Книги, научные публикации Pages:     | 1 |   ...   | 7 | 8 | 9 | 10 | 11 |   ...   | 18 |

Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000 ...

-- [ Страница 9 ] --

DNS: Ox1B:Dyn ijpd UPD records to MYSERVER.mycorp.com. of type Host Addr DNS: Query Identifier = 27

DNS: Update Zone Name: fnycorp.com.

DNS: Update Zone Type = Start of zone of authority DNS: Update Zone>

for any(2 records present) DNS: Resource Record: HYSERVER.mycorp.com. of type Host Addr on>

DNS: Resource Type = Host Address DNS: Resource>

DNS: Resource Record: MYSERVER.mycorp.com. of type Host Addr or>

DNS: Resource Name: MYSERVER.mycorp.com.

DNS: Resource Type = Host Address DNS: Resource>

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Ниже показаны эти четыре бита:

DNS: Ox17:Std Qry for mycorp.com. of type SOA on>

DNS: Query Identifier = 23 (0x17) DNS: DNS Flags = Query, OpCode - Std Qry, RD Bits Set, RCode - No error DNS: 0 - Query DNS:. 0101 = Reserved [значение 5 (0101) - это запись динамического, обновления DNS] DNS: О - Server not authority for domain DNS: 0 = Message complete DNS: 1 = Recursive query desired DNS: 0 = No recursive queries DNS: 000 = Reserved DNS: 0000 = No error В этом кадре также имеется запись, которая будет внесена в DNS:

DNS: Authority Section: HYSERVER.mycorp.com. of type Host Addr on>

DNS: Resource Name;

MYSERVER.mycorp.com.

DNS: Resource Type = Host Address DNS: Resource>

Х интерфейс сетевого монитора контекстно-зависим, то есть изменяется в зависи мости от контекста;

Х панели инструментов сущестиешю облегчают работу в окне сетевого монитора;

Х поведение меню изменяется в зависимости от того, какое окно выбрано Capture Window или capture window;

Х собираемые данные можно сохранить в виде файла с расширением.cap для по следующего анализа;

Х фильтры разрешается сохранять и быстро перезагружать;

Х сетевой монитор способен отображать время предыдущего кадра (это иногда требуется для анализа быстродействия);

Х если в одном из столбцов указан адрес без имени, для удобства ему можно при своить информативное имя, щелкнув правой кнопкой мыши;

Х разрешается устанавливать различные цвета для каждого из протоколов;

Х в параметрах буфера сбора можно задавать большую длину буферов Ч это полез но, если Вы хотите проанализировать данные за длительный период времени;

Х в протоколе LDAP порт глобального каталога (порт 3268) не рассматривается в качестве порта LDAP. Чтобы задать его как порт LDAP, необходимо добавить следующую строку в разделе ТС Р_Н and off set в файл % SystemRoot%\System32\ NetMon\parsers\tcpip.ini:

3268 = LDAP Х чтобы изменить фильтр, нажмите F8. Оставьте двустороннюю стрелку (<->.) в середине окна. Выберите с одной стороны окна ANY, а с другой имя исследу Служба каталогов Active Directory 372 ЧАСТЬ емого компьютера. Если имени нужного компьютера нет, создайте его, выбери те его МАС-адрес и щелкните ОК. МАС-адрес компьютера Ч это физический адрес адаптера, отображаемый при выполнении команды ipconfig /all (например, OOC092FE1DAA);

Х чтобы включить запись пакетов, передаваемых по сети, нажмите F10. Выполни те операцию, которая вызывает сбой. Перехваченные пакеты отображаются в нижней части окна сетевого монитора. Остановите запись, сохраните файл и присоедините его к отчету о неполадке.

Подробнее о сетевом мониторе - в книге Сопровождение сервера. Ресурсы Mic rosoft Windows 2000 Server (Русская Редакция, 2001). Подробнее о службе DNS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Ре дакция, 2001).

Неполадки редиректора Чтобы определить, является ли редиректор причиной неполадок, выполните в ко мандной строке команду net config rdr.

Эта команда показывает, как настроен редиректор или рабочая станция. Если тта рабочей станции неисправен хотя бы один транспорт, Вы увидите фрагмент, анало гичный приведенному ниже:

Computer name \\Reskit User name Userl Workstation active on NetbiosSmb <000000000000> Software version Windows Workstation domain NTWSTA Logon domain RESKIT COM Open Timeout (sec) COM Send Count (byte) COM Send Timeout (msec) The command completed successfully, Рабочая станция должна обеспечивать хотя бы один вид транспорта, например NetBT Tcpip, как показано ниже:

Computer name \\Reskit User name Userl Workstation active on NetbiosSmb <000000000000> NetBT_Tcpip_{24B6F8FC-OCE6-11D1-8F1A-AOBC38451EB2} (OOC04FD8D37F) Software version Windows Workstation domain NTWKSTA Logon domain RESKIT COM Open Timeout (sec) COM Send Count (byte) COM Send Timeout (msec) The command completed successfully.

Если это не так, то причина неполадок сети кроется либо в редиректоре, либо в транспорте, либо в некорректной самонастройке (РпР). Одна из основных причин отсутствия по крайней мере одного транспорта, связанного с редиректором или ра бочей станцией, Ч конфликт одинаковых имен.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Примечание Иногда наблюдается задержка при попытке подключения к сетевыми ресурсами из системы с несколькими редиректорами. Такая задержка появляется только при первой попытке подключения.

Подробнее о редиректоре Ч на Web-странице Web Resources по адресу windows.microsoft.com/windows2000/reskit/webresources, ссылка Microsoft Platform SDK.

Разрешение имен Если после проверки и настройки сетевых соединений все равно не удастся свя заться с Active Directory, то, вероятно, причина сбоя Ч в неверном разрешении имен. Невозможность связаться с другими компьютерами или сетевыми ресурсами иногда вызывается некорректным преобразованием доменных имен DNS в IP-адреса.

В этом разделе мы рассмотрим служебные программы для диагностики неполадок, покажем примеры сбоев разрешения имен и предложим способы их устранения.

Первое, что надо сделать при выявлении и диагностике неполадок разрешения имен Active Directory, исследовать, как компьютеры под управлением Windows регистрируют имена и находят контроллеры домена.

Нужно убедиться, что при запуске контроллер домена под управлением Win dows 2000 регистрирует два типа имен:

Х доменное имя DNS в службе DNS;

Х NetBIOS-имя в WINS или в другой службе, поддерживающей NetBIOS (лри условии, что компьютер должен поддерживать NetBIOS).

Среди записей DNS, регистрируемых контроллерами домена, Ч записи SRV, А, а также CNAME Ч они идентифицируют местоположение контроллера домена в дан ном домене и в лесе.

В момент входа в домен компьютер под управлением Windows 2000 выполняет две операции:

Х запрашивает DNS, пытаясь найти контроллер домена для проверки подлинно сти (при условии, что имя домеиа представлено в формате DNS);

Х отсылает запрос на розыск контроллера данного домена (при условии, что имя домена - имя NetBIOS).

В случае успешного поиска сведения о контроллере домена кэшируется, поиск пре кращается и используются данные из кэша.

Подробнее о локаторе и поиске контроллеров домена Ч в главе 3 Разрешение имен в Active Directory.

Теперь надо выяснить, удается ли обнаружить имена и адреса сетевых ресурсов с помощью команды ping или net use. Ответ на этот вопрос позволяет определить, правильно ли разрешаются имена контроллеров домена службой DNS.

Если ответ отрицательный, Вам придется продолжить исследования: сначала Вы проверите конфигурацию DNS, а йотом убедитесь в правильности регистрации имен DNS.

В следующих разделах мы познакомим Вас с несколькими служебными программи из состава Windows 2000 Server Resource Kit, которые помогут Вам выполнить ди агностику, чтобы устранить неполадки при разрешении имен.

Служба каталогов Active Directory 374 ЧАСТЬ Согласованность и регистрация в DNS Рекомендуется после установки Active Directory убедиться, что записи DNS о ре сурсах контроллера домена сохранены на сервере DNS. Внесение таких записей называется регистрацией.

Существуют два различных вида регистрации: для компьютера записей А и PTR, и для контроллера домена записей SRV, Л и CNAME па сервере DNS. Рекомендуется проверять оба вида регистрации.

Примечание Если записи DNS не зарегистрированы на сервере DNS, никакому ком пьютеру или пользователю не удастся найти контроллер домена. Сообщения об ошибках, связанных с отсутствием регистрации компьютера в DNS, доступны для просмотра в системном журнале в оснастке Event Viewer (Просмотр событий), Требуется проверить, выполняет ли служба Net Logon (Сетевой вход в систему) регистрацию при своем запуске и перезапуске контроллера домена. Эта служба каж дый час отсылает в DNS запросы на динамическое обновление записей SRV, А и CNAME для обеспечения их постоянного присутствия на сервере DNS. Как указа но в RFC 2136, протокол динамического обновления DNS добавлен к стандарту DNS недавно и предназначен для динамического внесения на сервер DNS новых или измененных записей.

Все контроллеры дометта под управлением Windows 2000 должны использовать в качестве локатора службу DNS. Каждый такой контроллер динамически регистри рует в DNS записи служб (SRV), что позволяет находить серверы по типу службы (в нашем примере, LDAP) и по протоколу (например, TCP или UDP). Кроме запи сей SRV, относящихся к LDAP, служба входа в систему регистрирует записи для протокола проверки подлинности KerberosV5, что позволяет найти серверы, на которых работает центр распространения ключей (Key Distribution Center, КОС).

В зонах, интегрированных с Active Directory, сервер DNS хранит все записи в этой зоне Active Directory. Возможно, запись в Active Directory обновлена, но еще не реп лицирована на все серверы DNS, загружающие эту зону. В этом случае возникают неполадки, связанные с нарушением согласованности. По умолчанию все серверы DNS, на которые загружаются зоны из Active Directory, регулярно опрашивают службу каталогов (обычно каждые пять минут) и вносят все появившиеся измене ния в зоне в каталог. В большинстве случаев обновление DNS занимает не более минут;

но включает репликацию на все серверы DNS доменного окружения Active Directory с заданными по умолчанию параметрами переноса по надежным высоко скоростным линиям связи. Таким образом, очень важно обеспечить согласованность данных интегрированной зоны. В Windows 2000 согласованность DNS так же важ на, как и согласованность WINS в Windows NT 4.0, как службы, обеспечивающей вход в систему и поддержку доверительных отношений.

Служебные программы, используемые для диагностики и устранения неполадок DNS В этом разделе рассмотрены служебные программы, полезные для устранения не исправностей службы DNS.

Оснастка Event Viewer i Журнал событий сервера DNS в административной консоли Event Viewer (Про смотр событий) - одно из основных средств используемых для определения при Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 чин сбоек в разрешении имен DNS. Сообщения сервера DNS размещены в панке DNS Server, а клиента DNS Ч н папке System Log (Журнал системы). Подробнее о DKS Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

В журналах событий регистрируются неполадки п операционной системе Win dows 2000 и службах (в том числе DNS). Поэтому можно попытаться обнаружить в них сообщения о событиях, относящихся к DNS.

^ Запуск Event Viewer (Просмотр событий) Х Щелкните кнопку Start (Пуск), затемЧ Programs (Программы), Administrative Tools (Администрирование) и затем Ч значок Event Viewer (Просмотр событий).

Щелкните значок DNS Server для просмотра сообщений сервера или щелкните System Log (Журнал системы) для просмотра сообщений клиента DNS, Подробнее об оснастке Event Viewer Ч R справочной системе Microsoft Windows 2000.

Если в журнале системы для клиента есть записи об ошибках DNS, это означает, что у данного клиента появились проблемы с динамическим обновлением записей DXS. Если в журнале событий имеется сообщение об ошибке 5781 службы входа в систему для определенного контроллера домена, это также обычно указывает на не поладки в динамическом обновлении DNS. Методы устранения этих ошибок опи саны далее в этой главе, Использование Nslookup для разрешения имен Служебную программу Nslookup используют для запросов DNS и изучения содер жания файлов зоны на локальных и удаленных серверах. Для запуска этой служеб ной программы в интерактивном режиме и проверки разрешения имен нужно ввес ти в командной строке:

NSLOOKUP При наличии ошибки Вы получите следующее сообщение:

DNS request timed out.

timeout was 2 seconds.

*** Can't find server name for address 172.16.0.0: Timed out Default Server: UnKnown Address: 172.16.0. Ошибку типа л*** Can't find server name for address 172.16.0.0: Timed out можно игнорировать Ч она обычно указывает на то, что отсутствует запись ресурсов ука зателя (PTR) для сервера DNS. Таким образом, если Nslookup не удается найти имя сервера но его IP-адресу, она использует имя Unknown, никак не влияя на Ваши запросы, Подробнее о служебной программе Nslookup - в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Использование Netdiag для проверки регистрации в DNS Netdiag позволяет с помощью нескольких тестов локализовать неисправности сети и соединений. Сбой при разрешении имен, вероятно, вызван неполадками при ре гистрации в DNS или отсутствием согласованности. Чтобы найти причину неис правности, нужно ответить на следующие вопросы:

Служба каталогов Active Directory 376 ЧАСТЬ Сообщает ли Netdiag о каких-либо ошибках DNS? Например:

DNS test : Failed [FATAL]: The DNS registration for SERVER1 in reskit.com is incorrect on all DNS servers.

или DNS test : Failed [FATAL] No DNS servers have our DNS records for this DC registered Обнаружив такую ошибку, воспользуйтесь предложенными в данном разделе ме тодиками устранения неполадок при регистрации в DNS.

Примечание Наилучшее средство для проверки регистрации DNS в домене Ч ко манда netdiag /debug. Эту команду необходимо выполнить на всех контроллерах домена.

Для обновления всех арендованных в DHCP адресов и перерегистрации имен DNS для компьютеров используется команда ipconfig /registerdns. Для обновления и пе ререгистрации имен DNS для контроллеров доменов нужно остановить, а затем перезапустить службу входа в систему. По умолчанию эта служба автоматически, каждый час перерегистрирует имена DNS. Подробнее о DHCP - в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Использование DNSCMD для проверки согласованности Dnscmd.exe Ч служебная программа, применяемая для изучения свойств серверов DNS, зон и записей ресурсов. Для сбора сведений о конфигурации сервера DNS, в том числе и данных о статистике производительности, используйте Dnscmd или консоль администратора DNS.

Dnscmd также применяется для ручной настройки свойств сервера DNS, создания и удаления зон и записей ресурсов, а также для вынужденной репликации между физической памятью сервера DNS и базой данных DNS и файлами данных, Подробнее о Dnscmd.exe Ч в справочной системе Microsoft Windows 2000 Resource Kit на прилагаемом к книге компакт-диске.

Неполадки службы DNS Возможны три основные типы неполадок:

Х пользователь не может войти в систему;

Х в процессе работы мастера установки Active Directory возникают проблемы с розыском работающего контроллера домена в существующем лесе или домене;

Х одному контроллеру домена не удается найти другой контроллер домена.

Проверка существующей конфигурации DNS Поскольку для поиска сетевых ресурсов в Active Directory используется DNS, важ но убедиться, что эта служба настроена должным образом. Подробнее о настройке DNS Ч в главе 3 Разрешение имен в Active Directory. Однако прежде выясните следующее:

Х проверили ли Вы конфигурацию клиента DNS;

Х проверили ли Вы конфигурацию сервера DNS;

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА Х убедились ли Вы, что все необходимые записи зарегистрированы в DNS и реп лицированы на все серверы DNS?

