AD检查与排错:深入浅出Active Directory系列(三)

文章转自：http://terryli.blog.51cto.com/704315/143058

 

上一节我们通过方法 1 安装了活动目录，本节我重点介绍安装后的检查和排错，本节内容接上一节。

本节的实验环境：

1，  域控制器 DC1 ，它是上一节中我们安装的域控制器。

2，  客户端 Client1 ，一个装有 XP 系统，并打了 SP2 补丁的客户端。

 

检查Active Directory 是否正常

 

一，通过域控制器检查

 

首先启动域控制器 DC1 ，登录界面如下图，我输入密码登录到 contoso.com 域。

 

 

如果能成功登录表示我们的域控制器正在工作，但还不能表明活动目录已经完全安装成功。所以我们还要在域控制器上检查如下几项：

 

第1 项： 查看管理工具中相关的项是否已经存在。如下图

 

 

 

第2 项： 检查 Active Directory 数据库文件与 SYSVOL 文件夹。 Active Directory 数据库文件会默认会安装到： C:\WINDOWS\NTDS 文件夹中，此文件中有 7 个文件，其中 ntds.dit 便是 Active Directory 数据库文件， .log 是日志文件。而 SYSVOL 文件夹会默认安装到： C:\WINDOWS\SYSVOL ，里面有 4 个文件夹，其中 sysvol 是共享文件夹，里面还有一个共享文件夹 scripts ，这个共享文件夹在域 contoso.com 文件夹的里面。你可以在运行中用 %systemroot%\NTDS 和 %systemroot%\SYSVOL 打开相关的文件夹，还可以用 net share 命令查看共享。上面所述如下面这些图

 

 

 

 

 

 

第3 项： 检查 DNS 服务器内与 AD 相关的文件夹和 SRV 记录是否存在或完整。由于域控制器会把自己的主机名、 IP 地址以及所扮演的角色等数据登录到 DNS 服务器内，以便让其他的计算机通过 DNS 服务器来寻找这台域控制器。因此必须要检查这些文件夹和 SRV 记录，打开 DNS ，如下图

 

 

 

我们发现有一个叫 contoso.com 的正向查找区域，它是安装 AD 时候自动创建的，以便让域 contoso.com 中的成员（域控制器、成员服务器、 Windows XP Professional 客户端）将数据登记到这个区域。从上图中我们看到 DC1 已经成功将自己主机名称和 IP 地址登记到这个区域内。同时还有一个 _msdcs.contoso.com 的正向查找区域，因为我们安装活动目录时顺便安装了 DNS 服务器，所以也创建了这个区域，此时 Windows Server 2003 域控制器会将数据登记到 _msdcs.contoso.com 区域内，而不是 _msdcs 文件夹。

我们可以浏览这 2 个区域下的 _TCP 文件夹以及相应的 SRV 记录，如下图

 

 

 

 

 

 

 

 

从上面这些图中我们可以清晰的看到，域和站点的 GC 是谁， LDAP 服务器是谁，以及 KDC 服务器是谁。

排错1 ： 如果 DNS 中没有出现上面这些文件夹以及 SRV 记录。我们一般需要这么做。首先为域控制器指定正确的 DNS 服务器的 IP 地址，然后重新启动 Net Logon 服务。如果重启 Net Logon 服务还不正确，请按下面的步骤： 1 ，首先为域控制器指定正确的 DNS 服务器的 IP 地址。 2 ，在 DNS 服务器中建立和域名相同的正向查收区域，并启用动态更新。 3 ，重新启动 Net Logon 服务。经过这 3 步相关的文件夹和 SRV 记录就应该出现了。

 

二，通过客户端加入域检查

 

首先我们登录到客户端 Client1, 然后我的电脑 -> 右键单击属性 -> 计算机名，如下图

 

 

单击“更改”按钮，弹出“计算机名称更改”对话框

 

 

在“计算机名称更改”对话框中选择域，同时输入域名，单击“确定”按钮。此时会弹出如下对话框。

 

 

上图显示加入 contoso.com 域失败，原因其实很简单，我们还没有配置 Client1 客户端的 IP 地址。但是我们可以利用 NETBIOS 名来加入域，比如在上面不输入 contoso.com ，而是输入 contoso ，然后单击确定，就会弹出如下对话框，说明通过 NETBIOS 名我们找到了域控制器，此时使用的是广播。

 

 

为了使用域名而不是 NETBIOS 名让客户端加入域，我们必须配置 Clients 客户端的 IP 地址。如下图

 

 

配置完 IP 之后，再次单击“计算机名称更改”对话框中的“确定”按钮。此时就会顺利找到域控制器了。我们知道计算机之间通信是通过 IP 地址进行的，我们这里输入域名 contoso.com 后，事实上是 DNS 服务器帮我们把 contoso.com 域名解析成域控制器的 IP 地址。所以客户端加入域需要 DNS 服务器的支持。此时弹出和上面用 NETBIOS 名加入域一样的对话框。我们在里面输入域的管理员账户和密码。单击“确定”按钮，如下图

 

 

此时弹出欢迎加入 contoso.com 域的对话框，如下图

 

 

单击确定之后会提示你必须重启计算机才能使更改生效。重启计算机后，我们发现 Clinent1 客户端的登录框已经变成如下图所示，表示这台计算机已经成功加入域。我们可以选择登录到本地，也可以选择登录到域。

 

 

当选择登录到域时，我们还必须在域控制器 DC1 上为这个客户端创建一个用户账户。

 

此时我们打开 DC1 的计算机 Active Directory 用户和计算机。我们发现 Computers 中已经多了一台计算机 Client1 。如下图

 

 

现在我们来创建一个用户账户，在 Active Directory 用户和计算机的 Users 上单击右键 -> 新建 -> 用户，过程如下图

 

 

密码默认要符合复杂度定义条件， A-Z ， a-z ， 0-9 ，特殊字符等任选三种，同时长度必须大于等于 7 位。可以选择密码永不过期，这样可以解除默认42天的限制。

 

 

我们发现 litao 这个用户账户已经创建成功。如下图

 

 

最后我们用 litao 在 Client1 客户端登录域控制器 DC1 ，第一次登录会稍慢一些。登录成功后的画面如下图。

 

 

我们发现客户端 Client1 在域环境下的桌面和原来的桌面已经不一样了（原来桌面上有很多截图），但是我们装的一个 SnagIt8 软件还在，而且可以用。