server08 AD域控故障处理

【问题描述】

某客户在线使用的电脑为AD域环境的客户机，其中分2类，一类为可插播U盘，一类无此权限，某日发现桌面虚拟机内存负载奇高，相关报错有：
1）AD域控服务报错：无法与GC全局编录联系；
2）DNS服务器报错AD服务异常，在AD 正常前无法成功启动，将定时再次尝试联系AD；
3）AD报错DFS服务异常，导致sysvol文件下的组策略无法下发生效；
4）客户端原组策略失效，但不影响用户登录；
5）通过在域中其他域控访问AD的UNC路径，报无法访问
6）域环境中添加新的域控服务器，报找不到网络路径/网络名称；
7）file replication服务无法启用，即使添加network service到administrator组里；

【问题处理】

1）检查服务启动状态：网络发现类服务如network list等已启动，SMB等共享类服务，RPC服务（3个）已启动，server，netlogon，workstation，DCOM（DCOM代表的是“Distributed（分布式）”COM）均正常；
2）用杀毒软件检查系统是否中毒（实际验证中毒也可以修复），360会修改系统配置，操作慎用
3）检查DNS服务器状态：ping ad完全域名，看是否可正常解析，nslookup反向解析是否正常；
4）检擦网络：确认DNS配置（中毒后该值会被修改）和网关设置是否正常；
5）检查AD服务端口：ldap端口389和rpc端口135，是否正常；
6）检查防火墙是否关闭或是否有相关白名单；
7）检查网络发现和共享是否正常打开；检查本机是哦福可访问其他域控的共享和自己的共享，确保共享正常和与其他AD域控联系正常。
8）检查确保分布式文件服务是否正常，否则AD之间信息无法完成同步；因期会接用rpc服务，如果该服务正常，则rpc服务正常，135端口本地ip地址可通（本次故障中我的135端口不通，但回环地址的135通）
9）结合端口netstat -ano|findstr 389或135,利用tasklist命令确认只有pid=796的几次呢监听；
10）检查TCP/IP的过滤：域控中执行gpedit，在计算机配置–安全配置–ip安全规则里，所以规则可清空（实际验证，清空后135端口恢复连通）
11）确认客户终端机是否可正常访问AD的共享unc路径，可以的话则135端口可确认是通的；
12）执行dcdiag命令及下载portqry工具配合定位AD故障；

按照以上排查过程实施完成后，你将会找到你的问题所在，我本次故障时因中毒导致的网络信息被篡改，IP安全规则和防火墙被强制设置，导致rpc端口135不通，另外AD的共享目录sysvol权限被修改，参照正常的对比修改权限一致即可。上述完成后重启系统DFS服务恢复正常，AD恢复正常。

本次AD因处于生成环境，涉及到迁移AD域控5大角色主机，可以部署新的域控作为迁移对象，在AD用户和计算机里，更改域控为新的域控服务器，然后更改操作主机，将RID、PDC和基础架构主机3种角色迁移到新域控；然后再mmc控制台打开AD域信任，迁移域命名操作主机；第三步用管理员再cmd种执行regsvr32 schmmgmt.dll，打开架构主机管理功能，仍然再mmc种迁移AD架构主机。

完成后待数据同步到新的域控后，可删除或回滚原来的AD，待数据同步后从新加入AD域控中；