До проверки конфигурации сервера DNS и наличия записей убедитесь в верности параметров клиента DNS.

^ Проверка параметров клиента DNS 1. Щелкните правой кнопкой мыгаи значок My Network Places (Мое сетевое ок ружение) и в контекстном меню выберите Properties (Свойства).

2. Щелкните правой кнопкой мыши соединение, которое требуется настроить на сервере DNS, и в контекстном меню выберите Properties (Свойства).

3. Щелкните Internet Protocol (TCP/IP) [Протокол Интернета (TCP/IP)], а за тем Ч Properties (Свойства).

4. На странице Internet Protocol (TCP/IP) Properties [Свойства: Протокол Ин тернета (TCP/IP)] введите IP-адрес существующего сервера DNS в поле Pre ferred DNS server (Предпочитаемый DNS-сервер). Добавьте IP-адрес дополнитель ного сервера DNS в поле Alternate DNS server (Альтернативный DNS-сервер).

5. Если требуется определить более одного дополнительного сервера DNS, щелк ните Advanced (Дополнительно), перейдите на вкладку DNS и введите имена дополнительных серверов в поле DNS server addresses (Адреса DNS-серверов, в порядке использования).

Утилиту командной строки Ipcontig применяют и для изучения параметров конфи гурации клиентов DNS, просмотра и сброса кэша, используемого для локалышй обработки запросов на разрешение имен DNS, а также для регистрации записей ре сурсов в процессе динамического обновления клиента. Запущенная без параметров, Ipcont'ig отображает сведения о DNS-парамстрах каждого из адаптеров, в том числе имя домена и используемые им серверы DNS. В таблице 10-1 приведены некото рые параметры командной строки для Ipconfig.

Таблица 10-1. Параметры командной строки программы Ipconfig Команда Действие ipconfig /all Выводит полные сведения о DNS, в том числе полное имя узла (Fully Qualified Domain Name, FQDN) и список поиска по DNS суффиксу ipconfig /flushdns Сбрасывает содержимое кэша распознавателя (resolvcr) имен кли ентов DNS ipconfig /displaydns Выводит содержимое кэша распознавателя имен клиентов DNS ipconfig /registerdns Обновляет текущую конфигурацию DHCP (арендованные адреса) и регистрирует все соответствующие имена DNS. Эту команду применяют только на компьютере со службой клиента DHCP ipconfig /release Освобождает все арендованные адреса в DHCP [адаптер] ipconfig /renew Обновляет все арендованные адреса DHCP и динамически обиов ляет записи DNS. Эту команду используют только на компьютере [адаптер] со службой клиента DHCP Служба каталогов Active Directory 378 ЧАСТЬ Примечание Кроме как посредством Ipconfig, сбросить кэш можно, остановив и пе резапустив службу клиента DNS. Подробнее об очистке кэша Ч в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Убедившись, что клиент корректно папранляет запросы на основной и дополнитель ный (альтернативный) серверы DNS7 проворьте, способны ли они разрешать имена рекурсивно. Если, конечно, эти серверы не являются ответственными за имена, за прашиваемые клиентом. Подробнее о рекурсивном разрешении имен в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Убедившись в корректности конфигурации клиентов и способности основного и дополнительного серверов DNS рекурсивно разрешать имена, Вам придется прове рить наличие всех необходимых записей па сервере DNS, В следующем разделе рассмотрен список записей ресурсов, регистрируемых служ бой Net Logon (Сетевой вход в систему), работающей на контроллерах домена.

Проверка регистрации контроллера домена в DNS Кроме записей А и PTR, которые регистрируются для всех компьютеров под уп равлением Windows 2000, контроллеры домена также регистрируют дополнитель ные записи, указывающие на выполняемую ими роль. При каждом запуске (в том числе и при перезапуске контроллера домена) служба входа в систему пытается зарегистрировать часть или все SRV-записи ресурсов. Это показано в следующем примере.

SRV-записи ресурсов регистрируются службой входа в систему, которая вносит соответствующие записи в файл Netlogon.dns, размещенный в папке %System rao%\System32\config.

Примечание Перерегистрировать записи ресурсов (SRV) можно, последовательно выполнив в командной строке дне команды: net stop netlogon и net start netlogon.

Вот пример файла Netlogon.dns:

reskit.com. 600 IN A 172.16.128. _ldap._tcp.reskit.com. 600 IN SRV 0 100 389 SERVER1.reskit.com.

_ldap._tcp.pdc.jnsdcs.reskit.com. 600 IN SRV 0 100 389 SERVER1.reskit.com.

_ldap,_tcp.gc._msdcs.reskit.com. 600 IN SRV 0 100 3268 SERVER1.reskit.com.

_ldap._tcp.708b2ee5-a806-47c4-b6ee-0dbe0e496b36.domains.jusdcs.reskit.com. 600 IN SRV 0 100 389 SERVER1.reskit.com.

gc.jnsdcs.reskit.com. 600 IN A 172.16.128. 11992d81-2208-4ff5-8641-b9c6a644064a.jnsdcs.reskit.com. 600 IN CNAHE SERVER1.reskit.cofn.

_kerberos._tcp.dc._msdcs.reskit.com. 600 IK SRV 0 100 88 SERVER1.reskit.com.

_Ldap._tcp.dc._msdcs. reskit.com. 600 IN SRV 0 100 389 SERVEH1.reskit.com.

_kerberos._tcp.reskit.com. 600 IN SRV 0 100 88 SEHVER1.reskit.com.

_gc._tcp.reskit.com. 600 IN SRV 0 100 3268 SERVER1.reskit.com.

_kerberos._udp.reskit.com. 600 IN SRV 0 100 88 SERVEH1.reskit.com, _kpasswd._tcp.reskit.com. 600 IN SRV 0 100 464 SERVER1.reskit.com.

_kpasswd._udp.reskit.com. 600 IN SRV 0 100 464 SERVER1.reskit.com.

_ldap. J:cp.0efault-First-Site-Name._sites.reskit.com. 600 IN SRV 0 100 SERVER1.reskit.com.

_ldap._tcp.Default-F.irst-Site-Name._sites. gc.jnsdcs. reskit.com. 600 IN SRV 0 100 SERVER1. reskit.com.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.reskit.com. 600 IN SRV О 1СО 88 SERVER1.reskit.com.

_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.reskit.com. 600 IN SRV 0 100 SERVER1. reskit.com.

_kerberos._tcp,Default-First-Site-Name._sites.reskit.com, 600 IN SRV 0 100 SERVER1.reskit.com.

_gc._tcp,DefauH-Flrst-Site-Name._sites. reskit.com. 600 IN SRV 0 100 SERVER1.reskit.com.

Для присоединения к домену используется запись:

_ldap._tcp.dc._msdcs. <существующий_домен,_к_которомуподключается_контроллер_домена> Для подключения к дереву регистрируется запись:

_ldap._tcp.dc._msdcs. <родительский_домен_вновь_созданногодонена_в_сущес7вующем_дереве> Для подключения к лесу создается запись:

_ldap._tcp.dc.Дmsdcs.<корень_леса> Чтобы убедиться, что все соответствующие записи зарегистрированы в DNS, вос пользуйтесь программой Nslookup или консолью управления DNS.

В приведенном ниже примере показано, как средстиами Nslookup проверить нали чие в DXS общих записей домена Reskit.com типа _ldap._tcp.reskit.com (курсивом выделены команды, вводимые с клавиатуры):

nslookup Default Server: dc1.reskit.com Address: 10.0.0. > set type=SRV > _ldap._tcp. reskit. com Server: dd. reskit.com Address: 10.0.0. _ldap._tcp. reskit.com SRV service location:

priority = weight = port - svr hostname - dc1.reskit.com _Ldap._tcp.reskit.com SRV service location:

priority = weight = port = svr hostname - dc2.noam.reskit.com dc1.reskit.com internet address = 10.0.0. dc2.reskit.com internet address - 10.0.0. Примечание Имейте в виду, что для успешной работы локатора клиент должен нср по разрешать не только имена контроллеров домена по SRV-записям ресурсов, но и по записям А (то есть по именам). Обычно такие записи А содержаться в отдель ном разделе ответного сообщения сервера DNS. Если в ответе таких записей нет, воспользуйтесь Nslookup и проверьте их наличие в DNS.

В приглашении nslookup введите имя узла, запись о котором должна быть на сер вере DNS.

Примечание Необходимо, чтобы имя узла завершалось точкой, Служба каталогов Active Directory 380 ЧАСТЬ Как успешные, так и неудачные результаты запроса могут включать следующие строки (курсивом выделены команды, вводимые с клавиатуры):

> dd. reskit. com.

my_DNS_se rvername Se rve г:

Address: 172.16.0. del.reskit.com Чате;

Addresses: 172.31.94. Это означает, что DNS содержит соответствующую запись А и сервер возвращает IP-адрес Ч 172.31.94.18. Далее требуется убедиться, что этот адрес действительно является IP-адресом данного компьютера DC1. Для этого достаточно на компьюте ре DC1 выполнить команду ipconfig, которая возвратит его реальный IP-адрес, или запустить программу Nbtstat следующим образом:

NbtStat -A 172.31,94.18.

Служебную программу Nbstat мы рассмотрим более подробно далее в этой главе, Обнаружив, что некоторые из записей, которые должны присутствовать, не зареги стрированы, устраните неполадки в регистрации записей DNS.

Устранение неполадок при регистрации записей DNS При сбоях в регистрации записей DNS необходимо проверить конфигурацию кли ента DNS на контроллере домена и конфигурацию зоны, полномочной для регист рируемых записей.

Проверка регистрации записей компьютера в DNS Для диагностики и устранения неполадок Вам надо выполнить определенную по следовательность действий.

Х Проверьте, нет ли каких-либо сообщений об ошибках в DNS и в службе Net Logon (Сетевой вход в систему) в журнале системных событий (System Log).

Войдите с компьютера, ответственного за регистрацию записей.

Х Запустите Netdiag и посмотрите, нет ли в выводимых сообщениях слова [FATALJ. Подробнее об использовании Netdiag Ч в разделе Сетевые соедине ния ранее в этой главе.

Х Проверите, есть ли у какого-либо сервера DNS зона, полномочная для регист рируемого имен,и и поддерживает ли она динамическое обновление:

Х Подключитесь к серверу DNS и откройте консоль DNS. Проверьте наличие дан ной зоны на сервере DNS: щелкните правой кнопкой мыши имя зоны и в кон текстном меню выберите Properties (Свойства). В окне свойств перейдите на вкладку General (Общие). Проверьте поле со списком Allow Dynamic Update (Динамическое обновление) и убедитесь, что оно установлено в No (Мет). Вы берите закладку Start of Authority (SOA) (Начальная запись зоны) и проверьте поле Primary server (Основной сервер), а также убедитесь, что в поле основно го сервера отображено верное полное имя домена (FQDN). Подробнее о поле основного сервера, SOA (Start of Authority начальная запись зоны) и зонах в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Ре дакция, 2001).

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Х Убедитесь, что у регистрируемого компьютера правильно сконфигурированы основной и дополнительный (альтернативный) серверы DNS.

Х Закройте страницу свойств и удостоверьтесь, что DNS содержит правильную запись А об FQDN-имени.

Х Проверите конфигурацию основного и дополнительного серверов DNS. Подроб нее об основном и дополнительном серверах DNS Ч в книге Сети TCP/IP. Ре сурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Х Если эти серверы не являются уполномоченными для этих имен, убедитесь, что они способны разрешать их рекурсивно. Подробнее о том, как проверять, спо собны ли основной и дополнительные серверы рекурсивно находить уполномо ченный сервер DNS, в книге Сети TCP/IP. Ресурсы Microsoft Windows Server (Русская Редакция, 2001), Успешное выполнение всех указанных операций гарантирует получение сервером DNS динамических обновлений от клиентов. Теперь Вы можете перейти к проце дурам следующего раздела.

Устранение неполадок динамического обновления Описанные ниже операции выполняются, если при динамическом обновлении за пись ресурса не регистрируется должным образом.

Х Если клиент не настроен на работающий и доступный сервер DNS (для получения списка серверов, на которые настроен клиент, выполните команду ipconfig/all), из мените список серверов DNS. Для этого щелкните правой кнопкой мыши зна чок My Network Places (Мое сетевое окружение) и в контекстном меню выбе рите Properties (Свойства). Щелкните правой кнопкой мыши Local Area Connections (Подключение по локальной сети) и в контекстном меню выбери те команду Properties (Свойства). Щелкните Internet Protocol (TCP/IP) (Про токол Интернета (TCP/IP)), а затем Properties (Свойства). Измените спигок сервера DNS. Щелкните Use the following DNS server addresses (Использовать следующие адреса DNS-серверов) и затем введите действительные серверы DNS.

Принудительно перерегистрируйте клиент, R котором выявили неполадки, вы полнив команду:

ipconfig /registerdns Х Подождите приблизительно пять минут, после чего проверьте, нет ли к оснастке Event Viewer (Просмотр событий) каких-либо сообщений о неполадках в DNS.

Х Проверьте, работает ли динамическое обновление зоны полномочной для име ни клиента, осуществляющего попытку обновления. Воспользуйтесь Netdiag, чтобы выяснить, устранены ли неполадки в регистрации.

Примечание Достаточно, чтобы запись DNS была верно зарегистрирована всего лишь на одном сервере DNS. На других серверах DNS она может отсутствовать вследствие задержки распространения.

Подробнее об обычном и безопасном динамическом обновлении в книге Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Служба каталогов Active Directory 382 ЧАСТЬ Устранение неполадок DNS ] [ривсденньте далее советы помогут (Зам диагностировать вероятные проблемы с DNS.

Х Чтобы исключить другие причин])], проверьте, является ли основной DNS-cep вср :-юны основным сервером DNS динамического обновления для клиента.

Это не критично для выполнения динамического обновления, но, если клиент настроен на основной сервер, отличный от основного DNS-сервера зоны, непо ладка может Гштъ вызвана другими причинами, например сбоем соединения между этими серверами или длительным рекурсивным поиском основного сер вера зоны. Чтобы исследовать параметры основного DNS-сервсра для клиента, проверьте IP-адрес, указанный в свойствах его сетевого подключения по TCP/IP, или выполните команду ipconfig /all. Для зоны, интегрированной с каталогом, осуществлять обновление может любой сервер DNS, содержащий копию такой зоны.

Х Проверьте, настроена ли зона для поддержки безопасного динамического обнов ления.

Даже если зона поддерживает такое обновление, оно может оказаться неудач ным, если не выполняются требования по безопасности для зоны или записи или если у клиента пет права владения регистрируемым именем. Подробнее о причине неисправности можно узнать в окне Event Viewer (Просмотр событий) клиента.

Подробнее о безопасном динамическом обновлении в книге Сети TCP/IP.

Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Х Для повышения быстродействия в клиентской части службы DNS используется кэтп, поэтому если регистрируемые данные (например, IP-адрес или запись А) изменялись недавно, время жизни (Time to Live, TTL) кэша не истекло и служ ба может продолжать пользоваться устаревшими данными из кэша. Чтобы уст ранить подобную причину, стоит очистить или остановить кэш командами ipconfig/flushdns или net stop dnscache соответственно. Рекомендуется очищать кэш командой ipconfig /flushdns, которая сбрасывает кэш распознавателя DKS.

