Книги, научные публикации Pages:     | 1 |   ...   | 8 | 9 | 10 | 11 | 12 |   ...   | 18 |

Distributed Systems Guide Microsoft Windows 2000 Server Microsoft Press Распределенные системы Книга 1 Microsof Windows 2000 ...

-- [ Страница 10 ] --

08/11 14:08:29 NetpJoinDomain: status of connecting to dc '\\DC9 1 : 0x Описание операции присоединения обычно самодостаточно. Код состояния Ч это код статуса сетевого API (NET_API_STATUS) или код ошибки Win32. Код 0x0 сви детельствует об исправности;

любой другой код информирует о неполадке.

Особые виды неполадок присоединения Большинство ошибок присоединения компьютера к домену, о которых сообщается как о неполадках присоединения, непосредственного отношения к процессу присо единении не имеют. Такие ошибки Вы достаточно быстро установите, изучив со держание файла Netsetup.log.

Далее перечислены наиболее часто встречающиеся ошибки, имеющие отношение к неполадкам присоединения:

Х невозможность обнаружить или подключиться к контроллеру домена;

Х временная перегрузка сети или указание неверного имени домена;

Х сбой при создании учетной записи компьютера.

Приведенный в таблице 10-6 код ошибки относится именно к указанной группе сбоев, Таблица 10-6. Код ошибки Failure to find a domain controllers Описание Сообщение об ошибке Код ошибки Указанный домен не существует ERROR_NO_SUCH_DOMAIN или к нему невозможно подключиться Вот пример такой ошибки:

07/20 16:51:10 NetpDsGetDcName: trying to find DC in domain 'veryLongdomainl', flags:

0x 07/20 16:51:11 NetpDsGetDcName: failed to find a DC having account 'A-USHAS2-80C$':

0x 07/20 16:51:11 NetpDsGetDcName: failed to find a DC in the specified domain: Ox54b 07/20 16:51:11 NetpDoDomainJoin: status: Ox54b Процесс присоединения обычно пытается разыскать контроллер домена, на кото ром уже имеется учетная запись дашюго компьютера. Если такой контроллер до мена обнаружить не удается, осуществляется попытка разыскать другой контрол лер домена. В приведенном примере операция присоединения к домену потерпела неудачу из-за невозможности обнаружить контроллер указанного домена.

Дальнейшее исследование заключается в выполнении команды nltest /dsgetdc:

<имя Ьомено> и изучении выводимых сообщений. Если программа продолжает сообщать об ошибках, то либо домел действительно не существует, либо наблюда ется временное нарушение условий сети, препятствующее обнаружению контрол лера домена. Обычно запустив Netdiag.exe и изучив предоставленную программой информацию, удается установить причину сбоев. Сообщение Failure to connect to ГЛАВД 10 Выявление и устранение неполадок, атакже восстановление Active Directory a domain controller обычно означает, что причина во временном состоянии сети или недостаточности предоставленных реквизитов. В таблице 10-7 перечислены коды ошибок такого типа.

Таблица 10-7. Коды ошибки Failure to connect to a domain controller Описание Сообщение об ошибке Код ошибки Представленные реквизиты ERROR_LOGON_FAILURE неверны или недостаточны Разная настройка времени ERROR_TIME_SKEW между клиентом и сервером, способная вызвать отказ в проверке подлинности Kerberos Отказано и доступе, ERROR_ACESS_DENIED невозможно подключиться к контроллеру домена Невозможно найти контроллер ERRORJSTO_LOGON_SERVERS домена Вот пример кода ошибки такого типа:

07/20 14:47:34 NetpDsGetDcName: trying to find DC in domain 'reskit', flags: 0x 14:47:50 NetpDsGetDcName: failed to find a DC having account ITO_A$': 0x 07/ 07/20 14:47:50 NetpDsGetDcName: found DC '\\reskit' in the specified domain 07/20 14:47:50 NetUseAdd to \\reskit\IPC$ returned 07/20 14:47:50 NetpJoinDomain: status of connecting to dc '\\reskit: Ox52e 07/20 14:47:50 NetpDoDomainJoin: status: Ox52e В данном примере показана неудачная попытка найти контроллер домена с учет ной записью ТО_А$. Это не критичная ошибка, потому что далее программа пыта ется отыскать хоть какой-нибудь контроллер указанного домена. После того как контроллер домена найден, осуществляется попытка подключиться к нему с суще ствующими реквизитами. О неудаче этой попытки свидетельствует сообщение об ошибке Ох52е (ERROR_LOGON_FAILURE) - прав доступа, определенных в пре доставленных реквизитах, недостаточно для подключения к найденному контрол леру домена.

Чтобы детальнее исследовать причину неудачи поиска контроллера домена и подтвер дить сделанные выводы, выполните эквивалентную команду в командной строке:

net use \\dcname\ipc$ /и:<имя_домена\нмя_пользователя> <пароль> Примечание Выполнять команду net use следует, когда не удается подключить ся к контроллеру домена. Если не удается найти контроллер домена, для его ро зыска следует использовать команду nltest /dsgetdc:.

Если эта программа сообщит о той же ошибке, можно изучить протокол опера ции присоединения в анализаторе пакетов программы Network Monitor (Сетевой монитор).

Сообщение Failure to create a computer account* о невозможности создания учет ной записи компьютера обычно свидетельствует о том, что либо учетная запись уже существует, либо у присоединяющегося компьютера недостаточно прав доступа. В таблице 10-8 перечислены коды ошибок такого типа.

Служба каталогов Active Directory 422 ЧАСТЬ Таблица 10-8. Коды ошибки Failure to create a computer account Описание Сообщение об ошибке Код ошибки Отказано в доступе. Обычно ERROR_ACCESS_DENIED такая ошибка появляется, когда учетная запись компьютера уже существует, а конфигурация безопасности этой учетной записи не позволяет присоединиться (потому что компьютер уже ранее присоединялся с другими реквизитами учетной записи компьютера) Пользователь подключился к ERROR_DS_MACHINE_ слишком многим компьютерам и ACCOUNT_QUOTA_ превысил квоту на количество EXCEEDED подключенных компьютеров для одного пользователя (по умолчанию Ч 10) Учетная запись указанного ноль- ERROR_USER_EXISTS зователя уже существует Вот пример ошибки отказа в доступе:

08/11 14:08:30 NetpManageMachineAccountWithSid: NetUserAdd on '\\DC9' for 'A-ERINCO TBCB$' failed: 0x А в этом примере такой ошибки нет:

08/11 14:08:30 NetpManageMachineAccountWithSid: NetUserAdd on '\\DC9' for 'A-ERINCO TBCB$' failed: ОхБЬО 08/11 14:08:30 NetpManageMachineAccountWitnSid: status of attempting to set password on '\\DC9 1 for 'A-ERINCO-TBCB& 1 : 0x Это не ошибка, потому что операция NetUserAdd возвратила код Ох8Ы) (NERR_UserExists), информирующий о том, что на данном контроллере домена уже существует учетная запись компьютера.

Примечание Обычная причина сбоя Ч существование учетной записи. Ошибка возникает, когда у пользователя нет доступа к учетной записи;

в этом случае систе ма пытается и устанавливает новый пароль.

Цель дальнейшего исследования - получить дескриптор безопасности и изучить разрешения объекта учетной записи компьютера. Для этого можно воспользовать ся оснасткой Active Directory User and Computers (Active Directory Ч пользовате ли и компьютеры) или служебной программой Ldp.

Подробнее о том, как просматривать разрешения и записи управления доступом отдельных объектов в оснастке Active Directory User and Computers Ч в справоч ной системе Windows 2000 Server. Подробнее о записях управления доступом и дес крипторах безопасности - в главе 12 Управление доступом.

Продолжим наше исследование, подключившись к контроллеру домена с помощью Ldp. Получите дескриптор безопасности компьютерной учетной записи и опреде лите, достаточно ли у пользователя, пытающегося присоединиться, разрешений па получения доступа к учетной записи компьютера.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 ^ Получение сведений о дескрипторах безопасности средствами служебной программы Ldp В меню Start (Пуск) щелкните Run (Выполнить), в открывшемся диалоговом 1.

окне введите Ldp.

2. Подключитесь и создайте привязку к контроллеру домена, дескриптор безопас ности которого требуется получить:

чтобы подключиться, в меню Connection выберите Connect и R открывшем Х ся диалоговом окне введите имя сервера;

Х чтобы создать привязку, в меню Connection выберите Bind и в открывшемся диалоговом окне введите имя учетной записи и пароль, а также имя домена, если требуется подключиться к домену отличному от текущего, 3. В меню Browse выберите Security и щелкните Security Descriptor.

4. Укажите составное имя объекта-компьютера, дескриптор безопасности которо го следует получить.

Вот типичный пример сообщений, выводимых в этом случае программой;

Revision:

Sbz1: О Control: (Ox8c04) SE_DACL_PRESENT SE_DACL_AUTO_INHERITED SE_SACL_AUTO_INHERITED SE_SELF_RELATIVE Owner:

3-1-0x000005-0x20-0x BUILTIN\Administrators Group:

8-1-0x000005-0x20-0x BUILTIN\Administrators Dacl:

Revision: Sbz1: Size: No of Aces: Sbz2:

Ace[0]:

Type: (0) ACCESS_ALLOWED_ACE_TYPE AceSize: 0x AceFlags: (0x0) Mask: OxOOOfOlff Sid:

S-1-Ox000005-Ox15-Qx3bdcf4dc-Oxfi4495118-Ox500cebdb-Ox DDS\Domain Admins Ace[1]:

Type: {5) ACCESS_ALLOWED_OBJECT_ACE_TYPE AceSize: 0x AceFlags: (0x0) Mask: 0x Flags: 0x ACE_OBJECT_TYPE_PRESENT !53ак. 402?

Служба каталогов Active Directory 424 ЧАСТЬ Object Type:

(in HEX)(59ba2f42-79a2-11dO~90-20-00-cO-4f-c2-d3-cf) GUID_PSJ3ENERAL_INFO Sid:

S-1-Ox000005-Oxb NT AUTHORITYXAuthenticated Users Подробнее об интерпретации маски, типах записей управления доступом (access control entry, АСЕ) и флагах Ч на Web-странице Microsoft Platform SDK по адресу ссылка ntsam.h.

В следующем примере показана успешная попытка присоединения компьютера к домену, отраженная в журнале Netsetup.log:

NETSETUP.log file 07/30 13:58:35 NetpDoDomainJoin 07/30 13:58:35 NetpMachineValidToJoin: 'USERV 07/30 13:58:35 NetpGetLsaPrimaryDomain;

status: 0x 07/30 13:58:35 NetpMachineValidToJoin: status: 0x 07/30 13:58;

35 NetpJoinDomain 07/30 13:58:35 Hachine: USER 07/30 13:58:35 Domain: RESKIT 07/30 13:58:35 MachineAccountOU: (NULL) 07/30 13:58:35 Account: RESKIT\reskit 07/30 13:58:35 Options: 0x 07/30 13:58:35 OS Version: 5. 07/30 13:58:35 Build number: 07/30 13:58:35 NetpCheckDomainNamelsValld [ Exists ] for 'HESKIT1 returned 0x 07/30 13:58:35 NetpValidateName: name 'RESKIT1 is valid for type 07/30 13:58:35 NetpDsGetDcName: trying to find DC in domain 'RESKIT'. flags: 0x 07/30 13:58:50 NetpDsGetDcName: failed to find a DC having account 'USER1$': 0x 07/30 13:58:50 NetpDsQetDcName: found DC '\\RESKIT-DC-08 1 in the specified domain 07/30 13:58:51 NetpJoinDomain: status of connecting to dc '\\RESKIT-DC-08': 0x 07/30 13:56:51 NetpGetLsaPrimaryDomain: status: 0x 07/30 13:58:51 NetpLsaOpenSecret: status: Oxc 07/30 13:58:52 NetpJoinDomain: status of setting machine password: 0x 07/30 13:58:52 NetpJoinDomain: status of setting netlogon cache: 0x 07/30 13:58:52 NetpGetLsaPrimaryDomain: status: 0x 07/30 13:58:52 NetpSetLsaPrimaryDomain: for 'RESKIT' status: 0x 07/30 13:58:52 NetpJoinDomain: status of setting LSA pri. domain: 0x 07/30 13:58:53 NetpJoinOomain: status of managing local groups: 0x 07/30 13:58:54 NetpJoinDomain: status of starting Netlogon: 0x 07/30 20:58:55 NetpJoinDomain: status of setting ComputerNamePhysicalDnsDomaifi 'reskit.reskit.com': 0x 07/30 20:58:55 NetpDsSetSPN: Setting DnsHostName 'USER1.reskit.reskit.com' on CN=USER1, CN=Computers, DC=reskit, DC=microsoft, DC=com' 07/30 20:58:55 NetpDsSetSPN: Setting SPN 'HOST/USERI.reskit.reskit.com' on CN=USER1,CN=Computers,DC=resktt,DC=microsoft,DC=conT 07/30 20:58:55 NetpJoinDomain: status of disconnecting from '\\RESKIT-DC-081: 0x 07/30 20:58:55 NetpDoDomainJoin: status: 0x Разрешения объектов учетных записей компьютеров В этом разделе рассказывается о безопасности учетных записей компьютеров в до мене до и после обновления до Windows 2000 Server. Эта информация полезна при устранении неполадок разрешений объектов учетных записей компьютеров в Active Directory, а также когда Вы определяете, кто (какой пользователь) создал учетную запись компьютера до обновления.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Избирательная таблица управления доступом (discretionary access control list, DACL) содержит записи управления доступом, которые определяют разрешения данного объекта. При создании учетной записи компьютера в Windows NT 4.0 ее владельцем становилась группа Domain Administrators (Администраторы домена).

Имя пользователя, создавшего эту учетную запись, сохранялось в ее параметрах, и DACL учетной записи компьютера предусматривала для него ограниченные права (например, удаление учетной записи).

При обновлении до сервера под управлением Windows 2000 происходят следующие изменения во всех учетных записях компьютеров:

Х в стандартном контейнере Computers создается объект учетной записи компью тера. Владелец (например, администратор) учетной записи компьютера остает ся прежним. Привилегии при доступе к объекту-компьютеру, предоставленные исходному владельцу в Windows NT 4.0, сохраняются как часть обновления;

Х DACL учетной записи компьютера переопределяется с заданием значений по умолчанию, определенных в схеме для объектов класса компьютер. Эта DACL содержит запись Creator Owner (Создатель-владелец) и при просмотре в ACL Editor (Редактор ACL) отображает имя соответствующего пользователя.

Примечание Обратите внимание, что в DACL возможны и другие записи АСЕ. Они появляются при изменении записей о пользователях или группах, а также при из менении разрешений родительских контейнеров в Active Directory, вызывающих появление дополнительных унаследованных разрешений.

В новых учетных записях компьютеров по умолчанию создаются таблицы DACL со следующими разрешениями:

Х Self (SELF):

Х Create A l l Child Objects (Создание всех дочерних объектов);

Х Delete All Child Objects (Удаление всех дочерних объектов);

Х Authenticated Users (Прошедшие проверку):

Х Read (Чтение);

Х Read Public Information (Чтение Публичная информация);

Х System (SYSTEM):

Х Full Control (Полный доступ);

Х Creator Owner (Создатель-владелец):

Х Full Control (Полный доступ);

Х Domain Administrators (Администраторы домена):

Х Full Control (Полный доступ);

Х Cert Publishers (Издатели сертификатов):

Х (нет разрешений);

Х Enterprise Administrators (Администраторы предприятия) (унаследованные раз решения):

Х Read (Чтение);

Х Write (Запись);

Х Create All Child Objects (Создание всех дочерних объектов);

Служба каталогов Active Directory 426 ЧАСТЬ Х Change Password (Смена пароля);

Х Receive As (Получить как);

Х Reset Password (Сброс пароля);

Х Send As (Отправить как);

Х Read Public Information (Чтение Публичная информация);

Х Write Public Information (Запись Публичная информация);

Х Account Operators (Операторы учета):

Х Full Control (Полный доступ);

Х Print Operators (Операторы печати):

Х ( нет разрешений);

Х Everyone (Вес):

Х Change Password (Смена пароля).

