Windows 活动目录与网络之“古代十大名剑”
Windows
活动目录与网络之“古代十大名剑”
Windows
的活动目录与网络问题就像江湖中的恶魔,烧杀抢掠,无恶不作,抢我工作夺我钱财,赤手空拳实难对付,现在送给各位“古代十大名剑”替天行道,斩妖除魔。再加上组策略最佳实践之“降龙十八掌”
[url]http://technet.blog.51cto.com/21712/33368[/url]
,相信大家应该可以持剑闯江湖,替天行道。
PS
:这篇文章谨祝贺走在左边的女朋友
--
XY
MM
,于今天晚上
11
点顺利通过了美国某一公司
财务总监及
CEO
的第四次面试,明天就可以正式办理上班手续,以此文章表示祝贺。
(希望大家转载,让更多的人跟我一起祝贺,不过希望大家保持文章的完整性,所有的文字都不要进行删剪,谢谢!)
转载请注明出自:
[url]http://technet.blog.51cto.com/[/url]不注明出处,必究
。
第十把剑:承影之“
DCDiag
”
承影是一把精致优雅之剑
剑气激射指数:
7
《列子。汤问》之中被列子激赏的铸于商朝后来被春秋时卫国人孔周所藏的名剑:承影,承影是一把精致优雅之剑。
剑气激射指数:
7
1
、
Domain Controller Diagnostic
2
、必备的活动目录壮态检测工具
3
、通过安装
Windows Support Tools
获得(产品光盘的
support\tools
目录中)
用法
C:>dcdiag /v >c:dcdiag.txt(
一般用到“
/v
”这个参数
)
打开
dcdiag.txt
,他会检查很多域控制器的设定。
Domain Controller Diagnosis
Performing initial setup:
* Verifying that the local machine DC1, is a DC.
* Connecting to directory service on server DC1.
* Collecting site info.
* Identifying all servers.
* Identifying all NC cross-refs.
* Found 2 DC(s). Testing 1 of them.
(说明这个环境中有多少台域控制器,这个环境是两台,就可以知道这个环境有多大,另一种做用就是原来有
5
台域控制器,卸载了一台,但没有卸载干净,这里也会显示有
5
台,不会显示
4
台。)
Done gathering initial info.
(进行初始化的检测,如果这台计算机不是域控制器的话这步检测完,下面的将不会再被执行)
Doing initial required tests
Testing server: Default-First-Site-Name\DC1
Starting test: Connectivity
* Active Directory LDAP Services Check
* Active Directory RPC Services Check
......................... DC1 passed test Connectivity
(测试是否能够连接)
Doing primary tests
Testing server: Default-First-Site-Name\DC1
Starting test: Replications
* Replications Check
[Replications Check,DC1] A recent replication attempt failed:
From DC2 to DC1
Naming Context: CN=Schema,CN=Configuration,DC=zxy,DC=xy
The replication generated an error (8524):
由于
DNS
查找故障,
DSA
操作无法进行。
The failure occurred at 2007-07-15 16:15:10.
The last success occurred at 2007-07-05 16:59:05.
21 failures have occurred since the last success.
The guid-based DNS name cd 9c 55ad-ecad -41c 3-bd58-994128d 2f 6e8._msdcs.zxy.xy
is not registered on one or more DNS servers.
* Replication Latency Check
REPLICATION-RECEIVED LATENCY WARNING
DC1: Current time is 2007-07-15 16:20:33.
CN=Schema,CN=Configuration,DC=zxy,DC=xy
Last replication recieved from DC2 at 2007-07-05 16:59:05.
* Replication Site Latency Check
REPLICATION-RECEIVED LATENCY WARNING
Source site:
CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
Current time: 2007-07-15 16:20:33
Last update time: 2007-07-11 22:58:23
Check if source site has an elected ISTG running.
Check replication from source site to this server.
......................... DC1 passed test Replications
Test omitted by user request: Topology
Test omitted by user request: CutoffServers
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC DC1.
* Security Permissions Check for
DC= ForestDnsZones , DC =zxy,DC=xy
(NDNC,Version 2)
* Security Permissions Check for
DC= DomainDnsZones , DC =zxy,DC=xy
(NDNC,Version 2)
* Security Permissions Check for
CN=Schema,CN=Configuration,DC=zxy,DC=xy
(Schema,Version 2)
* Security Permissions Check for
CN=Configuration,DC=zxy,DC=xy
(Configuration,Version 2)
* Security Permissions Check for
DC=zxy,DC=xy
(Domain,Version 2)
......................... DC1 passed test NCSecDesc
(检测活动目录里主要一些分区的权限是否设定正确,如域分区是否正确,
Schema
是否正确等等)
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \\DC1\netlogon
Verified share \\DC1\sysvol
......................... DC1 passed test NetLogons
Starting test: Advertising
The DC DC1 is advertising itself as a DC and having a DS.