Существуют два способа отключения кэширования в распознавателе (revolver) DNS.

Х Выполнить в командной строке команду net stop dnscache. Это отключит упорядочение серверов DNS и поддержку адаптеров, поддерживающих тех нологию РпР. В результате разрешение имен будет выполняться по механиз му Windows NT 4.0;

Х Установить в нуль значение параметра MaxCacheEntryTtlLlmit типа REG_DWORD в разделе HKEY LOCAL _MACHINE\System\Current ControlSet\Services\DnsCache\Parameters\. Он определяет верхний предел времени кэширования результатов успешного запроса. Такая операция га рантировано устраняет кэширование всех записей ресурсов, но не отключает упорядочение сервера DNS и сохраняет поддержку РпР-адаптеров.

Подробнее о DNS - в книге Сети TCP/IP. Ресурсы Microsoft Windows Server (Русская Редакция, 2001).

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Проблемные IP-адреса Иногда требуется проверять действительность IP-адреса, возвращенного командой ipconfig. Например, желательно проверять, не возвращен ли адрес 0.0.0.0, что ука зывает на недоступность сервера DHCP и на то, что статический ТР-адрес не на значен.

Определение метода разрешения имен (DNS или WINS) К сожалению, в случае неудачи ping не предоставляет никаких сведений о причине отказа. Она может крыться в сбое разрешения имен (DKS или WINS) или в не ю ладках соединений. Но даже успех применения ping никак не гарантирует коррект ности возвращенного DNS или WTNS IP-адреса Ч вполне возможно, что этот же адрес используется другим сервером. Подробнее о разрешении имей в WINS - - в справочной системе Windows 2000 Server.

Существует ряд способов определить пути разрешения имен.

Х Если приложение вызывает API-функцию gethostbyname (функция, применяе мая в Internet Explorer), то R первую очередь используется разрешение имен DNS, и только после его неудачи система обращается к WINS. Имя, передавае мое в Net ВТ, имеет вид лимя ^компьютера <ОхОО>;

такое же имя применяет команда nbtstat -а <имя_компьютера> при попытке его разрешения. Подроб нее о программе Nbtstat в следующем разделе.

Х В запросах файловой системы (например, запросы, обрабатываемые редиректо ром, - net view, net use и т.п.) разрешение имен в DNS и WINS выполняется параллельно. Однако имя, разрешаемое NetBT, имеет вид лимя^компъттера <0х20>. Подробнее о NetBT в следующем разделе.

Х Очистите и выведите па экран содержимое кэша DNS и WINS:

Для очистки кэша DNS выполните команду ipconfig /flushdns, а для WINS nbtstat -R. Далее используйте команду ping. Для вывода кэша DNS применяет ся команда ipconfig /displaydns, а в W I N S Ч nbtstat -с.

Выявление неполадок при разрешении имен в NetBIOS Один из самых простых способов проверить правильность соответствия IP-адреса и NetBIOS-имени Ч применить утилиту Nbtstat, отображающую статистику про токола и ТСР/1Р-сосдипений, использующих NBT (NetBIOS поверх TCP/IP).

Примечание Параметры Nbtstat чувствительны к регистру. Например, nbtstat-А выводит таблицу имен удаленного компьютера но его IP-адресу, a nbtstat -a - по имени компьютера.

Далее перечислены неполадки, возникающие при разрешении t-тмен NetBIOS.

Х Удается применить ping для другого компьютера, однако Nbtstat считает, что это не искомый компьютер. Это может означать сбой сопоставления адресов и имен.

(Результат Nbtstat отменяет результат ping.).

Х Неудача в применении ping для другого компьютера с ошибкой Bad IP Ad dress (неверный IP-адрес) - указывает на невозможность найти имя, Х 11еудача в применении ping для другого компьютера с ошибкой Request timed out (таймаут запроса) - свидетельствует о сбое либо в разрешении имен, либо о неполадках соединений, либо о нерабочем состоянии сервера, 384 ЧАСТЬ 1 Служба каталогов Active Directory Извлечение IP-адресов из таблицы удаленных соединений кэша NetBIOS Для решения поставленной задачи можно применить команду nbtstat-c, которая извлекает IP-адреса, хранящиеся в таблице удаленных соединений NetBIOS/TCP, и отображает последние разрешенные имена NetBIOS.

^ Извлечение IP-адреса из таблицы удаленных соединений NetBIOS/ TCP средствами Nbtstat Х В командной строке введите:

nbtstat -с Параметр -с вызывает из NetBIOS /TCP перечень кэша имен удаленных компь ютеров и их IP-адресов.

В таблице 10-2 приведен пример списка последних разрешенных имен NetBIOS.

Таблица 10-2. Кэш удаленных соединений NetBIOS /TCP Тип Адрес узла Время жизни, с Имя User2 <20> UNIQUE 172.31.228.117 User2 172.31.226. <00> UNIQUE PRINT 172.31.64. <2I)> UNIQUE RESKIT <1C> GROUP 172.31.128.9 1Ю Внимание! В таблице 10-2 приводятся значения из кэша NetBIOS/TCP, а не DNS.

Если разрешение имен проводится посредством WINS, нужно очистить кэш.

^ Очистка кэша NetBIOS/TCP с помощью Nbtstat Х В командной строке введите:

nbtstat -R Использование Nbtstat для проверки правильности IP-адреса NetBIOS-имени Команда для проверки правильности IP-адреса имени NetBIOS:

nbtstat -A В результате отобразится таблица имен узла, отсортированная по ТР-адресам.

В следующей процедуре предполагается, что уже выполнен ping домена RESKIT и получен его ГР-адрес - 172.16.80.200.

^ Проверка правильности IP адреса для NetBIOS-имени средствами Nbtstat Х В командной строке введите:

nbtstat -А <1Р-адрес> (например, 172.16.80.200) параметр -А предназначен для вывода таблицы имен удаленных компьютеров но IP-адресу. В таблице 10-3 перечислены NetBIOS-имена удаленных компьютеров.

Таблица 10-3. NetBIOS-имена удаленных компьютеров Гил Состояние SERVER1 <00> UNIQUE Зарегистрирован RESKIT <00> GROUP Зарегистрирован RESKIT GROUP Зарегистрирован Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Таблица 10-3. (продолжение) Имя Тип Состояние SERVE R1 <20> UNIQUE Зарегистрирован RESKIT <1B> UNIQUE Зарегистрирован RESKTT <1E> GROUP Зарегистрирован SERVER1 <03> UNIQUE Зарегистрирован RESKIT <1D> UNIQUE Зарегистрирован MS BROWSE <01> GROUP Зарегистрирован INct- Services <1C> GROUP Зарегистрирован IS- SERVER! <00> UNIQUE Зарегистрирован Команда nbtstat -А также разрешает IP-адреса в МАС-адреса.

MAC Address = 08-00-2B-B9-FE-7C Обратите внимание на регистр параметра;

-А выводит таблицу имен узла по его имени. Как использованный ранее ping, так и команда Nbtstat -А указывают, что 172.16.80.200 - IP-адрес домена RESKIT.

Примечание Команда ping -а <1Р-адрес> так же, как и nbtstat -А <1Р-адрес>, зап рашивает в NetBT разрешение IP-адресов в имена, но выводит только имена, В таблице 10-3 расшифрованы типы имен NetBIOS, указанных в таблице 10-4, Таблица 10-4. Расшифровка типов имен NetBIOS Имя Тип Назначение Рабочая станция 00 Unique пи Домен Group Служба сообщений Unique 1)!

Основной браузер Group Li Имя входа в систему/Имя компьютера/Служба сообщений Unique.".) Сервер Unique Group Lotus Mores IF ',:;

tiro up Lotus Notes и: Основной браузер домена Unique Groiip Контроллеры доменов И Group Выбор браузера !!Х Примечание Групповые имена можно опускать (обычно доменные имена или име на рабочих групп).

Выявление неполадок NetBT средствами сетевого монитора Ниже приведены примеры неудачных и успешных запросов и ответов NetBT. Изу чать эти запросы и ответы при выявлении неполадок при разрешении имен реко мендуется, применяя NetBIOS поверх TCP/IP. Для выполнения запросов Nei:BT используется команда nbtstat -А <1Р-адрес>.

Служба каталогов Active Directory 386 ЧАСТЬ Вот пример успешного запроса NBT:

+ Frame: Base frame properties + ETHERNET: ETYPE = 0x0800 : Protocol = IP: DOD Internet Protocol + IP: ID = OxF421;

Proto = UDP;

Len: + UDP: Src Port: NETBIOS Name Service, (137);

Dst Port: NETBIOS Name Service (137);

Length = 58 (ОхЗА) NBT: NS: Query req. for BQGUSNAME <00> NBT: Transaction ID = 37902 (Ox940E) NBT;

Flags Summary = 0x0100 - Req.;

Query;

Success NBT: 0 = Request NBT:.0000 = Query NBT: 0 = Non-authoritative Answer NBT: 0 = Datagram not truncated NBT: 1 = Recursion desired NBT: 0 = Recursion not available NBT: 0 = Reserved NBT: 0 = Reserved МВТ: 0.... = Not a broadcast packet NBT;

0000 = Success NBT: Question Count = 1 (0x1) NBT: Answer Count = 0 (0x0) NBT: Name Service Count = 0 (0x0) NBT: Additional Record Count = 0 (0x0) NBT: Question Name = BOGUSNAME <00> NBT: Question Type = General Name Service NBT: Question>

+Х Frame: Base frame properties +Х ETHERNET: ETYPE = 0x0800 : Protocol - IP: DOD Internet Protocol + IP: ID = OxCCFF;

Proto = UDP;

Len: +Х UDP: Src Port: NETBIOS Name Service, (137);

Dst Port: NETBIOS Name Service (137);

Length = 64 (0x40) NBT: NS: Query (Node Status) resp. for BOGVSNAME <00>, Requested name doesn't exist NBT: Transaction ID = 37902

Query;

Requested name doesn't exist NBT: 1 = Response NBT:.0000 = Query NBT: 1 = Authoritative Answer NBT: 0 - Datagram not truncated NBT: 1 = Recursion desired NBT: 1 = Recursion available NBT: 0 = Reserved NBT: 0 = Reserved NBT: 0.... = Not a broadcast packet NBT: 0011 = Requested name doesn't exist NBT: Question Count = 0 (0x0) NBT: Answer Count = 0 (0x0) NBT: Name Service Count = 0 (0x0) NBT: Additional Record Count = 0 (OxOJ NBT: Resource Record Name = BOGUSNAHE <00> NBT: Resource Record Type = Null NBT: Resource Record>

Использование Nbtstat для выявления возможных конфликтов имен NBT Ниже перечислены возможные конфликты имен, обнаруженные при использова нии утилиты Nbtstat.

Х Если возникает конфликт при обращении к имени <00> компьютера с сообще нием о наличии имени-двойника, то наиболее вероятная причина ошибки Ч на личие идентичного имени компьютера типа WORKGROUP. Наилучший способ устранить неполадку переименовать компьютер.

Х Конфликт имен сервера <20>, а также компьютера <00> указывает па наличие в сети компьютера с аналогичным именем. В этом случае нужно выполнить сле дующие операции:

Х найдите компьютер, вызывающий конфликт и обратитесь к его пользовате лю или сами переименуйте его;

Х если конфликт вызывает только имя сервера <20>, проверьте, нет ли в жур нале сообщений о соответствующих ошибках.

Х Конфликт имени сервера входа в систему <03> или имени компьютера <00> означает, что пользователь вошел в систему более чем с одного компьютера.

Ошибки, обусловленные отсутствием имени Далее приведены ошибки, обусловленные отсутствием имени, и советы по их уст ранению.

Х Отсутствие только одного имени компьютера <00> вероятнее всего вызвано наличием имени-двойника. Проверьте окно Event Viewer (Просмотр событий) на предмет ошибок редиректора или переименуйте компьютер.

Х Об отсутствии имени сервера входа в систему <03> иногда сообщается, когда не работает служба Messenger Service (Служба отпраики сообщений). Поищите соответствующие ошибки в окне Event Viewer и попытайтесь выполнить коман ду net start messenger.

Х Если недоступно имя сервера <20> совместно с именем компьютера <00>. то это, вероятно, вызвано конфликтом имен. Поищите соответствующие ошибки в окне просмотра событий и, убедившись в правильности предположения, пере именуйте компьютер.

Неполадки разрешения имен по механизму RPC Ошибки удаленного вызова процедур (remote procedure call, RPC) в общем случае вызваны неполадками либо в соединениях, либо в разрешении имен. Две наиболее обычные причины Ч нерабочее состояние сервера и невозможность разрешения имен.

Примечание Важно понять, какое имя используется приложением для удаленного вызова. Например, репликация Active Directory всегда обращается к другим кон троллерам домена по их так называемым именам на основе GUID. Это имя иаде ет следующий вид: ._ms&cs. Рекомендуется проверить регистрацию имени. Если адресат Ч рядовой сервер, не давно повышенный до роли контроллера домена, возможно, информация об этом еще не достигла всех серверов DNS. Чтобы обнаружить это, выполните Netdiag на соответствующем компьютере.

Служба каталогов Active Directory 388 ЧАСТЬ Чтобы выяснить, не кроется ли проблема в разрешении имен, нужно ответить на два вопроса:

Х удается ли с помощью утилиты NSLookup получить записи А и SRV;

Х есть ли соответствующие сообщения в оснастке Event Viewer (Просмотр событий).

В общем случае ошибка RPC Server not available (сервер RFC недоступен) выз вана проблемами с разрешением имен или регистрацией на контроллере домена, Выполните следующую команду на контроллере домена, а затем на клиентском компьютере:

Netdiag /debug /fix Таким образом Вы обнаружите некоторые конфликты имен или незарегистрирован ные или неразрешенные имена на контроллере домена.

Чтобы программа создала файл результатов, укажите параметр /1. Служебная про грамма Netdiag хранится в каталоге Support па компакт-диске с операционной сис темой Windows 2000 Server.

Ошибки на RFC-сервере Ошибка с сообщением о недоступности RPC-сервера может возникнуть при выпол нении некоторых задач выполняемых сервером. К ним относится:

Х репликация;

Х вход* в систему;

Х создание доверительных отношений;

Х подключение к контроллерами домена;

Х подключение к доверенным доменами;

Х проверка подлинности пользователя, Ошибка RPC server unavailable может быть вызвана следующими причинами:

Х отключена служба удаленного вызова;

Х не удается разрешить имя NetBIOS или DNS;

Х невозможно установить RPC-канал.

^ Устранение ошибки RFC server unavailable 1. На сервере щелкните кнопку Start (Пуск) и выберите Run (Выполнить).

2. В поле Open (Открыть) введите:

net start rpcss 3. Щелкните ОК.

4. Проверьте, повторяется ли ошибка Ч например, проверьте связь с контролле ром домена. Если ошибка повторяется, перейдите к следующему пункту.

Щелкните Start (Пуск) и выберите Run (Выполнить). В поле Open (Открыть) введите:

ping <иня_сервера> где <имя_сервера> Ч зто имя сервера и NetBIOS, DNS- или GUlD-имя, соеди нение с которым требуется проверить. Если при соединении к этим компыоте Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 3B ров происходит сбой, обратитесь к администратору сети. Если ошибка повторя ется, выполняйте следующий пункт.

5. Средствами служебной программы Netdiag проверьте корректность работы кон троллера домена. (Вы можете проанализировать пути пакетов протоколов MSRPC, DNS, NBT, LDAP или TCP.) Если источником неполадок является кон троллер домена, обратитесь к администратору сети. Если ошибка повторяется, перейдите к следующему пункту.

