Книги, научные публикации
Pages: | 1 | ... | 6 | 7 | 8 | 9 | 10 | ... | 15 | Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...
-- [ Страница 8 ] --2. В поле Server введите либо имя текущего контроллера либо имя троллера домена, к которому Вы хотите 3. В поле Port введите номер порта.
По умолчанию в LDAP используется порт 389, а каталоге Active Directory - порт 3268.
4. Щелкните ОК.
Вот пример отображаемых Ldp в случае подключения:
d = 389);
Established connection to DSA Result Matched DNs:
Getting 1 entries:
1> 10/18/1999 2:45:52 Pacific Standard Time Pacific Daylight Time;
1> 1> 3> namingContexts:
1> 1> 1> 1> 16> 2> 3;
2;
11> 392 ЧАСТЬ 1 Служба каталогов Active Directory 1> 4696;
2> GSSAPI;
1> 1> 1> 1> 1> 1> TRUE;
Если сбой происходит на этапе обратиться по IP-адресу, самим сервером, а не службой DNS.
Х Выполняется ли команда ping для сервера?
Если связь установить не удается, требуется перехватить попытку подключе ния анализатором пакетов сетевого монитора и определить, реагирует ли сервер на запросы.
Х Удается ли другим клиента подключиться к серверу?
Х Но перегружен ли Иногда подключение невозможно, потому что клиентский компьютер в списке IP-Deny List (Список LDAP). Чтобы проверить это, вос программой Х Если неудачны, выясните, работают ли на дан ном сервере другие службы. Попробуйте выполнить команду:
net view Откройте Task Manager задач Windows) и достаточно ли памяти на сервере и не загружено ЦПУ на уровень диагностики до 3 и еще раз проверьте окно Event Viewer (Просмотр событий) на предмет Подробнее об регис диагностики Active Directory Ч в разделе Дополнительные способы устранения неполадок далее в этой главе.
Х Отвечает ли сервер на простые запросы?
Для такой создавать привязку не обязательно. С помощью под ключитесь к серверу, чего следующий синхронный поиск:
пустым поле Base задайте фильтр (objectclass *), а область поис ка base. Это специальный тип поиска в rootDSE. Он све дений, в том числе и об известных серверу разделах каталога.
Если поиск не возвращает никаких данных, сначала журнал событий, после чего проведите анализ пакетов и узнайте, реагирует ли сервер вообще.
Х ли сервер привязку?
Поскольку известно много способов привязки, сначала воспользоваться для этого поставщика ти (security support provider interface Попробуйте применить разные записи.
ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory Х После При входе в систему под записью администратора быть до ступны почти все объекты в Active Directory. Для других на бор доступных для поиска объектов может быть существенно или пустым.
Х Удается ли выполнять в родительском Одна из этой Ч недостаток привилегий того, что клиент прошел проверку в дочернем Примечание Для обмена по протоколу LDAP используются два порта TCP/IP основной порт (389) и порт глобального каталога (3268). Порт глобального лога доступен, только когда установлена служба каталогов Active Direc tory, роль сервера повышена до домена и сконфигурирован глобаль ный каталог. Часть данных доступна по одному порту, другая часть Ч другому.
Например, копии только для данных из других доступны только через порт глобального каталога.
Если, несмотря на успешность всех операций, интересующий Вас объект не найден службой LDAP, то это означает, что либо объект ствует, либо у Вас недостаточно прав на его просмотр. Попытайтесь воспользовать ся записью - лучше всего учетной администратора.
Проверьте, не выходит ли поиск за пределы ограничений Ч на время поиска, число возвращенных объектов или атрибутов. В этом случае стоит выполнить иск с просмотром (paged search). Подробнее о границах админист рирования LDAP в разделе ограничения LDAP и политика запросов далее в этой главе.
В следующих разделах описаны порядок обмена LDAP-сообщениями, их формат и другие операции. Изучите их, чтобы устранять неполадки.
Функциональные возможности LDAP Обычно приложение, или обращается к для выпол нения одной из перечисленных далее операций:
Х подключения к серверу;
Х подлинности клиента на Х (обновления) объектов каталога;
Х поиска в каталоге;
Х обработки результатов поиска;
Х обработки ошибок;
Х памятью;
Х отключения от сервера.
Подключение к серверу При LDAP-клиента к серверу устанавливается сеанс LDAP. Можно вид и параметры создаваемого соединения, например тайм-аут с безопасным LDAP и подтверждением доступности сервера.
394 ЧАСТЬ 1 Служба каталогов Active Directory Проверка клиента на сервере Операция привязки идентифицирует пользователя, устройство или приложение на сервере: представляется составное имя клиента и некоторая допол нительная удостоверяющая информация, например пароль. Точный состав зитов сведений зависит от метода проверки подлинности.
Примечание поддерживает расширяемую модель, основанную на механиз ме SASL (Simple Authentication and Security Layer). В для поддержки раз личных поставщиков безопасности архитектура.
позволяет клиенту с сервером для определения шего доступного механизма Для этого в реализованном Microsoft LDAP API применяется флаг NEGOTIATE, требующий согласования механизма безопасности. В этом случае (basic) или (simple) под линности не используется. Например, применяется такой как Kerberos V5 или NTLM. Сервер Active Directory настроить на прием анонимных подключений.
Реализация LDAP в Windows 2000 следующие способы проверки подлинности.
Пароль открытым текстом. В этом методе (простая привязка) подлинность про веряется по паролю в виде открытого текста, указываемого для определенной учет ной записи.
Проверка подлинности по протоколу NTLM. Позволяет клиентам под управле нием Windows NT версии 4.0 и более ранних подтверждать свою подлинность на LDAP-серверах, используя протокол NTLM. Такой способ применяется для входа в систему в изолированной Проверка подлинности по протоколу Kerberos v5. По умолчанию на компьюте рах под управлением Windows 2000 используется протокол подтверждения подлин ности Kerberos.
Примечание Проверка подлинности внутри и между доменами Windows 2000 выпол или по протоколу Kerberos (по умолчанию) или по NTLM (для Windows NT), Для других клиентов и пользователей, подключающихся через Интернет, применяются другие Secure Sockets Layer (SSL). SSL Ч открытый протокол для соедине ния через Интернет. Б случае наличия инфраструктуры сертификата задание порта сервера автоматически устанавливает сеанс SSL. Параметры, методы и ствительны к регистру. о настройке сертификатов Ч в главе 16 Службы сертификации и инфраструктура открытого ключа в Windows Simple Protected Negotiation (SPNEGO). SPNEGO позволяет клиенту и серверу осуществлять обмен или по NTLM, или Kerberos в зависимости от механизма, доступного конкретному клиенту и серверу. В этом случае и клиент согла суют общий протокол проверки (например, Kerberos или NTLM).
Этот вариант годится, когда пользователя интересует только безопасность, а не тип используемого протокола.
ГЛАВА Выявление и устранение а также восстановление Active Directory Изменение объектов каталога. APT содержит функции, обеспечивающие до бавление и объектов каталога, сравнение и атрибутов существу ющих объектов. В эти функции расширены и возможность выполнять операции посредством элементов Согласно RFC Ч это механизм расширения функциональных LDAP.
Windows 2000 предоставляет элементы управления, которые суще ственно функциональность, указанную документах RFC, относящихся к Поиск в каталоге. Это наиболее стандартная операция с каталогом;
LDAP API поддерживает критерии и поиска. Клиент выполняет поиск на LDAP-сервере, передавая ему специальный набор параметров, на интересующую клиента. В них также о глубине и критериях поиска. Клиент может пользоваться фильтром для отбора ин тересующих его объектов. поиска определены в документе RFC 2254. Рас ширения основного протокола LDAP API в управления в версии предоставляют возможность упорядочивать результаты и задавать различ ные ограничение на поиска. поиска просматри вать постранично и сортировать. просмотра (paging) и сортировка встроены в Windows 2000 в соответствии с новыми для обработки результатов поиска на сервере.
Обработка ошибок. Все результаты LDAP возвращают код ошибки согласно RFC Кроме этого, контроллеры доменов под управлением Windows гут возвращать дополнительную информацию в символьной строке с описанием ошибки, а значение ошибки преобразуется в код близкой по смыслу ки в Win32.
Отключение от сервера (снятие привязки) снятия отключает связь с сервером и закрывает описатель се анса. Функция снятия привязки LDAP вызывается при завершении взаимодей ствия с сервером. Ответ сервера на запрос о снятии привязки не предусмотрен.
LDAP Message Protocol Data Все операции протокола в стандартный конверт. Сообщение инкапсулируется в формат (Protocol Data Unit).
состоит из операций протокола, таких, как запрос LDAP-привязки, ответ LDAP запрос на LDAP-поиск и ответ на Понимание механики этих операций облегчает диагностику и устранение неполадок протокола LDAP.
Модули LDAPMessage Protocol Data Unit непосредственно в поток данных протокола TCP. Клиенты Active Directory используют следующие порты LDAP:
Х порт 389 в с RFC 2251 этот порт используется в Active Directory по умолчанию для связи контроллеров доменов Х 636 Ч в Active Directory порт 636 применяется для связи по протоколу LDAP SSL;
Х порты 3268 и 3269 глобальный каталог использует порт 3268 для а порт 3269 Ч для запросов по протоколу LDAP SSL, 396 ЧАСТЬ 1 Служба каталогов Active Directory Подробнее о на Web-странице Web Resources по адресу ссылка Internet Engi neering Task Force.
Запрос В с RFC 2251 обладает параметрами:
Х Version Ч на номер версии протокола, который нужно использовать в данном сеансе. Обратите внимание, что процесса согласования версий между клиентом и сервером а клиентом;
Х Name Ч имя объекта каталога, к которому хочет подключиться клиент. Это поле принимает значение null (строка нулевой длины) в случает анонимных подклю чений, когда подлинности выполнено в нижнем или ис пользует удостоверяющие SASL;
Х Authentication Ч для подтверждения (если оно указано в При получении запроса о привязке сервер при необходимости проверяет подлин ность клиента, после чего возвращает ответ на запрос о привязке клиенту с указа нием результатов проверки подлинности.
Далее показан пример запроса представленный сетевым монито ром (Network Monitor):
LDAP: (0) LDAP: = LDAP: ProtocolOp BindRequest LDAP: Version = 3 (0x3) LDAP: Name LDAP: Authentication Type = LDAP: Sasl Mechanism = LDAP: Sasl Credentials Ответ на запрос LDAP-привязки Ответ на запрос LDAP-привязки Ч это информация от сервера о запро са на проверку клиента. Если привязка выполнена успешно, то код результата имеет В противном случае, согласно RFC 2251, тат принимает кода ошибки из следующего перечня:
Х Ч произошла внутренняя ошибка сервера;
Х неизвестный номер версии;
Х Ч механизм SASL;
Х Ч сервер требует, чтобы проверка подлинность выполня лась по механизму SASL;
Х referral - сервер не может выполнить привязку. Клиенту таться с другим сервером;
Х Ч сервер требует, чтобы клиент прислал новый запрос по тому же механизму (SASL) для подлинности;
Х InappropriateAuthentication требует, чтобы клиент, пытающийся под анонимно или без удостоверяющих реквизитов, предоставил инфор мацию, по которой можно проверку его ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory Х неправильный пароль или обработать удо стоверяющие реквизиты по механизму SASL;
Х unavailable сервер R процессе выключения.
Примечание Параметры как в SASL механизма привязки, чтобы мог проверить сервера, к которому он создает привязку, или выполнить подтверждение подлинности в ре жиме запрос -- ответ.
показан пример ответа па запрос LDAP-привязки, перехваченный и женный сетевым монитором:
LDAP: (1) LDAP: 18 (0x12) LDAP: ProtocolOp BindResponse LOAP: Code Success LDAP: Matched DN = LDAP: Error Message = LDAP: Mechanism GSSAPI LDAP: Sasl Credentials ЮАР-поиск Операция LDAP-поиска используется, когда клиенту надо, чтобы поиск сервер от клиента. Она извлечь атрибуты записи, или записей, следующих непосредственно за указанной, или целого поддерева.
В с RFC 2251 запрос на поиск обладает следующими параметрами:
Х baseObject - имя LDAP база то есть точка, от которой выполняется поиск;
Х scope Ч область Семантика этого поля такая же, как аналогичного поля операции поиска по протоколу Х derefAliases как должны обрабатываться в процессе поиска объек (согласно спецификациям Семантика допустимых зна чений этого поля такова:
Х разыменовывать псевдонимы при поиске или при нахождении базовых объектов поиска;
Х разыменовывать псевдонимы в поиска среди подчиненных объектов, но не разыменовывать нахождении базового объекта;
Х разыменовывать псевдонимы в поиска базо вого объекта, но не при поиске среди подчиненных Х Ч разыменовывать псевдонимы как в процессе поиска так и подчиненных объектов;
Х sizelimit Ч максимальное число возвращаемых записей. Значение О на отсутствие каких-либо ограничений, налагаемых клиентом.
веры самостоятельно ограничивать число возвращаемых записей;
Х timelimit Ч время (в отведенное на поиск. Значение О указывает на отсутствие каких-либо клиентом;
398 ЧАСТЬ 1 Служба каталогов Active Directory Х typesOnly Ч указывает, будут ли результаты поиска содержать только типы ат рибутов или типы вместо с со значениями атрибутов (FALSE);
Х filter - фильтр, задающий которым должны отвечать возвращаемые записи;
Х attributes список атрибутов, которые возвращаются для записей, соответству ющих фильтру поиска. Существуют два специальных значения этого параметра:
пустой список без атрибутов и со строкой атрибута Оба значения требуют извлечения всех атрибутов, знак подстановки позволяет все атрибуты объекта в к операционным атрибутам.
Вот примерный вид запроса на LDAP-поиск:
LDAP: (3) LDAP: = 1 (0x1) LDAP: ProtocolOp = SearchRequest LDAP: Object = LDAP: = Base Object LDAP: Deref Aliases = Never Aliases LDAP: Size Limit = No LDAP: Time Limit = No Limit LDAP;
= 0 (0x0) LDAP: Filter Type = Present LDAP: Attribute Type = objectClass Результат Результаты LDAP-поиска, выполненного сервером после получения запроса на возвращаются в ответах на запрос о поиске, которые собой сообщения LDAP, содержащие данные одного из типов Ч Response или SearchResultDone.
Если сеанс LDAP выполняется по протоколу TCP, сервер возвращает клиенту после ответов в отдельных В результат иногда не попада ет ни одно сообщение или одно и более сообщений, содержащих SearchResultEntry, по на каждую найденную запись.
Согласно REC 2251, каждая запись, в содержит все (вместе с их если это определено в параметре attributes).
Состав возвращенных атрибутов зависит от ограничений системы управления до ступом и других административных политик. Некоторые атрибуты могут иметь двоичный формат (на что указывает в котором со ответствующий флаг).
Подробнее о результатах на Web-странице Web Resources по адре су ссылка Engineering Task Force Internet.