Примечание Если учетная запись создана с использованием привилегии Add work stations to a domain (Добавление рабочих станций к домену), права Creator Owner (Создатель-владелец) ограничиваются - он не вправе ни удалить учетную запись, ни изменить ее DACL. Кроме того, могут действовать ограничения механизма кво тирования числа объектов, создаваемых пользователем (если такие ограничения для него заданы).

Подробнее о создаваемой по умолчанию таблице DACL Ч в главе 12 Управление доступом*.

Неполадки при создании защищенного канала Каждый клиент или сервер под управлением Windows 2000, являющийся членом домена, создает закрытый канал связи, называемый защищенным каналом (secure channel). Такой защищенный канал используется службой Net Logon (Сетевой вход в систему) клиента и контроллера домена для связи друг с другом. Служебная про грамма Netdom используется для переустановки защищенного канала. При несоот ветствии пароля учетной записи компьютера и локального пароля служба Net Logon регистрирует в журнале одно или оба следующих сообщений об ошибке:

The session setup from the computer DOMAINMEHBER failed to authenticate. The name of the account referenced in the security database is DOMAINMEMBERS.

The following error occurred: Access is denied.

NETLQGON Event ID 3210:

Failed to authenticate with \\DOMAINDC, a Windows NT domain controller for domain DOMAIN.

При этой же ошибке служба Net Logon контроллера домена регистрирует следую щее сообщение:

NETLOGON Event 5722:

The session setup from the computer %1 failed to authenticate. The name of the account referenced in the security database is K2. The following error occurred: Xn% Переустановка защищенных каналов и учетных записей компьютеров Для обновления защищенных каналов и учетных записей компьютеров использу ются следующие средства:

ГЛАВА 1 0 Выявление и устранение неполадок, а также восстановление Active Directory Х служебные программы из состава Ресурсов Windows 2000 (Microsoft Windows Server Resource Kit):

Х Netdom.exe;

Х Nltest.exe;

Х консоль Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры).

Использование Netdom для переустановки защищенного канала Средствами служебной программы командной строки Netdom.exe, входящей в со став Ресурсов Windows 2000, Вы можете сбрасывать и переустанавливать защищен ный канал между рабочей станцией домена и контроллером домена. Предположим, что у Вас есть компьютер Ч член домена по имени DOMAINMEMBER. Вы переус тановите его защищенный канал, выполнив команду:

netdom reset member /domain:domain Эту команду Вы можете выполнять на компьютере DOMAINMEMBER. Чтобы выполнить ее на любом другом компьютере или контроллере домена, требуется войти под учетной записью, предоставляющей административный доступ к соот ветствующему компьютеру. Например, Netdom reset Member /Domain \<иня_домена> /UserD: <администратор_колльвтера_ЯетЛег> / Добавление рабочей станции или рядового сервера в домен Чтобы добавить рабочую станцию или рядовой сервер в домен, надо выполнить определенный порядок действий.

1. Добавьте рабочую станцию Workl в домен Windows NT 4.0 по имени Domain!.

2. Выполните команду Netdom add workl /d:domain1 /ud:domain1\admin /pti: 3. Добавьте рабочую станцию Workl в домен Windows 2000 по имени reskit.com в подразделение my-computer:

Netdom add workl /Domain: reskit.com /QU:OU=my-computers, DC=reskit, DC=com Примечание В параметре /OU следует указывать полное составное имя в соот ветствии с RFC 1779. Если параметр /OU не определен, учетная запись компь ютера создается в контейнере Computers.

Присоединение рабочей станции или рядового сервера к домену Чтобы присоединить рабочую станцию или рядовой сервер к домену, можно восполь зоваться программой Netdom, Например, чтобы присоединить рабочую станцию Workl к домену reskit.com в подразделении my-computers, выполните команду:

Netdom join /d: reskit.com /OU:OU-my-computers, DC=reskit, DC=com /reboot:120.

Кроме добавления учетной записи компьютера в домен, рабочая станция получает секретный ключ, необходимый для завершения операции присоединения. В случае успешного выполнения команды присоединения срабатывает параметр /reboot, за ставляя компьютер автоматически перезагрузиться через две минуты;

это время 428 ЧАСТЬ 1 Служба каталогов Active Directory выделяется пользователю для того, чтобы завершить все текущие задачи, выполня емые на компьютере.

Переустановка защищенного канала средствами Nltest С помощью служебной программы командной строки Netdom.exe, входящей в со став Ресурсов Windows 2000, Вы можете переустанавливать (reset) защищенный канал между компьютерами домена и контроллером домена. Nltest.exe используют и для проверки доверительных отношений между компьютером под управлением Windows 2000 Ч членом домена и контроллером домена, на котором хранится учет ная запись этого компьютера. Это показано в следующем примере:

Nltest.exe Usage: nltest [/OPTIONS] /SC_QUERY: - Query secure channel for on <$erverName> /SERVER: /SC_RESET: - Renegotiates the secure channel In the specified domain for a local or remote workstation, server, or domain controller Примеры переустановки защищенных каналов:

nltest /sc_query:reskit /server:Server Flags: Connection Status = 0 0x0 NERR_Success Trusted DC Name \\Server1.reskit.com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully nltest /sc_reset:reskit /server:Server Flags: Connection Status = 0 0x0 NERR_Success Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\server.reskit,com Trusted DC Connection Status Status = 0 0x0 NERR_Success The command completed successfully Сброс паролей учетных записей компьютеров средствами консоли Active Directory Users and Computers В Windows 2000 сбросить пароль учетной записи компьютера можно в оснастке Active Directory Users and Computers (Active Directory - пользователи и компью теры). Щелкните правой кнопкой мыши нужный объект-компьютер в папке Com puters или в другой папке и в контекстном меню выберите Reset Account (Переус тановить учетную запись). Эта команда меню сбрасывает пароль учетной записи компьютера, то есть устанавливает пароль, заданный при создании учетной записи.

Ее следует применять только после отключения компьютера от сети и полном его обновлении (аппаратном и программном). Сброс пароля учетной записи позволяет восстановленному компьютеру присоединиться к домену под исходным именем.

Если эту команду выполнить на необновленном компьютере, он не пройдет про верку подлинности в домене.

Примечание Этот метод непригоден для сброса пароля контроллеров домена.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Просмотр доверенных доменов средствами Nltest Данные о некоторых аспектах доверительных отношений хранятся в определенных ключевых атрибутах каждого из объектов класса trustedDomain, Далее перечисле ны эти важные атрибуты:

Х flatName Ч содержит NetBIOS-имя домена, с которым созданы данные довери тельные отношения;

Х trustDirection содержит сведения о направлении доверительных отношений.

Атрибут может принимать следующие значения:

Х 0=Disabled (доверительные отношения отсутствуют);

Х l=Inhound (входящие, то есть домен-доверитель);

Х 2=Outbound (исходящие, то есть доверенный домен);

Х 3=Both (двусторонние);

Х trustPartner содержит строку, содержащую DNS-имя домена, если это домен Windows 2000, или NetBIOS-имя домена, если данные доверительные отноше ния созданы между доменом Windows 2000 и доменом, отличным от домена Windows 2000;

Х trustType Ч содержит сведения о тине доверительных отношений. Атрибут мо жет принимать следующие значения:

Х 1 Ч доверительные отношения между доменом Windows 2000 и доменом Win dows NT 4.0 или более ранней версии;

Х 2 Ч доверительные отношения Windows 2000;

Х 3Ч доверительные отношения между доменом Windows 2000 и сферой Kerben is, отличной от сферы Windows 2000.

С помощью служебной программы командной строки Nltest можно получать спи сок доверенных доменов данного сервера. Nltest.exe входит в пакет программ Windows 2000 Server Support Tools. (Чтобы наладить доступ к Nltest, Вам придется установить служебные программы, хранящиеся в папке Support\Tools на компакт диске с операционной системой Windows 2000 Server. Для этого достаточно дваж ды щелкнуть значок Setup этих программ.) Подробнее об использования Netdom в справочной системе Windows 2000 Support Tools.

Для получения списка доверенных доменов данного домена используется параметр /domain_trusts. Для каждого доверенного домена приводятся следующие сведения:

Х Trust Index Ч номер записи в списке доверенных доменов;

Х NetBIOS-имя доверенного домена (например, reskit);

Х DNS-имя доверенного домена (например, reskit.com);

Х тип доверительных отношений: NT 4 Ч доверительные отношения с доменом Windows NT, NT 5 Ч с доменом Windows 2000, MIT с отличной от Windows сферой Kerheros. Подробнее о типах доверительных отношений Ч в главе 1 Ло гическая структура Active Directory*.

Кроме того, выводятся следующие сведения (если таковые имеются):

Х Forest Tree Root корневой домен леса;

Х Forest Trust Index Ч номер, указывающий на положение домена по отношению к корню леса (у иссх доменов данного леса этот параметр равен нулю);

430 ЧАСТЬ 1 Служба каталогов Active Directory Х Primary Domain - основной домен, то есть такой, в котором находится данный сервер;

Х Direct Outbound информирует о наличии прямых (сокращенных) исходящих доверительных отношений, то есть домен доверяет основному домену;

Х Direct inbound Ч информирует о наличии прямых (сокращенных) входящих доверительных отношений, то есть основной домен доверяет указанному доме ну;

Х Attr - возвращает биты, указывающие на значение атрибута trustAttributes объекта trustedDomain. Это значение, в частности, указывает на транзитивность (или нетранзитивность) доверительных отношений;

Х Native Ч указывает на основной домен, работающий в основном режиме. Отсут ствие этого параметра основного домена указывает, что он работает в смешан ном режиме.

В следующем примере команда Nltest выполнена на компьютере Ч члене домена noam.reskit.com.

nltest /domain_trusts List of domain trusts:

0: RESKIT reskit.com (NT 5) (Forest Tree Root) (Direct Outbound) (Direct Inbound) ( Attr: 0x400000 ) 1: AVIONICS avionics.reskit.com (NT 5) (Forest: 0) 2: EUROPE europe.reskit.com (NT 5) (Forest: 0) 3: NOAM noam.reskit.com (NT 5) (Forest: 0) (Primary Domain) (Native) The command completed successfully Результаты работы команды позволяют выяснить:

Х Reskit.com Ч это корневой домен леса;

Х все домены находятся в одном лесе Ч reskit.com (на что указывает номер-ин декс 0);

Х все доверительные отношения Ч это доверительные отношения Windows 2000, на что указывают обозначения (NT 5);

Х сервер, на котором выполняется Nltest, расположен в домене Noam.reskit.com;

Х Noam.reskit.com является основным доменом, работающем в основном режиме.

Для выполнения запроса на определенном сервере введите в командной строке:

nltest /server:<имя_сервера> /domain_trusts Например, список доверенных доменов можно получить, если выполнить такой зап рос на контроллере корневого домена леса. (В данном примере корневой домен root.com.) 0: TESTDOMAIN testdomain.root.com (NT 5) (Forest: 3) (Direct Outbound) 1: CHILD child.root.com (NT 5) (Forest: 3) (Direct Outbound) 2: GRANDCHILD grandchild.child.root.com (NT 5) (Forest: 1) 3: ROOT root.com (NT 5) (Forest Tree Root) (Primary Domain) 4: NT4DOMAIN (NT 4) {Direct Outbound) 5: NEWROOT newroot.com (NT 5) (Forest Tree Root) (Direct Outbound) ( Attr:

10x800000 ) Выявление и устранение неполадок, атакже восстановление Active Directory ГЛАВА Примечание Обратите внимание, что Nltest отображает доверенные домены с тран зитивными доверительными отношениями как доверительные отношения Win dows 2000 без тэга Direct Outbound (прямые исходящие).

Другой способ просмотра доменов и доверительных отношений подразумевает ис пользование служебной программы ADSI Edit.

^ Просмотр доверенных доменов и доверительных отношений средствами ADSI Edit 1. В окне ADSI Edit разверните узел раздела домена и откройте папку System.

2. В правой панели окна найдите в столбце>

3. Для просмотра свойств щелкните правой кнопкой мыши соответствующий объект trustedDomain и в контекстном меню выберите команду Properties (Свойства).

4. Для просмотра всех атрибутов (обязательных и дополнительных) в поле со списком Select which properties to view выберите Both.

5. В поле со списком Select a property to view выберите нужный атрибут. Его зна чение отображается в поле Value.

Проверка доверительных отношений, поддерживаемых по протоколу Kerberos v Служебную программу Netdom можно применять для проверки работы протокола проверки подлинности Kerberos v5 между клиентом и доменом. В Netdom провер ка доверительных отношений с параметром /Kerberos позволяет получить билет сеанса со службой проверки подлинности Kerberos в определенном домене. Успеш ность такой команды свидетельствует о нормальном выполнении таких операций Kerberos, как перенаправления центрами распространения ключей (Key Distribution Center, KDC) между рабочей станцией и целевым доменом. При сбое программа отображает список билетов перенаправления, находящихся в кэше. В этом случае причину неполадки можно определить, просмотрев список билетов перенаправле ния, выданных центрами KDC, расположенными на пути к заданному домену.

Чтобы проверить работу протокола проверки подлинности Kerberos, выполните следующую команду:

NETDOM TRUST <имя_домена-доверигвля> /Оота^л;

<имя_доверенного_домена> /Kerberos /\)$вгО:<учетная^эапись_польэователя_для_подключв-ний_к_домену-доверит&лю> /PasswordO:<пароль_учетноЙ_запнси,_указанной_в_параметрв_/и$вгО> /Озег[)'.<учетная_запись_для_полключения_к_довереннону_домену> /Password?);

<пароль_учетной_записи,_указанной_в^параметре_/изегО> Примечание Необходимо указывать обе учетные записи пользователей, так как про грамма будет пытаться осуществить их взаимную проверку подлинности средства ми Kerberos v5.

Такая команда проверяет:

Х верность паролей доверия (например, их соответствие);

Х наличие соответствующих учетных записей в Active Directory;

Х способность пользователей пройти проверку с последующей выдачей билетов Kerberos v5.

ЧАСТЬ 1 Служба каталогов Active Directory Подробнее о служебной программе Netclom Ч в справочной системе Windows Support Tools. Подробнее о протоколе проверки подлинности Kerberos v5 Ч в гла ве 11 Проверка подлинности.

Неполадки входа в систему в отсутствие серверов глобального каталога В доменах Windows 2000 основного режима глобальный каталог необходим для ус пешного входа в систему. Если контроллеру домена не удается получить доступ к серверу глобального каталога, пользователь не сможет войти в систему. Исключе ние составляет только учетная запись администратора домена (RID Oxl F4), кото рой предоставлено право входить в систему даже в отсутствие глобального катало га. Наличие такой учетной записи позволяет в исключительных случаях установить (дополнительный) глобальный каталог.

Добавление групп в процессе создания маркера доступа при входе пользователя в систему происходит в определенном порядке.