6. Воспользуйтесь программой Netdom для проверки доверительных отношений в сети, сброса или перенастройки соединения с сервером. Если не удается найти контроллер домена, это значит, что сбой происходит на этапе разрешения имен, и в этом случае требуется обратиться к администратору. Успех поиска контрол лера домена свидетельствует о нормальной работе RPC-канала. Служебную про грамму Netdom можно использовать для переустановки соединения или пере ключения на другой сервер.

Проверка LDAP Убедившись в отсутствии неполадок в сети и службе DNS, Вы должны проверить работу интерфейса LDAP.

Примечание Наиболее популярной для диагностики неполадок LDAP является служебная программа Ldp, а вторым по частоте применения Ч сетевой монитор (Network Monitor).

Служебные программы диагностики LDAP Далее перечислены служебные программы, используемые для изучения доступнос ти службы LDAP, а также се способности принимать и отправлять запросы.

Х Ldp. Эта служебная программа командной строки обладает графическим интер фейсом пользователя и позволяет выполнять такие LDAP-операции, как созда ние привязки, поиск, обновление, добавление и удаление в любой службе ката логов, поддерживающих LDAP (например, в Active Directory). Ldp становится доступной после установки служебных программ, которые находятся в папке Support\Tools na компакт-диске с операционной системой Windows 2000 Server.

Чтобы начать установку, надо дважды щелкнуть значок Setup в этой папке. Под робнее о Ldp Ч в справочной системе служебных программ Windows 2000. Ldp можно запустить из командной строки. Окно программы состоит из двух пане лей: левая навигационная панель служит для просмотра и поиска в Active Directory, а в правой выводятся сообщения об LDAP-операциях.

В графическом интерфейсе служебных программ, поставляемых в стандартной версии Windows 2000 Server, отображаются не все свойства объектов Active Directory. Чтобы просмотреть свойства таких объектов,запустите Ldp. Некото рые свойства объектов являются ссылочными Ч так называемыми метаданвы ми. Они содержат сведения о других данных, используемых прикладной про граммой или средой. Ценность Ldp заключается в том, что она позволяет видеть все свойства объектов в службе каталогов. Кроме того, Ldp можно применять для выполнения расширенных операции LDAP.

Служба каталогов Active Directory 390 ЧАСТЬ Примечание Редактор ADSI Edit более подходит для просмотра и модификации значений свойств, так как эта программа отображает объекты в иерархическом представлении и позволяет изменять свойства посредством странитт свойств.

Ldp позволяет выполнить следующие LDAP-операции:

Х создание или снятие привязки к определенному контроллеру домена;

Х добавление объектов в каталог;

Х удаление объектов из каталога;

Х обновление атрибутов объектом;

Х изменение относительного составного имени (relative d i s t i n g u i s h e d name, RDN) объекта;

Х поиск в каталоге с указанием базы поиска и LDAP-фильтра;

Х сравнение значения атрибута объекта с определенным значением;

Х расширенные операции LDAP;

Х просмотр дескриптора безопасности объекта (для выполнения этой функции более удобна ADSI Edit);

Х просмотр метаданных репликации и проверка, были ли объекты обновлены и реплицированы во все контроллеры домена (для выполнения этой функ ции более удобна Repadmin);

Х просмотр определенной масти дерева каталогов;

Х просмотр представленных в графическом виде доменов и контроллеров до менов, включая сведения об их состоянии Ч подключенный (online) или от ключенный (offline).

Подробнее об использования Ldp, ADSI Edit и Repadmin Ч в справочной систе ме служебных программ командной строки Windows 2000 Support Tools, Network Monitor (Сетевой монитор). Сетевой монитор - это анализатор прото колов, используемый для изучения и интерпретации сетевого трафика, поэтому его можно применять для перехвата, регистрации и последующего изучения пакетов протокола LDAP. Подробнее о сетевом мониторе в книге Сопровождение серве ра. Ресурсы Microsoft Windows 2000 Server (Русская Редакция, 2001).

Netdiag. Служебная программа Netdiag используется для проверки таких се тевых компонентов, как LDAP, DNS и т. п. Позволяет запрашивать службу LDAP и проверять корректность подключения, привязки и поиска на контрол лере домена.

Ntdsutil. Служебная программа Ntdsutil служит для задания границ админист рирования, времени отсоединения по тайм-ауту и границ сервера. Подробнее о Ntdsutil Ч в приложении Б Документы RFC, относящиеся к протоколу LDAP.

ADSI Edit. MMC-консоль ADST Edit можно использовать для выполнения LDAP-операций в любом из разделов каталога. Если удается связаться с ката логом посредством ADSI Edit, то LDAP функционирует нормально. Кроме того, оснастки Active Directory можно использовать для проверки доступности и кор ректной работы DNS, уровня ТР и службы каталогов.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Х Сценарии ADSI (ADSI Scripts). Сценарии ADSJ применяются для получения сведений об объектах каталога и для их изменения. Эти сценарии также позво ляют проверить доступность службы LDAP.

Выявление неполадок LDAP В этом разделе описана последовательность диагностирования и устранения нем м ладок протокола LDAP. Сначала ответьте на несколько вопросов.

Х Есть ли какие-либо сообщения об ошибках в журнале службы каталогов (Direc tory Service) в окне Event Viewer (Просмотр событий)?

При неполадках службы каталогов первым делом проверьте этот журнал. По смотрите, нет ли в нем сообщений об ошибках NTDS LDAP, Х Удается ли вообще установить связь по протоколу LDAP? Запустите Ldp и по пытайтесь подключиться через порт 389.

^ Подключение к контроллеру домена и просмотр атрибутов rootDSE в окне Ldp t. В окне Ldp в меню Connection выберите Connect.

2. В поле Server введите либо имя текущего контроллера домена, либо имя кон троллера домена, к которому Вы хотите подключиться.

3. В поле Port введите номер порта.

По умолчанию в LDAP используется порт 389, а в глобальном каталоге Active Directory - порт 3268.

4. Щелкните ОК.

Вот пример сообщений, отображаемых Ldp в случае успешного подключения:

d = ldap_open("SERVERl", 389);

Established connection to SERVER4!.

Retrieving base DSA Information...

Result <0>: (null) Matched DNs:

Getting 1 entries:

Dn:

1> currentTime: 10/18/1999 2:45:52 Pacific Standard Time Pacific Daylight Time;

1> subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com;

1> dsServiceName: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site Name,CN=Sites,CN=Configuration,DC=reskit,DC=com;

3> namingContexts: CN=Schema,CN=Configuration,Df>reskit,DC=com;

CN=Configuration,DC-reskit,DC=com;

DC=reskit,DC=com;

1> defaultNamingContext: DC=reskit,DC=com;

1> schemaNamingContext: CN=Schema,CN=Configuration,DC=reskit,DC=com;

1> conftgurationNamlngContext: CN=Configuration,OC=reskit,DC=com;

1> rootDomainNamingContext: DC=reskit, DOcom;

16> supportedControl: 1.2.840.113556.1.4.319;

1.2.840.113556.1.4.801;

1.2.840.113556.1.4.473;

1.2.840.113556.1.4.528;

1.2.840.113556.1.4.417;

1.2.840.113556.1.4.619;

1.2.840.113556.1.4.841;

1.2.840.113556.1.4.529;

1.2.840.113556.1.4.805;

1.2.840.113556.1.4.521;

1,2.840.113556.1.4.970;

1.2.840.113556.1.4.1338;

1.2.840.113556.1.4.474;

1.2.840.113556.1.4.1339;

1.2.840.113556.1.4.1340;

1.2,840,113556.1.4.1413;

2> supportedLDAPVersion: 3;

2;

11> supportedLDAPPolicies: InitRecvTimeout;

MaxConnections;

MaxConnldleTime;

Служба каталогов Active Directory 392 ЧАСТЬ MaxActiveQueries;

MaxNotificationPerConn;

MaxPageSize;

MaxQueryDuration;

MaxTempTableSize;

MaxResultSetSize;

MaxPoolThreads;

MaxDatagramRecv;

1> highestCommittedUSN: 4696;

2> supportedSASLMechanisms: GSSAPI;

GSS-SPNEGO;

1> dnsHostName: SERVER1.reskit.com;

1> IdapServiceName: reskit.com:SERVER1$@RESKIT.COM;

1> server-Name: CN-SERVER1, CN-Servers, CN=Default-First-Site Name,CN=Sites,CN=Configuration,DC=reskit,DC=coin;

1> supportedCapabilities: 1.2.840.113556.1.4.800;

1> isSynchronized: TRUE;

1> isGlobalCatalogReady: TRUE;

Если сбой происходит на этапе разрешения DNS-имени, попытайтесь обратиться по IP-адресу, предоставленному самим сервером, а не службой DNS.

Х Выполняется ли команда ping для данного сервера?

Если связь установить не удается, -го требуется перехватить попытку подключе ния анализатором пакетов сетевого монитора и определить, реагирует ли сервер на запросы.

Х Удается ли другим клиента подключиться к серверу?

Х Но перегружен ли сервер LDAP-трафиком?

Иногда подключение невозможно, потому что клиентский компьютер указан в списке IP-Deny List (Список запрещений IP LDAP). Чтобы проверить это, вос пользуйтесь программой Ntdsur.il.

Х Если все предшествующие операции неудачны, выясните, работают ли на дан ном сервере другие службы. Попробуйте выполнить команду:

net view \\<имя_сервера> Откройте Task Manager (Диспетчер задач Windows) и проверьте, достаточно ли памяти на сервере и не загружено ЦПУ на 100/и.

Повысьте уровень диагностики LDAP до 3 и еще раз проверьте окно Event Viewer (Просмотр событий) на предмет ошибок. Подробнее об уровннях регис трации диагностики Active Directory Ч в разделе Дополнительные способы устранения неполадок далее в этой главе.

Х Отвечает ли сервер на простые запросы?

Для такой проверки создавать привязку не обязательно. С помощью Ldp под ключитесь к серверу, после чего выполните следующий синхронный поиск:

оставьте пустым поле Base Dn, задайте фильтр (objectclass = *), а область поис ка - base. Это специальный т и п поиска в rootDSE. Он возвращает список све дений, в том числе и информацию об известных серверу разделах каталога.

Если поиск не возвращает никаких данных, сначала проверьте журнал событий, после чего проведите анализ пакетов и узнайте, реагирует ли сервер вообще.

Х Выполняет ли сервер привязку?

Поскольку известно много способов создания привязки, попытайтесь сначала воспользоваться для этого стандартным интерфейсом поставщика безопаснос ти (security support provider interface SSPI). Попробуйте применить разные учетные записи.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА Х После успешной привязки попытайтесь выполнить поиск, При входе в систему под учетной записью администратора должны быть до ступны почти все объекты в Active Directory. Для других учетных записей на бор доступных для поиска объектов может быть существенно ограниченным или пустым.

Х Удается ли выполнять LDAP-операции в родительском домене?

Одна из причин неудачи этой операции Ч недостаток привилегий из-за того, что клиент прошел проверку подлинности в дочернем домене.

Примечание Для обмена по протоколу LDAP используются два порта TCP/IP основной порт (389) и порт глобального каталога (3268). Порт глобального ката лога доступен, только когда успешно установлена служба каталогов Active Direc tory, роль сервера повышена до контроллера домена и сконфигурирован глобаль ный каталог. Часть данных доступна по одному порту, другая часть Ч но другому.

Например, копии только для чтения данных из других доменов доступны только через порт глобального каталога.

Если, несмотря на успешность всех предшествующих операций, интересующий Вас объект не найден службой LDAP, то это означает, что либо объект вообще не суще ствует, либо у Вас недостаточно прав на его просмотр. Попытайтесь воспользовать ся другой учетной записью - лучше всего учетной записью администратора.

Проверьте, не выходит ли поиск за пределы ограничений Ч на время поиска, на число возвращенных объектов или атрибутов. В этом случае стоит выполнить по иск с постраничным просмотром (paged search). Подробнее о границах админист рирования LDAP - в разделе Административные ограничения LDAP и политика запросов далее в этой главе.

В следующих разделах описаны порядок обмена LDAP-сообщениями, их формат и другие вспомогательные операции. Изучите их, чтобы устранять неполадки.

Функциональные возможности LDAP Обычно приложение, или LDAP-клиент, обращается к LDAP-серверу для выпол нения одной из перечисленных далее операций:

Х подключения к серверу;

Х подтверждения подлинности клиента на сервере;

Х изменения (обновления) объектов каталога;

Х поиска в каталоге;

Х обработки результатов поиска;

Х обработки ошибок;

Х управления памятью;

Х отключения от сервера.

Подключение к серверу При подключении LDAP-клиента к серверу устанавливается сеанс LDAP. Можно задать вид и параметры создаваемого соединения, например тайм-аут соединения, соединение с безопасным сервером LDAP и подтверждением доступности сервера.

Служба каталогов Active Directory 394 ЧАСТЬ Проверка подлинности клиента на сервере (привязка) Операция привязки идентифицирует подключаемого пользователя, устройство или приложение на сервере: представляется составное имя клиента и некоторая допол нительная удостоверяющая информация, например пароль. Точный состав рекви зитов сведений зависит от используемого метода проверки подлинности.

Примечание LDAPv3 поддерживает расширяемую модель, основанную на механиз ме SASL (Simple Authentication and Security Layer). В SASL для поддержки раз личных поставщиков безопасности используется многоуровневая архитектура.

LDAPv3 позволяет клиенту лобщаться с сервером LDAP для определения наилуч шего доступного механизма безопасности. Для этого в реализованном Microsoft LDAP API применяется флаг NEGOTIATE, требующий согласования механизма безопасности. В этом случае основная (basic) или упрощенная (simple) проверка под линности не используется. Например, применяется такой SASL-механизм, как Kerberos V5 или NTLM. Сервер Active Directory разрешается настроить на прием анонимных подключений.

Реализация LDAP в Windows 2000 поддерживает следующие основные способы проверки подлинности.

Пароль открытым текстом. В этом методе (простая привязка) подлинность про веряется по паролю в виде открытого текста, указываемого для определенной учет ной записи.

Проверка подлинности по протоколу NTLM. Позволяет клиентам под управле нием Windows NT версии 4.0 и более ранних подтверждать свою подлинность на LDAP-серверах, используя протокол NTLM. Такой способ применяется для входа в систему в изолированной среде.

Проверка подлинности по протоколу Kerberos v5. По умолчанию на компьюте рах под управлением Windows 2000 используется протокол подтверждения подлин ности Kerberos.

Примечание Проверка подлинности внутри и между доменами Windows 2000 выпол няется или по протоколу Kerberos (по умолчанию) или по NTLM (для Windows NT), Для других клиентов и внешних пользователей, подключающихся через Интернет, применяются другие протоколы.

Secure Sockets Layer (SSL). SSL Ч открытый протокол для шифрования соедине ния через Интернет. Б случае наличия инфраструктуры сертификата задание порта сервера автоматически устанавливает сеанс SSL. Параметры, методы и функции чув ствительны к регистру. (Подробнее о настройке сертификатов Ч в главе 16 Службы сертификации и инфраструктура открытого ключа в Windows 2000.) Simple Protected Negotiation (SPNEGO). SPNEGO позволяет клиенту и серверу осуществлять обмен или по NTLM, или Kerberos V5, в зависимости от механизма, доступного конкретному клиенту и серверу. В этом случае сервер и клиент согла суют общий протокол проверки подлинности (например, Kerberos или NTLM).