Далее показан пример ответа на запрос LDAP-поиска, перехваченный и представ ленный монитором:
LDAP: ProtocolOp: (4) LDAP: MessagelD = 1 (0x1) LDAP: ProtocolOp SearchResponse Object Name = + LDAP: Attribute Type = ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory, LDAP: Attribute Type = LDAP: Attribute = Type.
LDAP: Attribute Type = LDAP: Attribute Type i LDAP: Attribute Type = Attribute Type LDAP: Attribute Type = LDAP: Attribute Type LDAP: Attribute = LDAP: Attribute Type = Attribute Type Attribute = Type LDAP: Attribute Type = Подробнее о протоколе LDAP Ч на Web по адресу ссылка Internet Engineering Task Force Internet.
Далее пример ответа о неудаче LDAP: (1) LDAP: 8 (0x8) LDAP: ProtocolOp = BindResponse LDAP: Code = Invalid LDAP: Hatched = LDAP: Error Message = А вот пример ответа об LDAP-привязки:
LDAP: ProtocolOp: BindResponse LDAP: = LDAP: ProtocolOp = BindResponse Result Code = Success LDAP: Matched = LDAP: Error = LDAP: Mechanism = GSSAPI LDAP: Sasl Credentials ограничения LDAP и политика запросов Административные ограничения LDAP составляют политику и в виде многозначного атрибута объектов политики запросов. Эти ограни чения Вам размер рабочего множества и нагрузку процес сора на сервере или серверов. Например, определенного домена вправе сортировку и постраничный просмотр, чтобы освободить память и процессорное время для выполнения сайтовой с большим объемом оперативной памяти, но стеснен ный в ресурсах, можно настроить на поддержку больших наборов результатов, но ограниченное число активных Политика запросов применяется к некоторым операциям, связанным с выполнени ем LDAP-запросов.
Х Поиск. разрешается выполнять в небольшой части отдельного хранилища каталога или во всех хранилищах каталогов в лесе (и даже далее но перекрестным ссылкам). Поиск оказывает нагрузку на дисковую систему, занимает время и возвращает множество данных.
400 ЧАСТЬ 1 Служба каталогов Active Directory Х Поиск с постраничным просмотром результатов. Поскольку по иска может быть большой объем данных, клиент вправе потребовать, чтобы сер вер хранил результаты самостоятельно, а их порциям Сервер должен хранить результаты, пока клиент не высвободит их или не привязку.
Х Поиск с сортировкой По требованию клиента набор в порядке. требует памяти и процессорного сервера. Объем используемых для этого ресур сов прямо результатов.
Х Размер страницы. Администратор ограничить число атрибу тов, возвращаемых на каждый запрос.
Х Уведомление об обновлении. Выполняется но клиента и уведомляет об указанных им объектов каталога. Такое уведомление реализует ся по механизму асинхронного Поскольку объем памяти на сервере и потребление процессорного вре мени меняются, политику запросов нужно апробировать на тестовой перед применением па рабочих Конфигурируя параметры административных ограничений определить права клиентов но выполнению простых или сложных, с постраничным просмотром или сортировкой, и системных ресурсов. Кроме того, можно задать максимальное число соединений с сервером, время отсутствия актив ности соединения и т. п, а также доступ по или по маске подсети.
Поддержка таких расширений как запросы, постраничный просмотр и дополнительные на оперативную память и вычис лительные ресурсы сервера Active Directory, поэтому перед развертыванием LDAP серверов рекомендуется протестировать балансировку нагрузки.
на ресурсы сервера, клиентам, выполняющим составляют политику запросов LDAP и хранятся как многознач ные атрибуты соответствующих объектов политики запросов. Поскольку нагрузка и ресурсы различаются для разных серверов, политика запросов на уров не сервера.
Для просмотра и запросов контроллера можно исполь зовать программу Оснастка Active Directory Sites and Services (Active Directory Ч сайты и службы) только для настройки полити ки запросов контроллеров доменов, но не сайтов. Кроме того, для создания, удале добавления или изменения объектов политики запросов можно применять сце нарий который устанавливается из каталога на при лагаемом к книге компакт-диске Microsoft Windows 2000 Server Resource Kit.
Объекты политики запросов хранятся в NT, в разделе конфигурации.
Стандартные параметры запросов Если политика сайта не настроена, все контроллеры домена по ис пользуют политику запросов. В противном случае применяются пара метры политики. Политика запросов, заданная для определенного домена, имеет среди всех остальных политик сайта.
ГЛАВА Выявление и неполадок, а также восстановление Active Directory и параметры можно просматривать средствами служебной программы командной строки Ntdsutil. В таблице 10-5 адми нистративные стандартной (по умолчанию) политики запросов.
Таблица 10-5. Параметры стандартной политики Административные Стандартные LDAP (по Х I соединения Ч времени (в сервером запроса, по истечении которого LDAP-сервер возвращает ние о разрыве и закрывает его Max Connect ions 5000 Максимальное допустимое число LDAP-серверу. При достижении данного значения сервер няет на Максимально допустимое время простоя со Time (в при ко торого разрывает Queries ХХХ допустимое число на сервере. При достижении го сервер на все росы отвечает число запросов об уведомлении на соединение. При достижении значения сервер па все запросы отвечает 10485760 объем буфера. Ог раничивает размер обраба тываемых Получив запрос с разме указанного сервер закрывает Максимально допустимый размер страницы, MaxPageSize Ограничивает объем (в возвращаемых сервером. Запросив ты с просмотром, клиент по лучает результаты запроса последовательно Ч по одной размер которой не жет превышать указанного значения :o Максимальная допустимая зап Duration роса (в запросе с просмотром, клиент может просматри вать страницы после для таймера простоя соединения, но только до указанного срока допустимой длительности запроса, сервер дли тельности запроса (см. стр.) 402 ЧАСТЬ 1 каталогов Active Directory Таблица 10-5. (продолжение) Административные Стандартные Описание ограничения LDAP значения (по умолчанию) размер временной число объектов (записей) во временной таблице результатов. При превы шении данного значения в процессе оптими зации запроса с применением оператора ИЛИ оптимизация отменяется, вместо нее выполняется прямой таблицы. Дан ное также иногда в процессе сортировки на стороне сервера, в этом случае результаты клиен ту неотсортированными Задаст максимальный объем памяти, выделя результатов всех запросов с постра ничным просмотром. При превышении ного значения отбрасываются более старые результаты Число потоков, выделяемых для обработки в расчете на процессор.
Данное ограничение может быть превышено только при определенных условиях, Примечание: если привязка выполняется слишком долго, увеличьте данное до 6 1024 Максимальный размер входящих на сервер дейтаграмм. Сервер заранее выделяет под дейтаграммы буферы определенного размера, его превышение невозможно Подробнее об Ntdsutil Ч в справочной системе Windows 2000 Sup port и приложении В Ч служебная программа диагностики Active Подробнее о контейнерах Ч в главе данных в Active Directory.
Неполадки контроллера домена Одна из наиболее особенностей Windows 2000 такова: все контроллеры одного домена равноправны и обновлять каталог может любой из них.
Такой способ репликации обновлений между контроллерами домена и такая орга контроллеров создает определенные трудности. Например, когда не все объединены топологией репликации, в результате отдельные не получают обновлений каталога.
Кроме того, чтобы найти контроллер домена, локатор должен обладать точной и достоверной информацией об этом ресурсе. Если контроллер домена предоставил о себе сведения, локатор не сможет его найти.
Примечание В дополнение к в DNS и NetBIOS, для поиска серверов, каждый должен о своей роли, чтобы локатор мог его найти. об объявляемых ролях позволяет программа Nltest. Кроме ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory того, до полного завершения инициализации сервер информирует о некоторых своих ролях. Таким образом, при зависании сервера или воз никновении при запуске сервер может быть исключен из списка доступ ных серверов, что увеличивает нагрузку на остальные серверы. Исчерпав свое дис ковое пространство, сервер прекращает оповещать о своей роли Кроме того, репликации файлов (File Replication FRS) в некоторых случаях не позволяет компьютеру оповещать о своих ролях, Далее рассмотрены служебные программы диагностики и даны примеры возмож ных проблем с согласованностью контроллеров домена, а также предложены спо собы их устранения.
Просмотр событий В оснастке Event Viewer (Просмотр событий) есть отдельный журнал событий ка талога (Directory Service). В нем регистрируются все события каталога.
неполадки, с несогласованностью контроллеров домена могут проявлять ся в событиях категории Internal Processing (Внутренняя обработка), Inter-Site Messaging (Служба сообщений), Service Control (Управление служ бой) или (Внутренняя конфигурация).
Чтобы получать информацию о графике разделов в окне про смотра событий увеличьте регистрации событий репликации до 2. Скор ректировать уровень регистрации можно непосредственно в системном из менив параметров в подразделе Примечание Повышайте регистрации после того, как Вы проверите запи си журнала событий и только при условии, что Вы суть неполадки и цель поиска.
Не рекомендуется этот уровень выше 2 пользователь может в подробной особенно связанной с событиями репликации.
Подробнее о настройке уровней диагностики Directory Ч в разделе Допол способы устранения неполадок далее в этой главе. Не пытайтесь изме нять реестр, не дочитав этот раздел, Диагностика неполадок контроллеров доменов средствами Служебная программа диагностики контроллера домена (Dcdiag) позволяет изучать состояние контроллеров доменов леса или предприятия и выявлять в них неполад ки. Dcdiag Ч это программа, для конечного Она предоставляет детальные сведения о том, как вы являть компьютера. Эта служебная программа на кциях контроллера домена и взаимодействиях компьютеров во всем Dcdiag состоит из каркаса для выполнения испытаний и ряда тестов проверки различных участков Active Directory. Каркас определяет, какие контроллеры на в ответ па запрос пользователя Ч контроллеры предприятия, сайта или отдельного сервера. Пользователь может также выбирать контроллеры домена, содержащие соответствующий раздел каталога.
404 ЧАСТЬ 1 Служба Active Directory В общем случае регистрировать только неполадки, сообщая о них пользователю, предоставлять информацию о возможных последствиях сбоя и предлагать способы их В режиме по умолчанию предоставля ет минимальный объем сведений Ч программа сообщает только об успешном вы полнении тестов. Вся информация в режиме подробного (verbose).
Имейте в виду, что Dcdiag для автоматического анали за неполадок с вмешательством со стороны пользователя. По суще это пассивная программа, предоставляющая информацию только для чтения и не влияющая на конфигурацию. Хотя Dcdiag можно проводить от дельные тесты, она не для этого: это не набор служебных выполняющих отдельные Используйте Dcdiag для диагностики следующих параметров и элементов контрол лера домена:
Х соединений;
Х репликации;
Х целостности топологии;
Х разрешений заголовков разделов каталога;
Х пользователя;
Х локатора;
Х межсайтового взаимодействия;
Х доверительных отношений;
Х репликации;
Х репликации объектов доверия;
Х службы репликации файлов;
Х других важных служб.
Соединения В процессе проверки с применением Dcdiag выполняются тесты:
Х проверка регистрации имен Х проверка доступности сервера по его IP-адресу по протоколу IP;
Х проверка доступности сервера по протоколу LDAP;
Х сервера по механизму RPC.
Репликация В процессе исследования репликации Dcdiag проверяется следующее:
Х нет ли каких-либо ошибок входящих связей репликации. Обычные ошибки, на возникающие по удаления старого или добавления нового ис точника, следует устранять способом;
Х не ли латентности;
Х не отключена ли репликация.
ГЛАВА 10 Выявление и устранение неполадок, а также Active Directory топологии При проверке целостности топологии Dcdiag что все ры, содержащие данный раздел каталога, объединены репликации.
Разрешения заголовков разделов каталога С помощью Dcdiag проверяются дескрипторы безопасности заголовков таких, как схема, домен или конфигурация, на наличия соответствующих разрешений.
Разрешения пользователей В процессе разрешений Dcdiag для исследования:
Х наличия у пользователей разрешений t-та вход в систему, не процессу Х наличия пользователей - группы Authenticated Users (Прошедшие про верку).
Локатор При проверке локатора программа Dcdiag выявляет;
Х все ли серверы о себе локатор домена;
Х соответствуют ли роли, возвращаемые локатором, ролям, реально мым Х распознает и ли сервер с хозяевами Х находит ли локатор сервер глобального каталога предприятия;
Х находит ли локатор домена (primary domain controller, PDC) предприятия, взаимодействие В проверки межсайтовой домена Dcdiag выполняет следующие операции:
Х определяет местонахождение топологии каждого из сайтов;
Х определяет сайтов и ет отчет о состоянии таких серверов, чтобы выявить Х обнаружив неработающий сервер-плацдарм, находит дополнительный отчет о требуемом па дарма отказа. Под после отказа ется выполнение роли сервера-плацдарма Ч или основ ным сервером в случае отказа текущего Х определяет, с какими сайтами нет в топологии.
Подробнее о генераторе межсайтовой серверах-плацдармах и восстанов после сбоя Ч в главе 6 Active Directory.
Доверительные отношения Для проверки использовать служебную программу для исследования явно 406 ЧАСТЬ 1 Служба каталогов Active Directory тений также применять программу Dcdiag. Проверка шений последовательно для пар причем для контрол леров в каждом из доменов. Бы можете ограничить область проверки сайтом или контроллером домена. Dcdiag позволяет изучать структуру доверитель ных отношений, конфигурацию и параметры защищенных каналов, а также дей ствительны ли билеты для каждой пары контроллеров В режиме по умол выводятся только ошибки, а в отображения подробной информации также сведения об успешных тестах.
Примечание Dcdiag проверяет только доверительные и не иссле дует доверительные v5. Для проверки доверия Kerbcrbs v5 требуется использовать Netdom. Подробнее о служебной программе и порядке проверки доверительных Kerberos v5 - в разделе при присоединении к домену и проверке далее в этой главе.
Наиболее вероятной причиной неполадок доверительных между всеми парами контроллеров домена может быть общая неисправность системы доверия.
В этом случае для локализации конкретной причины отказа используйте програм му Nltest (например, с параметрами /sc_query и /sc_reset), а для дальнейшего ис возникшей проблемы Ч журнал входа в систему.
Такая неполадка обычно устраняется путем переустановки доверитель отношений средствами оснастки Active Directory Domains Trusts (Active Directory Ч домены и Когда сбой доверия наблюдается только между несколькими парами контроллеров домена, причина неполадки, вероятно, кроется в репликации или разрешении имен.
В этом случае проверьте, обновлены ли объекты доверенного домена (в системном на контроллерах домена.
Подробнее об объектах доверенного домена - в главе 1 Логическая структура Active Для каждого сервера с нарушенным защищенным каналом выводится его имя вме с сообщением об ошибке Win32, указывающим на причину сбоя. Далее нужно каждый из контроллеров на котором обнаружены Ч всего, причина неполадки заключается в сетевых соединениях.
Далее приведен пример сообщений, выводимых Dcdiag в случае сбоя защищенного канала.
/v DC Diagnosis Performing initial setup:
* Connecting to directory service on server dc5.
* info.
* Identifying all servers.
* Found 20 Testing 1 of them.