1. В маркер добавляется SID (security ID - идентификатор безопасности) пользо вателя.

2. В маркер добавляются глобальные группы, членом которых является данный пользователь.

3. В маркер добавляются универсальные группы, к которым относятся SID пользо вателя и SID глобальных групп.

4. В маркер добавляются локальные группы домена, к которым относятся предше ствующие учетные записи. Этот пункт выполняется на контроллере домена, в котором расположена рабочая станция.

Локальные группы домена в маркер не добавляются, если домен работает в сме шанном режиме.

5. Добавляются сведения о членстве в локальных и встроенных группах для групп рабочей станции, добавленных в пунктах 1 Ч 4. Если пользователь подключает ся или входит в систему контроллера домена, этот пункт относится только к встроенным локальным группам, если, конечно, такие группы домена были до бавлены в пункте 4.

Управление доступом Неполадки управления доступом могут проявляться в неудачных попытках обра щения к объектам Active Directory, а также в сообщениях о нарушении доступа (Access Denied) при попытке подключения сетевого ресурса или при выполнении команды net view в командной строке.

В этом разделе рассмотрены служебные программы, перечислены возможные не поладки управления доступом и предложены методы их устранения. Первое, что надо сделать для устранения неполадок данного типа, Ч изучить дескриптор безо пасности объекта, доступ к которому запрашивается, а затем Ч исследовать сооб щения в оснастке Event Viewer (Просмотр событий).

Просмотр событий Прежде чем приступить к изучению журнала управления доступом, необходимо активизировать аудит. Только после этого можно пытаться определить причину неполадок управления доступом.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Получение доступа к другим компьютерам Команда net view позволяет узнать, можно ли получить доступ к другим компью терам в сети. Для этого следует выполнить команду:

net view \\<имя_компьютера> Проверка доступности компьютеров для просмотра Если удается обратиться к другим компьютерам, попытайтесь подключиться к сво ему домену, выполнив команду net use \\server1\ipc$ /u:reskit\ <имя_пользователя> <пароль> Если удается подключиться к домену, проверьте, можно ли соединиться под локаль ной учетной записью домена. Если нет, то причина Ч в доверительных отношени ях. Для устранения неполадок такого типа воспользуйтесь Nltest.exe:

nltest.exe /server:<имя_серввра> /sc_query:<домен_недоступного_серввра> Например, nltest /server;

server1 /sc_query:reskit Если Nltest.exe возвратит ошибку, относящуюся к определенному серверу (напри мер, serverl), следует проверить наличие защищенного канала между Вашим ком пьютером и запрашиваемым доменами. Проверите каждый сервер посредством ping и net view, чтобы убедиться, что они работают нормально.

Х Если ping срабатывает, a net view Ч нет, проверьте способ разрешения имен (на пример, WINS или DNS).

Если ping возвращает ошибку, проверьте транспортные подключения или функ Х циональные возможности проблемного сервера (может быть, на нем отключена поддержка TCP/IP).

Х Если, несмотря на нормальную работу контроллера домена и исправность под ключения, команда net use все равно сообщает об ошибке, попробуйте переус тановить защищенный канал, выполнив команду nltest /server:<имя_сервера> /5С_ге5е^<домен_нед0стулного_сераера> Примечание Подключаться к запрашиваемому серверу <имя_сервера> следует под учетной записью Administrators (Администратор).

Если Вам не удалось ни соединиться со своим доменом, ни подключиться под ло кальной учетной записью домена, причина может заключаться в работе админист ратора локальной безопасности LSA (Local Security Authority) и/или диспетче ра учетных записей безопасности Ч SAM (Security Account Manager). Получив со общение об ошибке при выполнении net view \\<имя_сервера> или net use, вы полните следующие операции:

Х если компьютеру не удается пройти проверку подлинности ни в одном из доме нов, сначала примените к нему ping;

Х если ответа на ping получить не удается, нужно изучить локальное окружение компьютера. Проверьте, нет ли сообщений о неполадке или нарушении достуета.

Если все в порядке, с помощью ping проверьте локальный IP-адрес, возвращен ный DNS (например, совпадает ли он с адресом, полученным при выполнении команды IPConfig/all);

434 ЧАСТЬ 1 Служба каталогов Active Directory Х если удалось получить IP-адрес компьютера средствами ping, проверьте, досту пен ли он по команде net view, то есть возвращает ли ошибку доступа access denied или список общих ресурсов. Если ответ отрицательный, причину следу ет искать в службах WINS или SMB. Воспользуйтесь анализатором пакетов (Network Monitor), чтобы найти адрес работающего сервера имен. Проверьте адрес, возвращаемый им рассматриваемому серверу. Несовпадение адресов сви детельствует о несоответствии при преобразовании имен. При соответствии имен воспользуйтесь следом анализатора пакетов программы Network Monitor (Сетевой монитор) для поиска причины неполадки.

Получение доступа к объектам Active Directory Причина неполадок при получении доступа к объектам Active Directory практичес ки всегда кроется в том, что список управления доступом дескриптора безопаснос ти данного объекта не предоставляет доступ запрашивающему явным образом.

Изучение дескриптора безопасности объекта средствами служебной программы Dsacls Просмотреть содержание дескриптора безопасности объекта Active Directory позво ляет служебная программа командной строки Dsacls. Дескриптор безопасности объекта содержит список управления доступом, в котором, в свою очередь, разме щены избирательная (discretionary access control list, DACL) и системная (system access control list, SACL) таблицы управления доступом, DACL содержит сведения о разрешениях или правах отдельных групп по отноше нию к данному объекту Active Directory. Если причина, по которой DACL не пре доставляет пользователю доступ, не очевидна, нужно сбросить и повторно добавить разрешения на доступ к соответствующему ресурсу.

Примечание Существуют и другие способы просмотра ACL, например во многих консолях его содержимое отображается на вкладке Security (Безопасность) стра ницы свойств объекта.

Сбросом разрешений Вы можете исправить подобную неполадку, но вместе с тем и создать новые проблемы. Более падежный путь Ч просто добавить требуемые раз решения. С другой стороны, если разрешения на объекте вообще не позволяют по лучить требуемого доступа, то единственный выход заключается в сбросе их к зна чениям но умолчанию.

Проверка наследования ACL с помощью SDCheck Для проверки распространения записей ACL от родителей к потомкам воспользуй тесь служебной программой командной строки sdcheck (Security Descriptor Check проверка дескриптора безопасности). Средствами этой программы удается прове рить корректность наследования ACL и их репликацию между контроллерами до мена. Подробнее о наследовании Ч в главе 12 Управление доступом.

Чтобы перечислить все унаследованные записи управления доступом (access control entry, АСЕ), выполните команду sdcheck /dumpall.

Просмотр записей управления доступом средствами служебной программы Ldp Для просмотра АСЕ-записей отдельного объекта Active Directory используйте слу жебную программу Ldp.exe с компакт-диска Microsoft Windows 2000 Resource Kit.

Сначала нужно указать участник безопасности, например cn=userl,cn=Users, ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory cn=Domain,dc=reskit,dc=com, В подменю Security меню Browse щелкните Security Descriptor и в открывшемся окне введите составное имя объекта для отображения избирательного и системного списков управления доступом R низкоуровневом представлении.

Получение объекта во владение и сброс ACL У этого способа есть одно преимущество: будучи администратором, Вы имеете пра во сделать доступным любые объекты Ч даже те, к которым по неосторожности доступ полностью блокирован. Для этого следует в ADSI Edit получить объект в свое владение (стать его владельцем) и изменить ACL, предоставив необходимые разрешения. Подробнее о списке управления доступом (ACL) - в главе 12 Управ ление доступом.

Сопровождение предприятия средствами служебной программы Netdom Для управления рабочими станциями и рядовыми серверам Вы можете использо вать служебную программу командной строки Netdom. Функции Add, Remove и Query позволяют добавлять в подразделения учетные записи компьютеров, пере мещать компьютеры между доменами и получать списки рабочих станций или ря довых серверов домена.

Отдельные команды поддерживают только объекты определенных типов (табли ца 10-9).

Таблица 10-9. Команды служебной программы Netdom Допустимые аргументы Команда add Имя клиента или Netdom add /d:reskit.com mywksta изолированного сервер;

!

join Имя клиента или Netdom join /d:reskit.com mywksta изолированного сервера Netdom move /d:newdomain mywksta move Имя клиента или изолированного сервера Netdom remove /drreskit.com mywksta remove Имя клиента или изолированного сервера reset Имя клиента или Netdom reset /d:reskit.com mywksta изолированного сервера Netdom verify /d:resourcedom yourwksta verify Имя клиента или изолированного сервера Имя резервного контроллера Netdom rename/d:newdomain BDC rename домена. Применяется только по отношению к резервным контроллерам домена под управлением Windows NT 4. и Windows NT 3. Netdom qnery /d:rcskit.com DC query Рабочая станция, сервер, контроллер домена, основной контроллер ломена, домен, хозяин FSМО-операций, подразделение Имя контроллера ломена или Netdom time /drmasterdom time рядового сервера. Параметры необязательны Netdom trust /d:masterdom resourcedom trust Имя домена ЧАСТЬ 1 Служба каталогов Active Directory Политика аудита Политика аудита позволяет отслеживать действия пользователей в системе. В ней настраивается, какие действия каких групп или пользователей система автомати чески регистрирует. Порядок аудита определен в SACL.

Вот в какой последовательности надо выполнять операции при конфигурировании политики аудита:

Х активизируйте функцию аудита на контроллере домена;

Х включите аудит в SACL интересующего Вас объекта;

Х попытайтесь получить доступ к объекту;

Х посмотрите, внесена ли соответствующая запись в журнал аудита.

Активизация политики аудита на контроллере домена Первый таг на нуги конфигурации политики аудита Ч активизация на контролле ре домена аудита определенных участников. Для этого нужно войти в систему под учетной записью члена группы Administrators (Администраторы).

^ Активизация политики аудита на контроллере домена 1. В меню Start (Пуск) перейдите к Programs (Программы), далее - к Admi nistrative Tools (Администрирование) и щелкните Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры).

2. Найдите папку с требуемым контроллером домена, щелкните значок правой кнопкой мыши и в контекстном меню выберите Properties (Свойства), чтобы отобразить страницу свойств.

3. Перейдите на вкладку Group Policy (Групповая политика) и щелкните Edit (Из менить), чтобы перейти к редактированию политики Default Domain Policy [имя_контроллера_домена] в окне Group Policy (Групповая политика) 4. В левой панели окна щелкните Computer Configuration (Конфигурация компь ютера).

5. В правой панели окна последовательно дважды щелкните каждый из следую щих элементов: Windows Settings (Конфигурация), Security Settings (Парамет ры безопасности) и Local Policies (Локальные политики).

6. Дважды щелкните Audit Policy (Политика аудита). В правой панели окна найди те элемент Audit Directory Service Access (Аудит доступа к службе каталогов), 7. Дважды щелкните Audit Directory Service Access и затем включите или отклю чите виды событий, подлежащих аудиту. Поскольку контроллер домена прове ряет изменения политики каждые пять минут, проведенные изменения вступят в силу не позднее этого срока. Другие контроллеры домена получат сведения об изменениях политики после следующего цикла репликации. Щелкните ОК.

Примечание Подробнее о параметрах аудита - в главе 22 книги Распределенные системы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская Редакция, 2001).

Установка SACL аудита на объекте Следующее, что надо сделать для того, чтобы реализовать политику аудита, ус тановить SACL аудита на конкретных объектах. Для выполнения этой процедуры ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory нужно войти в систему под учетной записью члена группы Administrators (Адми нистраторы), ^ Установка SACL аудита на объекте 1. В меня) Start (Пуск) перейдите к Programs (Программы), далее - к Admi nistrative Tools (Администрирование) и щелкните Active Directory Users and Computers (Active Directory - пользователи и компьютеры).

2. В меню View (Вид) установите флажок Advanced Features (Дополнительные функции).

3. Найдите папку с требуемым объектом.

4. Двойным щелчком откройте папку.

5. Щелкните объект правой кнопкой мыши и в контекстном меню выберите Pro perties (Свойства). На странице свойств перейдите на вкладку Security (Бе;

ю пасность).

6. Щелкните кнопку Advanced (Дополнительно) и в открывшемся диалоговом окне перейдите на вкладку Auditing (Аудит).

7. Щелкните кнопку Add (Добавить), чтобы открыть диалоговое окно Select User, Computer, or Group (Выбор: Пользователь, Компьютер или Группа). Выберите участник безопасности и нажмите ОК.

8. Диалоговое окно Auditing Entry (Элемент аудита) содержит две вкладки Object (Объект) и Properties (Свойства):

Х на вкладке Object настраивается общий аудит и аудит управления доступом;

на вкладке Properties настраивается аудит доступа к отдельным свойствам Х объекта.

Настройте параметры аудита (по умолчанию аудит применяется к данному и всем дочерним объектам, но Вы можете изменить это поведение, выбрав соот ветствующий элемент в поле со списком). Закончив конфигурирование, щелк ните кнопку Apply (Применить), а затем ОК.

В окне Access Control Settings (Элементы управления доступом) укажите, дол 9.

жны ли записи аудита наследоваться от родительского контейнера. Если да, то установите флажок Allow inheritable auditing entriesfom parent to propagate to this object (Переносить наследуемый от родительского объекта аудит на этот объект). Щелкните Apply (Применить), а затем Ч ОК.

10. В окне Properties (Свойства) определите, должны ли наследоваться разреше ния аудита. Щелкните Apply, а затем Ч ОК.

Получение доступа и использование объектов Завершив настройку контроллера домена и объекта для аудита, проверьте коррект ность работы системы. Для этого Вы должны составить список объектов, участни ков безопасности, тины доступа и записи, регулирующие политику аудита. Создай те план тестирования, предусматривающий выборочную проверку попыток полу чения доступа и других регистрируемых действий для каждого участника безопас ности, указанного в политике аудита. Несколько раз войдите в систему под учет ными записями различных участников безопасности и выполните действия, опи санные в плане проверки аудита.

Служба каталогов Active Directory 438 ЧАСТЬ Проверка журнала аудита На последнем этапе реализации политики аудита следует проверить корректность работы механизма аудита на основе результатов выполнения плана тестирования.

Откройте оснастку Event Viewer (Просмотр событий) и изучите журнал Security (Журнал безопасности). Нажмите F5, чтобы обновить содержимое окна и отобра зить самые свежие записи. События отображаются в соответствии со своими кате гориями. Каждая запись содержит контрольный след того, кто, когда и к какому объекту получал (или не получал) доступ.

Подробнее об аудите - в справочной системе Windows 2000 Server.

Дополнительные способы устранения неполадок Дополнительные способы используются для устранения неполадок, вызванных причинами, отличными от уже рассмотренных. Мы рассмотрели сетевые соедине ния, разрешение имен, контроллеры домена, проверку подлинности и управление доступом. Для устранения других неполадок нужно превосходно знать Active Directory и уметь пользоваться служебными программами из набора Resource Kit Support.

Дополнительные способы устранения неполадок применяются, если наблюдаются сбои при выполнении следующих операций:

Х регистрации событий Active Directory для последующей диагностики;

Х установке и удалении Active Directory;

Х работе базы данных;

Х функционировании схемы;

Х операциях одиночного хозяина;

Х репликации.

Регистрация событий Active Directory События Active Directory регистрируются в журнале службы каталогов (Directory Service). Записи этого журнала используются для наблюдения за работой Active Directory и расследования в случае неполадок.