Этот вариант годится, когда пользователя интересует только безопасность, а не тип используемого протокола.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Изменение объектов каталога. LDAP A P T содержит функции, обеспечивающие до бавление и удаление объектов каталога, сравнение и изменение атрибутов существу ющих объектов. В LDAPvS эти функции расширены и есть возможность выполнять указанные операции посредством элементов управления. Согласно RFC 2251 элемент управления Ч это механизм расширения функциональных возможностей LDAP.

Windows 2000 предоставляет дополнительные элементы управления, которые суще ственно расширяют функциональность, указанную в документах RFC, относящихся к LDAPv3.

Поиск в каталоге. Это наиболее стандартная операция с каталогом;

LDAP API поддерживает различные критерии и методы поиска. Клиент выполняет поиск на LDAP-сервере, передавая ему специальный набор параметров, указывающих на информацию, интересующую клиента. В них также содержатся сведения о месте, глубине и критериях поиска. Клиент может пользоваться фильтром для отбора ин тересующих его объектов. Фильтры поиска определены в документе RFC 2254. Рас ширения основного протокола LDAP API в виде элементов управления в версии LDAPvS предоставляют возможность упорядочивать результаты и задавать различ ные ограничение на операции поиска. Результаты поиска разрешается просматри вать постранично и сортировать. Функции постраничного просмотра (paging) и сортировка встроены в Windows 2000 в соответствии с новыми расширениями LDAPvS для обработки результатов поиска на сервере.

Обработка ошибок. Все результаты LDAP возвращают код ошибки согласно RFC 2251. Кроме этого, контроллеры доменов под управлением Windows 2000 мо гут возвращать дополнительную информацию в символьной строке с описанием ошибки, а значение ошибки преобразуется в код наиболее близкой по смыслу ошиб ки в Win32.

Отключение от сервера (снятие привязки) Процедура снятия привязки отключает связь с сервером и закрывает описатель се анса. Функция снятия привязки LDAP вызывается при завершении взаимодей ствия с сервером. Ответ сервера на запрос о снятии привязки не предусмотрен.

Модули LDAP Message Protocol Data Все операции протокола инкапсулируются в стандартный конверт. Сообщение LDAPMessage инкапсулируется в формат PDU (Protocol Data Unit). LDAPMessage состоит из операций протокола, таких, как запрос LDAP-привязки, ответ LDAP привязки, запрос на LDAP-поиск и ответ на LDAP-поиск. Понимание механики этих операций облегчает диагностику и устранение неполадок протокола LDAP.

Модули данных LDAPMessage Protocol Data Unit непосредственно преобразуются в поток данных протокола TCP. Клиенты Active Directory используют следующие порты LDAP:

Х порт 389 в соответствии с RFC 2251 этот порт используется в Active Directory по умолчанию для связи контроллеров доменов Х порт 636 Ч в Active Directory порт 636 применяется для связи по протоколу LDAP SSL;

Х порты 3268 и 3269 глобальный каталог использует порт 3268 для LDAP-sau росов, а порт 3269 Ч для запросов по протоколу LDAP SSL, Служба каталогов Active Directory 396 ЧАСТЬ Подробнее о LDAP-операциях на Web-странице Web Resources по адресу windows.microsoft.com/windows2000/reskit/webresources, ссылка Internet Engi neering Task Force.

Запрос LDAP-привязки В соответствии с RFC 2251 запрос привязки обладает следующими параметрами:

Х Version Ч указывает на номер версии протокола, который нужно использовать в данном сеансе. Обратите внимание, что процесса согласования версий между клиентом и сервером нет, а параметр задается клиентом;

Х Name Ч имя объекта каталога, к которому хочет подключиться клиент. Это поле принимает значение null (строка нулевой длины) в случает анонимных подклю чений, когда подтверждение подлинности выполнено в нижнем уровне, или ис пользует удостоверяющие данные SASL;

Х Authentication Ч информация для подтверждения подлинности имени, (если оно указано в запросе).

При получении запроса о привязке сервер при необходимости проверяет подлин ность клиента, после чего возвращает ответ на запрос о привязке клиенту с указа нием результатов проверки подлинности.

Далее показан пример запроса "ЬПЛР-привязки, представленный сетевым монито ром (Network Monitor):

LDAP: ProtocolQp: BindRequest (0) LDAP: MessagelD = 11

Х operationsError Ч произошла внутренняя ошибка сервера;

Х protocolError неизвестный номер версии;

Х authMethodNotSupported Ч неизвестный механизм SASL;

Х strongAuthRequired Ч сервер требует, чтобы проверка подлинность выполня лась по механизму SASL;

Х referral - сервер не может выполнить привязку. Клиенту рекомендуется попы таться создать привязку с другим сервером;

Х saslBindlnProgress Ч сервер требует, чтобы клиент прислал новый запрос по тому же механизму (SASL) для продолжения процесса проверки подлинности;

Х InappropriateAuthentication сервер требует, чтобы клиент, пытающийся под ключиться анонимно или без удостоверяющих реквизитов, предоставил инфор мацию, по которой можно осуществить проверку его подлинности;

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Х invalidCredentials неправильный пароль или невозможность обработать удо стоверяющие реквизиты по механизму SASL;

Х unavailable сервер R процессе выключения.

Примечание Параметры serverSaslCreds используются как часть определенного в SASL механизма привязки, чтобы клиент мог проверить подлинность сервера, к которому он создает привязку, или выполнить подтверждение подлинности в ре жиме запрос -- ответ.

Далее показан пример ответа па запрос LDAP-привязки, перехваченный и отобра женный сетевым монитором:

ProtocolOp: BindResponse (1) LDAP:

LDAP: MessagelD = 18 (0x12) LDAP: ProtocolOp = BindResponse LOAP: Result Code = Success LDAP: Matched DN = LDAP: Error Message = LDAP: Sasl Mechanism - GSSAPI LDAP: Sasl Credentials ЮАР-поиск Операция LDAP-поиска используется, когда клиенту надо, чтобы поиск выполял сервер от имени клиента. Она позволяет извлечь атрибуты отдельной записи, или записей, следующих непосредственно за указанной, или целого поддерева.

В соответствии с RFC 2251 запрос на поиск обладает следующими параметрами:

Х baseObject - составное имя LDAP база поиска, то есть отправная точка, от которой выполняется поиск;

Х scope Ч область поиска. Семантика допустимых значений этого поля такая же, как семантика аналогичного поля операции поиска по протоколу Х.511;

Х derefAliases указывает, как должны обрабатываться в процессе поиска объек ты-псевдонимы (согласно спецификациям Х.501). Семантика допустимых зна чений этого поля такова:

Х neverDerefAliases не разыменовывать псевдонимы при поиске или при нахождении базовых объектов поиска;

Х dereflnSearching разыменовывать псевдонимы в процессе поиска среди подчиненных объектов, но не разыменовывать при нахождении базового объекта;

Х derefFindingBaseObj разыменовывать псевдонимы в процессе поиска базо вого объекта, но не разыменовывать при поиске среди подчиненных объектов;

Х derefAhvays Ч разыменовывать псевдонимы как в процессе поиска базовото, так и подчиненных объектов;

Х sizelimit Ч ограничивает максимальное число возвращаемых записей. Значение О указывает на отсутствие каких-либо ограничений, налагаемых клиентом. Сер веры способны самостоятельно ограничивать число возвращаемых записей;

Х timelimit Ч ограничивает время (в секундах), отведенное на поиск. Значение О указывает на отсутствие каких-либо ограничений, налагаемых клиентом;

Служба каталогов Active Directory 398 ЧАСТЬ Х typesOnly Ч указывает, будут ли результаты поиска содержать только типы ат рибутов (TRUE) или типы вместо с со значениями атрибутов (FALSE);

Х filter - фильтр, задающий условия, которым должны отвечать возвращаемые записи;

Х attributes список атрибутов, которые возвращаются для записей, соответству ющих фильтру поиска. Существуют два специальных значения этого параметра:

пустой список без атрибутов и список со строкой описания атрибута л*. Оба значения требуют извлечения всех атрибутов, знак подстановки л* позволяет запрашивать все атрибуты объекта пользователь в дополнение к отдельным операционным атрибутам.

Вот примерный вид запроса на LDAP-поиск:

LDAP: ProtocolOp: SearchRequest (3) LDAP: MessagelD = 1 (0x1) LDAP: ProtocolOp = SearchRequest LDAP: Base Object = LDAP: Scope = Base Object LDAP: Deref Aliases = Never Deref Aliases LDAP: Size Limit = No Limit LDAP: Time Limit = No Limit LDAP;

Attrs Only = 0 (0x0) LDAP: Filter Type = Present LDAP: Attribute Type = objectClass Результат ЮАР-поиска Результаты LDAP-поиска, выполненного сервером после получения запроса на поиск, возвращаются в ответах на запрос о поиске, которые представляют собой сообщения LDAP, содержащие данные одного из типов Ч SearchResultEntry, SearchResultRefercnce, Extended Response или SearchResultDone.

Если сеанс LDAP выполняется по протоколу TCP, сервер возвращает клиенту после довательность ответов в отдельных LDAP-сообщениях. В результат иногда не попада ет ни одно сообщение или одно и более сообщений, содержащих SearchResultEntry, - по одному на каждую найденную запись.

Согласно REC 2251, каждая запись, возвращенная в SearchResultEntry, содержит все атрибуты (вместе с их значениями, если это определено в параметре attributes).

Состав возвращенных атрибутов зависит от ограничений системы управления до ступом и других административных политик. Некоторые атрибуты могут иметь двоичный формат (на что указывает AttributeDescription, в котором установлен со ответствующий флаг).

Подробнее о результатах LDAP-поиска на Web-странице Web Resources по адре су ссылка Internet Engineering Task Force Internet.

Далее показан пример ответа на запрос LDAP-поиска, перехваченный и представ ленный сетевым монитором:

LDAP: ProtocolOp: SearctiResponse (4) LDAP: MessagelD = 1 (0x1) LDAP: ProtocolOp = SearchResponse LOAP: Object Name = + LDAP: Attribute Type = currentTime ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory, LDAP: Attribute Type = subschemaSubentry LDAP: Type Attribute = dsServiceName. LDAP: Attribute Type = namingContexts LDAP: Attribute Type - defaultNamingContext i LDAP: Attribute Type = schemaNamingContext 1 LDAP: Attribute Type - configurationNamingContext 1 LDAP: Attribute Type = rootDomainNamingContext LDAP: - supportedControl Attribute Type 1 LDAP: Attribute Type = supportedLDAPVersion LDAP: Attribute Type = supportedLDAPPolicies LDAP: Attribute - highestCommittedUSN Type 4- LDAP: Attribute = supportedSASLMechanisms Type LDAP: Attribute Type = dnsHostName Подробнее о протоколе LDAP v3 Ч на Web-странице Web Resources по адресу ссылка Internet Engineering Task Force Internet.

Далее показан пример ответа о неудаче LDAP-привязки:

LDAP: ProtocolOp: BindResponse (1) LDAP: MessagelD = 8 (0x8) LDAP: ProtocolOp = BindResponse LDAP: Result Code = Invalid Credentials LDAP: Hatched ON = LDAP: Error Message = А вот пример ответа об удаче LDAP-привязки:

LDAP: ProtocolOp: BindResponse (1) LDAP: HessagelD = 18 (0x12) LDAP: ProtocolOp = BindResponse LOAP: Result Code = Success LDAP: Matched DN = LDAP: Error Hessage = LDAP: Sasl Mechanism = GSSAPI LDAP: Sasl Credentials Административные ограничения LDAP и политика запросов Административные ограничения LDAP составляют политику LDAP-запросов и хранятся в виде многозначного атрибута объектов политики запросов. Эти ограни чения позволяют Вам настраивать размер рабочего множества и нагрузку процес сора на отдельном сервере или множестве серверов. Например, сервер-плацдарм (bridgehead) определенного домена вправе запретить сортировку и постраничный просмотр, чтобы освободить память и процессорное время для выполнения меж сайтовой репликации. Сервер с большим объемом оперативной памяти, но стеснен ный в процессорных ресурсах, можно настроить на поддержку больших наборов результатов, но ограниченное число активных запросов, Политика запросов применяется к некоторым операциям, связанным с выполнени ем LDAP-запросов.

Х Поиск. LDAP-ноиск разрешается выполнять в небольшой части отдельного хранилища каталога или во всех хранилищах каталогов в лесе (и даже далее но перекрестным ссылкам). Поиск оказывает существенную нагрузку на дисковую систему, занимает время и возвращает множество данных.

Служба каталогов Active Directory 400 ЧАСТЬ Х Поиск с постраничным просмотром результатов. Поскольку результатом по иска может быть большой объем данных, клиент вправе потребовать, чтобы сер вер хранил результаты самостоятельно, а возвращал их отдельными порциям страницей. Сервер должен хранить результаты, пока клиент не высвободит их или не снимет привязку.

Х Поиск с сортировкой результатов. По требованию клиента набор результатов возвращается в определенном порядке. Сортировка требует затрат оперативной памяти и процессорного времени сервера. Объем используемых для этого ресур сов прямо пропорционален совокупному объему результатов.

Х Размер страницы. Администратор вправе ограничить число значений атрибу тов, возвращаемых на каждый отдельный запрос.

Х Уведомление об обновлении. Выполняется но просьбе клиента и уведомляет об изменениях указанных им объектов каталога. Такое уведомление реализует ся по механизму асинхронного LDAP-запроса.

Поскольку объем свободной памяти на сервере и потребление процессорного вре мени меняются, политику запросов нужно апробировать на тестовой системе перед применением па рабочих серверах.

Конфигурируя параметры административных ограничений LDAP, стоит определить права клиентов но выполнению запросов простых или сложных, с постраничным просмотром или сортировкой, и выделению системных ресурсов. Кроме того, можно задать максимальное число соединений с сервером, время отсутствия актив ности соединения и т. п, а также доступ по IP-адресу или по маске подсети.

Поддержка таких расширений LDAPv3, как запросы, постраничный просмотр и сортртровка, налагает дополнительные требования на оперативную память и вычис лительные ресурсы сервера Active Directory, поэтому перед развертыванием LDAP серверов рекомендуется протестировать балансировку нагрузки.

Ограничения, налагаемые на ресурсы сервера, доступные клиентам, выполняющим LDAP-запросы, составляют политику запросов LDAP и хранятся как многознач ные атрибуты соответствующих объектов политики запросов. Поскольку нагрузка и ресурсы различаются для разных серверов, политика запросов задается на уров не сервера.

Для просмотра и обновления политики запросов контроллера домена можно исполь зовать служебную программу Ntdsutil. Оснастка Active Directory Sites and Services (Active Directory Ч сайты и службы) приспособлена только для настройки полити ки запросов контроллеров доменов, но не сайтов. Кроме того, для создания, удале ния, добавления или изменения объектов политики запросов можно применять сце нарий Modiryldap.vbs, который устанавливается из каталога Support\Reskit на при лагаемом к книге компакт-диске Microsoft Windows 2000 Server Resource Kit.

Объекты политики запросов хранятся в контейнере cn = Query-Policies.

cn=Directory Scrvice,cn=Windows NT, cn=Services в разделе конфигурации.

