server08 AD域控故障处理

【问题描述】

某客户在线使用的电脑为AD域环境的客户机,其中分2类,一类为可插播U盘,一类无此权限,某日发现桌面虚拟机内存负载奇高,相关报错有:
1)AD域控服务报错:无法与GC全局编录联系;
2)DNS服务器报错AD服务异常,在AD 正常前无法成功启动,将定时再次尝试联系AD;
3)AD报错DFS服务异常,导致sysvol文件下的组策略无法下发生效;
4)客户端原组策略失效,但不影响用户登录;
5)通过在域中其他域控访问AD的UNC路径,报无法访问
6)域环境中添加新的域控服务器,报找不到网络路径/网络名称;
7)file replication服务无法启用,即使添加network service到administrator组里;

【问题处理】

1)检查服务启动状态:网络发现类服务如network list等已启动,SMB等共享类服务,RPC服务(3个)已启动,server,netlogon,workstation,DCOM(DCOM代表的是“Distributed(分布式)”COM)均正常;
2)用杀毒软件检查系统是否中毒(实际验证中毒也可以修复),360会修改系统配置,操作慎用
3)检查DNS服务器状态:ping ad完全域名,看是否可正常解析,nslookup反向解析是否正常;
4)检擦网络:确认DNS配置(中毒后该值会被修改)和网关设置是否正常;
5)检查AD服务端口:ldap端口389和rpc端口135,是否正常;
6)检查防火墙是否关闭或是否有相关白名单;
7)检查网络发现和共享是否正常打开;检查本机是哦福可访问其他域控的共享和自己的共享,确保共享正常和与其他AD域控联系正常。
8)检查确保分布式文件服务是否正常,否则AD之间信息无法完成同步;因期会接用rpc服务,如果该服务正常,则rpc服务正常,135端口本地ip地址可通(本次故障中我的135端口不通,但回环地址的135通)
9)结合端口netstat -ano|findstr 389或135,利用tasklist命令确认只有pid=796的几次呢监听;
10)检查TCP/IP的过滤:域控中执行gpedit,在计算机配置–安全配置–ip安全规则里,所以规则可清空(实际验证,清空后135端口恢复连通)
11)确认客户终端机是否可正常访问AD的共享unc路径,可以的话则135端口可确认是通的;
12)执行dcdiag命令及下载portqry工具配合定位AD故障;

按照以上排查过程实施完成后,你将会找到你的问题所在,我本次故障时因中毒导致的网络信息被篡改,IP安全规则和防火墙被强制设置,导致rpc端口135不通,另外AD的共享目录sysvol权限被修改,参照正常的对比修改权限一致即可。上述完成后重启系统DFS服务恢复正常,AD恢复正常。

本次AD因处于生成环境,涉及到迁移AD域控5大角色主机,可以部署新的域控作为迁移对象,在AD用户和计算机里,更改域控为新的域控服务器,然后更改操作主机,将RID、PDC和基础架构主机3种角色迁移到新域控;然后再mmc控制台打开AD域信任,迁移域命名操作主机;第三步用管理员再cmd种执行regsvr32 schmmgmt.dll,打开架构主机管理功能,仍然再mmc种迁移AD架构主机。
server08 AD域控故障处理_第1张图片
完成后待数据同步到新的域控后,可删除或回滚原来的AD,待数据同步后从新加入AD域控中;

你可能感兴趣的:(windows技术点)