По умолчанию Active Directory регистрирует только критические события. Чтобы сконфигурировать Active Directory для записи других событий в журнале службы каталогов, следует изменять реестр. Подробнее об использовании редакторов реес тра в Windows 2000 - в справочной системе Windows 2000 Server.

Параметры реестра, управляющие регистрацией диагностической информации раз мещены в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\NTDS\Diagnostics. Записи этого раздела представляют различные тины событий Active Directory. Значение параметра определяет уровень полноты инфор мации о регистрируемых событиях и находится в диапазоне от 0 (регистрируются стандартные ошибки с заданной по умолчанию детализацией) до 5 (регистрируют ся все события с отображением полной информации). Значения параметров описа ны в таблице 10-10.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) делайте это лишь в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства защиты, которые позволяют не допускать ввода конфликтующих значений параметров, а также способных снизить быстродействие системы или разрушить ее. Не исключе но, что последствия прямого редактирования реестра окажутся не такими, как Мы ожидали, и. возможно. Вам придется переустанавливать Windows 2000. Для на стройки и конфигурирования Windows 2000 рекомендуется использовать Control Panel (Панель управления) или Microsoft Management Console (Консоль управле ния Microsoft). Перед изменением реестра советуем Вам делать резервную копию.

Подробнее о редактировании параметров реестра Ч в справочной системе редакто ра реестра. Подробнее о реестре и техническом руководстве Technical Reference Microsoft Windows 2000 Professional Resource Kit (файл Regentry.ehm) Таблица 10-10. Значения параметров раздела диагностики Active Directory Значение параметра Описание Регистрируются только критические события и неполадки. Установле 0 (None) но по умолчанию. Это значение следует изменять только при возник новении неполадок 1 (Minimal) Регистрируются только самые значительные события. Обычно на этим уровне для каждой важной операции в журнал заносится олно сооб щение. Используйте это значения в начале исследования, когда есть подозрение па неисправность 2 (Basic) Регистрируются все события уровня 2 и ниже 3 (Extensive) Регистрируются все события уровня 3 и ниже В журнал заносятся сведения об этапах выполнения задач. Этот уро вень предоставляет существенно больше данных, чем низкий уровень, но меньше по сравнению с режимом отображения полной информации 4 (Verbose) Регистрируются все события уровня 4 и ниже 5 (Internal) Регистрируются все события, в том числе отладочные данные и изме нения конфигурации, полученные от других контроллеров домена.

В журнал заносится вся информация о работе службы. Используйте этот уровень регистрации, когда неполадка локализована в одной или нескольких категориях Тип всех параметров раздела Diagnostics - REG_D\VORD, а значение по умолча нию - 0.

Примечание Уровни регистрации следует устанавливать и 0, если только Вы не проводите в данный момент исследование на предмет устранения неполадок, Все критические ошибки регистрируются на уровне 0.

При повышении уровня подробность и число сообщений возрастает. Установка уровня п 3 и пыше способна ухудшить производительность сервера и поэтому не рекомендуется. Скорость заполнения журнала быстро растет по мере повышения уровня регистрации.

Служба каталогов Active Directory 440 ЧАСТЬ В таблице 10-11 перечислены параметры раздела диагностики в реестре.

Таблица 10-11. Параметры раздела Diagnostics реестра Параметр Описание Knowledge Consistency Служба проверки согласованности знаний (КСС) получает Checker (KCC) входную информацию из объектов каталога (например, от сайтов, серверов или межсайтовых связей) и информирует о несоответ ствиях и отсутствующих объектах.

Управляет регистрацией событий во время работы КСС. Сооб щения делятся на следующие категории:

Х ошибки времени выполнения КСС, например несоответ ствия, ошибки ресурсов или проблемы доступа к каталогу;

Х неполадки результирующей конфигурации, то есть не удает ся обновить конфигурацию или новая конфигурация непол на. Причина ошибок может заключаться в слишком большом числе недоступных серверов и в невозможности построить полную топологию Security Events События, относящиеся к системе безопасности Windows 2000, в частности попытки не обладающих достаточными разрешения ми пользователей прочитать или записать атрибут, создать привязки пользователя через интерфейс MAPI или перевод домена в естественный режим ExDS Interface Events События связи Active Directory с клиентами Exchange MAPI Interface Events События связи Active Director}' с клиентами Exchange Replication Events События, относящиеся к исходящей (в случае изменений ло кальной реплики') и входящей (при импорте изменений) реп ликации. Обычные ошибки репликации, такие, как недоступ ность контроллера, не регистрируются. Подобные сведения хранятся как состояние репликации и доступны для просмотра средствами соответствующих служебных программ. В журнал заносятся важные-, критические ошибки, требующие вмеша тельства пользователя, например неполадки базы данных. Дру гой тип событий, относящихся к этой категории, Ч это инфор мация об изменениях объектов и атрибутов, а также причины таких изменений.

Имейте в виду, что в процессе репликации корректируются очень многие атрибуты, поэтому повышение уровня детализа ции быстро увеличивает объем регистрируемых данных. Обыч но для получения информации об обычных операциях репли кации вполне достаточно уровня 1. Установка уровня 2 может вызвать быстрое переполнение журнала и снижение произво дительности системы Garbage Collection Регистрируются события уничтожения захороненных объектов процессом сбора мусора Internal Configuration Интерпретация и регистрация сведений о внутренних операци ях службы каталогов Directory Access Регистрация событий чтения и записи объектов каталога из любых источников Internal Processing События, относящиеся к внутренней работе кода Active Directory, в частности обработка переноса дескрипторов безо пасности. Ошибки этой категории обычно свидетельствуют о серьезных неполадках в Active Directory.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Таблица 10-11 (продолжение) Параметр Описание Когда каталог возвращает ошибку такого типа, эту категорию следует использовать для предоставления информации службе поддержки Microsoft. В случае неполадки установите это пара метр в t на всех компьютерах (на клиенте и сервере) и воспро изведите ситуацию, вызвавшую сбой. Заметьте место кода, где возникла внутренняя ошибка События, связанные с загрузкой и выгрузкой объекта произво Performance Counters дительности NTDS и счетчиков производительности Initialization/Termination События запуска и остановки Active Directory Service Control Обработка событий службы каталогов Active Directory Name Resolution Разрешение адресов и имен Active Directory События архивирования Active Directory Backup Field Engineering Внутренний отладочный след События LDAP. Вот примеры регистрируемых событий: LDAP LDAP Interface Events сервер закрыл сокет для клиента, невозможно выполнить про верку подлинности по протоколу LDAP, LDAP инициализиро ван поверх SSL События, относящиеся к работе мастера Active Directory Setup Installation Wizard (мастер установки Active Directory) События глобального каталога. Например, Повышение роли Global Catalog сервера до глобального каталога отложено на... минут*-. Такая задержка нужна для подготовки разделов до начала оповеще ния о новой роли сервера.

К операциям, проводимым в это время, относится создание новой топологии службой КСС, все разделы только для запи си в предприятии добавляются на данный сервер, и в систему реплицируется их содержание.

Если требуется повысить роль сервера до глобального каталога немедленно, без выполнения таких предварительных действий, установите в 0 параметр GlobalCatalogDelavAdvertisement типа DWORD в разделе IIKEY_LOCALJVIACHINE\SYSTEM\Cur rentControlSet\Services\NTDS\Parameters\. Роль сервера будет повышена при следующей попытке проверки необходимых условий. В этом параметре можно также указать задержку в секундах до момента повышения роли сервера Сообщения этой категории регистрируются службой Intersite Intcr-site Messaging Messaging (ISM), независимой от службы каталогов. Служба ISM выполняет две основные функции: приемо-передача и топологические запросы (например, какие узлы соединены данным транспортом и какова стоимость соединения).

Сообщения этой категории либо информируют о неисправи мых ошибках конфигурации или содержат информацию об объеме трафика Краткий обзор журналов событий Active Directory Windows 2000 поддерживает журналы, в которых регистрируются события Active Directory. Например, при установке или удалении Active Directory средствами мас тера установки Active Directory (dcpromo) создается несколько журналов папке в %SystemRoot %\Debug, предназначенных для записи событий, происходящих в про Служба каталогов Active Directory 442 ЧАСТЬ цессе установки. Нужно знать содержание этих файлов, поскольку в них представ лены значимые данные о производительности и службах Active Directory. По умол чанию журналы размещены в панке %SystemRoot %\Debug. Подробнее о журналах Windows 2000 Ч на Web-странице Microsoft Platform SDK no адресу dows.microsoit.com/windows2000/reskiL/wcbresources, ссылка Microsoft TechNet (вы полните поиск в разделе Technical Support статей в Knowledge Base и других ис точниках технической информации).

Журнал DCPromoUl.log Файл DcpromoUI.log содержит детальный отчет о процессах установки и удаления Active Directory. На серверах под управлением Windows 2000 он по умолчанию раз мещен в папке %SystemRoot %\Debug. Записи вносятся в этот журнал, начиная с момента запуска мастера установки Active Directory и открытия первого его окна, и продолжается до закрытия последнего окна независимо от того, была ли установ ка (удаление) прервана или успешно завершена. При сбое в журнал заносятся де тальные сообщения об ошибках сразу же после завершения действия, вызвавшего сбой. В журнале также регистрируются сведения об успехе установки или удаления.

Кроме того файл DcpromoUI.log содержит следующую полезную информацию об установке или удалении Active Directory;

Х имя контроллера домена источника репликации;

Х разделы каталога, реплицированные на данный сервер;

Х число элементов, реплицированных в каждый раздел каталога;

Х службы, сконфигурированные па данном контроллере домена;

Х записи управления доступом (access control entry. АСЕ) установленные на сис темном реестре и файлах;

Х каталоги SYSVOL;

Х все сообщения об ошибках;

Х параметры, выбранные пользователем Administrator (Администратор) в процес се удаления или установки.

Подробнее о Dcpromoui.log - в разделе Неполадки при установке и удалении Active Directory далее в этой главе.

Журнал DCPromos.log Файл %5?/semrooit%\d ebug\dcpromos.log создается в процессе установки режима графического интерфейса пользователя при повышении роли контроллера домена под управлением Windows NT 3.x или 4.0 до контроллера домена Windows 2000.

Журнал DCPromo.log Файл DCPromo.log создает мастер установки Active Directory. На серверах под уп равлением Windows 2000 он по умолчанию хранится в папке %SystemRoot %\ Debug. В этом журнале также регистрируются параметры, используемые при по вышении или понижении роли, в частности имя сайта, путь к базе данных и жур налам Active Directory, синхронизация времени и информация об учетной записи компьютера. В файле DCPromo.log размещаются сведения о создании базы данных Active Directory, деревьев SYSVOL, а также об установке и обновлении служб.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Подробнее о Dcproinoui.log -- в разделе Неполадки при установке и удалении Active Directory далее в этой главе.

Журнал Netsetup.log При присоединении компьютера к домену Windows 2000 процедура установки сети (NetSc-tup) устанавливает все необходимые компоненты сети. Файл Netsetup.log содержит сведения о попытках присоединения к доменам и обо всех ошибках, ;

о торые могут быть причинами неудачи операции присоединения. Кроме того, слу жебная программа NetSetup предоставляет средства для установки компонентов сети, непосредственно не поддерживаемых Microsoft и предоставляемых сторонни ми поставщиками.

Подробнее о Netsetup.log - в разделе Проверка подлинности* ранее в этой главе.

Журнал Netlogon.log Служба Net Logon (Сетевой вход в систему) отвечает за обработку запросов на вход в систему по сети. Она динамически создает записи в базе данных DNS, использу емые для поиска контроллера домена.

Файл Netlogon.log создается в процессе работы службы. Подробнее о службе Net Logon Ч в главе 3 Разрешение имен в Active Directory. Подробнее о Netlogon.log - в разделе Особенности архитектуры Active Directory ранее в этой главе.

Журнал Ntfrsapi.log Файл Ntfrsapi.log Ч это текстовый журнал службы репликации файлов (File Rep lication service. FRS), расположенный в папке %SystemRoot %\Dcbug. В этом журна ле регистрируются неполадки репликации, а также события установки или удаления Active Directory, например создания параметров в разделе реестра NTFRS. Подроб нее о службе репликации файлов и файле Ntfrsapi.log Ч в главе 18 книги Распреде ленные системы. Книга 2. Ресурсы Microsoft Windows 2000 (Русская Редакция, 2001) и на Web-странице Web Resource по адресу windows2000/res kit/web resources, ссылка Microsolt Personal Online Support.

Журнал Userenv.log Этот журнал полезен при устранении неполадок профилей пользователей и обработ ки групповой политики. Файл Userenv.log расположен в папке %Sy$temRoot %\Debug, Вот пример содержимого файла userenv.log с сообщением о сбое возвращения стро ки с GUID-идентификатором текутцего пользователя:

Failed to get user guid with 1332.

USERENV(b8.aO) 17:02:31:274 GetUserGuid:

Failed to get user guid with 1332.

USERENV(bS.aO) 17:02:31:584 GetUserGuid:

Failed to get user guid with 1332.

USERENV(bS.aO) 17:02:31:584 GetUserGuid:

USERENV(b8.cc) 17:02:31:715 ProcessGPOs: Starting user Group Policy processing...

USERENV(bB.cc) 17:02:31:765 ProcessGPOs;

User Group Policy has been applied.

USERENV(b8.cO) 18:43:31:980 ProcessGPOs: Starting user Group Policy processing...

USERENV(b8.cO) 18:43:32:030 ProcessGPOs: User Group Policy has been applied.

Неполадки при установке и удалении Active Directory Для установки и удаления Active Directory используется мастер установки Active Directory (Dcpromo). Успех этих операций в значительной мере зависит от выло,' нения определенных условий. К ним относится обеспечение достаточного объема дискового пространства, синхронизация времени, доступность контроллера доме ЧАСТЬ 1 Служба каталогов Active Directory на, конфигурация DNS и разрешения доступа администратора. Кроме того, суще ствуют определенные методы устранения перечисленных далее неполадок установ ки и удаления Active Directory:

Х не удается получить доступ к серверу, с которого выполняется устанонка, веро ятно, по причине отсутствия регистрации DNS-имени;

Х имя домена, в котором проводится проверка подлинности, указано неверно или он недоступен;

Х предоставлено неверное имя пользователя и пароль;

Х неверна конфигурация сервера DNS.

Диагностировать и устранять эти неполадки рекомендуется в определенной после довательности, Х Проверьте журналы в оснастке Event Viewer (Просмотр событий) на всех кон троллерах данного домена на предмет ошибок мастера установки Active Directory.

Подробнее об исследовании сообщений в окне Event Viewer Ч в разделе Сете вые соединения ранее в этой главе.

Х Подождите завершения репликации на всех контроллерах данного домена. Под робнее о диагностировании неполадок репликации Ч в разделе Неполадки реп ликации в этой главе.

Х Проверьте сетевые соединения. Подробнее о диагностировании и устранении неполадок сети Ч в разделе Сетевые соединения ранее в этой главе, Х Проверьте, нет ли конфликта имен. Подробнее о диагностировании и устране нии неполадок разрешения имен Ч в разделе Разрешение имен ранее в этой главе.

Примечание При сбое мастера установки Active Directory (Dcpromo.exe) сначала исследуйте файлы Dcpromojtxlog. Они (Dcpromo.log и Dcpromoui.log), расположен ные в папке %SystemRoot %\debug. Подробнее об исследовании журналов установ ки Active Directory - в разделе Неполадки мастера установки Active Directory в этой главе.