Done gathering initial info.
ГЛАВА и устранение неполадок, а также восстановление Active Directory Doing initial skippeable tests Testing server:
Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory HPC Services Check test Connectivity Doing primary tests Testing server:
Test by user request:
Test omitted by user request: Topology Test omitted request: NCSecDesc Test omitted by user request: NetLogons omitted by request: LocatorGetDc Test omitted by user request:
Test omitted by user request:
Test omitted by user request: Services Starting test:
* Secure channel from to oft.com] is working properly, * [DC-08] has trust object for [Washington] * [DC-08] has uplevel trust object for [Washington] * Secure channel from to oft.com] is working properly.
* [DC-07] has downlevel trust object for [Washington] * [DC-07] has uplevel trust object [Washington] * Secure channel from [NTDSDCB] to com] is working * [NTDSDCB] has downlevel trust object for [Washington] * [NTDSDCB] has uplevel trust object for [Washington] [NTDSDC] LDAP with 58, The specified server perform [NTDSDC] bind failed error 31. A attached to system is not functioning.
* Secure channel from to com] is working properly.
* has trust object for [Washington] * has uplevel trust object for [Washington] * Secure channel from [DC1] to com] is working properly.
* [DC1] has downlevel trust object for [Washington] * [DC1] has uplevel trust object for [Washington] * Secure channel from [DC9] to com] is working properly.
* has downlevel trust object [Washington] * [DC9] has uplevel trust object for [Washington] * Secure channel from [DCG] to is working properly, * [DCG] has downlevel trust object for [Washington] * [DCG] has uplevel trust object for [Washington] * Secure channel [DC2] to com] is working properly.
* [DC2] has downlevel trust object for [Washington] 408 ЧАСТЬ 1 Служба каталогов Active Directory - [DC2] has trust object for NTDSDC failed test Test omitted by user request:
enterprise tests on : reskit.com Test by user request:
Test by user RolesHeld В этом примере сбоя - состояние NTDSDC (службы каталогов), Иногда следующее о защищенного канала вслед ствие RPC-сервера:
Secure channel from to Washington is working because "The RPC server is В этом случае администратору рекомендуется диагностику контролле ра [DC5] па наличие неполадок в сети.
Диагностика репликации Она проверок, Х Проверка состояния отдельного источника для получате ля. Этот тест выявляет также наличие обратной уведомительной связи от полу чателя к источнику.
Подробнее об уведомительной связи в главе. 6 Репликация Active Directory.
Х Анализ отдельной входящей репликации на предмет типа отсут ствия данных, если прошло слишком много времени с момента последней успешной репликации. Это что связь репликации запазды вает или вытесняется другими с более высоким приоритетом.
Х Тест, позволяющий определить, не указывает ли обновленный порядковый но вектора, хранимого адресатом для партнера-источни ка, на выполнение полной синхронизации. Это неполадка, но такой подразумевает, что прием новых изменений от данного партнера отложен до полного завершения Х Тест па наличие сообщений о в очереди текущих и ожидающих ций репликации. Требуется проверить из трех сце Х сценарий: репликация выполняется слишком долго даже в отсут ствие заданий с более высоким приоритетом. Это не сбой, хотя и может ука зывать на отставание от последних обновлений. Новые измене ния из данного источника пока компьютер не догонит пре дыдущие обновления.
Х Второй выполняется слишком долго при наличии ожидающих заданий с более высоким приоритетом. это ходит до завершения запроса, когда диспетчер репли кации вперед задание с более высоким На прак тике это означает либо запроса сервера, либо наличие запроса который не имеет ограничений на время.
Х Третий сценарий: обработки ожидает большое число заданий репликации.
Свидетельствует об отставании компьютера или наличии большого числа накопившихся запросов, ожидающих репликации.
ГЛАВА 10 и устранение неполадок, а также восстановление Active Directory объектов доверия В случае проверяется:
Х реплицирован ли объект учетной на все дополнительные контроллеры домена. Для этого метаданные атрибутов объекта во всех его Х ли объект во все реплики раздела конфигурации, Служба репликации файлов Проверьте успешность службы репликации файлов (File Replication service, FRS) на всех серверах. FRS, не па контроллере домена, не позволяет службе Logon (Сетевой вход в систему) оповещать о контроллера мена.
Другие важные службы Проверка наличия важных служб на каждом из контроллеров домена: FRS ба репликации файлов), Messaging (Служба Kerberos v5 (Key Distribution Center) распространения ключей), Server Service (Сервер), Workstation Service (Рабочая станция), Remote Call Locator (Локатор вызова процедур), Windows Time Service (Служ ба времени Windows), Distributed Link Tracking Client Service (Клиент ния Distributed Link Tracking Service (Сервер отсле живания связей) и Net Logon (Сетевой вход в систему).
Далее приведен пример сообщений, отображаемых при проверке важных служб в режиме всей информации:
/s:SERVER1 /с /v DC Performing setup:
* Connecting to directory service server SERVER1.
* site info.
* Identifying all servers, * 1 Testing 1 of them, Done gathering initial Doing initial non skippeable tests Testing server:
Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory Services Check SERVER1 passed test Connectivity Doing primary tests Testing server:
test: Replications * Replications Check SERVER1 passed test Replications Starting test: Topology * Configuration Topology Integrity Check * Analyzing the connection topology ЧАСТЬ 1 Служба каталогов Active Directory * Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing connection topology for * Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the connection topology for * Performing upstream (of target) analysis, * downstream (of target) analysis.
SERVER1 passed test Topology Starting test:
* Configuration Aliveness Check * Analyzing the alive system replication topology for * Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for * Performing upstream (of target) analysis.
* Performing downstream (of target) analysis.
* Analyzing the alive system replication topology for Performing upstream (of target) analysis.
Performing downstream (of target) analysis.
SERVER1 passed test CutoffServers Starting test: NCSecDesc * Security Permissions Check for * Security Permissions Check for * Security Permissions Check for DC=reskit,DC=com SERVER1 passed test Starting test: NetLogons * Logons Privileges Check SERVER1 passed test NetLogons Starting test: LocatorGetDc Role Schema Owner CN=NTDS Role Domain Owner = CN=NTDS Role PDC Owner = Role Rid Owner Role Infrastructure Owner = CN=NTDS SERVER1 failed LocatorGetDc Starting test:
* Available RID Pool for the Domain is 1603 to * is RID * DsBind with HID was successful * rIDAllocationPool is 1103 to * * rIDPreviousAllocationPool is 1103 to SERVER1 passed test RidManager ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Starting * SPN found * SPN found * SPN found * SPN * SPN found * SPN found * SPN found * SPN found * SPN found * SPN found * SPN found SERVER1 passed test MachineAccount Starting test: Services * Checking Service: Dnscache * Checking Service: NtFrs * Checking Service:
* Checking Service: kdc * Checking Service:
* Checking Service:
* Checking Service:
* Checking Service: RpcSs * Checking Service:
* Checking Service:
* Checking Service:
* Checking Service:
* Checking Service:
* Service: Dnscache * Checking Service: NtFrs passed test Services Starting test: OutboundSecureChannels ** Did not run test because was not entered SERVER1 test OutboundSecureChannels Starting test:
SERVER1 is in domain Checking in n on 1 servers Object is up-to-date on servers.
Checking for CN=NTDS in domain = on 1 servers Object is up-to-date on all servers.
SERVER1 passed test Starting test: frssysvol * The File Replication Service Event log test The SYSVOL has been shared, the AD is no longer prevented starting by the File Replication Service.
SERVER1 passed test Running enterprise tests on : reskit.com Starting test: Intersite passed test Intersite Starting test: RolesHeld GC Name:
Locator Flags:
PDC Name:
ЧАСТЬ 1 Служба каталогов Active Directory Locator Flags:
Time Server Name:
Locator Flags: OxeOOOOIfd Preferred Time Server Locator Flags: OxeOOOOIfd KDC Name:
Locator Flags: OxeOOOOIfd passed test RolesHeld Управление согласованностью домена средствами Ntdsutil Ч это программа строки, уп равления службой каталогов. Она обслуживать хранилище Active Direc tory, управлять и контролировать одиночных хозяев и удалять оставшиеся после контроллеров домена отключенных от домена, но не удаленных должным об использования Ntdsutil Ч в В - программа диагностики Active Directory, С помощью Ktdsut.il диагностика и следующих неполадок согласованности контроллеров дометта:
Х удаление (orphaned) домена и доменов;
Примечание Для доменов можно также Netdom. Подробнее об удалении контроллеров домена Ч в разде ле и удаление Active Directory далее в этой главе.
Х к определенному контроллеру домена;
Х просмотр разделов каталога, доменов и ролей хозяев Х просмотр и изменение на сервере;
Х управление ролями операций хозяина. об управлении ролями операций одиночного хозяина - в главе 7 Управление операциями оди Определение ролей контроллера домена под управлением Windows Иногда требуется определить, какой контроллер домена выполняет роль хозяина чтобы клиенты под управлением более ранних версий NT могли проходить проверку Примечание Такие клиенты могут проходить проверку подлинности на любом кон троллере Однако эмулятора PDC не позволит им присоеди ниться к домену, а также выполнить многие другие операции, в том числе и изме пароль.
Кроме того, при проверке возможности проведения в требуется найти сервер глобального каталога. Определить контроллеры домена под управле нием Windows 2000 можно следующим Х проверить наличие подраздела в разделе реестра Х проверить наличие общих папок и Подробнее о и NETLOGON Ч в 18 системы. Книга 2. Ресурсы ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Microsoft 2000 Редакция, 2001) (общая папка и ее содержимое после удаления Active Directory);
с помощью программы nbtstat nbtstat -n) регистрацию име ни убедиться, роль компьютера в net accounts.
как PRIMARY (ОСНОВНОЙ), а SERVERS (СЕРВЕР);
команда net start и доступность службы нии ключей (Key Distribution Center, KDC). Более подробные сведения получить с net start |more;
с помощью connect to server программы подключиться к другим контроллерам под управлением Windows 2000. (Обратите вни что Ntdsutil работает только с под Windows 2000.) для используются порты 389 или 3289;
на сервере под управлением Windows 2000, сконфигурированном в качестве кон троллера домена, кнопка Change (Свойства) на вкладке Network (Сетевая идентификация) в окне свойств My Computer (Мой заб локирована. Об этом информирует соответствующее уведомление на вкладке. Контроллеры нельзя переименовать. ограничение не па рядовые серверы домена и изолированные компьютеры;
найти контроллер домена, выполняющий роль эмулятора PDC, запустив грамму Netdiag (команда netdiag /v) и в выводимых ею сообщениях Machine is a Primary Domain Кроме того, для получения же можно воспользоваться служебной программой Nltest, как но в примере:
nltest reskit /pdc DC:
Address:
Dom RESKIT Forest DC Site Name: Red-Bldg Our Site Name:
Flags: PDC DS KDC WRITABLE 0x The command completed successfully чтобы найти контроллер домена, выполняющий функции глобального каталога леса, можно проверить флажка Global Catalog (Глобальный каталог) в консоли Active Directory Sites and Services Ч сайты и служ бы) или программой Nltest, отыскав ею сооб флаг глобального каталога.
nltest reskit.com DC:
Address: \\172.23.4. Dom Dom Name:
Forest Name: reskit.com.com DC Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIHESERV WRITABLE DNS_DC 414 ЧАСТЬ 1 Служба каталогов Active Directory Х определить Это можно сделать в консоли Active Direc tory and Computers (Active Directory пользователи PI компьютеры), в которой должны отражаться хозяева трех ролей Ч эмулятора PDC, относитель ных идентификаторов и инфраструктуры.
Оповещение о роли сервера каталога домена не будет оповещать о себе как о сервере глобального каталога, пока не получит частичные реплики со всех доменов. Чтобы роль кон троллера домена до глобального надо соблюдать некоторые правила.
Х Запрос на компьютера сервером каталога отличается от фактического роли сервера и об этом фак те. Прежде чем оповещать о в качестве сервера глобального каталога, сервер получить реплики всех доменов в предприятии. Что бы назначить компьютер таким Вам надо установить флажок Global Catalog (Глобальный каталог) в окне свойств сервера в консо ли Active Directory Sites and Services (Active Directory - сайты и службы).
Примечание Из того, что данный флажок установлен, не обязательно следует, что роль компьютера была успешно повышена до сервера глобального каталога и он оповещает о себе в этом четыре способа определить, оповещает ли компьютер о как о глобальном каталоге:
Х посмотреть в оснастке Event Viewer (Просмотр событий), нет ли в журнале службы каталогов (Directory соответствующего сообщения;
Х воспользоваться служебной программой Ldp и определить атрибу та в rootDSE. Значение TRUE свидетельствует о том, что данный компьютер Ч сервер глобального каталога и оповещает об этом;
Х воспользоваться программой Xltest, чтобы узнать, обладает ли компьютер набором атрибутов глобального каталога. Если да, то данный компьютер Ч сервер глобального каталога;
Х установлен ли в 1 завершения роли кон троллера до глобального каталога в разделе реестра HKEY _LOCAL_ Если да, то компьютер объявляет о себе как о каталога.
Х После компьютера для оповещения о роли гло каталога и его он будет объявлять себя в этом качестве, даже если не содержит данных о некоторых доменах Х Компьютер с установленным флажком Global Catalog каталог) периодически (каждые 30 минут) проверяет полноту своего списка Этот можно изменить, задав его значение в разделе реестра, упоминае мом в соответствующем журнале событий.
Х По умолчанию глобальный каталог копии всех доменов, от носящихся к сайту глобального каталога. Таким образом, если глобальный ка талог находится в сайте в котором контроллеры доменов В и С, а в сайте Site2 расположены доменов D, Е и F, то, чтобы на ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory чать оповещение о роли, глобальный каталог должен реплики доменов А, В и С.
Х Даже после перезапуска компьютера, для которого выполняется назначение гло бальным каталогом, он будет продолжать пытаться исполнять эту роль.
Примечание В выполнения dcpromo пользователю отложить установив флажок. Если такой флажок после компьютера не оповещает о своих ролях, пока не завершится цикл синхронизации данных домена.
о синхронизации компьютер хранит в атрибуте корня RootDSE, зна чение которого можно узнать средствами Поиск различий в данных разделов каталога средствами Dsastat Служебная программа Dsastat используется для определения различий между ука занными пользователем подмножествами объектов на двух различных контролле рах домена. Сначала она извлекает такие статистические данные, как средний объем данных и объектов в расчете на один сервер и средний объем, занимае мый объектами одного класса. Далее Dsastat сравнивает атрибуты реплицируемых объектов. Эту программу можно применять для сравнения реплик одного типа в деревьях каталога в пределах одного домена или, в случае ката лога, в нескольких доменах. Dsastat позволяет наблюдать за состоянием репли кации на более уровне, чем наблюдение отдельными транзакциями.