Стандартные параметры политики запросов Если политика сайта не настроена, все контроллеры домена по умолчанию ис пользуют стандартную политику запросов. В противном случае применяются пара метры настроенной политики. Политика запросов, заданная для определенного кон троллера домена, имеет наивысший приоритет среди всех остальных политик сайта.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Административные ограничения и параметры можно просматривать средствами служебной программы командной строки Ntdsutil. В таблице 10-5 описаны адми нистративные ограничения стандартной (по умолчанию) политики запросов.

Таблица 10-5. Параметры стандартной политики запросов Стандартные Описание Административные значения ограничении LDAP (по умолчанию) Таймаут соединения Ч максимальная InitRecvTirneout Х I продолжительность времени (в с е к у н д а х ) ожидания сервером запроса, по истечении которого LDAP-сервер возвращает уведомле ние о разрыве соединения и закрывает его Max Connect ions Максимальное допустимое число одновре менных подключений LDAP-серверу. При достижении данного значения сервер откло няет все дальнейшие запросы на создание соединения Максимально допустимое время простоя со Max Connldle Time единения (в секундах), при превышении ко торого сер пер разрывает соединение Максимальное допустимое число активных Max Active Queries ХХХ запросов на сервере. При достижении данно го значения сервер на все последующие зап росы отвечает уведомлением занято Максимальное допустимое ч и с л о запросов об MaxNotificationPerCorm уведомлении на соединение. При достижении данного значения сервер па все последующие запросы отвечает уведомлением занято* Максимальный объем входного буфера. Ог MaxReceiveBuffer раничивает размер LDAP-заиросов. обраба тываемых сервером. Получив запрос с разме ром, большим указанного значения, сервер закрывает соединение Максимально допустимый размер страницы, MaxPageSize Ограничивает объем страниц (в строках), возвращаемых сервером. Запросив результа ты с постраничным просмотром, клиент по лучает результаты запроса последовательно Ч по одной странице, размер которой не мо жет превышать указанного значения :o Максимальная допустимая длительность зап MaxQuery Duration роса (в секундах). При запросе с постранич ным просмотром, клиент может просматри вать страницы после истечения значения, заданного для таймера простоя соединения, но только до истечения указанного срока допустимой длительности запроса, после чего сервер возвратит ошибку превышения дли тельности запроса ! i i n r l. i i м - Iixcu-ilrd (см. след, стр.) Служба каталогов Active Directory 402 ЧАСТЬ Таблица 10-5. (продолжение) Стандартные Административные Описание значения ограничения LDAP (по умолчанию) 10000 Максимальный размер временной таблицы.

MaxTempTableSize Ограничивает число объектов (записей) во временной таблице результатов. При превы шении данного значения в процессе оптими зации запроса с применением оператора ИЛИ оптимизация отменяется, вместо нее выполняется прямой просмотр таблицы. Дан ное ограничение также иногда превышается в процессе сортировки на стороне сервера, в этом случае результаты возвращаются клиен ту неотсортированными 262144 Задаст максимальный объем памяти, выделя MaxResultSetSize емой для результатов всех запросов с постра ничным просмотром. При превышении дан ного значения отбрасываются более старые результаты MaxPoolThreads Число потоков, выделяемых для обработки LDAP-запросов, в расчете на один процессор.

Данное ограничение может быть превышено только при определенных условиях, Примечание: если привязка выполняется слишком долго, увеличьте данное значение до 6 или MaxDatagramRecv Максимальный размер входящих на сервер дейтаграмм. Сервер заранее выделяет под дейтаграммы буферы определенного размера, поэтому его превышение невозможно Подробнее об использовании Ntdsutil Ч в справочной системе Windows 2000 Sup port Tools и приложении В Ntdsutil.exe Ч служебная программа диагностики Active Directory. Подробнее о виртуальных контейнерах Ч в главе 2 ^Хранение данных в Active Directory.

Неполадки контроллера домена Одна из наиболее важных особенностей Windows 2000 такова: все контроллеры одного домена равноправны и обновлять каталог может любой из них.

Такой способ репликации обновлений между контроллерами домена и такая орга низация контроллеров создает определенные трудности. Например, когда не все контроллеры домена объединены топологией репликации, в результате отдельные контроллеры не получают реиликативных обновлений каталога.

Кроме того, чтобы найти контроллер домена, локатор должен обладать точной и достоверной информацией об этом ресурсе. Если контроллер домена предоставил о себе неверные сведения, локатор не сможет его найти.

Примечание В дополнение к широковещанию в DNS и NetBIOS, используемом для поиска серверов, каждый сервер должен лоповещать о своей роли, чтобы локатор мог его найти. Узнать об объявляемых ролях позволяет программа Nltest. Кроме Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 того, до полного завершения инициализации сервер не информирует окружающих о некоторых своих ролях. Таким образом, при зависании сервера или при воз никновении неполадок при запуске сервер может быть исключен из списка доступ ных серверов, что увеличивает нагрузку на остальные серверы. Исчерпав свое дис ковое пространство, сервер прекращает оповещать о своей роли LDAP-сервера.

Кроме того, служба репликации файлов (File Replication service, FRS) в некоторых случаях не позволяет компьютеру оповещать о своих ролях, Далее рассмотрены служебные программы диагностики и даны примеры возмож ных проблем с согласованностью контроллеров домена, а также предложены спо собы их устранения.

Просмотр событий В оснастке Event Viewer (Просмотр событий) есть отдельный журнал событий ка талога (Directory Service). В нем регистрируются все события каталога. Например, неполадки, связанные с несогласованностью контроллеров домена могут проявлять ся в событиях категории Internal Processing (Внутренняя обработка), Inter-Site Messaging (Служба межсайтовых сообщений), Service Control (Управление служ бой) или Internal Configuration (Внутренняя конфигурация).

Чтобы получать информацию о графике репликации разделов каталога, в окне про смотра событий увеличьте уровень регистрации событий репликации до 2. Скор ректировать уровень регистрации можно непосредственно в системном реестре, из менив значения параметров в подразделе HKEY_LOCALMACHINE\SYSTEM\ CurrentControlSet\Services\NTDS\Diagnostics, Примечание Повышайте уровень регистрации после того, как Вы проверите запи си журнала событий и только при условии, что Вы понимаете суть неполадки и цель поиска.

Не рекомендуется увеличивать этот уровень выше 2 пользователь может захлеб нуться* в подробной информации, особенно связанной с событиями репликации.

Подробнее о настройке уровней диагностики Active Directory Ч в разделе Допол нительные способы устранения неполадок далее в этой главе. Не пытайтесь изме нять системный реестр, не дочитав этот раздел, Диагностика неполадок контроллеров доменов средствами Dcdiag Служебная программа диагностики контроллера домена (Dcdiag) позволяет изучать состояние контроллеров доменов леса или предприятия и выявлять в них неполад ки. Dcdiag Ч это специализированная информационная программа, предназначенная для конечного пользователя. Она предоставляет детальные сведения о том, как вы являть неполадки компьютера. Эта служебная программа специализируется на фун кциях контроллера домена и взаимодействиях компьютеров во всем предприятии.

Dcdiag состоит из каркаса для выполнения испытаний и ряда тестов для проверки различных участков Active Directory. Каркас определяет, какие контроллеры до vie на будут проверены в ответ па запрос пользователя Ч контроллеры предприятия, сайта или отдельного сервера. Пользователь может также выбирать контроллеры домена, содержащие соответствующий раздел каталога.

Служба каталогов Active Directory 404 ЧАСТЬ В общем случае желательно регистрировать только серьезные неполадки, сообщая о них пользователю, предоставлять информацию о возможных последствиях сбоя и предлагать способы их устранения. В режиме по умолчанию Dcdiag предоставля ет минимальный объем сведений Ч программа сообщает только об успешном вы полнении тестов. Вся информация выводится в режиме подробного отображения данных (verbose).

Примечание Имейте в виду, что Dcdiag предназначена для автоматического анали за неполадок с минимальным вмешательством со стороны пользователя. По суще ству, это пассивная программа, предоставляющая информацию только для чтения и не влияющая на конфигурацию. Хотя средствами Dcdiag можно проводить от дельные тесты, она не предназначена для этого: это не набор служебных команд, выполняющих отдельные задачи.

Используйте Dcdiag для диагностики следующих параметров и элементов контрол лера домена:

Х соединений;

Х репликации;

Х целостности топологии;

Х разрешений заголовков разделов каталога;

Х разрешений пользователя;

Х локатора;

Х межсайтового взаимодействия;

Х доверительных отношений;

Х латентности репликации;

Х репликации объектов доверия;

Х службы репликации файлов;

Х других важных служб.

Соединения В процессе проверки соединений с применением Dcdiag выполняются следующие тесты:

Х проверка регистрации имен DNS;

Х проверка доступности сервера по его IP-адресу по протоколу IP;

Х проверка доступности сервера по протоколу LDAP;

Х проверка доступности сервера по механизму RPC.

Репликация В процессе исследования репликации Dcdiag проверяется следующее:

Х нет ли каких-либо ошибок входящих связей репликации. Обычные ошибки, на пример возникающие по причине удаления старого или добавления нового ис точника, следует устранять стандартным способом;

Х не превышает ли задержка репликации стандартное время латентности;

Х не отключена ли репликация.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Целостность топологии При проверке целостности топологии Dcdiag позволяет убедиться, что все серве ры, содержащие данный раздел каталога, объединены топологией репликации.

Разрешения заголовков разделов каталога С помощью Dcdiag проверяются дескрипторы безопасности заголовков разделов, таких, как схема, домен или конфигурация, на предмет наличия соответствующих разрешений.

Разрешения пользователей В процессе проверки разрешений пользователей воспользуйтесь программой Dcdiag для исследования:

Х наличия у данных пользователей разрешений t-та вход в систему, не препятстпу ющих процессу репликации;

Х наличия пользователей - членов группы Authenticated Users (Прошедшие про верку).

Локатор При проверке локатора программа Dcdiag выявляет;

Х все ли серверы оповещают о себе локатор контроллеров домена;

Х соответствуют ли роли, возвращаемые локатором, ролям, реально поддерживае мым компьютером;

Х распознает и поддерживает ли сервер соединения с хозяевами операций;

Х находит ли локатор сервер глобального каталога предприятия;

Х находит ли локатор основной контроллер домена (primary domain controller, PDC) предприятия, Межсайтовое взаимодействие В процессе проверки межсайтовой согласованности контроллеров домена Dcdiag выполняет следующие операции:

Х определяет местонахождение генератора топологии каждого из сайтов;

Х определяет местонахождение серверов-плацдармов (bridgehead) сайтов и созда ет отчет о состоянии таких серверов, чтобы выявить неработающие;

Х обнаружив неработающий сервер-плацдарм, находит дополнительный сернср плацдарм. Создает отчет о времени, требуемом па восстановление сервера-плац дарма после отказа. Под восстановлением после отказа (failover) подразумева ется выполнение роли сервера-плацдарма другим Ч делегированным или основ ным сервером в случае отказа текущего сервера-плацдарма;

Х определяет, с какими сайтами нет соединения в сетевой топологии.

Подробнее о генераторе межсайтовой топологии, серверах-плацдармах и восстанов лении после сбоя Ч в главе 6 Репликация Active Directory.

Доверительные отношения Для проверки доверительных отношений рекомендуется использовать служебную программу Netdom. Однако для исследования явно заданных доверительных отно ЧАСТЬ 1 Служба каталогов Active Directory тений можно также применять программу Dcdiag. Проверка доверительных отно шений выполняется последовательно для пар доменов, причем для всех контрол леров в каждом из доменов. Бы можете ограничить область проверки отдельным сайтом или контроллером домена. Dcdiag позволяет изучать структуру доверитель ных отношений, конфигурацию и параметры защищенных каналов, а также дей ствительны ли билеты для каждой пары контроллеров доменов. В режиме по умол чанию выводятся только ошибки, а в режиме отображения подробной информации также сведения об успешных тестах.

Примечание Dcdiag проверяет только явные доверительные отношения и не иссле дует транзитивные доверительные отношения Kerheros v5. Для проверки доверия Kerbcrbs v5 требуется использовать Netdom. Подробнее о служебной программе Netdoin и порядке проверки доверительных отношений Kerberos v5 - в разделе Неполадки при присоединении к домену и проверке подлинности* далее в этой главе.

Наиболее вероятной причиной неполадок доверительных отношении между всеми парами контроллеров домена может быть общая неисправность системы доверия.

В этом случае для локализации конкретной причины отказа используйте програм му Nltest (например, с параметрами /sc_query и /sc_reset), а для дальнейшего ис следования возникшей проблемы Ч журнал входа в систему.

Примечание Такая неполадка обычно устраняется путем переустановки доверитель ных отношений средствами оснастки Active Directory Domains and Trusts (Active Directory Ч домены и доверие).

Когда сбой доверия наблюдается только между несколькими парами контроллеров домена, причина неполадки, вероятно, кроется в репликации или разрешении имен.

В этом случае проверьте, обновлены ли объекты доверенного домена (в системном контейнере) на всех контроллерах домена.

Подробнее об объектах доверенного домена - в главе 1 Логическая структура Active Directory.

Для каждого сервера с нарушенным защищенным каналом выводится его имя вме сте с сообщением об ошибке Win32, указывающим на причину сбоя. Далее нужно исследовать каждый из контроллеров домена, на котором обнаружены ошибки, Ч вероятнее всего, причина неполадки заключается в сетевых соединениях.

Далее приведен пример сообщений, выводимых Dcdiag в случае сбоя защищенного канала.

dcdiag /v /s:dc5/test:outboundsecurechannels /testdomain:Washington nositerestriction DC Diagnosis Performing initial setup:

* Connecting to directory service on server dc5.

* Collecting sites info.

* Identifying all servers.

* Found 20 DC(s). Testing 1 of them.

Done gathering initial info.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Doing initial non skippeable tests Testing server: Building1\DC Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory HPC Services Check DC5passed test Connectivity Doing primary tests Testing server: Building1\DC Test omitted by user request: Replications Test omitted by user request: Topology Test omitted lay user request: NCSecDesc Test omitted by user request: NetLogons Test omitted by user request: LocatorGetDc Test omitted by user request: RidManager Test omitted by user request: MachineAccount Test omitted by user request: Services Starting test: OutboundSecureChannels * Secure channel from [DC-08] to [\\RED-DC-11.washington.corp.micros oft.com] is working properly, * [DC-08] has downlevel trust object for [Washington] * [DC-08] has uplevel trust object for [Washington] * Secure channel from [DC-07] to [\\RED-DC-01.washington.corp.micros oft.com] is working properly.

* [DC-07] has downlevel trust object for [Washington] * [DC-07] has uplevel trust object for [Washington] * Secure channel from [NTDSDCB] to [\\RED-DC-08.washington,reskit.com.

com] is working properly, * [NTDSDCB] has downlevel trust object for [Washington] * [NTDSDCB] has uplevel trust object for [Washington] [NTDSDC] LDAP connection failed with error 58, The specified server cannot perform the requested operation..

[NTDSDC] LDAP bind failed with error 31. A device attached to the system is not functioning.

* Secure channel from [DCS] to [\\RED-DC-12.washington.reskit.com.

com] is working properly.

* [DCS] has downlevel trust object for [Washington] * [DCS] has uplevel trust object for [Washington] * Secure channel from [DC1] to [\\RED-DC-03.washington.reskit.com.

com] is working properly.