Недостаток дискового пространства Для предупреждения возможных неполадок установки или удаления Active Directory важно обеспечить достаточно пространства на сетевых дисках, на кото рых будут размещены данные дерева каталогов (directory information tree, DIT) и журналы.

Мастер установки Active Directory проверяет наличие свободного дискового про странства: 200 мегабайт для базы данных Active Directory и 50 мегабайт для жур налов транзакций ESENT (extensible storage engine). Объем файла базы данных Active Directory и журналов оценивается средствами служебной программы Dssize.

Он зависит от числа и типа объектов базы данных домена или баз данных леса, если компьютер является сервером глобального каталога.

Синхронизация времени Протокол проверки подлинности Kerberos v5 требует синхронизации времени меж ду контроллерами домена и изолированными серверами с точностью до пяти ми ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory нут. Для синхронизации времени между сервером, роль которого повышается, и контроллером домена используйте команду net time.

Примечание По умолчанию синхронизация времени выполняется автоматически.

Отсутствие одиночных хозяев операций при установке Active Directory Сервер Ч хозяин именования доменов должен быть доступен при присоединении компьютера под управлением Windows 2000 Server к существующему дереву и при создании нового домена.

Примечание Для установки дополнительного контроллера домена доступность хо зяина именования доменов не обязательна.

Для определения доступности этого хозяина используйте оснастки Active Directory Users and Computers (Active Directory Ч пользователи и компьютеры) и Active Directory Domains and Trusts (Active Directory - домены и доверие). Кроме того можно запустить служебную программу Ntdsutil для проверки доступности хозяи на и определения местоположения сервера.

Подробнее о ролях одиночных хозяев операций Ч в главе 7 Управление операци ями одиночного хозяина, Проверка конфигурации DNS Для проверки путей конфигурации DNS перед запуском мастера установки Active Directory выполните в командной строке команду ipconfig /release. В этом случае мастер работает как в случае отсутствия должным образом сконфигурированной DNS, и успешно завершить установку (или удаление) Вам не удастся, пока DNS не будет сконфигурирована корректно. Сымитируйте завершение конфигурации DNS, выполнив в другом процессе команду ipconfig /renew, после чего вернитесь к мас теру установки Active Directory.

Привилегии, необходимые для добавления дополнительного контроллера домена Для установки дополнительного контроллера домена администратор Ч член встро енной группы администраторов [например, Enterprise Admins (Администраторы предприятия) или Domain Admins (Администраторы домена)] на данном контрол лере домена должен обладать привилегией Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям при делегировании).

Это требуется для того, чтобы при установке Active Directory учетная запись ком пьютера была доверенной для делегирования.

Примечание По умолчанию привилегия делегирования предоставлена встроенной группе администраторов.

При установке дополнительного контроллера домена мастер установки Active Directory предоставляет делегирование учетной записи компьютера. Однако в не которых случаях указанная привилегия не предоставлена встроенной группе ад министраторов. В этом случае для продолжения работы мастера установки Active Directory эту неполадку надо устранить посредством механизма конфигурации бе зопасности или вручную.

Служба каталогов Active Directory 446 ЧАСТЬ ^ Предоставление учетной записи компьютера привилегии Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям при делегировании) 1. Откройте оснастку Active Directory Users and Computers (Active Directory пользователи и компьютеры).

2. Щелкните правой кнопкой мыши узел Domain Controllers и в контекстном меню выберите Properties (Свойства). В открывшемся окне свойств перейдите на вкладку Group Policy (Групповая политика).

3. Щелкните Edit (Изменить), чтобы перейти к редактированию политики Default Domain Policy [имя_контроллера_домена] в окне Group Policy (Групповая по литика). В левой панели окна щелкните Computer Configuration (компьютера), В правой панели окна последовательно дважды щелкните каждый из следую щих элементов: Windows Settings (Конфигурация Windows), Security Settings (Параметры безопасности) и Local Policies (Локальные политики), User Rights Assignments (Назначение прав пользователя) и Enable computer and user accounts to be trusted for delegation (Разрешение доверия к учетным записям при деле гировании).

4. Добавьте учетную запись или группу, которая будет использоваться для повы шения роли контроллера домена.

Доступность хозяев операций Для успеха установки Active Directory существуют определенные требования по доступности серверов, обладающих ролями одиночных хозяев операций.

Хозяин именования доменов При установке нового домена в существующем лесе хозяин именования доменов должен быть доступен по протоколу RPC.

Если невозможно обнаружить такого хозяина при установке Active Directory, то генерируется следующее сообщение об ошибке:

То perform the requested operation, the Directory Service needs to contact the Domain Naming Master (server reskit.com). The attempt to contact it failed.

"The RPC server is unavailable" The text message is a Win32 error message indicating why the network operation to reskit.com failed В этом случае рекомендуется проверить:

Х наличие сетевого соединения;

Х доступность хозяина именования доменов;

Х наличие на сервере DNS и корректность записей LDAP для контроллеров кор невого домена;

Х синхронизацию контроллеров корневого домена с точностью до пяти минут;

Х корректность конфигурации IP па контроллерах родительского и дочернего до менов и использование ими одного сервера DNS.

Примечание Для обеспечения корректности функционирования записей DNS очистите кэш DNS командой ipconfig /flushdns.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Уничтожение данных Active Directory после неудачного удаления службы каталогов В процессе удаления Active Directory с контроллера домена мастер установки Active Directory удаляет из Active Directory данные о конфигурации данного кон троллера домена. Эти данные существуют в виде объекта NTDS Settings Ч потомка = объекта сервер (cn=NTDS Settings,cn ,cn=Server$,cn=,cn=Sites,cn=Con{iguration1Ac=). Эти объекты размеще ны в контейнере Sites в оснастке Active Directory Sites and Services (Active Directory - сайты и службы).

Атрибуты объекта NTDS Settings содержат данные о том, как партнеры реплика ции идентифицируют данный контроллер домена, о его разделах каталога, поддер живаемых компьютером, а также сведения о том, является ли он сервером глобаль ного каталога. Объект NTDS Settings Ч это тоже контейнер, способный содержать объекты, указывающие на прямые партнеры репликации данного контроллера до мена. Эти данные требуются для нормальной работы в распределенной среде, од нако объект NTDS Settings уничтожается после удаления Active Directory.

Если объект NTDS Settings не был уничтожен должным образом в процессе удале ния Active Directory, администратор может удалить его вручную средствами слу жебной программы NtdsutiL В следующих разделах детально описано, как это сде лать. Чтобы получить более подробные сведения о вариантах выполнения опера ций служебной программы Ntdstutil, следует использовать команду help для каж дой из них, Внимание! Перед удалением вручную объекта NTDS Settings рекомендуется убе диться в завершении цикла репликации после удаления Active Directory. Неверное использование программы Ntdsutil иногда приводит к частичной или полной поте ре функциональных возможностей Active Directory.

Подробнее о служебной программе Ntdsutil - в справочной системе Windows Support Tools.

Удаление объекта контроллер домена После удаления Active Directory с контроллера домена объект, представляющий сервер в Active Directory в консоли Active Directory Sites and Services (Active Directory Ч сайты и службы), не уничтожается.

Причина в том, что объект Хлсервер это контейнер, способный содержать дочер ние объекты, представляющие данные конфигурации других служб", устаноиленн,ix на данном компьютере. Вот почему мастер не уничтожает объект-сервер автомати чески.

Внимание! Если у объекта сервер есть какие-либо дочерние объекты с именем NTDS Settings, они представляют данный сервер в качестве контроллера домена и должны удаляться автоматически в процессе удаления Active Directory. Если они не уничтожены автоматически или если удалить Active Directory не удалось (па пример, на компьютере с неисправными устройствами), их следует устранить сред ствами служебной программы Ntdsutil до удаления объекта сервер.

Служба каталогов Active Directory 448 ЧАСТЬ ^ Удаление объекта ^контроллер домена 1. В оснастке Active Directory Sites and Services (Active Directory - сайты и служ бы) откройте двойным щелчком мыши контейнер Sites и затем таким же обра зом разверните требуемый объект сайта (сайт, в котором расположен данный сервер).

2. Дважды щелкните контейнер Servers, щелкните правой кнопкой мыши объект сервер и в контекстном меню выберите Delete (Удалить).

3. Подтвердите выполнение удаления, щелкнув Yes (Да) в открывшемся диалого вом окне.

Примечание Существуют некоторые условия, при которых данную операцию вы полнить не удается:

Х сообщение о том, что сервер является контейнером, содержащим другие объек ты, свидетельствует о том, что Вы не остановили соответствующие службы.

Х сообщение о невозможности удалить объект NTDS Settings свидетельствует о попытке удалить активный контроллер домена. Однако это сообщение появля ется только тогда, когда объект NTDS Settings представляет компьютер, кото рый Вы пытаетесь удалить, в противном случае удаление произойдет без каких либо комментариев.

Объект сервер в консоли Active Directory Sites and Services (Active Directory сайты и службы) удаляется без проблем после остановки служб и при отсутствии дочерних объектов.

Подробнее о служебной программе Nrdsutil - в справочной системе Windows Support Tools и в приложении В Ntdsuti1.exe Ч служебная программа диагностики Active Directory*.

Неполадки мастера установки Active Directory Повышая роль компьютера до контроллера домена, мастер установки Active Directory автоматически создает свой собственный журнал - Dcpromoui.log. Мастер прове ряет следующее:

Х платформу, в том числе роль компьютера (изолированный клиент, рабочая стан ция в домене, изолированный сервер, рядовой сервер, основной или резервный контроллер);

Х номер версии операционной системы;

Х возможность изменения роли компьютера. Если это сделать не удается, пользо ватель получает сообщение об ошибке, в противном случае возвращается значе ние 0;

Х наличие хотя бы одного логического диска с NTFS версии 5. Пользователь по лучает сообщение об ошибке, если такой диск найти не удается;

Х наличие у пользователя полномочий члена группы Administrators (Админист раторы).

В журнале регистрируются все важные вызовы функций API вместе с передавае мыми параметрами и возвращенными кодами ошибки. Например:

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА dcpromoui t: 0x260 00325 Calling NetValidateName dcpromoui t: 0x260 00326 IpServer : (null) dcpromoui t: 0x260 00327 IpName : : server.reskit.com dcpromoui t: 0x260 00326 IpAccount : (null) dcpromoui t:0x260 00329 : (null) IpPassword dcpromoui t: 0x260 00330 NameType : NetSetupNonExistentDomain dcpromoui t: 0x260 00331 Error 0x0 (!0 => error) Обычно это коды ошибок Win32. Подробнее о причинах отдельных ошибок в раз ных API - на Web-странице Web Resources по адресу windows2000/reskit/webresources, ссылка Microsoft Platform SDK. Обратите внима ние, что не все коды ошибки указывают на сбой. В некоторых случаях ошибка ожи даема, как в следующем примере:

dcpromoui t:0x260 00311 Calling DsGetDcName dcpromoui t:0x260 00312 ComputerName : (null) dcpromoui t:0x260 00313 DomainName : server.reskit.com dcpromoui t:0x260 00314 DomainGuid : (null) dcpromoui t:0x260 00315 SiteGuid : (null) dcpromoui t:0x260 00316 Flags : 0x Error Qx54B (!0 => error) dcpromoui t:0x260 dcpromoui t:0x260 00318 Trying again w/ rediscovery Error Qx54B (!Q => error) dcpromoui t:0x260 Здесь ошибка Ox54b (ERROR_NO_SUCH_DOMAIN) о поиске домена возвращена двумя вызовами функции DsGetDcName. Это положительный результат, подтвер ждающий, что создаваемый домен в данном контексте еще не существует.

Большинство ошибок появляются в процессе смены ролей, поскольку в этой ситу ации происходит огромное количество взаимозависимых операций, таких, как раз решение имен DNS или создание связей с объектами, проходящими проверку под линности по протоколу Kerberosv5. Мастер установки Active Directory регистри рует эти ошибки. Сведения об ошибках, возвращаемые функциями API, делятся на две категории:

Х сведения об операции, выполняемой при возникновении сбоя;

Х текст ошибки Win32, выводимый в процессе данной операции.

Например:

The Directory Service failed to create the object CN=Test,CN=Partitions,CN=Configuration,DC=server1,DC=reskit,DC=com. Please check the event log for possible system errors.

The operation failed because:

The directory cannot validate the proposed directory partition name because it does not hold a replica of the directory partition above the proposed directory partition.

В этом примере процесс повышения роли пытался создать в разделе каталога объект перекрестной ссылки для нового домена, но операция претерпевает неудй чу, так как Active Directory не в состоянии проверить правильность указанного до менного имени. Причина заключается в том, что домен-<шнук устанавливался до репликации на-сервер глобального каталога дочернего домена. Решение заключа ется в принудительной репликации сведений о дочке на сервер глобального ка талога, дабы проверка правильности имен прошла успешно.

Обычно неполадки обусловлены работой сетевых соединений. Первая часть кода ошибки (то есть сведения о выполняемой операции) помогает локализовать сбои, ЧАСТЬ 1 Служба каталогов Active Directory например сообщение can't open LDAP connection (не удается создать соединение LDAP). Вторая часть кода ошибки и текст помогает понять причину сбоя, напри мер unable to authenticate (не удается проверить подлинность).

Подробнее об объектах перекрестных ссылок - в главе 3 Разрешение имен в Active Directory.

Исследование файла Dcpromo.log В Dcpronioui.log регистрируются все события графического интерфейса, a R Dcpromo.log - события создания и удаления Active Directory, деревьев SYS VOL, a также установки, обновления и удаления основных служб.

Подробнее об установке и удалении Active Directory и причинах регистрации этих событий - в главе 2 Хранение данных в Active Directory, Формат записей в файле Dcpromo.log Обычно строки в Dcpromo.log имеют следующий вид:

<метка.времени> : <олисание_олерации>: <код_состояниявшестнадцатеричном_формате> Например:

08/11 14:08:29 Request for promotion returning Описание операции повышения роли обычно самодостаточно. Код состояния Ч это обычно NET_AP1 _STATUS или код ошибки Win32. Код 0x0 информирует об ус пехе, а любой другой код - об ошибке.

Исследование журнала Dcpromo.log установки дочернего домена На стадии сбора информации в Dcpromo.log фиксируются события, указывающие на DNS-имя и NetBIOS-имя домена, имя сайта и местоположение системного тома.

08/16 16:21:07 [INFO] Promotion request for domain controller of new domain 08/16 16:21:07 [INFO] DnsDomainName user.reskit.com 08/16 16:21:07 [INFO] FlatDomainName USERO 08/16 16:21:07 [INFO] SiteName (NULL) 08/16 16:21:07 [INFO] SystemVolumeRootPath C:\WINNT\SYSVOL 08/16 16:21:07 [INFO] DsDatabasePath C:\WINNT\NTDS, DsLogPath C:\WINNT\NTDS 08/16 16:21:07 [INFO] ParentDnsDomainName reskit.com 08/16 16:21:07 [INFO] ParentServer (NULL) 08/16 16:21:07 [INFO] Account reskit\administrator 08/16 16:21:07 [INFO] Options Проверка пути к файлу Ntds.dit и местоположения SYS VOL на жестком диске на томе NTFS v5:

08/16 16:21:07 [INFO] Validate supplied paths 08/16 16:21:07 [INFO] Validating path C:\WINNT\NTDS.

08/16 16:21:07 [INFO] Path is a directory 08/16 16:21:07 [INFO] Path is on a fixed disk drive.