The DC DC1 is advertising as an LDAP server
The DC DC1 is advertising as having a writeable directory
The DC DC1 is advertising as a Key Distribution Center
(如果不是
Key
那么他将不会给客户端身份验证)
The DC DC1 is advertising as a time server
(是否是
time server
)
The DS DC1 is advertising as a GC.
(是否是
GC
,如果把一台普通的
DC
改成
GC
,一般需要
20
分钟到半个小时,因为他需要让其他的
DC
知道,然后改注册表一个键值如果还不成功,那就需要重启一下。)
......................... DC1 passed test Advertising
(
AD
上有很多重要的服务和重要的功能,如果关掉的话,这个地方会报错,)
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
Role Domain Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
Role PDC Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
Role Rid Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
Role Infrastructure Update Owner = CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
......................... DC1 passed test KnowsOfRoleHolders
Starting test: RidManager
* Available RID Pool for the Domain is 2103 to 1073741823
* DC1.zxy.xy is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1103 to 1602
* rIDPreviousAllocationPool is 1103 to 1602
* rIDNextRID: 1130
......................... DC1 passed test RidManager
(
DC
中每新建一个用户都会给他一个唯一标识符,
Rid
就是这个唯一标识符的尾数,在整个域里统一分配,保证所有用户的尾数都不一样,这是一个大的地址池,如果号用完了就不能创建新的用户了,这是一个比较常见的问题)
Starting test: MachineAccount
Checking machine account for DC DC1 on DC DC1.
* SPN found :LDAP/DC1.zxy.xy/zxy.xy
* SPN found :LDAP/DC1.zxy.xy
* SPN found :LDAP/DC1
* SPN found :LDAP/DC1.zxy.xy/ZXY
* SPN found :LDAP/bdd96d1e-2b03-49d4-8998-b04018442b2e._msdcs.zxy.xy
* SPN found :E3514235-4B06-11D1-AB04 -00C 04FC2DCD2/bdd96d1e-2b03-49d4-8998-b04018442b2e/zxy.xy
* SPN found :HOST/DC1.zxy.xy/zxy.xy
* SPN found :HOST/DC1.zxy.xy
* SPN found :HOST/DC1
* SPN found :HOST/DC1.zxy.xy/ZXY
* SPN found :GC/DC1.zxy.xy/zxy.xy
......................... DC1 passed test MachineAccount
(计算机帐号的检测)
Starting test: Services
* Checking Service: Dnscache
* Checking Service: NtFrs
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: RpcSs
* Checking Service: w32time
* Checking Service: NETLOGON
......................... DC1 passed test Services
Test omitted by user request: OutboundSecureChannels
Starting test: ObjectsReplicated
DC1 is in domain DC=zxy,DC=xy
Checking for CN=DC1,OU=Domain Controllers,DC=zxy,DC=xy in domain DC=zxy,DC=xy on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy in domain CN=Configuration,DC=zxy,DC=xy on 1 servers
Object is up-to-date on all servers.
......................... DC1 passed test ObjectsReplicated
Starting test: frssysvol
* The File Replication Service SYSVOL ready test
File Replication Service's SYSVOL is ready
......................... DC1 passed test frssysvol
Starting test: frsevent
* The File Replication Service Event log test
......................... DC1 passed test frsevent
Starting test: kccevent
* The KCC Event log test
An Error Event occured. EventID: 0xC0250827
Time Generated: 07/15/2007 16:14:04
(Event String could not be retrieved)
An Warning Event occured. EventID: 0x 8000051C
Time Generated: 07/15/2007 16:17:27
(Event String could not be retrieved)
......................... DC1 failed test kccevent
Starting test: systemlog
* The System Event log test
An Error Event occured. EventID: 0x00000423
Time Generated: 07/15/2007 16:14:01
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000416
Time Generated: 07/15/2007 16:14:01
(Event String could not be retrieved)
An Error Event occured. EventID: 0x00000423
Time Generated: 07/15/2007 16:14:30
(Event String could not be retrieved)
......................... DC1 failed test systemlog
Test omitted by user request: VerifyReplicas
Starting test: VerifyReferences
The system object reference (serverReference)
CN=DC1,OU=Domain Controllers,DC=zxy,DC=xy and backlink on
CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
are correct.