Примечание Служебная Dcdiag предоставляет функцию, называемую проверкой объектов (check objects), которая анализирует и проверяет согласован ность всех копий объектов учетных записей компьютеров и DSA на сер вере, В общем случае при своевременной все копии полностью согла и нет никакой необходимости находить различия. Такая операция нужла, когда предполагается искажение базы данных. Наиболее вероятной причиной не согласованности является репликации. Функция в программе позволяет узнать о любых сбоях репликации.
Например, чтобы все объекты-пользователи в подразделении в до Reskit.com с такими объектами другого нужно щую команду:
dsastat reskitS2 В этом примере Вы можете узнать, согласованы ли содержания на обоих контроллерах домена. Программа обнару живает объекты, на одном, но отсутствующие на другом контроллере домена (например, сведения о создании или не реплицированы), а также определяет различия в значениях атрибутов одинаковых объектов, В примере задан поиск домена и указано имя Фильтр позволяет выделить только объекты-пользователи и отсеять объек ты-компьютеры.
ЧАСТЬ 1 Служба каталогов Active Directory Примечание Поскольку в иерархии являются от объектов-пользователей, объекты обоих типов.
Также, средствами Dsastat, Вы контроллеры домена ли и параметры из командной строки или файла Dsastat определить, обладают ли контроллеры домена непротиворечивыми и точными данными о до мене. В случае глобального каталога программа проверяет согласованность данных на сервере глобального каталога и на других доменов. Программа Dsastat другие служебные программы наблюдения за репликацией и взаимную контролле ров домена.
Определение наличия обновленных данных на домена Обнаружив в журнале службы каталогов, открытом в окне Event Viewer (Просмотр событий), об ошибке <>DS paths have a different object in (различное количество объектов на домена), обратитесь к служебным программам Dsastat, Repadmin и Replmon для диагностики и устранения неполадки.
Например:
LDAP;
DC=com For there are 77 objects in the tree while for there are 78 objects, object is Решение проблемы:
объект был создан доменом примерно в 16:00 (4 P.M.):
reskit-dc- 29 entries.
Originating DSA Ver Attribute 12950240 7611643 15:58.371 objectClass 12950240 1999-06-18 12950240 7611643 15:58.371 instanceType 12950240 Bldg\DC1 7611643 15:58.371 whenCreated 12950240 7611643 1999-06-18 15:58. 12950240 7611643 1999-06-18 15:58. 7611643 1999-06-18 name 12950240 7611643 1999-06-18 15:58. 12950240 7611643 1999-06-18 15:58. 12950240 Bldg\OC1 7611643 1999-06-18 15:58. 12950240 7611643 1999-06-18 15:58. ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory 12950240 7611643 15:58. 12950240 7611643 1999-06-18 15:58.371 revision 12950240 7611643 1999-06-18 15:58. 12950240 7611643 15:58.371 packageName 12950240 7612100 1999-06-18 16:01.022 packageFlags 12950240 7611643 15:58. 12950240 7611643 1999-06-18 15:58. 12950240 7612100 1999-06-18 16:01. 12950240 7611643 1999-06-18 15:58. 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 categories 12950240 Bldg\DC1 7611643 1999-06-18 15:58. 12950240 7611643 1999-06-18 15:58. 12950240 7611643 15:58. 12950240 Bldg\DC1 7611643 15:58. 12950240 Bldg\DC1 7611643 1999-06-18 15:58.371 fileExtPriority 12950240 7611643 1999-06-18 15:58. 12950240 Bldg\DC1 7612100 1999-06-18 16:01. 12950240 Bldg\DC1 1999-06-18 15:58. Вследствие задержки репликации в reskit.microsoft.com (перезапуск обновления, установка новых приложений и т. п.) для репликации мо жет потребоваться более часа.
Б следующем примере показано, что изменение наконец реплицировано:
ntdsdc 29 entries.
Originating DSA Attribute 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 Bldg\DC4 7597742 1999-06-18 16:17. 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 7611643 1999-06- 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 name 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 7611643 1999-06-18 15:58.371 cOMClassID 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 7611643 15:58. 7597742 7611643 1999-06-18 15:58. 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 revision 7597742 Bldg\DC1 7611643 1999-06-18 15:58.371 packageType 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 418 ЧАСТЬ 1 Служба каталогов Active Directory 7597742 7612100 1999-06-18 16:01.022 packageFlags 7597742 7611643 1999-06-18 15:58. 7597742 7611643 1999-06-18 15:58. 7597742 7612100 1999-06-18 16:01. 7597742 7611643 1999-06-18 15:58. 7597742 7611643 1999-06-18 15:58.371 categories 7597742 7611643 1999-06-18 15:58. 7597742 Bldg\DC1 7611643 1999-06- 7597742 7611643 1999-06-18 15:58. 7597742 7611643 1999-06-18 15:58. 7597742 Bldg\DC1 7611643 1999-06-18 15:58. 7597742 7611643 1999-06- 7597742 Bldg\DC1 7612100 1999-06-18 16:01. 7597742 7611643 1999-06-18 15:58. Для наблюдения за репликацией используйте служебные программы и Dsastat, в папке Support па компакт-диске с ной системой Windows 2000.
Неполадки при присоединении к домену и проверке подлинности Когда удается к домену Active Directory или если ком пьютер не может связываться с каким-либо другим компьютером в ная причина Ч присоединения и проверки В этом разделе обсуждаются средства и приведены примеры с проверкой а также мето ды их устранения. Первый на пути и диагностики неполадок при к домену и проверки подлинности в Active Directory - изучение про цесса присоединения к домену под управлением Windows 2000, опре деление того, какие разрешения требуются пользователю и как устанавливается за щищенный канал.
Присоединение компьютера к домену Далее операции, выполняемые в процессе присоединения компьюте ра под управлением Windows NT 4.0 или 2000 к домену:
Х допустимость имени домена;
Х вызывается функция для поиска контроллера домена;
Х создается с контроллером домена в контексте безопасности реквизитов, указанных на вкладке Network Identification (Сетевая идентификация) в свойств System (Система) в Control Panel (Панель управления);
Х активизируется учетная запись компьютера. Если щие флаги функции создают па контрол лере домена учетную запись компьютера;
ГЛАВА 10 и устранение неполадок, а также Active Directory Х в (Local Security Authority, LSA) зада локальный пароль для учетной записи;
Х в политике локального LSA в качестве об домене задаст ся данный домен, то есть его имя и SID;
Примечание Для под Windows 2000 политика состоит из имени домена, SID домена, домена, леса и домена, Х обновляется локального компьютера;
Х изменяется состав локальных групп: в группу Administrators (Админис траторы) добавляются члены Domain (Администраторы домена);
Х и заполняется списком доверенных доменов кэш доверенных доменов службы Net Logon (Сетевой вход в систему);
Х только на клиентах под управлением Windows 2000: активизируется и запуска ется служба Windows Time Service (Служба Windows);
Х запускается служба Net Logon.
Изменения на контроллерах домена при присоединении клиента к домену клиента к домену на контроллерах домена под Windows NT 4.0 или Windows 2000 происходят следующие Х соответствующий объект Имя этого объекта создается знака $ к имени клиента (прописными буквами);
Х только на контроллерах домена под управлением Windows 2000: служба Net Logon (Сетевой вход в систему) задает для объекта компьютер основные име на служб (Service Principle Names, SPN).
Выявление сбоев при подлинности Чтобы удостовериться в правильности работы проверки подлинности (или присо нужно прежде всего убедиться, что локальная рабочая станция функ ционирует нормально. Для этого воспользуйтесь программой Netdiag. Просмотри те все сообщения, выведенные программой на предмет наличия сообщений ERROR или FATAL. (Многие неполадки не относятся к самому домену, но их все нужно исследовать, потому что с неполадками в сети.) Если таких сообщений в программой на тексте нет, выполните операции, описанные ниже.
Х Выполните команду netdiag /v отображения всей информации). Есть ли какие-либо конкретные сообщения об ошибках или сообщение FATAL?
Х В случает отрицательного ответа на предшествующий вопрос выполните ду /debug. Есть ли на этот раз какие-либо конкретные сообщения об ошибках или сообщение FATAL?
Х Netdiag сообщает об ошибке или сбое самого домена, проверьте нет ли в нале сообщений о неполадках присоединения.
Примечание В журнале регистрируются сооб щения об ошибках Если локальная рабочая станция функцио нормально, исследуйте этот файл на предмет сообщений о неполадках.
420 ЧАСТЬ 1 Active Directory Формат файла Строки в файле Netsetup.log имеют следующий вид:
Вот пример строки Netsetup.log:
08/11 14:08:29 NetpJoinDomain: status of connecting to 0x Описание операции присоединения обычно Код состояния Ч это код статуса сетевого API или код ошибки Win32. Код 0x0 сви детельствует об исправности;
любой другой код информирует о неполадке.
присоединения ошибок присоединения к домену, о которых сообщается как о неполадках присоединения, непосредственного отношения к присо не Такие ошибки Вы достаточно быстро изучив со файла Netsetup.log.
Далее перечислены наиболее часто встречающиеся ошибки, имеющие к неполадкам присоединения:
Х обнаружить или подключиться к домена;
Х временная перегрузка сети или указание имени Х сбой при создании учетной записи компьютера.
Приведенный в таблице 10-6 код относится именно к указанной сбоев, Таблица 10-6. Код ошибки Failure to find a domain Описание об ошибке Код домен не существует или к нему невозможно Вот пример такой 07/20 16:51:10 NetpDsGetDcName: to find DC in domain flags:
0x 07/20 16:51:11 NetpDsGetDcName: failed to find a DC having account 0x 07/20 16:51:11 NetpDsGetDcName: to find DC in the specified domain:
07/20 16:51:11 status: Ox54b обычно разыскать домена, на кото ром уже имеется учетная запись компьютера. Если такой до мена не попытка другой контрол лер домена. В операция к потерпела из-за невозможности контроллер указанного Дальнейшее исследование заключается в nltest /dsgetdc:
и изучении выводимых сообщений. программа продолжает сообщать об ошибках, то либо действительно не существует, либо наблюда ется нарушение условий сети, препятствующее контрол лера домена. Обычно запустив Netdiag.exe и изучив предоставленную программой информацию, удается установить сбоев. Сообщение Failure to connect to ГЛАВД 10 Выявление и устранение неполадок, восстановление Active Directory a domain обычно означает, что причина во временном состоянии или В таблице коды ошибок такого типа.
Таблица 10-7. Коды ошибки to connect to a domain Сообщение ошибке Код ошибки или Разная настройка времени между и способная отказ в подлинности Kerberos Отказано доступе, к контроллеру домена Невозможно контроллер домена Вот пример кода ошибки такого типа:
07/20 14:47:34 trying to DC in domain 'reskit', flags: 0x 07/20 14:47:50 failed to find a DC having account 0x 07/20 14:47:50 found DC the specified domain 07/20 14:47:50 to \\reskit\IPC$ returned 07/20 14:47:50 status of to dc 07/20 14:47:50 status: Ox52e В данном примере неудачная попытка найти контроллер домена с учет ной записью Это не ошибка, что далее программа пыта ется отыскать хоть указанного После того как контроллер домена найден, осуществляется к с суще реквизитами. О неудаче этой попытки свидетельствует сообщение об ошибке - прав доступа, определенных в пре реквизитах, недостаточно для подключения к найденному контрол леру домена.
Чтобы исследовать неудачи поиска контроллера домена и дить сделанные команду в строке:
net use Примечание Выполнять команду net use когда не удается подключить к домена. Если не удается найти контроллер домена, для ро следует использовать команду nltest Если эта сообщит о той же можно изучить протокол опера в анализаторе пакетов программы Network Monitor (Сетевой монитор).
to create a computer о создания ной записи компьютера обычно свидетельствует о том, что либо учетная запись уже либо у компьютера прав доступа. В 10-8 перечислены коды ошибок такого типа.
422 ЧАСТЬ 1 Служба Active Таблица 10-8. Коды ошибки to create a computer account Сообщение об ошибке Код Отказано в доступе. Обычно такая появляется, когда учетная запись компьютера уже существует, а конфигурация безопасности этой учетной записи не (потому что компьютер уже ранее присоединялся с другими учетной записи компьютера) подключился к слишком многим компьютерам и квоту на количество EXCEEDED для одного пользователя (по умолчанию Ч 10) Учетная указанного зователя уже существует Вот пример ошибки отказа в доступе:
08/11 14:08:30 NetUserAdd on failed: 0x А в этом примере такой ошибки нет:
08/11 14:08:30 NetUserAdd for failed:
08/11 14:08:30 status of attempting to set password on for 0x Это не ошибка, потому что операция возвратила код информирующий о том, что на данном контроллере домена уже существует учетная запись компьютера.
Обычная причина сбоя Ч существование записи. Ошибка возникает, когда у пользователя нет доступа к учетной записи;
в этом случае ма пытается и устанавливает новый пароль.
Цель дальнейшего исследования получить дескриптор безопасности и изучить разрешения объекта учетной записи компьютера. Для этого можно воспользовать ся оснасткой Active Directory User and Computers (Active Directory Ч пользовате ли и компьютеры) или служебной программой Ldp.
Подробнее о том, как разрешения и записи управления доступом отдельных объектов в оснастке Active User and Computers Ч в ной системе Windows 2000 Server. Подробнее о записях доступом и дес крипторах безопасности - в главе 12 Управление Продолжим наше исследование, к контроллеру домена с помощью Ldp. Получите дескриптор компьютерной учетной записи и опреде достаточно ли у пользователя, пытающегося присоединиться, разрешений па получения доступа к учетной записи компьютера.
ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Получение сведений о дескрипторах безопасности средствами служебной программы В меню Start (Пуск) щелкните Run (Выполнить), в открывшемся Ldp.
2. Подключитесь и к контроллеру домена, безопас ности которого требуется Х чтобы в меню Connection выберите Connect и ся диалоговом окне введите имя сервера;
Х чтобы создать привязку, в меню Connection выберите Bind и в открывшемся диалоговом введите имя учетной записи и пароль, а также имя домена, если требуется к домену отличному от текущего, 3. В меню Browse выберите Security и щелкните Security Descriptor.
4. Укажите составное имя дескриптор безопасности которо го получить.
