windows выберите Management and Monitoring Tools 3.

(Средства управления и наблюдения), а затем щелкните кнопку Details (Состав).

4. В диалоговом окне Management and Monitoring Tools (Средства управления и наблюдения) установите флажок Network Monitoring Tools (Средства сетевого монитора) и щелкните ОК.

5. Если запрашиваются дополнительные файлы, вставьте компакт-диск Windows Server или укажите путь к расположению этих файлов на компьютере или в сети.

После установки полной версии сетевого монитора Вы можете перехватывать и просматривать все пакеты в сети. Сетевой монитор изолирует сетевой уровень, на котором произошел сбой, и позволяет определить причину неисправности.

Примечание Сетевой монитор следует запускать на компьютере с неполадками со единения или на другом компьютере, присоединенном к этому же концентратору.

Подробнее о сетевом мониторе Ч в книге Сопровождение сервера. Ресурсы Mic rosoft Windows 2000 Server (Русская Редакция*, 2001).

Анализатор пакетов сетевого монитора отслеживает весь сетевой обмен, что позволяет быстро просмотреть его и установить причину сбоев. Например, если сбой регулярно повторяется, отслеживаемые (или перехватываемые) анализатором пакеты дают воз можность определить конкретную операцию, вызывающую сбой. Анализатор предос тавляет сведения о скорости операций, источнике трафика, наличии отброшенных па кетов и позволяет выяснить, не отключаются ли процессы по таймауту.

Пример наблюдения за сетевым трафиком Обычно для наблюдения за сетевым трафиком сетевой монитор устанавливается на рабочем компьютере. Если компьютеры присоединены к одному концентратору, Вы сможете анализировать пакеты всех остальных компьютеров сети. Например, чтобы наблюдать за другим компьютером, достаточно узнать его адрес (в виде ад реса Ethernet) и добавить его в список компьютеров, за которыми Вы наблюдаете.

Теперь Вы сможете контролировать этот компьютер, отбирая (отфильтровывая) его пакеты из данных, предоставленных анализатором.

Примечание Если требуется присмотреть весь трафик (как IP, так и IPX), для от бора пакетов нужно использовать Ethernet-адрес (а не адрес IP), так как задержки могут быть вызваны межпротокольными преобразованиями.

Завершив сбор данных об интересующем Вас компьютере, стоит установить дру гой фильтр (другое правило отбора пакетов).

Служба каталогов Active Directory 370 ЧАСТЬ Пример наблюдения за кадрами протокола динамического обновления DNS с применением сетевого монитора Windows 2000 позволяет клиентам регистрировать записи в DNS автоматически при условии, что серверы DNS настроены соответствующим образом. В следующем примере показан перехваченный кадр клиентский запрос па динамическое обнов ление сервера DNS.

Pages: | 1 | ... | 6 | 7 | 8 | 9 | 10 | ... | 18 |

Книги, научные публикации

Blog

Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000 ...