The system object reference (frsComputerReferenceBL)
CN=DC1,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=zxy,DC=xy
and backlink on CN=DC1,OU=Domain Controllers,DC=zxy,DC=xy are correct.
The system object reference (serverReferenceBL)
CN=DC1,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=zxy,DC=xy
and backlink on
CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zxy,DC=xy
are correct.
......................... DC1 passed test VerifyReferences
Test omitted by user request: VerifyEnterpriseReferences
Test omitted by user request: CheckSecurityError
Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Running partition tests on : zxy
Starting test: CrossRefValidation
......................... zxy passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... zxy passed test CheckSDRefDom
Running enterprise tests on : zxy.xy
Starting test: Intersite
Skipping site Default-First-Site-Name, this site is outside the scope
provided by the command line arguments provided.
......................... zxy.xy passed test Intersite
Starting test: FsmoCheck
GC Name: \\DC1.zxy.xy
Locator Flags: 0xe00003fd
PDC Name: \\DC1.zxy.xy
Locator Flags: 0xe00003fd
Time Server Name: \\DC1.zxy.xy
Locator Flags: 0xe00003fd
Preferred Time Server Name: \\DC1.zxy.xy
Locator Flags: 0xe00003fd
KDC Name: \\DC1.zxy.xy
Locator Flags: 0xe00003fd
......................... zxy.xy passed test FsmoCheck
Test omitted by user request: DNS
Test omitted by user request: DNS
例:如有出错的信息
在第一行会给出一个错误信息的号,如:
1753
可以在命令提示符下用
net helpmsg 1753
,就会出给帮助提示:终结点映射器中没有更多的终结点可用(一般是路由端口被封掉了)
有的出错信息会帮例出来,有的不会例出来,没有例出来的可以去查微软的文档库。
第九把剑:纯钧之“
Err
”
纯均是一把尊贵无双之剑
剑气激射指数:
7.5
1
、错误代码(
Error
)查看工具
2
、必备的排错工具
3
、下载:
[url]http://www.microsoft.com/downloads/details.aspx?familyid=be596899-7bb8-4208-b7fc-09e[/url] 02a 13696c &displaylang=en
把
E rr.exe
解压到
c:>tool\err
目录下,例:
c:>tool\err>err 1753
就会显示出详细的出错信息。
第八把剑:鱼肠
之“
KB
”
鱼肠剑是一把勇绝之剑
剑气激射指数:
8
1
、
Knowledge Base(
知识库
)
2
、微软最重要的知识共享系统,解决实际技术问题的电子字典
[url]http://support.microsoft.com[/url]
[url]http://support.microsoft.com/search/?adv=1[/url]
第七把剑:干将之“
Rcontrolad
”
干将、莫邪是一把挚情之剑
剑气激射指数:
8.5
1
、
Directory Remote Control Add-On
2
、使
AD
管理员更方便的进行远程管理
3
、
windows 2003 Resource Kit
工具
下载:
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=[/url] 0A 91D2E7-7594-4ABB-8239 -7A 7ECA 6A 6CB1&displaylang=en
用法:把
Rcontrolad
下载后,解压到一个文件夹,然后点用
rcontrol_setup.exe
进行安装,最后,把解压文件中的
rcontrol.exe
复制到
windows
目录中去。如果你想远程管理那台计算机,可以打开
AD
用户和计算机,在里面找到想要管理的计算机点右键,里面就会多出一个
Remote Control
菜单,点上就可以进行远程控制了,相同于远程桌面。实际意义,如果就三、四需要远程管理那可以用远程桌面,如果上千台的话,不可能全部记住
IP
地址或计算机名,用
Rcontrolad
就可以方便的进行管理。所有域里只需要安装一次。
第六把剑:莫邪之“
G etSID
”
干将、莫邪是一把挚情之剑
剑气激射指数:
8.5
1
、
Get User Security ldemtifier
2
、将用户解析成
SID
3
、通过安装
Windows Support Tools
获得
用法:
getsid \\server1 account \\server2 account
比较两个不同域用户的
SID
值
PSGetSID
知道
SID
解析成帐号
[url]http://www.microsoft.com/technet/sysinternals/utilities/psgetsid.mspx[/url](
下载
pstools
工具包里面包含了
PSGetSID)
Windows
操作系统中的常见安全标识符
Well-known security identifiers in windows operating systems(243330)
[url]http://support.microsoft.com/default.aspx?scid=kb;en-us;243330[/url](
英文
)
[url]http://support.microsoft.com/kb/243330[/url]
(中文)
一些常见的内建用户他们的
SID
都是有规律的,记住会有很大的帮助的。
第五把剑:七星龙渊之“
Whoami
”
七星龙渊是一把诚信高洁之剑
剑气激射指数:
8.8
1
、获取当前登录用户的完全信息
2
、权限问题排错的重要工具
用法:
whoami /all >c:whoami.txt
可以查看当前登录的用户,所属的组、权限等等。有些时候不要太相信图形界面所显示的东西,用
whoami
可以看得更清楚。
第四把剑:泰阿之“
SecEdit
”
泰阿剑是一把威道之剑
剑气激射指数:
9.3
1
、
Security Editor
2
、安全策略编辑分析的命令行工具,常用于分析最终有效权限
3
、
windows 2000/xp/2003
操作系统自带
用法:
Secedit /export /mergedpolicy /cfg c:\secedit.txt /verbose
(最常用的选项)
可以在域上设很多的安全策略,那么到最终的用户权力是什么呢?设的时候可以用图形界面去做,当你去做排错,去做维护的时候最好用命令行工具
第三把剑:赤霄之“
AccessEnum
”
赤霄剑是一把帝道之剑
剑气激射指数:
9.7.