08/16 16:21:07 [INFO] Validating path C:\WINNT\NTDS.

08/16 16:21:07 [INFO] Path is a directory 08/16 16:21:07 [INFO] Path is on a fixed disk drive, 08/16 16:21:07 [INFO] Validating path C:\WINNT\SYSVOl_.

08/16 16:21:07 [INFO] Path is on a fixed disk drive.

08/16 16:21:07 [INFO] Path is on an NTFS volume Проверка уникальности имени:

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory 08/16 16:21:07 [INFO] Child domain creation - check the new domain name is child of parent domain name.

08/16 16:21:07 [INFO] Domain Creation - check that the flat name is unique, Определение сайта для размещения контроллера домена и определение, с какого контроллера проводить репликацию:

08/16 16:21:22 [INFO] Start the worker task 08/16 16:21:23 [INFO] Request for promotion returning 08/16 16:21:23 [INFO] No source DC or no site name specified. Searching for dc in domain reskit.com: ( DS_REQUIRED | WRITABLE } 08/16 16:21:23 [INFO] Searching for a domain controller for the domain reskit.com 08/16 16:21:23 [INFO] Located domain controller reskit.com for domain (null) 08/16 16:21:23 [INFO] No user specified source DC 08/16 16:21:23 [INFO] No user specified site 08/16 16:21:23 [INFO] Using site Default-First-Site-Name for server reskit.com Принудительная синхронизация времени для выполнения проверки подлинности Kerberos v5:

08/16 16:21:23 [INFO] Forcing a time synch with \\MARAK, reskit.com 08/16 16:21:17 [INFO] Reading domain policy from the domain controller \\MARAK.reskit.com 08/16 16:21:17 [INFO] Stopping service NETLOGON 08/16 16:21:17 [INFO] Stopping service NETLOGON 08/16 16:21:17 [INFO] Configuring service NETLOGON to 1 returned Подготовка SYS VOL:

08/16 16:21:17 [INFO] Creating the System Volume C:\WINNT\SYSVOL 08/16 16:21:17 [INFO] Deleting current sysvol path C:\WINNT\SYSVOL 08/16 16:21:22 [INFO] Preparing for system volume replication using root C:\WINNT\SYSVOL Проверка возможности присоединения компьютера к существующему лесу. Если лес уже существует, посылается запрос хозяину именования доменов о допустимо сти нового доменного имени.

08/16 16:21:22 [INFO] Copying initial Directory Service database file C:\WINNT\system32\ntds.dit to C:\WINNT\NTDS\ntds.dit 08/16 16:21:28 [INFO] Installing the Directory Service 08/16 16:21:28 [INFO] Calling Ntdslnstall for user.reskit.com 08/16 16:21:28 [INFO] Starting the Directory Service installation 08/16 16:21:28 [INFO] Validating user supplied options 08/16 16:21:28 [INFO] Determining local site to enter 08/16 16:21:28 [INFO] Examining existing Enterprise Directory Service 08/16 16:21:30 [INFO] Configuring the local server to host the Directory Service Репликация данных леса:

08/16 16:22:05 [INFO] Replicating the Directory Service schema container 08/16 16:22:09 [INFO] Replicating CN=Schema,CN=Configuration,DC=reskit,DC=com:

received 100 out of 1002 objects.

08/16 16:22:11 [INFO] Replicating CN=Schema,CN=Configuration,DC=reskit,DC=com:

received 199 out of 1002 objects.

08/16 16:22:13 [INFO] Replicating CN=Schema,CN=Configuration,DC=reskit,DC=com:

received 298 out of 1002 objects.

CN=Schema,CN=Configuration,DC=reskit,DC=com: received 1002 out of 1002 objects.

08/16 16:22:31 [INFO] Replicating the Directory Service configuration container 08/16 16:22:33 [INFO] Replicating CN=Configuration,DC=reskit,DC=com: received 99 out Служба каталогов Active Directory 452 ЧАСТЬ of 1236 objects.

08/16 16:22:35 [INFO] Replicating CN=Configuration,DC=reskit, DC=com: received 145 out of 1236 objects.

D 08/16 16:22:53 [INFO] Replicating CN=Configuration,DOreskit, DC=com: received out of 1236 objects.

Создание нового домена:

08/16 16:22:54 [INFO] Creating Partition: DC=user,DC=resklt,DC=com;

12 objects remaining.

08/16 16:22:54 [INFO] Creating Partition: DC=user,DC=reskit,DC=com;

11 objects remaining.

08/16 16:22:54 [INFO] Creating Partition: DC=user,DC=reskit,DC=com;

10 objects remaining.

08/16 16:22:55 [INFO] Creating Partition: DC=user,DC=reskit,DC=com;

0 objects remaining.

Перемещение текущих пользователей и групп из реестра в Active Directory:

08/16 16:22:57 [INFO] Creating new domain security principals 08/16 16:23:00 [INFO] The Directory Service install is completing 08/16 16:23:02 [INFO] Ntdslnstall for user.reskit.com returned 08/16 16:23:02 [INFO] DsRolepInstallDs returned Настройка политики локального LSA (Local Security Authority Ч администратор локальной безопасности), ответственного за хранение раздела домена:

08/16 16:23:02 [INFO] Setting AccountDomainlnfo to:

08/16 16:23:02 [INFO] Domain: USERO 08/16 16:23:02 [INFO] Sid: S-1-5-21-776561741-789336058- Настройка служб домена и контроллера домена на автоматический запуск при пе резагрузке компьютера:

08/16 16:23:03 [INFO] Configuring service w32time 08/16 16:23:04 [INFO] Configuring service w32time to 16 returned 08/16 16:23:04 [INFO] Configuring service NETLOGON 08/16 16:23:05 [INFO] Configuring service NETLOGON to 16 returned 08/16 16:23:05 [INFO] DsRolepSetRegStringValue on SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\Auth2 to RASSFH returned 09/16 16:23:05 [INFO] Configuring service RPCLOCATOR 08/16 16:23:06 [INFO] Configuring service RPCLOCATOR to 16 returned 08/16 16:23:06 [INFO] Configuring service IsmServ 08/16 16:23:06 [INFO] Configuring service IsmServ to 16 returned 08/16 16:23:06 [INFO] Configuring service kdc 08/16 16:23:07 [INFO] Configuring service kdc to 16 returned 08/16 16:23:07 [INFO] Configuring service TrkSvr 08/16 16:23:08 [INFO] Configuring service TrkSvr to 16 returned 08/16 16:23:08 [INFO] Configuring service NETLOGON 08/16 16:23:08 [INFO] Configuring service NETLOGON to 144 returned Создание доверительных отношений с родительским доменом:

08/16 16:23:08 [INFO] Setting the LSA policy information 08/16 16:23:08 [INFO] Setting the LSA policy information from policy \\HARAK.reskit.com 08/16 16:23:08 [INFO] Creating a parent trust relationship on domain reskit.com 08/16 16:23:08 [INFO] Creating trusted domain object on parent 08/16 16:23:08 [INFO] DnsOomain: user.reskit.com Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 08/16 16:23:08 [INFO] Flat name: USERC 08/16 16:23:08 [INFO] Direction: 08/16 16:23:08 [INFO] Type: 08/16 16:23:08 [INFO] Attributes: 0x 08/16 16:23:09 [INFO] Creating a trust relationship with domain user.reskit.com 08/16 16:23:09 [INFO] Creating trusted domain object on child 08/16 16:23:09 [INFO] DnsDomain: reskit.com 08/16 16:23:09 [INFO] Flat name: RESKIT 08/16 16:23:09 [INFO] Direction;

08/16 16:23:09 [INFO] Type;

08/16 16:23:09 [INFO] Attributes: 0x 08/16 16:23:14 [INFO] Setting the computer's Dns computer name root to user.reskit.com Установка списков ACL для системного реестра и файлов для контроллера домена:

08/16 16:23:23 [INFO] Setting security on the domain controller and Directory Service files and registry keys 08/16 16:23:27 [INFO] Securing users\.default 08/16 16:23:27 [INFO] Securing users\.default\software\microsoft\netdde 08/16 16:23:27 [INFO] Securing users\.default\software\microsoft\protected storage system provider 08/16 16:23:27 [INFO] Securing machine\software 08/16 16:23:28 [INFO] Securing machine\software\classes 08/16 16:23:49 [INFO] Securing machine\software\microsoft\cominand processor 08/16 16:23:49 [INFO] Securing machine\software\microsoft\cryptography 08/16 16:23:49 [INFO] Securing machine\software\microsoft\driver signing 08/16 16:23:49 [INFO] Securing macnine\software\microsoft\enterprisecertificates 08/16 16:23:49 [INFO] Securing machine\software\microsoft\netdde 08/16 16:23:49 [INFO] Securing machine\software\microsoft\non-driver signing 08/16 16:23:49 [INFO] Securing machine\software\microsoft\ntds 08/16 16:23:49 [INFO] Securing machine\software\microsoft\ole 08/16 16:23:49 [INFO] Securing machine\software\microsoft\protected storage system provider 08/16 16:23:49 [INFO] Securing machine\software\microsoft\rpc 08/16 16:23:49 [INFO] Securing machine\software\microsoft\systemcertificates 08/16 16:23:50 [INFO] Securing machine\software\microsoft\windows\currentversion\explorer 08/16 16:23:50 [INFO] Securing fnachine\software\microsoft\windows\currentversion\group policy 08/16 16:23:50 [INFO] Securing fnachine\software\microsoft\wlndows\currentversion\installer 08/16 16:23:50 [INFO] Securing machine\software\microsoft\wlndows\currentversion\policies 08/16 16:23:50 [INFO] Securing machine\software\microsoft\windows\currentversion\run 08/16 16:23:50 [INFO] Securing machine\software\inicrosoft \windows\currentversion\runonce 08/16 16:23:50 [INFO] Securing machine\software\microsoft\windows\currentversion\runonceex 08/16 16:23:50 [INFO] Securing machine\software\rnicrosoft\windows\currentversion\uninstall 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\accessibility 08/16 16:23:50 [INFO] Securing macnine\software\microsoft\Windows NAcurrentversion\aedebug 454 ЧАСТЬ 1 Служба каталогов Active Directory 08/16 16:23:50 [INTO] Securing machine\software\microsoft\Windows NT\currentversion\asrcommands 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\classes 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\drivers 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\i3fs 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\font drivers 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\cu rrentversion\fontmappe r 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\image file execution options 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\inifilemapping 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\perflib 08/16 16:23:50 [INFO] Securing machine\software\tnicrosoft\Windows HT\currentversion\perflib\ 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\profilelist 08/16 16:23:50 [INFO] Securing rnachine\software\microsoft\Windows NT\currentversion\secedit 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\svchost 08/16 16:23:50 [INFO] Securing machine\software\microsoft\Windows NT\currentversion\time zones OB/16 16:23:50 [INFO] Securing machine\software\microsoft\Wlndows NT\currentversion\windows 08/16 16:23:50 [INFO] Securing rnachine\software\policies 08/16 16:23:50 [INFO] Securing machinery stem :

08/16 16:24:31 [INFO] Securing c:\winnt\ntds 08/16 16:24:31 [INFO] Securing c:\wlnnt\profiles 08/16 16:24:31 [INFO] Securing c:\winnt\repair 08/16 16:24:31 [INFO] Securing c:\winnt\security 08/16 16:24:31 [INFO] Securing c:\wlnnt\system 08/16 16:24:40 [INFO] Securing c:\winnt\system32\autoexec.nt 08/16 16:24:40 [INFO] Securing c:\winnt\system32\cmos.rarn 08/16 16:24:40 [INFO] Securing c:\winnt\system32\config 08/16 16:24:41 [INFO] Securing c:\winnt\system32\config.nt 08/16 16:24:41 [INFO] Securing c:\winnt\system32\dhcp 08/16 16:24:41 [INFO] Securing c:\winnt\system32\dllcache 08/16 16:24:51 [INFO] Securing c:\winnt\system32\grouppolicy 08/16 16:24:51 [INFO] Securing c:\winnt\systeiti32\hpmon.dll 08/16 16:24:51 [INFO] Securing c:\winnt\system32\hpmon.hlp 08/16 16:24:51 [INFO] Securing c:\winnt\system32\ias 08/16 16:24:51 [INFO] Securing c:\winnt\system32\midimap.cfg 08/16 16:24:51 [INFO] Securing c:\winnt\system32\ntmsdata 08/16 16:24:51 [INFO] Securing c:\winnt\system32\spool 08/16 16:24:51 [INFO] Securing c:\winnt\sysvol 08/16 16:24:51 [INFO] Securing c:\winnt\sysvol\domain\policies 08/16 16:24:52 [INFO] Securing c:\winnt\tasks 08/16 16:24:52 [INFO] Securing c:\winnt\temp 08/16 16:24:52 [INFO] Securing LanNanServer ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory 08/16 16:24:57 [INFO] SetProductType to 2 [LanmanNT] returned 08/16 16:24:57 [INFO] The attempted domain controller operation has completed Сведения об успешном (или неудачном) завершении работы мастера установки Active Directory:

08/16 16:24:58 [INFO] DsRolepSetOperationDone returned Подробнее об установке и удалении Active Directory - и главе 2 Хранение дан ных в Active Directory. Подробнее об объектах перекрестных ссылок - в главе Разрешение имей в Active Directory.

Неполадки базы данных Если контроллер домена не в состоянии корректно завершить работу (обычно из за сбоя в питании), база данных остается устаревшей, так как самые свежие стра ницы из памяти не записываются на диск. Для восстановления базы данных ис пользуются журналы транзакций. Любое изменение в базе данных также фиксиру ется в этом журнале, дисковый образ которого немедленно обновляется при изме нении журнала. База данных модифицируется в следующей последовательности:

1. Lsass.exe записывает изменение в страницу базы данных в буфере памяти;

2. Lsass.exe записывает изменение в журнал;

3. Lsass.exe ожидает сброса журнала на диск;

4. после сброса Lsass.exe подтверждает и фиксирует транзакцию.

Если при останове Active Directory база данных не была сохранена на диске, при следующем запуске выполняется процедура восстановления. По существу, база дан ных приводится в непротиворечивое и обновленное состояние посредством считы вания записей журналов но порядку и повторного внесения обновлений.

Имя журнала по умолчании) Ч Edb.log. KSE (Extensible Storage Engine), ядро базы данных, может создавать новые журналы после заполнения текущего \некруговой (non-circular) метод ведения журнала] или перезаписывать самый старый файл, когда число файлов журнала превышает определенное значение [круговой (circular) метод ведения журнала |. В первом случае объем журнала непрерывно растет, пока администратор вручную не удалит старые файлы журнала после архивирования или перезапуска. Некруговой метод позволяет сохранять все изменения базы данных, при этом журналы никогда автоматически не удаляются.

Примечание По умолчанию в Windows 2000 применяется круговое ведение журналов, Папка обычно содержит следующие файлы:

Х Edbxcnx.log;

Х Edb.chk;

Х Rt'sl.log;

Х Res2.log.

Объем каждого из файлов с расширением.log равен точно 10 Мб. Edb.log - эта текущий журнал. Когда круговой метод отключен, после заполнения файла Edb.log он переименовывается в Edb00001.log и создается новый файл с именем Edb.log. В дальнейшем файлы нумеруются числами в шестнадцатиричной системе Таким образом состояние журналов можно определить, проверив наличие всех по следовательно пронумерованных файлов.