Вот типичный в случае программой;
Revision:
Sbz1: О Control:
Owner:
Group:
Revision: Sbz1: Size: No of Aces: Sbz2:
Type:
AceSize: 0x AceFlags: (0x0) Sid:
Admins Type:
AceSize: 0x AceFlags: (0x0) Mask: 0x Flags: 0x 424 ЧАСТЬ 1 Служба Active Directory Object (in Sid:
S-1-Ox000005-Oxb NT Users об маски, типах записей управления (access entry, АСЕ) и флагах Ч на Microsoft Platform SDK по адресу ссылка В следующем примере попытка компьютера к домену, отраженная в журнале 07/ 07/30 13:58: 07/30 13:58:35 NetpGetLsaPrimaryDomain;
status: 0x 07/30 13:58:35 NetpMachineValidToJoin: status: 0x 07/ 07/30 13:58: 07/30 13:58:35 Domain: RESKIT 07/30 13:58:35 (NULL) 07/30 13:58:35 Account: RESKIT\reskit 07/30 13:58:35 Options: 0x 07/30 13:58:35 OS Version: 5. 07/30 13:58:35 Build number: 07/30 13:58:35 [ ] returned 0x 07/30 13:58:35 name is valid for 07/30 13:58:35 trying to find DC in domain flags: 0x 07/30 13:58:50 NetpDsGetDcName: to a DC having account 0x 07/30 13:58:50 found DC in the specified domain 07/30 13:58:51 status of connecting to dc 0x 07/30 13:56:51 status: 0x 07/30 13:58:51 status: Oxc 07/30 13:58:52 NetpJoinDomain: status of setting machine 0x 07/30 status of setting cache: 0x 07/30 13:58:52 NetpGetLsaPrimaryDomain: status: 0x 07/30 13:58:52 for status: 0x 07/30 13:58:52 status of setting LSA pri. domain: 0x 07/30 13:58:53 status of managing local groups: 0x 07/30 13:58:54 NetpJoinDomain: status of starting Netlogon: 0x 07/30 20:58:55 NetpJoinDomain: status of setting 0x 07/30 20:58:55 NetpDsSetSPN: Setting DnsHostName on DC=microsoft, 07/30 20:58:55 NetpDsSetSPN: Setting SPN on 07/30 20:58:55 NetpJoinDomain: status of disconnecting from 0x 07/30 20:58:55 0x объектов учетных записей компьютеров В этом разделе рассказывается о безопасности учетных записей компьютеров в до мене до и после обновления до 2000 Server. Эта информация полезна при устранении неполадок разрешений объектов учетных компьютеров в Active Directory, а также когда Вы определяете, кто (какой пользователь) создал учетную запись компьютера до обновления.
ГЛАВА 10 Выявление и неполадок, а также восстановление Active Directory таблица управления (discretionary access control list, DACL) содержит записи управления которые определяют разрешения данного объекта. При создании учетной записи в Windows NT 4.0 ее владельцем становилась Domain Administrators (Администраторы домена).
Имя пользователя, создавшего эту учетную запись, в ее параметрах, и DACL учетной записи компьютера предусматривала для него ограниченные права (например, удаление учетной записи).
При до сервера под управлением Windows 2000 происходят изменения во всех учетных записях компьютеров:
Х в стандартном контейнере Computers создается объект учетной записи тера. Владелец администратор) учетной записи компьютера остает ся прежним. Привилегии при доступе к объекту-компьютеру, предоставленные исходному владельцу в Windows NT 4.0, сохраняются как часть обновления;
Х DACL учетной записи компьютера с заданием значений по умолчанию, определенных в схеме для объектов класса компьютер. Эта DACL содержит запись Creator Owner и при просмотре в Editor (Редактор отображает имя соответствующего пользователя.
Обратите внимание, что в DACL и другие записи АСЕ. Они появляются при изменении записей о пользователях или группах, а также при из менении разрешений родительских контейнеров в Active Directory, вызывающих появление унаследованных разрешений.
В учетных записях по умолчанию создаются таблицы DACL со следующими разрешениями:
Х Self (SELF):
Х Create All Child Objects (Создание всех дочерних объектов);
Х Delete All Child (Удаление всех дочерних объектов);
Х Authenticated Users (Прошедшие проверку):
Х Read (Чтение);
Х Read Information (Чтение Публичная информация);
Х System (SYSTEM):
Х Full Control (Полный Х Creator Owner (Создатель-владелец):
Х Control (Полный доступ);
Х Domain Administrators (Администраторы домена):
Х Full Control (Полный доступ);
Х Cert Publishers (Издатели сертификатов):
Х (нет разрешений);
Х Enterprise Administrators (Администраторы (унаследованные раз решения):
Х Read (Чтение);
Х Write (Запись);
Х Create All Child Objects (Создание всех дочерних объектов);
426 ЧАСТЬ 1 каталогов Active Х Change Password (Смена Х Receive As (Получить как);
Х Reset Password (Сброс пароля);
Х Send As (Отправить как);
Х Read Public Information (Чтение Публичная информация);
Х Write Public (Запись Публичная информация);
Х Account Operators (Операторы учета):
Х Full Control (Полный доступ);
Х Print Operators (Операторы печати):
Х ( нет разрешений);
Х Everyone Х Change Password (Смена пароля).
Если учетная запись с привилегии Add work stations to a domain (Добавление рабочих станций к домену), права Creator Owner (Создатель-владелец) ограничиваются - он не вправе ни удалить учетную запись, ни ее DACL. Кроме того, могут действовать ограничения механизма кво тирования числа объектов, создаваемых пользователем (если такие ограничения для него заданы).
Подробнее о создаваемой по умолчанию таблице DACL Ч в главе Неполадки при создании защищенного канала Каждый клиент или сервер под управлением Windows 2000, являющийся членом домена, создает закрытый канал называемый каналом (secure channel). Такой защищенный канал используется службой Net Logon (Сетевой вход в систему) клиента и контроллера домена для связи друг с другом. Служебная про грамма для переустановки защищенного канала. несоот ветствии пароля учетной записи компьютера и локального пароля служба Net Logon регистрирует в журнале одно или оба следующих сообщений об ошибке:
The session setup from the computer failed to authenticate. The the account referenced in the security database is The following error occurred: Access denied.
Event ID Failed to authenticate with a NT domain controller for domain DOMAIN.
При этой же ошибке служба Net Logon контроллера домена регистрирует следую щее Event 5722:
session setup from the to authenticate. The name of the account referenced in the security database is The following error occurred:
Переустановка защищенных каналов и учетных записей компьютеров Для обновления и учетных компьютеров ются следующие средства:
ГЛАВА Выявление и неполадок, а также восстановление Active Directory Х служебные программы из состава Ресурсов Windows 2000 (Microsoft Windows Server Resource Kit):
Х Х Х консоль Directory Users and Computers (Active Directory Ч и компьютеры).
Использование для переустановки защищенного канала Средствами служебной программы строки Netdom.exe, входящей в со Ресурсов Windows 2000, Вы можете и ный канал рабочей домена и домена.
что у Вас есть компьютер Ч член по имени Вы переус его защищенный канал, выполнив команду:
reset Эту команду Вы можете выполнять на компьютере DOMAINMEMBER. Чтобы выполнить ее на любом другом компьютере или контроллере войти под учетной записью, доступ к соот ветствующему компьютеру. Например, Netdom reset / рабочей станции или рядового сервера в домен Чтобы добавить рабочую или рядовой сервер в домен, выполнить определенный порядок действий.
Добавьте рабочую в Windows NT 4.0 по 2. Выполните команду Netdom add workl 3. Добавьте рабочую станцию Workl в домен Windows 2000 по имени reskit.com в Netdom add workl /Domain: DC=com Примечание В параметре следует указывать полное составное имя в ветствии с RFC 1779. Если параметр /OU не учетная ютера создается в Computers.
Присоединение рабочей станции или рядового сервера к домену Чтобы присоединить рабочую или рядовой сервер к можно восполь программой Netdom, Например, чтобы присоединить рабочую станцию Workl к домену reskit.com в подразделении выполните join /reboot:120.
Кроме добавления учетной записи компьютера в домен, рабочая станция получает секретный ключ, необходимый для завершения операции В случае успешного выполнения команды срабатывает параметр /reboot, за ставляя компьютер автоматически перезагрузиться через две минуты;
это 428 ЧАСТЬ 1 Служба каталогов Active Directory выделяется пользователю для того, чтобы завершить все текущие задачи, выполня емые на компьютере.
Переустановка защищенного канала С служебной программы командной строки Netdom.exe, входящей в со став Ресурсов Windows 2000, Вы можете (reset) защищенный канал между компьютерами домена и контроллером домена. Nltest.exe используют и для проверки доверительных отношений между компьютером под управлением Windows 2000 Ч членом домена и контроллером домена, на котором хранится учет ная запись этого компьютера. Это показано в следующем примере:
Usage:
- Query secure channel for on - Renegotiates the secure channel the specified domain for a local or remote workstation, server, or domain controller Примеры переустановки каналов:
nltest Flags: Connection Status = 0 0x Trusted DC Name Trusted DC Connection Status Status = 0 0x The command completed successfully nltest Flags: Connection Status 0 0x0 NERR_Success Flags: 30 HAS_IP Trusted DC Name Trusted DC Connection Status Status 0 0x0 NERR_Success The command completed successfully Сброс учетных записей средствами консоли Active Directory Users and Computers В Windows 2000 сбросить пароль учетной записи компьютера можно в оснастке Active Directory Users and Computers (Active Directory - пользователи и теры). Щелкните правой кнопкой нужный объект-компьютер в папке Com puters или в другой папке и в контекстном меню выберите Reset Account (Переус тановить учетную запись). Эта команда меню сбрасывает пароль учетной записи компьютера, то есть устанавливает заданный при создании учетной записи.
Ее следует применять только после отключения компьютера от сети и полном его обновлении (аппаратном и Сброс пароля учетной записи позволяет восстановленному компьютеру присоединиться к домену под исходным именем.
Если эту команду выполнить на необновленном компьютере, он не пройдет про верку в домене.
Примечание Этот метод непригоден для сброса пароля контроллеров домена.
ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Просмотр доверенных доменов средствами Nltest Данные о некоторых аспектах доверительных отношений хранятся в атрибутах из объектов класса Далее перечисле ны эти важные атрибуты:
Х Ч содержит NetBIOS-имя домена, с которым созданы данные довери тельные отношения;
Х trustDirection содержит сведения о направлении отношений.
Атрибут может принимать следующие Х 0=Disabled (доверительные отношения отсутствуют);
Х (входящие, то есть домен-доверитель);
Х то есть доверенный домен);
Х (двусторонние);
Х содержит строку, содержащую DNS-имя если это 2000, или NetBIOS-имя домена, если доверительные ния созданы между доменом Windows 2000 и доменом, отличным от домена Windows 2000;
Х trustType Ч содержит о тине доверительных отношений. Атрибут мо жет принимать следующие значения:
Х 1 Ч доверительные отношения между доменом Windows 2000 и доменом Win dows NT 4.0 или более ранней Х 2 Ч доверительные Windows 2000;
Х 3Ч доверительные между доменом Windows 2000 и сферой отличной от сферы Windows 2000.
С помощью служебной программы командной строки Nltest можно получать спи сок доверенных доменов данного сервера. Nltest.exe входит в пакет программ Windows 2000 Server Support Tools. (Чтобы наладить доступ к Nltest, Вам придется установить служебные программы, хранящиеся в папке на компакт диске с операционной системой Windows 2000 Server. Для этого достаточно дваж ды щелкнуть значок Setup этих программ.) Подробнее об использования в системе Windows 2000 Support Tools.
Для получения списка доверенных доменов данного домена используется параметр Для каждого доверенного домена следующие сведения:
Х Trust Index Ч номер записи в списке доверенных доменов;
Х NetBIOS-имя доверенного домена (например, reskit);
Х DNS-имя доверенного домена (например, reskit.com);
Х тип доверительных отношений: NT 4 Ч доверительные отношения с доменом Windows NT, NT 5 Ч с доменом Windows 2000, MIT с отличной от Windows сферой Kerheros. Подробнее о типах доверительных отношений Ч в главе гическая структура Active Directory*.
Кроме того, выводятся следующие сведения (если таковые имеются):
Х Forest Tree Root корневой домен леса;
Х Forest Trust Ч номер, указывающий на положение домена по отношению к корню леса (у иссх доменов данного леса этот параметр равен нулю);
430 ЧАСТЬ 1 Служба каталогов Active Directory Х Primary Domain - основной то такой, в котором находится данный сервер;
Х Direct Outbound информирует о наличии прямых (сокращенных) исходящих доверительных отношений, то домен доверяет основному домену;
Х Direct inbound Ч информирует о наличии прямых (сокращенных) входящих доверительных отношений, то есть домен доверяет указанному доме ну;
Х Attr - возвращает биты, указывающие на атрибута объекта Это значение, в частности, указывает на транзитивность (или нетранзитивность) отношений;
Х Native Ч указывает на основной работающий в основном режиме. Отсут ствие этого параметра основного домена указывает, что он работает в смешан ном режиме.
В следующем примере команда выполнена на компьютере Ч члене домена noam.reskit.com.
nltest List of domain trusts:
0: reskit.com (NT 5) (Forest Root) (Direct Outbound) (Direct Inbound) ( 0x400000 ) 1: AVIONICS (NT 5) (Forest: 0) 2: EUROPE (NT 5) (Forest: 0) 3: NOAM (NT 5) (Forest: 0) (Primary Domain) (Native) The completed successfully Результаты работы команды позволяют выяснить:
Х Ч это корневой домен леса;
Х все домены находятся в одном лесе Ч reskit.com (на что указывает номер-ин декс Х все доверительные отношения Ч это доверительные отношения Windows 2000, на что указывают обозначения (NT 5);
Х сервер, на котором выполняется Nltest, расположен в домене Noam.reskit.com;
Х Noam.reskit.com является основным доменом, работающем в основном режиме.
выполнения запроса на сервере в командной строке:
nltest Например, список доверенных доменов можно получить, если выполнить такой зап рос на контроллере корневого домена леса. (В примере корневой домен root.com.) 0: (NT 5) (Forest: 3) (Direct Outbound) 1: CHILD (NT 5) (Forest: 3) (Direct Outbound) 2: GRANDCHILD (NT 5) (Forest: 1) 3: ROOT root.com (NT 5) (Forest Root) (Primary Domain) 4: (NT 4) Outbound) 5: newroot.com (NT 5) (Forest Tree Root) (Direct Outbound) ( Attr:
10x800000 ) ГЛАВА 10 Выявление и устранение восстановление Active Directory Примечание Обратите что Nltest отображает домены с тран зитивными доверительными отношениями как доверительные отношения Win dows 2000 без тэга Direct Outbound исходящие).
Другой способ просмотра доменов и доверительных пользование служебной программы Edit.
Просмотр доверенных доменов и доверительных отношений средствами Edit 1. В окне Edit разверните узел раздела домена и откройте папку System.
2. В панели окна в столбце>
4. Для просмотра всех атрибутов (обязательных и дополнительных) в поле со which properties to view выберите Both.
5. В поле со списком Select a property to view выберите нужный атрибут. Его зна чение отображается в Value.
Проверка доверительных отношений, по протоколу Kerberos v Служебную программу можно применять для проверки работы протокола проверки подлинности Kerberos между клиентом и доменом. В Netdom ка доверительных отношений с параметром /Kerberos позволяет получить билет со службой проверки подлинности Kerberos в Успеш ность такой команды свидетельствует о нормальном выполнении таких Kerberos, как перенаправления центрами распространения ключей (Key Center, KDC) между рабочей станцией и целевым доменом. При сбое программа отображает список билетов перенаправления, находящихся в кэше. В этом случае причину неполадки можно определить, просмотрев список билетов перенаправле ния, выданных центрами KDC, расположенными на пути к заданному домену.