1
、
Access Enumerate
2
、非常强大的权限分析工具
(
1
)文件目录、注册表
(
2
)可进行比较
(
3
)对于权限修改管理有帮助
下载:
[url]http://www.microsoft.com/china/technet/sysinternals/utilities/AccessEnum.mspx[/url]
主要是看能做什么,
whoami
看的是我是谁。几乎是个全能型的工具,是个图形界面的。还可以把分析结果保存以便在以后分析做一个对比。还可以看注册表。
第二把剑:湛泸之“
AutoRuns
”
湛泸剑是一把仁道之剑
剑气激射指数:
10
1
、检查自动加载项
2
、通常中来解决登录慢或恶意程序删除
下载:
[url]http://www.microsoft.com/technet/sysinternals/utilities/Autoruns.mspx[/url]
有两个版本
autoruns
(图形方式)和
autorunsc
(是命令行方式的)如果用
msconfig
的话,例出的不全。
第一把剑:轩辕夏禹剑之“
UPHClean
”
轩辕夏禹剑是一把圣道之剑
剑气激射指数:无穷大。
1
、
User Profile Hive Clean
2
、强大的用户
Profile“Handle Leak”
解决工具
3
、技术背景
(
1
)何谓
Hive?
何谓
Handle Leak?
Hive
:跟用户相关的注册表,注销的话这个用户的注册表项会被卸载,登录会被加载。登录时将会加载到注册表
HKEY_USERS
下面
(
2
)常见的
Handle Leak
问题与影响
一种情况,例一些硬盘扫描的工具,最常见见的一种就是杀毒软件,杀毒软件正在写注册表的时候,你要注销,如果这个杀毒软件设计的不好,你注销的时候要把他的
Handle
给关掉,你会关不掉,由于设计的原因或集成了一个很高的权限,当前的用户没有那么高的权限关不掉,这时你注销的时候就会有个很长很长的时间,就会看到“
windows
正在保存你的个人信息”保存很久就是关不掉,这时就在关
Handle
和一些其它的事情,最后会强制的把
Handle
给断掉,这就会把用户的信息给丢了,下次登录时就会发现有些设置没了。
99%
是因为代码没有按规范去写。
2003
就会很快。
2003
会强制关掉。
2000
就会很慢。
(
3
)以前使用
DbgView
等复杂的工具进行高度,非常耗时
下载:
[url]http://www.microsoft.com/downloads/details.aspx?familyid=1B286E6D-8912-4E18-B570-42470E[/url] 2F 3582&displaylang=en
用处:在注销和关机的时候你发现非常非常慢的时候,另外一种就是你公司有终端服务器,这个工具会帮助你。
Hive:
跟用户相关的注册表,注销的话这个用户的注册表项会被卸载,登录会被加载。
UPHClean
安装完后,会启动一个服务
User Profile Hive Cleanup
,安装后,就会自动的去干掉那个不能释放的
Handle
注册表语柄,然后去看事件日志,里面有几个关于
UPHClean
的日志,其中有一个就会告诉你是那个程序不能释放的
Handle
注册表语柄。在企业里装的应用多不知道那个影响了
Handle Leak
,这个就会告诉你。
优点:
1
、是以服务来安装的,机器启动他就启动了
2
、安装和卸载都不用重启,我们一个很大的麻烦在一个大的环境里面机器是不让重启的。
3
、能够直接检测
4
、简单