* [DC1] has downlevel trust object for [Washington] * [DC1] has uplevel trust object for [Washington] * Secure channel from [DC9] to [\\RED-DC-07.washington.reskit.com.

com] is working properly.

* [DCS] has downlevel trust object for [Washington] * [DC9] has uplevel trust object for [Washington] * Secure channel from [DCG] to [\\RED-DC-08.washington.reskit.com.

com] is working properly, * [DCG] has downlevel trust object for [Washington] * [DCG] has uplevel trust object for [Washington] * Secure channel from [DC2] to [\\RED-DC-06.washington.reskit.cora.

com] is working properly.

* [DC2] has downlevel trust object for [Washington] Служба каталогов Active Directory 408 ЧАСТЬ - [DC2] has uplevel trust object for [Washington] NTDSDC failed test OutboundSecureChannels Test omitted by user request: ObjectsReplicated Running enterprise tests on : reskit.com Test omitted by user request: Intersite Test omitted by user request: RolesHeld В этом примере причина сбоя - нерабочее состояние NTDSDC (службы каталогов), Иногда выводится следующее сообщение о наличии защищенного канала вслед ствие недоступности RPC-сервера:

Х Secure channel from [DCS] to Washington is working because "The RPC server is unavailable."

В этом случае администратору рекомендуется выполнить диагностику контролле ра [DC5] па наличие неполадок в сети.

Диагностика латентности репликации Она подразумевает несколько проверок, Х Проверка состояния отдельного источника репликации для данного получате ля. Этот тест выявляет также наличие обратной уведомительной связи от полу чателя к источнику.

Подробнее об уведомительной связи в главе. 6 Репликация Active Directory.

Х Анализ отдельной входящей связи репликации на предмет ошибок типа отсут ствия репликативпых данных, если прошло слишком много времени с момента последней успешной репликации. Это означает, что связь репликации запазды вает или вытесняется другими процессами с более высоким приоритетом.

Х Тест, позволяющий определить, не указывает ли обновленный порядковый но ме]) (USN) вектора, хранимого адресатом для определенного партнера-источни ка, на выполнение полной синхронизации. Это не неполадка, но такой процесс подразумевает, что прием новых изменений от данного партнера отложен до полного завершения синхронизации.

Х Тест па наличие сообщений о задержке в очереди текущих и ожидающих опера ций репликации. Требуется проверить наличие одного из трех возможных сце нариев.

Х Первый сценарий: репликация выполняется слишком долго даже в отсут ствие заданий с более высоким приоритетом. Это не сбой, хотя и может ука зывать на отставание компьютера от последних обновлений. Новые измене ния из данного источника откладываются, пока компьютер не догонит пре дыдущие обновления.

Х Второй сценарий: репликация выполняется слишком долго при наличии ожидающих заданий с более высоким приоритетом. Теоретически это проис ходит до завершения выполнения текущего запроса, когда диспетчер репли кации пропускает вперед задание с более высоким приоритетом. На прак тике это означает либо зависание запроса сервера, либо наличие запроса репликации, который не имеет ограничений на серверное время.

Х Третий сценарий: обработки ожидает большое число заданий репликации.

Свидетельствует об отставании компьютера или наличии большого числа накопившихся запросов, ожидающих репликации.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Репликация объектов доверия В данном случае проверяется:

Х реплицирован ли объект учетной записи компьютера на все дополнительные контроллеры домена. Для этого сравниваются метаданные атрибутов объекта во всех его репликах;

Х реплицирован ли объект DSA во все реплики раздела конфигурации, Служба репликации файлов Проверьте успешность запуска службы репликации файлов (File Replication service, FRS) на всех серверах. FRS, не запущенная па контроллере домена, не позволяет службе Net Logon (Сетевой вход в систему) оповещать о его роли контроллера до мена.

Другие важные службы Проверка наличия важных служб на каждом из контроллеров домена: FRS (Служ ба репликации файлов), Inlc-rite Messaging Service (Служба межсаитовых сообще ний), КОС Kerberos v5 (Key Distribution Center) (Центр распространения ключей), Server Service (Сервер), Workstation Service (Рабочая станция), Remote Procedure Call Locator (Локатор удаленного вызова процедур), Windows Time Service (Служ ба времени Windows), Distributed Link Tracking Client Service (Клиент отслежива ния изменившихся связей), Distributed Link Tracking Server Service (Сервер отсле живания изменившихся связей) и Net Logon (Сетевой вход в систему).

Далее приведен пример сообщений, отображаемых Dcdiag при проверке важных служб в режиме отображения всей информации:

dcdiag /s:SERVER1 /с /v DC Diagnosis Performing initial setup:

* Connecting to directory service on server SERVER1.

* Collecting site info.

* Identifying all servers, * Found 1 DC(s). Testing 1 of them, Done gathering initial info.

Doing initial non skippeable tests Testing server: Default-First-Site-Name\SERVER Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory RFC Services Check SERVER1 passed test Connectivity Doing primary tests Testing server: Default-First-Site-Name\SERVER Starting test: Replications * Replications Check SERVER1 passed test Replications Starting test: Topology * Configuration Topology Integrity Check * Analyzing the connection topology for CN=Schema,CN=Configuration,DC=f Служба каталогов Active Directory 410 ЧАСТЬ DObar,DC-corn.

* Performing upstream (of target) analysis.

* Performing downstream (of target) analysis.

* Analyzing the connection topology for CN=Configuration,DC=reskit,DC=c от, * Performing upstream (of target) analysis.

* Performing downstream (of target) analysis.

* Analyzing the connection topology for DC=reskit,DC=com.

* Performing upstream (of target) analysis, * Performing downstream (of target) analysis.

SERVER1 passed test Topology Starting test: CutoffServers * Configuration Topology Aliveness Check * Analyzing the alive system replication topology for CN-Schema,CN=Conf iguration,DC-reskit,DC-corn, * Performing upstream (of target) analysis.

* Performing downstream (of target) analysis.

* Analyzing the alive system replication topology for CN=Configuration, DC=reskit,DC=com.

* Performing upstream (of target) analysis.

* Performing downstream (of target) analysis.

* Analyzing the alive system replication topology for DC=reskit,DC^com, * Performing upstream (of target) analysis.

* Performing downstream (of target) analysis.

SERVER1 passed test CutoffServers Starting test: NCSecDesc * Security Permissions Check for CN=Schema,CN=Configuration,DC=reskit,DC=com * Security Permissions Check for CN=Configuration,DC=reskit,DC=com * Security Permissions Check for DC=reskit,DC=com SERVER1 passed test NCSecDesc Starting test: NetLogons * Network Logons Privileges Check SERVER1 passed test NetLogons Starting test: LocatorGetDc Role Schema Owner = CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-F irst-Site-Name,CN=Sites,CN=Configuration,DC=reskit,DC=com Role Domain Owner = CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-F irst-Site-Name,CN=Sites,CN=Configuration,DC=reskit,DC=com Role PDC Owner = CN=NTDS Settings,CN=SERVER1,CN-Servers,CN-Default-Firs t~Site-Name,CN=Sites,CN=Configuration,DC=reskit,DC=com Role Rid Owner = CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-Firs t-Site-Name,CN=Sites,CN=Configuration,DC=reskit,DC=com Role Infrastructure Update Owner = CN=NTDS Settings,CN=SERVEfi1,CN=Serve rs,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=reskit,DC=corn SERVER1 failed test LocatorGetDc Starting test: RidManager * Available RID Pool for the Domain is 1603 to * SERVER1.reskit.com is the RID Master * DsBind with HID Master was successful * rIDAllocationPool is 1103 to * rIDNextRID: * rIDPreviousAllocationPool is 1103 to SERVER1 passed test RidManager Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА Starting test;

MachineAccount * SPN found :LDAP/SERVER1.resklt.com/reskit.com * SPN found :LDAP/SERVER1.reskit.com * SPN found :LDAP/SERVER * SPN found :LDAP/SERVER1.reskit.com/RESKIT * SPN found :LDAP/6cbd730e-b9ce-4154-8367-45a8b469097b.jnsdcs.reskit.com * SPN found :E3514235-4B06-11D1-AB04-OOC04FC2DCD2/6cbd730e-b9ce-4154-8367 45a8b469097b/reskit.com * SPN found :HOST/SERVER!.reskit.com/reskit.com * SPN found :HOST/SEHVER1.reskit.com * SPN found :HOST/SERVERI * SPN found :HOST/SERVERI.reskit.com/RESKIT * SPN found :GC/SERVER1.reskit.com/reskit.com SERVER1 passed test MachineAccount Starting test: Services * Checking Service: Dnscache * Checking Service: NtFrs * Checking Service: IsmServ * Checking Service: kdc * Checking Service: SamSs * Checking Service: LanmanServer * Checking Service: LanmanWorkstation * Checking Service: RpcSs * Checking Service: RPCLOCATOR * Checking Service: w32time * Checking Service: TrkWks * Checking Service: TrkSvr * Checking Service: NETLOGON * Checking Service: Dnscache * Checking Service: NtFrs SEHVEH1 passed test Services Starting test: OutboundSecureChannels ** Did not run test because /testdontain: was not entered SERVER1 passed test OutboundSecureChannels Starting test: ObjectsRepLicated SERVER1 is in domain DC=resktt,l)C=com Checking for CN=SERVER1,OU=Domain Controllers,DC=reskit,DC=com in domai n DC=reskit,DC=com on 1 servers Object is up-to-date on all servers.

Checking for CN=NTDS Settings,CN=SERVER1,CN-Servers,CN=Default-First-Si te-Name,CN=$ites,CN=Configuration,DC=reskit,OC=com in domain CN=Configuration,DC = reskit,DC-corn on 1 servers Object is up-to-date on all servers.

SERVER1 passed test ObjectsReplicated Starting test: frssysvol * The File Replication Service Event log test The SYSVOL has been shared, and the AD is no longer prevented from starting by the File Replication Service.

SERVER1 passed test frssysvol Running enterprise tests on : reskit.com Starting test: Intersite reskit.com passed test Intersite Starting test: RolesHeld GC Name: \\SERVER1.reskit.com Locator Flags: OxeOOOOIfd PDC Name: \\SERVER1.reskit.com ЧАСТЬ 1 Служба каталогов Active Directory Locator Flags: OxeOOOOIfd Time Server Name: \\SERVER1.reskit.com Locator Flags: OxeOOOOIfd Preferred Time Server Name: \\SERVER1.reskit.com Locator Flags: OxeOOOOIfd KDC Name: \\SERVER1.reskit.com Locator Flags: OxeOOOOIfd reskit.com passed test RolesHeld Управление согласованностью контроллеров домена средствами Ntdsutil Ntdsutil Ч это служебная программа командной строки, предназначенная для уп равления службой каталогов. Она позгюляет обслуживать хранилище Active Direc tory, управлять и контролировать операциями одиночных хозяев и удалять мета данные, оставшиеся после потерянных контроллеров домена отключенных от домена, но не удаленных должным образом. Подробнее об использования Ntdsutil Ч в приложении В Ntdsutil.exe - служебная программа диагностики Active Directory, С помощью Ktdsut.il проводится диагностика и устранение следующих неполадок согласованности контроллеров дометта:

Х удаление потерянных (orphaned) контроллеров домена и доменов;

Примечание Для удаления потерянных доменов можно также применять Netdom. Подробнее об удалении л п о т е р я н н ы х контроллеров домена Ч в разде ле Установка и удаление Active Directory далее в этой главе.

Х подключение к определенному контроллеру домена;

Х просмотр разделов каталога, сайтон, серверов, доменов и ролей хозяев операций;

Х просмотр и изменение LDAP-политик на сервере;

Х управление ролями операций одиночного хозяина. (Подробнее об управлении ролями операций одиночного хозяина - в главе 7 Управление операциями оди ночного хозяина.) Определение ролей контроллера домена под управлением Windows 200Q Иногда требуется определить, какой контроллер домена выполняет роль хозяина эмулятора PDC, чтобы клиенты под управлением более ранних версий Windows NT могли проходить проверку подлинности.

Примечание Такие клиенты могут проходить проверку подлинности на любом кон троллере домена. Однако недоступность эмулятора PDC не позволит им присоеди ниться к домену, а также выполнить многие другие операции, в том числе и изме нить пароль.

Кроме того, при проверке возможности проведения LDAP-поиска в лесе требуется найти сервер глобального каталога. Определить контроллеры домена под управле нием Windows 2000 можно следующим образом:

Х проверить наличие подраздела NTDS в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services;

Х проверить наличие общих папок SYSVOL и NETLOGON. Подробнее о SYSVOL и NETLOGON Ч в главе 18 книги Распределенные системы. Книга 2. Ресурсы ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Microsoft Windows 2000 (Русская Редакция, 2001) (общая папка SYSVOL и ее содержимое остаются после удаления Active Directory);

с помощью программы nbtstat (команда nbtstat -n) проверить регистрацию име ни <домен> [1C];

убедиться, что роль компьютера в списке, возвращенном командой net accounts.

обозначена как P R I M A R Y (ОСНОВНОЙ), а изолированных серверов SERVERS (СЕРВЕР);

команда net start подтверждает наличие и доступность службы распростране нии ключей (Key Distribution Center, KDC). Более подробные сведения можно получить с помощью команды net start |more;

с помощью команды connect to server %S программы Ntdsutil подключиться к другим контроллерам домена под управлением Windows 2000. (Обратите вни мание, что Ntdsutil работает только с контроллерам домена под управлением Windows 2000.) Обычно для LDAP-запросов используются порты 389 или 3289;

на сервере под управлением Windows 2000, сконфигурированном в качестве кон троллера домена, кнопка Change (Свойства) на вкладке Network Identification (Сетевая идентификация) в окне свойств My Computer (Мой компьютер) заб локирована. Об этом информирует соответствующее уведомление на указанной вкладке. Контроллеры доменов нельзя переименовать. Данное ограничение не распространяется па рядовые серверы домена и изолированные компьютеры;

найти контроллер домена, выполняющий роль эмулятора PDC, запустив про грамму Netdiag (команда netdiag /v) и найдя в выводимых ею сообщениях Machine is a Primary Domain Controller. Кроме того, для получения этой же информации можно воспользоваться служебной программой Nltest, как показа но в следующем примере:

nltest /dsgetdc: reskit /pdc DC: \\NTDSDC Address: \\172.23.92. Dom Guid: Ca21b03t)-6dd3-11d1-8a7d-b8dfb156871f Dom Name: RESKIT Forest Name: reskit.reskit.com.

DC Site Name: Red-Bldg Our Site Name: Red-Bldg Flags: PDC DS KDC TIMESERV WRITABLE DNS_FQREST CLOSE_SITE 0x The command completed successfully чтобы найти контроллер домена, выполняющий функции глобального каталога леса, можно проверить состояние флажка Global Catalog (Глобальный каталог) в консоли Active Directory Sites and Services (Active Directory Ч сайты и служ бы) или воспользоваться программой Nltest, отыскав в возвращенных ею сооб щениях флаг глобального каталога.

nltest /dsgetdc:server 4 !, reskit.com /go DC: \\FE-DC-02.fareast.reskit.com.com Address: \\172.23.4. Dom Guid: 0502fd7a-2b1e-11d3-a5ec-00805f9f21f Dom Name: fareast.reskit.com.com Forest Name: reskit.com.com DC Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIHESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST Служба каталогов Active Directory 414 ЧАСТЬ Х определить владельцев FSMO-ролей, Это можно сделать в консоли Active Direc tory Users and Computers (Active Directory - пользователи PI компьютеры), в которой должны отражаться хозяева трех ролей Ч эмулятора PDC, относитель ных идентификаторов и инфраструктуры.