Чтобы проверить работу протокола проверки подлинности Kerberos, следующую команду:
NETDOM TRUST /Kerberos Примечание Необходимо обе учетные записи так как про грамма будет осуществить их взаимную проверку подлинности ми Kerberos Такая команда проверяет:
Х верность доверия (например, их соответствие);
Х наличие соответствующих учетных записей в Active Directory;
Х способность пройти проверку с последующей выдачей билетов Kerberos v5.
432 ЧАСТЬ 1 Служба каталогов Active Directory Подробнее о служебной программе Ч в справочной системе Windows Support Tools. Подробнее о протоколе проверки подлинности Kerberos v5 Ч в гла ве 11 Проверка Неполадки входа в систему в отсутствие серверов глобального каталога В Windows 2000 основного режима глобальный каталог необходим для ус пешного входа в систему. Если контроллеру домена не удается получить доступ к серверу глобального пользователь не сможет войти в систему. Исключе ние составляет только учетная запись администратора (RID F4), кото рой предоставлено право входить в систему даже в отсутствие глобального катало га. Наличие такой учетной записи в исключительных случаях установить глобальный каталог.
Добавление групп в процессе создания маркера доступа при входе пользователя в систему происходит в определенном 1. В маркер добавляется SID (security идентификатор безопасности) пользо вателя.
2. В маркер добавляются глобальные группы, членом которых является данный пользователь.
3. В маркер добавляются группы, к которым относятся SID пользо вателя и SID глобальных групп.
4. В маркер добавляются локальные группы домена, к которым относятся предше ствующие учетные записи. Этот выполняется на контроллере домена, в котором расположена рабочая станция.
Локальные группы домена в маркер не добавляются, если домен работает в сме шанном режиме.
5. Добавляются сведения о членстве в локальных и встроенных группах для групп рабочей добавленных в пунктах Если подключает ся или входит в систему контроллера домена, этот пункт относится только к встроенным локальным группам, если, конечно, такие домена были до в пункте 4.
Управление доступом Неполадки управления доступом могут проявляться в неудачных попытках обра щения к объектам Active Directory, а также в сообщениях о нарушении доступа (Access Denied) при попытке подключения сетевого ресурса или при выполнении команды net view в командной строке.
В этом разделе рассмотрены служебные программы, перечислены возможные не управления доступом и предложены методы их устранения. Первое, что надо сделать для устранения неполадок данного типа, Ч изучить дескриптор безо пасности объекта, доступ к которому запрашивается, а затем Ч исследовать сооб щения в оснастке Event Viewer (Просмотр событий).
Просмотр событий Прежде чем приступить к изучению журнала управления доступом, необходимо активизировать аудит. Только после этого можно пытаться определить причину неполадок управления доступом.
ГЛАВА 10 и устранение неполадок, а также восстановление Active Directory Получение доступа к другим компьютерам Команда net view узнать, можно ли получить доступ к другим терам в сети. Для этого следует выполнить команду:
Проверка компьютеров для Если удается обратиться к другим компьютерам, попытайтесь подключиться к сво ему домену, выполнив команду net use Если удается подключиться к домену, проверьте, можно ли соединиться под локаль ной учетной записью домена. Если нет, то причина Ч в доверительных отношени ях. Для устранения такого типа воспользуйтесь Например, nltest Если Nltest.exe возвратит ошибку, относящуюся к определенному серверу (напри мер, следует проверить наличие защищенного канала между Вашим ком пьютером и доменами. Проверите каждый сервер посредством ping и net view, чтобы убедиться, что они работают нормально.
Х Если ping срабатывает, a net view Ч проверьте способ разрешения имен (на пример, WINS или DNS).
Х Если ping возвращает ошибку, проверьте подключения или возможности проблемного (может быть, на нем отключена поддержка TCP/IP).
Х Если, несмотря на нормальную работу контроллера домена и исправность под ключения, команда net use все равно сообщает об ошибке, попробуйте тановить защищенный канал, выполнив команду nltest Примечание Подключаться к запрашиваемому серверу следует под учетной записью Administrators (Администратор).
Если Вам не удалось ни соединиться со своим доменом, ни подключиться под ло кальной записью домена, причина может заключаться в работе админист ратора локальной безопасности LSA (Local Authority) и/или диспетче ра учетных записей безопасности Ч SAM (Security Account Manager). Получив со общение об ошибке при выполнении net view или net use, вы полните следующие операции:
Х если компьютеру не удается пройти проверку подлинности ни в одном из доме нов, сначала к нему Х если ответа на ping получить удается, нужно изучить локальное окружение компьютера. нет ли сообщений о неполадке или нарушении Если все в порядке, с помощью ping проверьте локальный IP-адрес, возвращен ный DNS (например, совпадает ли он с адресом, полученным при команды 434 ЧАСТЬ 1 Служба каталогов Active Directory Х если удалось IP-адрес компьютера средствами проверьте, досту пен ли он по команде net view, то есть возвращает ли ошибку доступа или список общих Если ответ отрицательный, причину следу ет искать в службах WINS или Воспользуйтесь анализатором пакетов (Network Monitor), чтобы адрес работающего сервера Проверьте возвращаемый им рассматриваемому серверу. Несовпадение детельствует о несоответствии при преобразовании имен. При соответствии имен воспользуйтесь следом анализатора Network Monitor (Сетевой для поиска причины Получение доступа к объектам Active Directory Причина при получении доступа к объектам Active практичес ки всегда кроется в том, что список доступом дескриптора безопаснос ти данного объекта не предоставляет доступ явным образом.
Изучение безопасности объекта средствами служебной Dsacls Просмотреть содержание дескриптора объекта Active Directory позво ляет служебная программа командной строки Dsacls. Дескриптор безопасности объекта содержит список доступом, в котором, в свою очередь, разме щены (discretionary access control list, DACL) и системная control list, DACL содержит сведения о или правах отдельных групп по отноше нию к объекту Active Directory. Если причина, по которой DACL не пре доставляет пользователю не очевидна, нужно сбросить и повторно добавить разрешения на доступ к соответствующему ресурсу.
Примечание Существуют и другие способы просмотра ACL, например во многих консолях его содержимое отображается на вкладке Security стра ницы свойств объекта.
Сбросом Вы можете исправить неполадку, но с тем и создать Более путь Ч просто добавить требуемые раз решения. С другой стороны, если разрешения на объекте вообще не по лучить требуемого доступа, то единственный выход заключается в сбросе их к зна чениям но умолчанию.
Проверка наследования с помощью Для проверки распространения записей ACL от родителей к потомкам воспользуй тесь программой командной строки (Security Descriptor проверка безопасности). Средствами этой программы удается прове рить корректность и их репликацию между контроллерами до мена. Подробнее о наследовании Ч в главе 12 доступом.
Чтобы перечислить управления (access control entry, АСЕ), команду sdcheck /dumpall.
Просмотр доступом средствами служебной программы Ldp Для просмотра отдельного объекта Active Directory используйте слу программу Ldp.exe с компакт-диска Microsoft Windows 2000 Resource Kit.
Сначала нужно указать участник безопасности, например ГЛАВА 10 Выявление и устранение а также Active Directory В подменю Security меню Browse щелкните Security Descriptor и в открывшемся окне введите составное имя объекта для отображения избирательного и системного списков управления доступом представлении.
Получение объекта во владение сброс ACL У этого способа есть одно будучи Вы имеете пра во сделать доступным любые объекты Ч даже те, к которым по доступ полностью блокирован. Для этого следует в Edit получить объект в свое владение (стать его владельцем) и изменить предоставив необходимые разрешения. Подробнее о списке - в главе 12 Управ ление доступом.
Сопровождение средствами служебной программы Для управления рабочими станциями и рядовыми серверам Вы можете использо вать служебную программу командной строки Netdom. Функции Add, Remove и Query позволяют добавлять в подразделения учетные записи компьютеров, пере мещать компьютеры между доменами и получать списки рабочих станций или ря довых серверов Отдельные команды поддерживают только объекты определенных типов ца 10-9).
Таблица 10-9. Команды служебной программы Netdom Команда Допустимые аргументы add Имя клиента или Netdom add /d:reskit.com mywksta изолированного join Имя клиента или Netdom join mywksta move Имя клиента или Netdom move mywksta изолированного сервера remove Имя или Netdom mywksta изолированного сервера reset Имя клиента или Netdom mywksta изолированного verify Имя или Netdom verify изолированного сервера Netdom BDC rename Имя резервного Применяется только по отношению к резервным контроллерам домена под Windows и Windows 3. Netdom DC query Рабочая станция, сервер, контроллер домена, основной домен, хозяин подразделение time Имя контроллера ломена или Netdom time сервера. Параметры необязательны Netdom trust trust Имя домена 436 ЧАСТЬ 1 Служба каталогов Active Directory Политика аудита Политика аудита позволяет отслеживать действия в системе. В ней настраивается, какие действия каких групп или пользователей система автомати чески регистрирует. Порядок аудита определен в Вот в какой последовательности надо выполнять операции при конфигурировании политики аудита:
Х активизируйте функцию аудита на контроллере домена;
Х включите аудит в интересующего Вас объекта;
Х попытайтесь доступ к объекту;
Х посмотрите, внесена ли соответствующая запись в журнал аудита.
Активизация политики аудита на контроллере домена Первый на нуги политики аудита Ч на контролле ре домена определенных участников. Для этого нужно войти в систему под учетной записью члена Administrators (Администраторы).
Активизация политики аудита на контроллере домена 1. В меню Start (Пуск) перейдите к Programs (Программы), далее к Admi nistrative Tools (Администрирование) и щелкните Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры).
2. Найдите папку с требуемым контроллером домена, значок правой кнопкой мыши и в контекстном меню выберите Properties (Свойства), чтобы отобразить страницу свойств.
3. Перейдите на вкладку Group Policy (Групповая политика) и щелкните Edit менить), чтобы перейти к редактированию политики Default Domain Policy в окне Group Policy 4. В левой панели окна щелкните Computer Configuration (Конфигурация компь ютера).
5. В правой панели окна дважды щелкните каждый из следую щих элементов: Windows Settings (Конфигурация), Security Settings (Парамет ры безопасности) и Local Policies (Локальные политики).
6. Дважды щелкните Audit Policy (Политика аудита). В правой панели окна найди те элемент Audit Directory Service Access (Аудит доступа к службе каталогов), 7. Дважды щелкните Audit Directory Service Access и затем включите или отклю чите виды событий, подлежащих аудиту. Поскольку контроллер домена прове ряет изменения политики каждые пять минут, проведенные вступят в силу не позднее этого срока. Другие контроллеры домена получат сведения об изменениях политики после цикла репликации. Щелкните ОК.
Примечание Подробнее о параметрах аудита - в главе 22 книги системы. Книга 2. Ресурсы Microsoft 2000 (Русская Редакция, 2001).
Установка SACL аудита на Следующее, что надо сделать для того, чтобы политику аудита, ус тановить SACL аудита на конкретных объектах. Для выполнения этой ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory нужно войти в систему под учетной записью члена группы Administrators (Адми нистраторы), Установка SACL аудита на объекте 1. В Start (Пуск) перейдите к Programs (Программы), далее к Admi nistrative Tools и щелкните Active Directory Users and Computers (Active Directory - пользователи и компьютеры).
2. В View (Вид) флажок Advanced Features (Дополнительные функции).
3. Найдите папку с требуемым объектом.
4. Двойным щелчком откройте папку.
5. Щелкните объект правой кнопкой мыши и в контекстном меню Pro perties (Свойства). На странице свойств перейдите на вкладку Security 6. Щелкните кнопку Advanced и в окне перейдите на вкладку Auditing (Аудит).
7. Щелкните кнопку Add (Добавить), чтобы открыть диалоговое окно Select User, Computer, or Group (Выбор: Пользователь, Компьютер или Группа). Выберите участник безопасности и нажмите ОК.
8. Диалоговое окно Auditing Entry (Элемент аудита) содержит две вкладки Object (Объект) и Properties (Свойства):
Х на вкладке Object настраивается общий аудит и аудит управления доступом;
Х на вкладке Properties настраивается аудит доступа к отдельным свойствам объекта.
Настройте параметры аудита (по умолчанию аудит к данному и всем дочерним объектам, но Вы можете изменить это поведение, выбрав соот в поле со списком). Закончив конфигурирование, щелк ните кнопку Apply (Применить), а затем ОК.
9. В окне Access Control Settings (Элементы управления доступом) укажите, дол жны ли записи аудита наследоваться от родительского контейнера. Если да, то установите флажок Allow inheritable auditing entriesfom parent to propagate to this object (Переносить наследуемый от родительского объекта аудит на этот объект). Щелкните Apply а затем Ч ОК.
10. В окне Properties определите, должны ли наследоваться ния аудита. Щелкните Apply, а затем Ч ОК.
Получение доступа и объектов Завершив настройку контроллера и объекта для аудита, проверьте коррект работы системы. Для этого Вы должны составить список объектов, участни ков безопасности, доступа и записи, регулирующие политику аудита. Создай те тестирования, предусматривающий выборочную проверку попыток полу чения доступа и других регистрируемых действий для каждого участника ности, указанного в политике аудита. Несколько раз войдите в систему под ными записями различных участников безопасности и действия, санные в плане проверки аудита.
438 ЧАСТЬ 1 Служба каталогов Active Directory Проверка журнала На последнем этапе реализации политики аудита работы механизма аудита на выполнения плана тестирования.
Откройте оснастку Event Viewer (Просмотр событий) и изучите журнал Security (Журнал безопасности). Нажмите F5, чтобы обновить содержимое окна и отобра зить самые свежие События отображаются в соответствии со своими кате гориями. Каждая содержит контрольный след того, кто, когда и к какому объекту получал (или не получал) Подробнее об аудите - в справочной системе Windows 2000 Server.
Дополнительные способы устранения неполадок способы для вызванных причинами, отличными от уже рассмотренных. Мы рассмотрели соедине ния, разрешение имен, контроллеры домена, проверку подлинности и управление доступом. Для устранения других неполадок нужно превосходно знать Active Directory и уметь пользоваться программами из набора Resource Kit Support.
Дополнительные способы устранения применяются, если сбои при следующих операций:
Х регистрации событий Active Directory для последующей диагностики;
Х и удалении Active Directory;
Х работе базы данных;
Х функционировании схемы;
Х одиночного хозяина;
Х репликации.
Регистрация событий Active Directory События Active Directory регистрируются в журнале службы каталогов (Directory Service). Записи этого журнала используются для за работой Active Directory и расследования в случае По умолчанию Active Directory регистрирует только критические события.
сконфигурировать Active Directory для других событий в службы каталогов, следует изменять реестр. Подробнее об редакторов реес тра в Windows 2000 - в справочной системе Windows 2000 Server.
Параметры реестра, регистрацией диагностической информации раз мещены в разделе Записи этого раздела представляют различные тины событий Active Directory. Значение параметра определяет уровень полноты инфор мации о регистрируемых событиях и находится в диапазоне от 0 (регистрируются стандартные ошибки с по умолчанию детализацией) до 5 (регистрируют ся все события с полной Значения описа ны в таблице 10-10.