Служба каталогов Active Directory 456 ЧАСТЬ Файлы Resl.bg и Res2.log - это заполнители (placeholders), предназначенные для резервирования (в рассматриваемом случае) последних 20 Мб дискового про странства на данном диске или в каталоге. Они предоставляют журналам резерв ное пространство для корректного завершения в случае заполнения дискового про странства. Обратите внимание, что при круговом методе ведения журналов вопрос о нехватке дискового пространства вообще не возникает.

Файл контрольной точки, Edb.chk, создается базой данных Jet. Он сохраняет конт рольную точку базы данных, позволяя при необходимости воспроизвести операции, начиная с контрольной точки. Файл Edb.chk Ч это указатель последовательности записей, поддерживающий сведения о соответствии информации в памяти и в фай ле базы данных на диске. В случае сбоя он указывает на точку в журнале, с кото рой следует начать восстановление. Файл Edb.chk чрезвычайно важен для быстро го восстановления: если его нет, база данных должна начинать восстановление с начала самого старого журнала на диске и просмотреть все страницы во всех жур налах, определяя, какие изменения уже внесены в базу данных. Конечно же, этот процесс занимает много времени, особенно если единственная цель - обеспечить непротиворечивость базы данных.

Каждый раз при открытии базы данных проверяется ее соответствие с контрольной точкой. Например, проверяется, был ли сбой базы данных перед перемещением кон трольной точки? Если база данных не обновлена, повторно выполняются операции, зарегистрированные в журналах с места, на которое указывает файл контрольной точки. Несмотря на то, что механизмы регистрации событий и восстановления Jet позволяют восстанавливать базу данных без контрольной точки, она обеспечивает более быстрое восстановление, ограничивая до минимума число операций, которые требуется выполнить повторно.

Edb.chk обновляется автоматически ядром Jet при превышении определенного кри тического числа изменений в журналах, не перенесенных до контрольной точки.

Этот файл также обновляется в конце процесса восстановления, а также при ус пешном завершении работы и закрытии базы данных.

Примечание Ограничения режима восстановления службу.! каталога относятся только к функциям, непосредственно работающим с базой данных.

Подробнее об работе базы данных Active Directory Ч в главе 2 Хранение данных в Active Directory.

Целостность файлов базы данных Для обеспечения целостности файлов базы данных следует проводить такие про филактические процедуры, как проверка целостности, перемещение, коррекция, восстановлен и е и дефрагментация.

Использование команды integrity для проверки низкоуровневой целостности базы данных Команда integrity из состава команд служебной программы Ntdsutil служит для об наружения низкоуровневых (уровень двоичного кода) искажений базы данных, Команда integrity вызывает служебную программу командной строки esentutl, ко торая побайтово считывает файл данных. Обработка файлов больших размеров иногда требует много времени.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Команда integrity также проверяет корректность существуюпщх заголовков в базе данных, а также доступность и непротиворечивость всех таблиц. Короче говоря, она проверяет целостность файлов данных службы каталогов. Такая проверка прово дится в режиме Directory Service Restore (Восстановление службы каталогов).

Ошибки регистрируются в журналах.

Время работы команды integrity зависит от используемого оборудования и разме ра базы данных каталога. (Для тестовых баз данных скорость 2 Гб в час считалась удовлетворительной.) При выполнении этой команды программа отображает про цесс выполнения и процент обработанных данных.

Внимание! Выполнение служебной программы Ntdsutil и последующий запуск ко манды integrity должны осуществляться в режиме Directory Services Restore (Вос становление службы каталогов).

Вот пример протокола проверки целостности средствами Ntdsutil (команды, вво димые с клавиатуры, выделены курсивом):

ntdsutil ntdsutil: files file maintenance: Integrity Opening database.

Executing Command: C:\WINNT\System32\esentutl.exe /g "C:\WINNT\NTDS\ntds.dit" /" 10240 /8 /v /x /o Initiating INTEGRITY mode...

Database: C:\WINNT\NTDS\ntds.dit Temp. Database: INTEG.EDB failed to get 515126 buffers checking database header checking database integrity Scanning Status ( X complete ) 10 20 30 40 50 60 70 80 90 I--I ЧI ЧIH--I Чh-l-l Чl-l checking SystemRoot SystemRoot (OE) SystemRoot (AE) checking system table MSysObjectsShadow MSysObjects Name RootObjects rebuilding and comparing indexes checking table "datatable" (6) checking data checking long value tree (24) checking index "Phantomlndex" (125) checking index "INDEX_000901FD" (122) checking index "INDEX_000900DE" (121) checking index "INDEX_00090089" (120) checking index "INDEX_00090573" (119) checking index "INDEX_00090073" (118) checking index "ШЕХ_0009057Г (117) checking index "INDEXJ)009056C" (116) checking index "INDEX_00090553" (115) checking index "INDEX J)009013A" (114) Служба каталогов Active Directory 45В ЧАСТЬ checking index "INDEX_00090138" (113) "INOEX_00090330" (112) checking index "INDEX J)0090030" (111) checking index checking index "INDEX_00090013" (110) checking index "INDEXJ)0000013" (109) checking index "ШЕХ.ОООООООВ" (108) "INDEX_Q0000007" (107) checking index checking index "INDEXJD0000003" (106) checking index "INQEX_Q01 50003" (105) checking Index "LCL_ABVIEW,index00000409" (104) checking index "INDEX_OOQ90363" (103) checking index "INDEX_0009Q303" (102) checking index "INDEX_00090290" (101) checking index "INDEX_0009Q1FF" (100) checking index "INDEX_000900DD" (99) checking index "INDEX_00090085" ( 89) checking index "INDEX_00090057" (97) checking index "INDEX J)009001C" (96) checking index "INDEX.OOOaOICC (95) checking index "INDEX_000200D2" (94) checking index "INDEX_fjrj02000D" (93) checking index "INDEX_0000002A" ( 29) checking index "INDEXJ)0000004" (91) checking index "NC_Acc_Type_Narne " (90) "PDNT_index" (89) checking index checking index "INDEX J)0090001 (88) checking index (85) 'ХINDEXJ)G0901F6" checking index "INDEX_000902EE" (84) checking index "INDEX J300904E1" (83) checking index ХINDEXJ)00201D5" (80) checking index " INDEX J00902BB" ( 7) checking index INDEX J300903B4" (76) checking index "iNDEXJXJOaOOAg11 ( 7) checking index " INDEX JW09039D" (74) checking index ( 7) "INDEX_0009039A" checking index (72) "INDEX^00090098" checking index (71) "INDEX_00090395" checking index (69) "INDEX_0009028F" checking index "INDEXJ30090582" (66) checking index (65) "INDEX,00020078" checking index (62) "INDEX_00020073" checking index "INDEX_00090171" (60) checking index "INDEX_00090167" (58) checking index ( 5) "ШЕХ_00090062" checking index "INDEX_00090261" (55) checking index ( 5) "INDEX_0009014E" checking index (51) "INDEX_0009014D" checking index ( 5) "INDEX_0009014C" checking index "INDEX_00090147" (49) checking index "INDEX_00090141" ( 4) checking index (47) "INDEXI00090140" checking index (42) "INDEX_0009012E" checking index (39) "IMDEX_00020013" checking index (36) "INDEX_OOQ9030E" checking index (32) "INDEX_00090008" checking index (25) "INDEX_00090202" Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 checking index "Ancestors_index" (13) checking index "DRAJJSN_CHEATED_index" (12) checking index "DRA_USN_index" (11) checking index "del_index" (10) checking index "'INDEXJW090002" (9] checking index "NCLAcc_Type_Sid" (8) checking index "INDEX_00090092" (7) rebuilding and comparing indexes checking table "hiddentable" (16) checking data rebuilding and comparing indexes checking table "link_table" (14) checking data checking index "backlink_index" (15) rebuilding and comparing indexes checking table "MSysDefragV (123) checking data checking index "TablesToDefrag" (124) rebuilding and comparing indexes checking table "sdproptable" (17) checking data checking index "clientid_index" (19) checking index "trim_index" (18) rebuilding and comparing indexes integrity check completed.

Operation completed successfully in 13.640 seconds.

Spawned Process Exit code 0x0(0) If integrity was successful, it is recommended you run semantic database analysis to insure semantic database consistency as well.

Обнаружение местоположения файлов базы данных и журналов Чтобы найти файлы данных, журнал и рабочий каталог, можно воспользоваться командой info, входящей в состав служебной программы командной строки Ntdsui il.

Эта команда:

Х анализирует и информирует о свободном пространстве на всех дисках, установ ленных на компьютере;

Х считывает параметры реестра, информирующих о местоположении файлов Active Directory, и отображает эти сведения;

Х сообщает о размерах файла данных, рабочего каталога и журнала;

Х вот стандартный протокол работы команды info (команды, вводимые с клавиа туры, выделены курсивом):

file maintenance: Info Drive Information:

C:\ NTFS (Fixed Drive ) free(2.9 Gb) total(3.9 Gb) DS Path Information:

Database : C:\WINNT\NTDS\ntds.dit - 12.1 Mb Backup dir : C:\WINNT\NTDS\dsadata.bak Working dir : C:\WINNT\NTOS ЧАСТЬ 1 Служба каталогов Active Directory : C:\WINNT\NTDS - 40.0 Mb total Log dir res2.log - 10.0 Mb real.loo - Ю.О Mb REPAIR.TXT - 0.0 Kb edb00001.log - 10,0 Mb edb.log - 10.0 Mb Перемещение базы данных Для перемещения базы данных с одного места диска в другое используется служеб ная программа командной строки Ntdsutil в режиме Directory Services Restore (Вос становление службы каталогов). Например, перемещение журнала или файла Ntds.dit на другой диск необходимо при возникновении неполадок на выделенном ранее диске или каталоге. В частности, команда move db to %$ перемещает файл данных Ntds.dit в новый каталог, указанный в параметре %s, и обновляет параметры реест ра, переопределяя стандартное положение этого файла, используемое службой ка талогов.

^ Порядок перемещения базы данных Active Directory 1. Заархивируйте Active Directory. Механизм архивирования в Windows 2000 под держивает архивирование Active Directory в подключенном состоянии. Это про исходит автоматически при выборе варианта архивирования всех данных на компьютере или только данных состояния системы в Backup Wizard (Мастер архивации и восстановления Windows 2000).

2. Перезапустите контроллер домена и в меню загрузки нажмите F8, чтобы перей ти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000).

3. Выберите Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter. Чтобы запустить процесс загрузки, снова нажмите Enter.

4. Войдите в систему под учетной записью Administrator (Администратор), исполь зуя пароль, заданный для локальной учетной записи Administrator в автоном ном SAM.

5. В меню Start (Пуск) последовательно выберите Programs (Программы), Acces sories (Стандартные) и затем щелкните Command Prompt (Командная строка).

6. В окне командной строки введите ntdsutil и нажмите Enter.

7. Введите files и нажмите Enter.

8. Введите info и нажмите Enter. Программа предоставит текущие сведения о пути и размере базы данных Active Directory и ее журналов. Запомните этот путь.

9. Выберите диск, где дискового пространства достаточно, чтобы разместить фай лы базы данных.

10. Введите следующую командную строку и нажмите Enter:

move DB to <дис!О:\<каталог>, где <диск> и <католог> Ч путь к месту, выбранному в предыдущем пункте.

Примечание Обязательно следует определить путь к каталогу. Если он содержит про белы, его следует заключать в кавычки (например, move DB to "с:\Новая Папка").

База данных Ntds.dit будет перемещена в указанное место, ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory 11. Введите quit и нажмите Enter. Выполните команду quit повторно, чтобы возвра титься в командную строку.

Примечание Настоятельно рекомендуется немедленно создать резервную копию, иначе процедура восстановления не сможет найти файлы в новом месте.

12. Перезапустите компьютер в обычном режиме.

Таким же образом можно перемещать журналы. Команда Move logs to %s, где %s - новое местоположение, перемещает файлы журналов и обновляет реестр, чтобы при следующем запуске служба каталогов искала их в новом месте.

Дефрагментация в автономном режиме Active Directory автоматически выполняет дефрагментацию базы данных в подклю ченном состоянии с определенной периодичностью (по умолчанию Ч каждые 12 ча сов). Эта операция выполняется процессом сбора мусора*. Дефрагментация в под ключенном состоянии не уменьшает размер файла базы данных (Ntds.dit), а только оптимизирует хранение информации в базе данных и освобождает пространство для новых объектов. Автономная дефрагментация сжимает файл базы данных. Степень сжатия зависит от уровня фрагментированости исходного файла базы данных.

^ Дефрагментация базы данных Active Directory в автономном режиме 1. Заархивируйте Active Directory. Механизм архивирования в Windows 2000 под держивает архивирование Active Directory в подключенном состоянии. Это про исходит автоматически при выборе варианта архивирования всех данных на ком пьютере или только состояния системы в Backup Wizard (Мастер архивации и восстановления Windows 2000).

2. Перезапустите контроллер домена и в меню загрузки нажмите F8, чтобы перей ти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000).

3. Выберите Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter. Чтобы запустить процесс загрузки, снова нажмите Enter.

4. Войдите в систему под учетной записью Administrator (Администратор), исполь зуя пароль, заданный для локальной учетной записи Administrator в автоном ном SAM.

5. В меню Start (Пуск) последовательно выберите Programs (Программы), Ac cessories (Стандартные) и затем щелкните Command Prompt (Командная строка).

6. В окне командной строки введите ntdsutil и нажмите Enter.

7. Введите files и нажмите Enter.

8. Введите info и нажмите Enter. Программа предоставит текущие сведения о пути и размере базы данных Active Directory и ее журналов. Запомните этот путь.

9. Выберите диск, где достаточно места, чтобы разместить файл уплотненной базы данных.

10. Введите следующую командную строку и нажмите Enter:

compact to <диск>:\<каталоГ> где <()иск> и <католог> Ч путь к месту, выбранному в предыдущем пункте.

Служба каталогов Active Directory 462 ЧАСТЬ Примечание Обязательно следует определить путь к каталогу. Если путь содер жит пробелы, его следует заключать в кавычки (например, move DB to "c:\Ho вая Папка").

Новая база данных по имени Ntds.dit будет создана в указанном месте.

11. Введите quit и нажмите Enter. Выполните команду quit повторно, чтобы возвра титься в командную строку.

12. Замените старый Ntds.dit файл базы данных Active Directory, путь к которому Вы запомнили (пункт 8), новым файлом Ntds.dit.

13. Перезапустите компьютер в обычном режиме.

Мягкое восстановление журналов В случае сбоя питания стоит выполнить мягкое* восстановление журналов. По скольку данные транзакций вносятся в журналы до записи в файлы данных, Вы можете повторно выполнить операции, зарегистрированные в журналах, и внести необходимые изменения данных. Команда Recover служебной программы команд ной строки Ntdsut.il вызывает другую служебную программу Esentutl для выполне ния такого мягкого восстановления. Просматриваются все журналы и проверя ется внесение всех зафиксированных транзакций в файл данных.

Примечание Мягкое восстановление выполняется автоматически при загрузке DSA (Directory System Agent Ч агент системы каталогов), если работа завершена некорректно.

Вот типовой пример протокола выполнения команды Recover (курсивом выделены команды, вводимые с клавиатуры):

File maintenance: Recover Executing Command: C:\WINNT\System32\esentutl.exe /г /8 /о /1"C:\WINNT\NTOS" /s" C:\WINNT\NTDS" /! Initiating RECOVERY mode...

Log files: C:\WINNANTDS System files: C:\WINNT\MTDS Performing soft recovery...

Operation completed successfully in 4.717 seconds.