Оповещение о роли сервера глобального каталога Контроллер домена не будет оповещать о себе как о сервере глобального каталога, пока не получит частичные реплики со всех доменов. Чтобы повысить роль кон троллера домена до глобального каталога, надо соблюдать некоторые правила.

Х Запрос на назначение компьютера сервером глобального каталога существенно отличается от фактического повышения роли сервера и оповещения об этом фак те. Прежде чем оповещать о себе в качестве сервера глобального каталога, сервер должен успешно получить частичные реплики всех доменов в предприятии. Что бы назначить компьютер таким сервером, Вам надо установить флажок Global Catalog (Глобальный каталог) в окне свойств соответствующего сервера в консо ли Active Directory Sites and Services (Active Directory - сайты и службы).

Примечание Из того, что данный флажок установлен, не обязательно следует, что роль компьютера была успешно повышена до сервера глобального каталога и он оповещает о себе в этом качестве.

Существуют четыре способа определить, оповещает ли компьютер о себе, как о глобальном каталоге:

Х посмотреть в оснастке Event Viewer (Просмотр событий), нет ли в журнале службы каталогов (Directory Services) соответствующего сообщения;

Х воспользоваться служебной программой Ldp и определить значение атрибу та isGcReady в rootDSE. Значение TRUE свидетельствует о том, что данный компьютер Ч сервер глобального каталога и оповещает об этом;

Х воспользоваться программой Xltest, чтобы узнать, обладает ли компьютер набором атрибутов глобального каталога. Если да, то данный компьютер Ч сервер глобального каталога;

Х проверить, установлен ли в 1 параметр завершения повышения роли кон троллера до глобального каталога в разделе реестра HKEY _LOCAL_ MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\. Если да, то компьютер объявляет о себе как о сервере глобального каталога.

Х После успешного конфигурирования компьютера для оповещения о роли гло бального каталога и его перезапуска, он будет объявлять себя в этом качестве, даже если не содержит данных о некоторых доменах предприятия.

Компьютер с установленным флажком Global Catalog (Глобальный каталог) Х периодически (каждые 30 минут) проверяет полноту своего списка доменов.

Этот период можно изменить, задав его значение в разделе реестра, упоминае мом в соответствующем журнале событий.

Х По умолчанию глобальный каталог должен содержать копии всех доменов, от носящихся к сайту глобального каталога. Таким образом, если глобальный ка талог находится в сайте Sitel, в котором размещены контроллеры доменов А, В и С, а в сайте Site2 расположены контроллеры доменов D, Е и F, то, чтобы на ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory чать оповещение о своей роли, глобальный каталог должен получить реплики доменов А, В и С.

Х Даже после перезапуска компьютера, для которого выполняется назначение гло бальным каталогом, он будет продолжать пытаться исполнять эту роль.

Примечание В процессе выполнения dcpromo пользователю предоставляется иоз можность отложить репликацию, установив соответствующий флажок. Если такой флажок установлен, после перезагрузки компьютера система не оповещает о своих ролях, пока не завершится периый цикл синхронизации данных домена. Сведения о синхронизации компьютер хранит в атрибуте isSynchronized корня RootDSE, зна чение которого можно узнать средствами Ldp, Поиск различий в данных разделов каталога средствами Dsastat Служебная программа Dsastat используется для определения различий между ука занными пользователем подмножествами объектов на двух различных контролле рах домена. Сначала она извлекает такие статистические данные, как средний объем хранимых данных и объектов в расчете на один сервер и средний объем, занимае мый объектами одного класса. Далее Dsastat сравнивает атрибуты реплицируемых объектов. Эту программу можно применять для сравнения реплик одного типа в двух деревьях каталога в пределах одного домена или, в случае глобального ката лога, в нескольких доменах. Dsastat позволяет наблюдать за состоянием репли кации на более высоком уровне, чем наблюдение за отдельными транзакциями.

Примечание Служебная программа Dcdiag предоставляет функцию, называемую проверкой объектов (check objects), которая анализирует и проверяет согласован ность всех копий объектов учетных записей компьютеров и объектов DSA на сер вере, В общем случае при своевременной репликации все копии полностью согла сованы, и нет никакой необходимости находить различия. Такая операция нужла, когда предполагается искажение базы данных. Наиболее вероятной причиной не согласованности данных является нарушение репликации. Функция Replications в программе Dcdiag позволяет узнать о любых сбоях репликации.

Например, чтобы сравнить все объекты-пользователи в подразделении Sales в до мене Reskit.com с такими же объектами другого домена, нужно выполнить следую щую команду:

dsastat -s:reskitSf;

reskitS2 -b:OU=Sales,DC=Reskit,DC-corn -gcattrs:all -sort:true t:false -p:16 -filter:"(&(objectclass=user)(IobjectClass=coniputer))" В этом примере Вы можете узнать, согласованы ли содержания поддерева OU=Sales,DC=Reskit,DC=com на обоих контроллерах домена. Программа обнару живает объекты, хранящиеся на одном, но отсутствующие на другом контроллере домена (например, если сведения о создании или удалении не реплицированы), а также определяет различия в значениях атрибутов одинаковых объектов, В данном примере задан поиск по поддереву домена и указано имя подразделения Sales. Фильтр позволяет выделить только объекты-пользователи и отсеять объек ты-компьютеры.

Служба каталогов Active Directory 416 ЧАСТЬ Примечание Поскольку в иерархии классов объекты-компьютеры являются произ йодными от объектов-пользователей, фильтр поиска (pbjectclass =user) возвращает объекты обоих типов.

Также, средствами Dsastat, Вы можете назначить контроллеры домена получате ли и дополнительные операционные параметры непосредственно из командной строки или из файла инициализации. Dsastat позволяет определить, обладают ли контроллеры домена непротиворечивыми и точными данными о собственном до мене. В случае глобального каталога программа проверяет согласованность данных на сервере глобального каталога и на контроллерах других доменов. Программа Dsastat дополняет другие служебные программы наблюдения за репликацией Repadmin и Replmon, позволяя установить взаимную согласованность контролле ров домена.

Определение наличия обновленных данных на контроллерах домена Обнаружив в журнале службы каталогов, открытом в окне Event Viewer (Просмотр событий), сообщение об ошибке <>DS paths have a different object count in them (различное количество объектов на котроллерах домена), обратитесь к служебным программам Dsastat, Repadmin и Replmon для диагностики и устранения неполадки.

Например:

LDAP;

:.reskit.com/CN=Packages,CN=Class Store,CN={EF06ECF2-A8C9-11D2-B575 Q008C7457B4E}, CN=Pollcies, CN=Systern, DC=reskit, DC=tnlcrosoft, DC=com For DCName=ntdsdc4 there are 77 objects in the tree while for DCName-RESKIT-DC- there are 78 objects, The missing object is CN={7cc10tJ6e-463f-4a65-8d4cl 56d85fc823d} Решение проблемы:

объект был создан доменом del примерно в 16:00 (4 P.M.):

repadmin /showmeta "CN=7cc10d6e-463f-4a65-8d4d-56d85fc823c1,CN=Packages,CN=Class Store,CN^User,CN=

Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute 12950240 Bldg\DCl 7611643 1999-06-18 15:58.371 objectClass 12950240 Bldg\RESKIT-DC-Q812950240 1999-06-18 16:14.59 1 en 12950240 Bldg\DCl 7611643 1999-06-18 15:58.371 instanceType 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 whenCreated 12950240 Blflg\DCl 7611643 1999-06-18 15:58. showInAdvancedViewOnly 12950240 Bldg\DCl 7611643 1999-06-18 15:58. nTSecurityDescriptor 12950240 Bldg\DCl 7611643 1999-06-18 15:58,371 name 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 msiScrLptPath 12950240 Bldg\DCl 7611643 1999-06-18 15:58.371 cOMClassID 12950240 Bldg\OC1 7611643 1999-06-18 15:58.371 cQMProgID 12950240 Bldg\DCl 7611643 1999-06-18 15:58.371 localelD Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 1D 12950240 Bldg\DC1 7611643 1999-06-18 15:58. computerArchitecture 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 revision 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 packageType 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 packageName 12950240 Bldg\DC1 7612100 1999-06-18 16:01.022 packageFlags 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 versionNumberH:i 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 verslonNumberLo 12950240 Bldg\DC1 7612100 1999-06-18 16:01. lastUpdateSequence 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 msiFileList 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 categories 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 url 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 objectCategory 12950240 Bldg\DC1 7611643 1999-06-18 15:58. upgradeProdoctCode 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 canUpgradeScript 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 fileExtPriority 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 productCode 12950240 Bldg\DC1 7612100 1999-06-18 16:01.022 msiScriptName 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 installUiLevel Вследствие задержки репликации в reskit.microsoft.com (перезапуск компьютеров, обновления, установка новых приложений и т. п.) для репликации изменения мо жет потребоваться более часа.

Б следующем примере показано, что изменение наконец реплицировано:

repadmin /showmeta "CN=7cc10d6e-463f-4a65-8d4d-56d85fc823c1,CN=Packages,CN^Class Store,CN=User,CN={EF06ECF2-2-B 0008C7457B4E},CN=PoLicies,CN=System,DC=reskit,DC-microsoft,DOcom" ntdsdc 29 entries.

Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 objectClass 7597742 Bldg\DC4 7597742 1999-06-18 16:17.191 en 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 instanceType 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 whenCreated 7597742 Bldg\DC1 7611643 1999-06-18 15:58. showInAdvancedViewOnly 7597742 BLdg\DC1 7611643 1999-06-18 15:58- nTSecurityDescriptor 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 name 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 msiScriptPatf 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 cOMClassID 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 cOMProgID 7597742 Bldg\OC1 7611643 1999-06-18 15:58.371 LocalelD 7597742 Bldg\DC1 7611643 1999-06-18 15:58. corcputerArchitectu re 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 revision 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 packageType 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 packageName Служба каталогов Active Directory 418 ЧАСТЬ 7597742 Bldg\DC1 7612100 1999-06-18 16:01.022 packageFlags 7597742 Bldg\DC1 7611643 1999-06-18 15:58. versionNumberHi 7597742 Bldg\DC1 7611643 1999-06-18 15:58. versionNumberLo 7597742 Bldg\DC1 7612100 1999-06-18 16:01. lastUpdateSequence 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 msiFileList 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 categories 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 url 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 objectCategory 7597742 Bldg\DC1 7611643 1999-06-18 15:58. upg radeProductCode 7597742 Bldg\DC1 7611643 1999-06-18 15:58. canUpgradeScript 7597742 Bldg\DC1 7611643 1999-06-18 15:58. fileExtPriority 7597742 BLdg\DC1 7611643 1999-06-18 15:58.371 productCode 7597742 Bldg\DC1 7612100 1999-06-18 16:01.022 msiScriptName 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 installUiLevel Для наблюдения за репликацией используйте служебные программы Repadmin, Replmon и Dsastat, расположенные в папке Support па компакт-диске с операцион ной системой Windows 2000.

Неполадки при присоединении к домену и проверке подлинности Когда не удается присоединить компьютер к домену Active Directory или если ком пьютер не может связываться с каким-либо другим компьютером в сети, возмож ная причина Ч неполадки присоединения и проверки подлинности.

В этом разделе обсуждаются средства диагностики и приведены примеры возмож ных неполадок с проверкой подлинности, а также предлагаются возможные мето ды их устранения. Первый шаг на пути выявления и диагностики неполадок при соединения к домену и проверки подлинности в Active Directory - изучение про цесса присоединения к домену компьютера под управлением Windows 2000, опре деление того, какие разрешения требуются пользователю и как устанавливается за щищенный канал.

Присоединение компьютера к домену Далее перечислены операции, выполняемые в процессе присоединения компьюте ра под управлением Windows NT 4.0 или Windows 2000 к домену:

Х проверяется допустимость имени домена;

Х вызывается функция DsGetDcName для поиска контроллера домена;

Х создается сеанс с контроллером домена в контексте безопасности реквизитов, указанных на вкладке Network Identification (Сетевая идентификация) в окне свойств System (Система) в Control Panel (Панель управления);

Х активизируется учетная запись компьютера. Если установлены соответствую щие флаги (NETSETUP_ACCT_CREATE), функции API создают па контрол лере домена учетную запись компьютера;

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Х в администраторе локальной безопасности (Local Security Authority, LSA) зада ется локальный пароль для этой учетной записи;

Х в политике локального LSA в качестве информации об основном домене задаст ся данный домен, то есть его имя и SID;

Примечание Для компьютеров под управлением Windows 2000 политика LSA состоит из имени домена, SID домена, DNS-имени домена, DKS-имени леса и GUID домена, Х обновляется DNS-имя локального компьютера;

Х изменяется состав локальных групп: в локальную группу Administrators (Админис траторы) добавляются члены труппы Domain Admins (Администраторы домена);

Х инициализируется и заполняется списком доверенных доменов кэш доверенных доменов службы Net Logon (Сетевой вход в систему);

Х только на клиентах под управлением Windows 2000: активизируется и запуска ется служба Windows Time Service (Служба времени Windows);

Х запускается служба Net Logon.

Изменения на контроллерах домена при присоединении клиента к домену При присоединении клиента к домену на контроллерах домена под управлением Windows NT 4.0 или Windows 2000 происходят следующие изменения:

Х создается соответствующий объект компьютер. Имя этого объекта создается добавлением знака $ к имени клиента (прописными буквами);

Х только на контроллерах домена под управлением Windows 2000: служба Net Logon (Сетевой вход в систему) задает для объекта компьютер основные име на служб (Service Principle Names, SPN).

Выявление сбоев при проверке подлинности Чтобы удостовериться в правильности работы проверки подлинности (или присо единения), нужно прежде всего убедиться, что локальная рабочая станция функ ционирует нормально. Для этого воспользуйтесь программой Netdiag. Просмотри те все сообщения, выведенные программой на предмет наличия сообщений ERROR или FATAL. (Многие неполадки непосредственно не относятся к самому домену, но их все равно нужно исследовать, потому что они связаны с неполадками в сети.) Если таких сообщений в выведенном программой на экран тексте нет, выполните операции, описанные ниже.

Х Выполните команду netdiag /v (режим отображения всей информации). Есть ли какие-либо конкретные сообщения об ошибках или сообщение FATAL?

Х В случает отрицательного ответа на предшествующий вопрос выполните коман ду netdiag /debug. Есть ли на этот раз какие-либо конкретные сообщения об ошибках или сообщение FATAL?

Х Если Netdiag сообщает об ошибке или сбое самого домена, проверьте нет ли в ж\р нале %5y.tfem/?oot%\dcbug\netsctup.]og сообщений о неполадках присоединения.

Примечание В журнале %5z/sremfioo%\debug\netsetup.log регистрируются сооб щения об ошибках присоединения. Если локальная рабочая станция функцио нирует нормально, исследуйте этот файл на предмет сообщений о неполадках.

Служба каталогов Active Directory 420 ЧАСТЬ Формат файла Netsetup.log Строки в файле Netsetup.log имеют следующий вид:

<мвтка_времени> <имя_функции>: <описание_операции>: <шестнадцатеричный_код_состояния> Вот пример строки Netsetup.log:

Pages:     | 1 |   ...   | 7 | 8 | 9 | 10 | 11 |   ...   | 18 |    Книги, научные публикации