ГЛАВА 10 Выявление и устранение а также восстановление Active Directory Внимание! реестр самостоятельно (с помощью реес тра) делайте это лишь в крайнем когда выхода нет. В отличие от инструментов управления редактор реестра обходит средства защиты, которые позволяют не ввода конфликтующих значений а также способных снизить системы или разрушить ее. Не исключе но, что прямого редактирования реестра окажутся не такими, как ожидали, и. Вам придется Windows 2000. Для на стройки и конфигурирования Windows 2000 рекомендуется Control управления) или Microsoft Management Console (Консоль управле ния Перед изменением советуем Вам делать резервную копию.
о редактировании реестра Ч в справочной редакто ра реестра. о реестре техническом руководстве Technical Reference Microsoft Windows 2000 Professional Resource Kit (файл Таблица 10-10. Значения параметров раздела Active Directory Значение параметра Описание Регистрируются только события и неполадки. Установле но по умолчанию. Это изменять только при неполадок 1 самые значительные события. Обычно на уровне для каждой важной в журнал заносится сооб щение. Используйте это значения в начале исследования, когда есть подозрение па 2 (Basic) Регистрируются все события уровня 2 и 3 Регистрируются все события уровня 3 и В журнал об этапах Этот вень существенно больше чем низкий но по сравнению с отображения полной 4 (Verbose) Регистрируются все события уровня 4 и 5 Регистрируются события, в том отладочные данные и изме нения полученные от других контроллеров домена.
В журнал заносится вся информация о работе службы. Используйте этот уровень регистрации, неполадка в одной Тип всех раздела Diagnostics - а значение по умолча нию - 0.
Примечание Уровни следует устанавливать 0, если только Вы не проводите в данный момент на неполадок, Все критические регистрируются на уровне 0.
При повышении уровня и число сообщений возрастает.
уровня 3 и способна сервера и поэтому рекомендуется. Скорость журнала быстро растет по мере уровня регистрации.
440 ЧАСТЬ 1 Служба каталогов Active Directory В таблице 10-11 перечислены параметры раздела диагностики в реестре.
Таблица 10-11. Параметры раздела Diagnostics реестра Описание Consistency согласованности знаний получает Checker (KCC) из объектов каталога (например, от сайтов, или связей) и информирует о несоответ ствиях и отсутствующих объектах.
Управляет регистрацией событий во время работы КСС. Сооб щения на следующие категории:
Х ошибки выполнения например несоответ ствия, ресурсов или проблемы доступа к каталогу;
Х результирующей конфигурации, то есть не удает ся обновить или новая конфигурация непол на. Причина ошибок может заключаться в слишком большом числе недоступных серверов и в построить полную топологию Events События, относящиеся к системе безопасности Windows 2000, в частности не обладающих достаточными ми пользователей прочитать или записать атрибут, создать привязки через интерфейс MAPI или перевод домена в естественный режим ExDS Interface Events События связи Active Directory с клиентами Exchange MAPI Interface Events События связи Active с клиентами Exchange Replication Events События, к исходящей (в случае изменений ло кальной и входящей (при импорте изменений) реп ликации. Обычные такие, как недоступ ность контроллера, не Подобные сведения хранятся как состояние и доступны для соответствующих служебных программ. В журнал заносятся требующие вмеша тельства пользователя, например неполадки базы данных. Дру гой тип событий, относящихся к этой категории, Ч это мация об изменениях объектов и атрибутов, а также причины таких изменений.
Имейте в виду, что в корректируются очень многие атрибуты, поэтому детализа ции быстро увеличивает объем регистрируемых Обыч но для получения информации об обычных операциях репли кации достаточно уровня 1. уровня 2 может вызвать быстрое журнала и снижение дительности системы Garbage Регистрируются события уничтожения объектов процессом мусора Internal Configuration Интерпретация и регистрация сведений о внутренних ях службы Directory Access Регистрация событий чтения и записи объектов каталога из любых источников Internal Processing События, относящиеся к внутренней работе кода Active Directory, в частности обработка переноса дескрипторов безо пасности. Ошибки этой категории обычно свидетельствуют о неполадках в Active Directory.
ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Таблица 10-11 (продолжение) Описание каталог возвращает такого типа, эту категорию следует для информации службе поддержки Microsoft. В случае неполадки установите это метр t на всех (на клиенте и сервере) и воспро изведите сбой. Заметьте место кода, где возникла ошибка Counters События, связанные с загрузкой и выгрузкой объекта дительности и счетчиков производительности События запуска и остановки Active Directory Service Control Обработка событий службы каталогов Active Directory адресов и имен Active Directory Backup События архивирования Active Directory Field Engineering Внутренний отладочный след Events События LDAP. Вот примеры регистрируемых событий: LDAP закрыл для клиента, невозможно выполнить про верку подлинности по протоколу LDAP, LDAP инициализиро ван поверх SSL События, относящиеся к работе мастера Active Directory Setup Wizard (мастер установки Active Directory) События глобального каталога. Например, роли Global Catalog сервера до глобального каталога отложено на...
задержка нужна для подготовки разделов до начала оповеще ния о новой роли сервера.
К в это время, новой топологии службой все только для запи в предприятии добавляются на данный сервер, и в систему их Если требуется повысить роль сервера до глобального каталога без выполнения таких действий, установите в 0 параметр DWORD в разделе Роль сервера будет при следующей попытке проверки необходимых условий. В этом параметре можно также указать задержку в секундах до момента повышения роли сервера Сообщения этой категории службой Intersite Messaging Messaging (ISM), независимой от службы каталогов. Служба ISM выполняет две основные функции: и запросы какие узлы соединены данным транспортом и какова стоимость Сообщения этой категории либо информируют о неисправи мых ошибках конфигурации или содержат информацию об объеме трафика Краткий обзор журналов событий Active Windows 2000 поддерживает журналы, которых регистрируются события Active Directory. Например, при установке или удалении Directory средствами мас тера установки Active Directory (dcpromo) создается несколько журналов папке в для записи событий, происходящих в 442 ЧАСТЬ 1 Служба каталогов Active Directory установки. Нужно содержание этих файлов, поскольку в них лены значимые данные о и службах Active Directory. По умол чанию журналы размещены в панке Подробнее о журналах 2000 Ч на Web-странице Microsoft SDK no адресу dows.microsoit.com/windows2000/reskiL/wcbresources, ссылка Microsoft (вы полните поиск в разделе Technical Support статей в Knowledge Base и других ис точниках технической информации).
Файл содержит детальный отчет о процессах установки и удаления Active Directory. На серверах под Windows 2000 он по умолчанию раз в Записи вносятся в этот журнал, начиная с момента запуска мастера установки Active Directory и открытия первого его окна, и продолжается до закрытия последнего окна от того, была ли установ ка (удаление) прервана или При сбое в заносятся де сообщения об сразу же после завершения действия, вызвавшего сбой. В журнале также регистрируются сведения об успехе установки или удаления.
Кроме того файл DcpromoUI.log содержит следующую полезную информацию об установке или удалении Active Directory;
Х имя контроллера источника репликации;
Х разделы каталога, на данный Х число реплицированных в каждый раздел каталога;
Х службы, па данном контроллере Х записи доступом (access control entry. АСЕ) на сис темном реестре и файлах;
Х каталоги Х все сообщения об ошибках;
Х выбранные пользователем (Администратор) в процес се удаления или установки.
Подробнее о Dcpromoui.log - в разделе Неполадки при установке и Active Directory далее в этой главе.
Журнал Файл создается в процессе установки режима графического интерфейса пользователя при роли контроллера под управлением Windows NT 3.x или 4.0 до контроллера домена Windows 2000.
Журнал Файл создает мастер установки Active Directory. На серверах под уп равлением Windows 2000 он по умолчанию хранится в папке В журнале также регистрируются параметры, используемые при по или понижении роли, в имя сайта, путь к базе и жур Active Directory, времени и информация об учетной записи компьютера. В файле DCPromo.log размещаются сведения о создании базы данных Active Directory, деревьев SYSVOL, а также об установке и служб.
ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Подробнее о -- в разделе при и Active Directory далее в этой главе.
Журнал Netsetup.log При присоединении компьютера к домену Windows 2000 процедура сети все необходимые сети. Файл о к доменам и обо всех ошибках, могут быть неудачи операции присоединения. Кроме того, слу жебная NetSetup средства для установки компонентов сети, поддерживаемых Microsoft и предоставляемых сторонни ми Подробнее о Netsetup.log - в разделе ранее в этой главе.
Служба Net Logon (Сетевой вход в систему) отвечает за обработку запросов на вход в систему по сети. Она динамически создает записи в базе данных DNS, поиска контроллера домена.
Файл создается в процессе работы службы. Подробнее о службе Net Logon Ч в главе 3 имен в Active Подробнее о Netlogon.log - в разделе архитектуры Active ранее в этой главе.
Журнал Файл Ntfrsapi.log Ч это текстовый журнал службы Rep lication service. в папке В этом журна ле регистрируются репликации, а также события или удаления Active Directory, параметров в разделе реестра NTFRS. Подроб нее о службе репликации файлов и файле Ntfrsapi.log Ч в главе 18 книги ленные системы. Книга 2. Ресурсы Microsoft Windows 2000 Редакция, 2001) и на Web-странице Web Resource по адресу ссылка Microsolt Personal Online Support.
Журнал Этот журнал полезен при устранении неполадок и обработ ки политики. Файл Userenv.log расположен в папке Вот пример содержимого файла userenv.log с сообщением о сбое возвращения ки с пользователя:
USERENV(b8.aO) 17:02:31:274 Failed to get guid with 1332.
17:02:31:584 GetUserGuid: to user guid with 1332.
17:02:31:584 GetUserGuid: Failed to get guid with 1332.
17:02:31:715 ProcessGPOs: Starting Group Policy 17:02:31:765 User Group Policy has been applied.
ProcessGPOs: Starting Group Policy 18:43:32:030 ProcessGPOs: Group Policy has been applied.
Неполадки установке и удалении Для установки и удаления Active Directory используется мастер установки Directory Успех этих операций в мере зависит от нения условий. К ним относится обеспечение достаточного объема дискового синхронизация доступность контроллера доме 444 ЧАСТЬ 1 Служба каталогов Active Directory на, конфигурация DNS и разрешения администратора. Кроме того, суще ствуют определенные методы перечисленных далее неполадок установ ки и удаления Active Directory:
Х не удается получить доступ к серверу, с которого ятно, по причине отсутствия регистрации Х имя домена, в котором проверка подлинности, указано неверно или он Х предоставлено неверное имя и пароль;
Х неверна конфигурация сервера DNS.
Диагностировать и устранять эти неполадки рекомендуется в определенной после довательности, Х Проверьте журналы в оснастке Viewer (Просмотр событий) на всех кон троллерах данного домена на ошибок мастера установки Active Directory.
Подробнее об исследовании сообщений в окне Event Viewer Ч в разделе Сете вые ранее в этой главе.
Х завершения репликации на всех контроллерах данного домена. Под робнее о диагностировании репликации Ч в разделе реп ликации в этой главе.
Х Проверьте сетевые соединения. Подробнее о диагностировании и устранении неполадок сети Ч в разделе соединения ранее в этой главе, Х Проверьте, нет ли конфликта имен. Подробнее о диагностировании и устране нии неполадок разрешения имен Ч в разделе Разрешение ранее в этой главе.
Примечание При сбое мастера установки Active Directory (Dcpromo.exe) сначала исследуйте файлы Они и Dcpromoui.log), расположен ные в папке Подробнее об исследовании журналов установ ки Active Directory - в разделе мастера установки Active в этой главе.
Недостаток дискового пространства Для предупреждения возможных установки или удаления Active Directory важно обеспечить достаточно пространства на сетевых дисках, на кото рых будут размещены данные дерева каталогов (directory information tree, DIT) и журналы.
Мастер установки Active Directory свободного дискового про странства: 200 мегабайт для базы данных Active Directory и 50 мегабайт для жур налов (extensible storage engine). Объем файла базы данных Active Directory и журналов оценивается средствами программы Dssize.
Он зависит от числа и типа объектов базы данных домена или баз данных леса, если компьютер является сервером глобального каталога.
Синхронизация времени проверки подлинности Kerberos v5 требует синхронизации меж ду домена и изолированными серверами с точностью до пяти ми ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory нут. Для синхронизации времени сервером, роль которого повышается, и контроллером домена используйте команду net time.
Примечание По умолчанию синхронизация времени выполняется автоматически.
Отсутствие хозяев операций при установке Active Сервер Ч хозяин именования доменов должен быть доступен при присоединении компьютера под Windows 2000 Server к существующему дереву и нового домена.
Для установки контроллера домена доступность хо зяина именования доменов не Для определения этого хозяина используйте оснастки Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры) и Active Directory Domains and Trusts (Active Directory - домены и доверие). Кроме того запустить служебную программу для доступности хозяи на и определения местоположения сервера.
Подробнее о ролях одиночных хозяев операций Ч в главе ями одиночного хозяина, Проверка конфигурации DNS Для проверки путей перед запуском мастера установки Active Directory выполните в командной строке команду ipconfig /release. В этом случае мастер работает как в случае отсутствия должным образом сконфигурированной и завершить установку (или удаление) Вам не удастся, пока DNS будет сконфигурирована корректно. Сымитируйте завершение конфигурации DNS, выполнив в другом процессе ipconfig /renew, после чего вернитесь к мас теру установки Active Directory.
Привилегии, необходимые для добавления дополнительного контроллера домена Для установки дополнительного администратор Ч член встро енной группы администраторов Enterprise Admins (Администраторы предприятия) или Domain Admins (Администраторы данном контрол лере домена должен обладать привилегией Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям при Это требуется для того, чтобы при установке Active Directory запись ком пьютера была для делегирования.
По умолчанию привилегия делегирования предоставлена встроенной группе администраторов.
При дополнительного контроллера домена мастер установки Active Directory предоставляет делегирование компьютера. Однако в не которых случаях указанная привилегия не предоставлена встроенной ад министраторов. В этом случае для работы мастера установки Active Directory эту неполадку надо посредством механизма бе зопасности или вручную.
446 ЧАСТЬ 1 Служба каталогов Active Directory учетной записи компьютера привилегии Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям при делегировании) 1. Откройте оснастку Active Directory Users and Computers (Active Directory пользователи и компьютеры).
2. Щелкните правой кнопкой мыши узел Domain Controllers и в контекстном меню выберите Properties (Свойства). В открывшемся окне свойств на вкладку Group Policy (Групповая политика).
3. Щелкните Edit чтобы перейти к редактированию политики Default Domain Policy в окне Group Policy по литика). В левой панели окна щелкните Computer Configuration В правой панели окна последовательно дважды щелкните каждый из следую щих элементов: Windows Settings (Конфигурация Windows), Security Settings (Параметры безопасности) и Local Policies (Локальные политики), User Rights Assignments прав пользователя) и Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям при деле гировании).
4. Добавьте учетную запись или группу, которая будет использоваться для повы шения роли контроллера домена.