Spawned Process Exit code 0x0(0) If recovery was successful, it is recommended you run semantic database analysis to insure semantic database consistency as well.

Корректировка базы данных Корректировка (repair) базы данных иногда требуется после сбоя питания. Исполь зуйте для этого служебную программу командной строки Ntdsutil. Команда repair вызывает служебную программу Esentutl, выполняющую низкоуровневое (на дво ичном уровне) восстановление.' файла базы данных, то есть информации, с которой работает ESENT.

Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 Внимание! Следует соблюдать осторожность при использовании команды Repair, так как ее выполнение может привести к случайной потере данных. Это происхо дит, если в базе данных имеется информация, необходимая для безопасной работы Active Directory, но неизвестная ядру ESE. Заранее нельзя точно сказать, какие дан ные могут быть утрачены.

Целостность базы данных Поскольку Active Directory реализована на основе транзактного ядра базы данных ESE, или, как его обычно называют, Jet, журналы используются для поддержки се мантики отката, что позволяет обеспечить фиксации) транзакций.

Служебная программа Ntdsutil содержит процедуру проверки семантики, вызывае мую командой Semantic database analysis. Задача этой процедуры Ч исследование целостности содержимого базы данных Active Directory.

Данная служебная программа выполняется в режиме Directory Sendee Restore (Вос становление службы каталогов) и регистрирует ошибки в журналах dsdit.dmp..o".

Информация о ходе проверки отображается на индикаторе хода работы.

При проверке выполняются следующие операции:

Х выявление соответствия числа ссылок. Пересчитываются все существующие ссылки в таблицах данных и ссылок, и полученное число сверяется с хранящим ся числом ссылок. (Подробнее о таблицах данных и ссылок - в главе 2 Хране ние данных в Active Directory.) Также проверяется наличие у каждого объекта GUID-идентификатора, составного имени и ненулевого счетчика ссылок. Для удаленных объектов проверяется наличие времени и даты удаления и отсутствие GUID или составного имени;

Х проверка удаленных объектов. Обеспечивается наличие у таких объектов вре мени и даты удаления и специального относительного составного имени;

Х проверка наследования. Выясняется соответствие тэга составного имени (Dis tinguished Name Tag, DNT) списку наследования родителя и текущего DNT;

Х проверка дескриптора безопасности, то есть действительность дескриптора и наличие информации управления доступом, а также наличие непустой избира тельной таблицы управления доступом, (discretionary access control list, DACL).

Программа информирует об обнаружении удаленных объектов без DACL;

Х проверка репликации. Проверяется вектор обновления данных (UpToDate) в заголовке раздела каталога и соответствие числа курсоров. Также исследуется наличие вектора метаданных свойств у объектов. Для экземпляра объекта опре деленного класса проверяются метаданные, векторы обновления, нисходящие ссылки и частичные атрибуты.

^ Выполнение проверки семантики базы данных 1. Заархивируйте Active Directory. Механизм архивирования в Windows 2000 под держивает архивирование Active Directory в подключенном состоянии. Это про исходит автоматически при выборе варианта архивирования всех данных на ком пьютере или только состояния системы в Backup Wizard (Мастер архивации и восстановления Windows 2000).

Служба каталогов Active Directory 464 ЧАСТЬ 2. Перезапустите контроллер домена и в меню загрузки нажмите F8, чтобы перей ти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000).

3. Выберите Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter. Чтобы запустить процесс загрузки, снова нажмите Enter.

4. Войдите в систему под учетной записью Administrator (Администратор), исполь зуя пароль, заданный для локальной учетной записи Administrator в автоном ном SAM.

5. В меню Start (Пуск) последовательно выберите Programs (Программы), Ac cessories (Стандартные) и затем щелкните Command Prompt (Командная строка).

6. В окне командной строки введите ntdsutil и нажмите Enter.

7. Введите Semantic database analysis и нажмите Enter.

Введите Verbose on и нажмите Enter.

8.

9. Введите go и нажмите Enter. Эта команда запускает проверку семантики без исправления ошибок.

Примечание Для выполнения проверки семантики с исправлением ошибок при меняется команда Go Fixup.

10. Введите quit и нажмите Enter. Выполните команду quit повторно, чтобы возвра титься в командную строку.

Вот типовой пример протокола выполнения команды с работающим режимом ото бражения подробной информации (курсивом выделены команды, вводимые с кла виатуры):

ntdsutil: Semantic database analysis semantic checker: Verbose on Verbose mode enabled.

semantic checker: Go Opening database, Ч Done.

Getting record count...2371 records Writing summary into log file dsdit.dmp.O Records scanned: Processing records..Done.

Неполадки схемы Обычно неполадки схемы возникают при ее обновлении. В случае возникновения ошибок при обновлении схемы прежде всего нужно изучить файл Schupgr.log файл, расположенный в папке system32.

Далее перечислены наиболее типичные неполадки, возникающие в процессе обнов ления схемы.

Х Недостаточно прав. Обычно файлы сценариев формата LDIF содержат инфор мацию для обновления как схемы, так и раздела конфигурации. По умолчанию только члены группы Schema Admins (Администраторы схемы) обладают пра вом изменять объекты в разделе схемы, а изменять объекты в разделе конфигу Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА рации могут только члены группы Enterprise Adrnins (Администраторы предпри ятия) или администраторы корневого домена.

Пользователь должен войти в систему под учетной записью, обладающей пра вами обеих групп Ч Schema Admins и Enterprise Admins, так как Schupgrcxe выполняется в контексте безопасности текущего пользователя. Иногда при вы полнении этого условия система все равно информирует о недостаточности прав, Обычно это происходит при недоступности глобального каталога, так как он обеспечивает определение членства в группах администраторов схемы или пред приятия. В отсутствие глобального каталога сведения о членстве не попадают в маркер доступа пользователя. Обеспечьте доступность глобального каталога, после чего выйдите и повторно войдите в систему.

Вот пример сообщения о недостаточности прав:

Opened Connection to BARDOK SSPI Bind succeeded Found Naming Context DC=bardok2,DC=com Found Naming Context CN=Schema,CN=Configuration,DC=itreskit,DC=com Found Naming Context CN=Configuration,DC=itreskit,DC=com Current Schema Version is Upgrading schema to version Converting ONs in file C:\WINNT\System32\sch12.ldf ERROR: Failed to read current FSHO role owner: 50 (Insufficient Rights) Ошибка импорта, ldifde.exe создает файлы ldif.log и Idif.err (последний Ч толь ко в случае неполадок). Изучите их и найдите записи, вызвавшие ошибки. Да лее попытайтесь импортировать данные вручную средствами служебной про граммы Idp или из отдельного LDIF-файла, содержащего только эти записи. За тем запишите след анализатора пакетов программы Event Viewer (Просмотр со бытий) и воспользуйтесь им для определения причины неполадки.

Schupgr выполняется, но не обновляет версию схемы. Номер версии обновля ется последней записью LDIF-файла. Это значение не обновится при возникно вении ошибки на любой из предыдущих записей. Если в файле Schupgr.log нет никаких сообщений об ошибках, а номер версии все равно не обновляется, то это обычно свидетельствует о неполадках в программе LDIFDE. Проверьте кор ректность ее работы. Чаще всего сбой LDIFDE вызван нарушением доступа при загрузке программы.

Ошибка Schupgr: Cannot obtain schema version to upgrade to (не удается по лучить номер следующей версии схемы). Причина - в отсутствии файла, ко торый \vinnt32 копирует на Ваш компьютер при выполнении schupgr для обнов ления сборки. Неполадка устраняется при обновлении путем выполнения про граммы winnt32, которая блокирует обнаружение несоответствия версий схемы и создаст два-три нужных файла. Далее повторно запустите schupgr.

Запись в журнале schupgr: ERROR: Failed to transfer the schema FSMO role:

52 (Unavailable). Это означает, что текущий контроллер домена не является хо зяином схемы, и попытка перемещения этой роли с контроллера домена потергк ла неудачу. Ошибка недоступности (Unavailable) возникает из-за множества раз ных причин, например из-за недоступности или неготовности нужного контрол лера домена. Повторите попытку через некоторое время Ч может, сбой вызван временными затруднениями в сети или другими преходящими причинами.

Служба каталогов Active Directory 466 ЧАСТЬ Узнать, какой контроллер обладает FSМО-ролью хозяина схемы, можно в осна стке Schema Active Directory (Схема Active Directory) или посредством служеб ной программой ntdsutil.

Примечание Если средствами указанных программ не удается определить хозяина схемы, обратитесь к служебной программе Ldp или ADSI Edit и узнайте значение атрибута /SМО Role Owner контейнера схемы (cn=schema,cn=configuration,...) Ч в нем хранятся сведения о текущем владельце роли хозяина схемы.

Для повышения уровня диагностики службы каталогов, на котором регистрируются ошибки, по которым иногда удается узнать о причинах неполадок, увеличьте до 3 зна чение параметра Internal Processing в разделе HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics.

Операции одиночного хозяина Некоторые операции выполняются специально назначенными контроллерами до менов, называемыми хозяевами операций. Говорят, что они обладают определенной ролью одиночного хозяина операции или FSMO-ролью (Flexible Single Master Operations). К таким операциям относятся модификация схемы, создание новых доменов в лесе, создание относительных идентификаторов (R1D) участников безо пасности, обновление доменов Windows NT 4.0 и более ранних версий, а также ссы лок на объекты в других доменах.

Перемещение ролей одиночных хозяев обычно выполняется в графическом интер фейсе пользователя. Однако, если контроллер домена, обладающий определенной FSMO-ролью, недоступен, можно обратиться к служебной программе Ntdsutil для выполнения принудительного перемещения роли хозяина операций (seizure). Эта программа также позволяет выполнять очистку метаданных, например, после уда ления домена или контроллера домена без очистки данных самим мастером уста новки Active Directory. NtdutiL также используют для предварительного создания доменов. Причем, если Вы делаете это под административной учетной записью, Вы получаете право предоставлять другим пользователям, не обладающим админист ративными разрешениями, такие возможности, как повышение роли и создание доменов.

Владелец роли хозяина относительных идентификаторов Владелец роли хозяина относительных идентификаторов (relative ID master) дол жен быть доступен, когда серверы нуждаются в очередных пулах R1D. Далее пока зан пример записей в файле Dcpromoui.log, относящихся к ошибке недоступности хозяина относительных идентификаторов. Данная запись создана в процессе повы шения роли сервера до контроллера домена, хотя это и несущественно. Ошибка произошла в момент исчерпания пула относительных идентификаторов на контрол лере и недоступности хозяина относительных идентификаторов.

Примечание Если на сервере есть определенный запас относительных идентифи каторов, для создания учетных записей доступность хозяина относительных иден тификаторов необязательна.

Устранение неполадки начните с определения сервера - владельца роли хозяина относительных идентификаторов - и проверки сетевого соединения средствами Выявление и устранение неполадок, а также восстановление Active Directory ГЛАВА 10 служебной программы Netdiag. Кроме того, в окне Event Viewer (Просмотр собы тий) посмотрите, нет ли в журнале службы каталогов ошибок, относящихся к хо зяину идентификаторов, dcpromoui t:0x398 00279 Enter OS::JoinDomain dcpromoui t:0x398 00280 Enter massageUserName dcpromoui t:0x398 00281 Exit massageUserName dcpromoui t:0x398 00282 Calling NetJoinDomain dcpromoui t:0x398 00283 IpServer : Reskit dcpromoui t:0x398 00284 IpDomain : reskit-rdp.com dcproraoui t:0x398 00285 IpAccountOU : (null) dcpromoui t:0x398 00286 IpAccount : reskit rdp.com\administrator dcpromoui t:0x398 00287 fJoinOptions : 0x dcpromoui t:0x398 00288 Error 0x2010 (!0 => error) dcpromoui t:0x398 00289 Exit DS::JoinDomain dcpromoui t:0x398 00290 Exception caught dcpromoui t:0x398 00291 catch completed dcpromoui t:0x398 00292 handling exception dcpromoui t:0x398 00293 Error Joining Domain The directory service was unable to dcpromoui t:0x398 allocate a relative identifier.

dcpromoui t:0x398 00295 Enter State::SetOperationPesults result FAILURE message: The directory service was unable to allocate a relative identifier.

dcpromoui t:0x398 00296 Exit State::SetOperationResuZts result FAILURE message: The directory service was unable to allocate a relative identifier.

Хозяева операций и их двойники В Windows NT 4.0 NetBIOS-имя основного контроллера домена уникально, поэто му конфликт двойников основного контроллера разрешался автоматически. Такие двойники иногда возникают при повышении роли резервного контроллера во вре мя недоступности исходного основного контроллера и дальнейшего возвращения последнего из состояния недоступности.

В Windows 2000 FSMO-роль основного контроллера домена не настолько важна, но в любом случае конфликты нежелательны. Наличие двойников хозяина относи тельных идентификаторов способно привести к образованию одинаковых иденти фикаторов безопасности (security ID, SID).

Далее перечислены операции, выполняемые для предупреждения возникновения двойников хозяина относительных идентификаторов:

Х синхронизация сервера с другими серверами перед присвоением роли хозяина операций;

Х неотложная репликация состояния глобального (доступного) пула относитель ных идентификаторов, чтобы возможные кандидаты на роль хозяина относи тельных идентификаторов содержали самые свежие* данные;

Х если хозяин относительных идентификаторов выделит контроллеру домена пул RID, перекрывающийся с пулом другого контроллера домена, контроллер доме на, чей набор перекрывается с новым набором относительных идентификаторов, заметит это при репликации, отбросит свой текущий пул и затребует у хозяина RID новый. Такая процедура предотвращает дальнейшее использование одина ковых RID и быстро заставляет все контроллеры домена с перекрывающимися пулами запросить и получить новые наборы относительных идентификаторов;

Служба каталогов Active Directory 468 ЧАСТЬ Х операционная система поддерживает обнаружение и обработку одинаковых от носительных идентификаторов.

Вот ситуация, когда возможно выделение одинаковых относительных идентифика торов: роль хозяина операций относительных идентификаторов принудительно присваивается одним из контроллеров домена, когда первоначальный хозяин RID временно отключен от сети. В обычных условиях после одного цикла репликации наличие двойника обнаруживается, и роль хозяина относительных идентификато ров получает только один контроллер домена. Но иногда до обнаружения факта существования двойников два различных контроллера домена запрашивают новый пул относительных идентификаторов и получают идентичные пулы.

Служебная программа Ntdsutil содержит команду Security account management для обнаружения и устранения повторяющихся SID-идентификаторов. Учетные запи си с одинаковыми идентификаторами безопасности удаляются, ^ Обнаружение и очистку повторяющихся SID 1. Заархивируйте Active Directory. Механизм архивирования в Windows 2000 под держивает архивирование Active Directory в подключенном состоянии. Это про исходит автоматически при выборе варианта архивирования всех данных на компьютере или только состояния системы в Backup Wizard (Мастер архивации и восстановления Windows 2000).

2. Перезапустите контроллер домена и в меню загрузки нажмите F8, чтобы перей ти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000).

3. Выберите Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter. Чтобы запустить процесс загрузки, снова нажмите Enter.

4. Войдите в систему под учетной записью Administrator (Администратор), исполь зуя пароль, заданный для локальной учетной записи Administrator в автоном ном SAM.

5. В меню Start (Пуск) последовательно выберите Programs (Программы), Ac cessories (Стандартные) и затем щелкните Command Prompt (Командная строка).

Pages:     | 1 |   ...   | 8 | 9 | 10 | 11 | 12 |   ...   | 18 |    Книги, научные публикации