хозяев операций Для успеха установки Active Directory существуют требования по доступности обладающих одиночных хозяев операций.
именования доменов При установке нового домена в существующем лесе хозяин доменов должен быть доступен по протоколу RPC.
Если невозможно такого хозяина при установке Active Directory, то генерируется следующее сообщение об ошибке:
То perform the requested operation, the Directory Service needs to contact the Domain Naming Master (server reskit.com). The attempt to contact it failed.
"The RPC server is unavailable" The text message is a Win32 error message indicating why the network operation to failed В этом случае рекомендуется проверить:
Х наличие сетевого Х доступность хозяина доменов;
Х наличие на сервере DNS и записей LDAP для контроллеров кор невого Х синхронизацию контроллеров корневого домена с до пяти Х корректность конфигурации IP па контроллерах родительского и до менов и использование ими одного сервера Примечание Для корректности функционирования записей DNS очистите кэш командой ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Уничтожение данных Active Directory неудачного удаления службы каталогов В удаления Active Directory с домена мастер установки Active Directory удаляет из Active Directory данные о конфигурации данного кон троллера домена. Эти данные существуют в виде объекта Settings Ч потомка объекта сервер Эти объекты размеще ны контейнере Sites в оснастке Directory and Services (Active Directory - сайты и службы).
объекта NTDS Settings содержат данные о том, как реплика ции идентифицируют данный контроллер домена, о разделах каталога, поддер живаемых а также сведения о том, является ли он сервером глобаль ного каталога. Объект NTDS Ч это тоже способный содержать объекты, на прямые репликации данного до мена. Эти данные требуются для нормальной работы в среде, од нако объект NTDS Settings уничтожается после удаления Active Directory.
Если объект NTDS Settings не был уничтожен должным образом в удале ния Active Directory, администратор может удалить его вручную средствами жебной программы В следующих разделах детально описано, как это сде лать. Чтобы получить более подробные сведения о вариантах ций служебной программы Ntdstutil, следует использовать команду help для каж дой из них, Внимание! Перед удалением вручную объекта NTDS Settings рекомендуется убе диться в завершении цикла репликации после удаления Active Directory. Неверное использование программы приводит к частичной или полной поте ре функциональных возможностей Active Directory.
Подробнее о служебной Ntdsutil - в справочной системе Windows Support Tools.
Удаление объекта контроллер домена После удаления Active Directory с контроллера домена объект, представляющий сервер в Active Directory в консоли Active Directory Sites and Services Directory Ч сайты и службы), не уничтожается.
Причина в том, что объект это контейнер, способный содержать дочер ние объекты, представляющие данные конфигурации других на данном компьютере. Вот почему мастер не уничтожает объект-сервер чески.
Внимание! Если у объекта сервер есть какие-либо дочерние объекты с именем NTDS они сервер в качестве контроллера и должны удаляться автоматически в процессе удаления Active Directory. Если не уничтожены автоматически или если удалить Active Directory не удалось (па пример, на компьютере с неисправными их устранить сред ствами служебной программы Ntdsutil до удаления объекта 448 ЧАСТЬ 1 Служба каталогов Active Directory Удаление объекта 1. В оснастке Active Directory Sites and Services (Active Directory - сайты и служ бы) откройте двойным щелчком мыши Sites и затем таким же обра зом разверните требуемый объект сайта (сайт, в котором расположен данный сервер).
2. Дважды щелкните контейнер Servers, щелкните правой кнопкой мыши объект и в контекстном меню выберите Delete 3. Подтвердите выполнение щелкнув Yes (Да) в открывшемся диалого вом окне.
Примечание Существуют некоторые условия, при которых данную операцию вы полнить не удается:
Х сообщение о том, что сервер является контейнером, содержащим другие объек ты, свидетельствует о том, что Вы остановили соответствующие службы.
Х сообщение о невозможности удалить объект NTDS Settings свидетельствует о попытке удалить активный контроллер Однако это сообщение появля ется только тогда, когда объект NTDS Settings представляет компьютер, кото рый Вы пытаетесь удалить, в противном случае удаление произойдет без каких либо комментариев.
Объект сервер в консоли Active Directory Sites and Services (Active сайты и службы) удаляется без проблем после остановки служб и при отсутствии дочерних объектов.
Подробнее о служебной программе - в справочной системе Windows Support Tools и в приложении В Ч служебная программа диагностики Active Неполадки мастера установки Active Directory Повышая роль до контроллера домена, мастер установки Active Directory автоматически создает свой журнал - Мастер прове ряет следующее:
Х платформу, в том числе роль компьютера (изолированный клиент, рабочая стан ция в домене, изолированный рядовой сервер, основной или контроллер);
Х номер версии операционной системы;
Х возможность изменения роли Если это сделать не удается, пользо ватель получает сообщение об ошибке, в противном случае возвращается значе ние Х наличие хотя бы одного логического диска с версии 5. Пользователь по лучает сообщение об ошибке, если такой диск найти не удается;
Х наличие у пользователя полномочий члена группы Administrators (Админист раторы).
В журнале регистрируются все важные функций вместе с передавае мыми параметрами и возвращенными кодами ошибки. Например:
ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory dcpromoui Calling : (null) dcpromoui :
dcpromoui :
dcpromoui t:0x260 : (null) dcpromoui :
dcpromoui 00331 Error 0x0 (!0 => error) Обычно это коды ошибок Win32. Подробнее о отдельных ошибок в раз ных API - на Web Resources по адресу ссылка Microsoft Platform SDK. Обратите внима ние, что не все коды ошибки указывают на сбой. В случаях ошибка ожи даема, как в следующем примере:
dcpromoui t:0x260 00311 Calling DsGetDcName dcpromoui 00312 :
dcpromoui 00313 DomainName :
dcpromoui 00314 : (null) dcpromoui 00315 SiteGuid : (null) dcpromoui t:0x260 00316 : 0x dcpromoui t:0x260 00317 Error (!0 => error) dcpromoui t:0x260 00318 Trying again rediscovery dcpromoui 00319 Error => error) ошибка о поиске домена двумя вызовами функции DsGetDcName. Это положительный результат, ждающий, что домен в данном контексте еще не существует.
Большинство ошибок появляются в процессе ролей, поскольку в этой ситу ации происходит огромное количество взаимозависимых операций, таких, как раз решение имен или создание связей с объектами, проходящими проверку под линности по протоколу Мастер установки Active Directory регистри рует эти ошибки. Сведения об ошибках, возвращаемые функциями API, делятся две категории:
Х об операции, выполняемой при возникновении сбоя;
Х текст ошибки Win32, выводимый в процессе операции.
Например:
The Directory Service failed to create the object Please check the event log system errors.
The operation failed because:
The directory cannot validate the proposed directory partition name because it does not hold a replica of the directory partition above the proposed directory partition.
В этом примере процесс повышения роли пытался создать в каталога объект перекрестной ссылки для нового домена, но операция чу, так как Active Directory не в состоянии проверить правильность указанного до менного имени. Причина заключается в том, что до репликации глобального каталога дочернего домена. Решение заключа ется в репликации сведений о на сервер глобального ка талога, дабы проверка правильности имен прошла успешно.
Обычно неполадки обусловлены работой сетевых соединений. Первая часть кода ошибки (то есть сведения о выполняемой операции) помогает локализовать сбои, 450 ЧАСТЬ 1 Служба каталогов Active Directory например сообщение open LDAP connection (не удается создать соединение LDAP). Вторая часть кода ошибки и текст помогает понять причину сбоя, напри мер unable to (не удается Подробнее об перекрестных - в главе 3 Разрешение имен в Active Исследование файла В регистрируются все события графического интерфейса, a R Dcpromo.log - события создания и удаления Active Directory, деревьев a также установки, и служб.
Подробнее об установке и удалении Active Directory и регистрации этих - в главе 2 Хранение в Active Формат записей в файле Dcpromo.log Обычно строки в Dcpromo.log имеют вид:
Например:
08/11 Request for promotion returning Описание повышения роли обычно самодостаточно. Код состояния Ч это обычно NET_AP1 или код ошибки Win32. Код 0x0 информирует об ус пехе, а любой другой код - об ошибке.
журнала Dcpromo.log дочернего домена На стадии сбора информации в Dcpromo.log фиксируются события, указывающие на и NetBIOS-имя домена, имя сайта и местоположение системного тома.
08/16 16:21:07 [INFO] Promotion request for domain controller of new 08/16 16:21:07 [INFO] 16:21: 08/16 16:21:07 (NULL) 08/16 16:21: 08/16 16:21:07 [INFO] DsLogPath 08/16 16:21:07 [INFO] reskit.com 08/16 16:21:07 [INFO] ParentServer 08/16 16:21:07 [INFO] Account 08/16 16:21:07 [INFO] Options Проверка пути к файлу и VOL на жестком диске на томе v5:
08/16 16:21:07 [INFO] Validate supplied paths 08/16 16:21:07 [INFO] path 08/16 16:21:07 [INFO] Path is a 08/16 16:21:07 [INFO] Path is on a fixed disk drive.
08/16 16:21:07 [INFO] Validating path 08/16 16:21:07 Path is a directory 08/16 [INFO] Path is on a fixed disk drive, 08/16 16:21:07 [INFO] path 08/16 [INFO] Path is on a fixed disk drive.
08/16 16:21:07 Path is on an NTFS volume Проверка уникальности имени:
ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory 08/16 16:21:07 [INFO] Child domain creation - check new domain name is child of parent domain name.
08/16 16:21:07 Domain Creation - check that the flat unique, Определение сайта для домена и определение, с какого контроллера проводить репликацию:
08/16 [INFO] Start the worker task 08/16 16:21:23 [INFO] Request for promotion returning 08/16 16:21:23 [INFO] No source DC or no name specified. Searching for dc reskit.com: ( | WRITABLE } 08/16 16:21:23 [INFO] Searching for a domain controller for the domain 08/16 16:21:23 [INFO] Located domain controller reskit.com for domain (null) 08/16 16:21:23 [INFO] No user specified source DC 08/16 16:21:23 [INFO] No user specified site 08/16 16:21:23 [INFO] Using site Default-First-Site-Name server reskit.com Принудительная синхронизация времени для проверки подлинности Kerberos v5:
08/16 16:21:23 [INFO] Forcing a time synch with \\MARAK, 08/16 16:21:17 [INFO] Reading domain policy from the domain 08/16 16:21:17 [INFO] Stopping service NETLOGON 16:21:17 [INFO] Stopping service NETLOGON 08/16 16:21:17 [INFO] Configuring service NETLOGON to 1 returned Подготовка VOL:
08/16 [INFO] the System Volume 08/16 16:21:17 [INFO] Deleting current sysvol path 08/16 [INFO] Preparing for system volume replication using root Проверка присоединения компьютера к существующему лесу. Если лес уже существует, посылается запрос хозяину именования доменов о допустимо сти нового доменного имени.
08/16 16:21:22 [INFO] Copying initial Directory Service database file to 08/16 16:21:28 [INFO] Installing the Directory Service 08/16 16:21:28 [INFO] Calling for 08/16 [INFO] Starting the Directory Service 08/16 16:21:28 [INFO] Validating supplied options 08/16 16:21:28 [INFO] local site to enter 08/16 16:21:28 [INFO] Examining existing Enterprise Directory Service 08/16 16:21:30 [INFO] Configuring the local server to host the Directory Service Репликация данных леса:
08/16 16:22:05 [INFO] Replicating the Directory Service schema container 08/16 16:22:09 [INFO] Replicating received 100 out 1002 objects.
08/16 16:22:11 [INFO] Replicating received 199 out of 1002 objects.
08/16 16:22:13 [INFO] Replicating received 298 out of 1002 objects.
received 1002 of 1002 objects.
08/16 16:22:31 [INFO] Replicating the Directory Service configuration container 08/16 16:22:33 [INFO] Replicating received 99 out 452 ЧАСТЬ 1 Служба каталогов Active Directory of 08/16 16:22:35 [INFO] Replicating received 145 out of D 08/16 16:22:53 [INFO] Replicating received out of 1236 objects.
Создание нового домена:
08/16 16:22:54 [INFO] Creating Partition: 12 objects remaining.
16:22:54 Creating Partition: 11 objects remaining.
08/16 16:22:54 [INFO] Creating Partition: 10 objects remaining.
08/16 16:22:55 [INFO] Creating Partition: 0 objects remaining.
Перемещение текущих пользователей и групп из реестра в Active Directory:
08/16 16:22:57 [INFO] Creating new domain security principals 08/16 16:23:00 [INFO] The Directory Service install is completing 08/16 [INFO] for returned 08/16 16:23:02 [INFO] returned Настройка политики локального LSA (Local Security Authority Ч администратор локальной безопасности), за хранение раздела домена:
08/16 16:23:02 [INFO] Setting to:
08/16 16:23:02 [INFO] Domain: USERO 08/16 16:23:02 [INFO] Sid:
Настройка служб домена и контроллера домена на автоматический запуск при пе резагрузке компьютера:
08/16 16:23:03 [INFO] Configuring service 08/16 16:23:04 [INFO] Configuring service to 16 returned 08/16 16:23:04 Configuring service 08/16 16:23:05 [INFO] Configuring service NETLOGON to 16 returned 08/16 [INFO] on to returned 16:23:05 [INFO] Configuring service RPCLOCATOR 08/16 16:23:06 [INFO] Configuring service RPCLOCATOR to 16 returned 08/16 16:23:06 [INFO] Configuring service 08/16 16:23:06 [INFO] Configuring service IsmServ to 16 returned 08/16 16:23:06 [INFO] Configuring kdc 08/16 16:23:07 [INFO] service kdc to 16 returned 08/16 16:23:07 [INFO] Configuring service TrkSvr 08/16 16:23:08 [INFO] Configuring service TrkSvr to 16 returned 08/16 [INFO] NETLOGON 08/16 16:23:08 [INFO] Configuring service NETLOGON to 144 returned Создание отношений с доменом:
08/16 16:23:08 Setting the LSA policy information 08/16 16:23:08 [INFO] Setting the LSA policy information policy 08/16 16:23:08 [INFO] Creating a parent trust relationship on domain reskit.com 08/16 16:23:08 [INFO] Creating trusted domain object on parent 08/16 16:23:08 [INFO] ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory 08/16 16:23:08 [INFO] Flat 08/16 [INFO] Direction: 08/16 16:23:08 [INFO] Type: 08/16 16:23:08 [INFO] Attributes: 0x 08/16 16:23:09 [INFO] Creating a trust relationship with domain 08/16 16:23:09 [INFO] Creating trusted domain object on child 08/16 16:23:09 [INFO] reskit.com 08/16 16:23:09 [INFO] Flat name:
08/16 16:23:09 [INFO] Direction;
08/16 16:23:09 [INFO] Type;
08/16 16:23:09 [INFO] Attributes: 0x 08/16 [INFO] Setting the computer's Dns computer name root to Установка списков ACL для системного реестра и файлов для контроллера домена:
Pages: | 1 | ... | 6 | 7 | 8 | 9 | 10 | ... | 15 | Книги, научные публикации