網(wǎng)絡(luò)診斷工具

Active Directory管理工具

首先讓我們先來了解一下Active Directory瀏覽器工具（ADExplorer.exe）的使用，您可以將它安裝在Windows 2000以上版本的操作系統(tǒng)上。

Active Directory瀏覽器（AD Explore）是一個高級的Active Directory的查看器與編輯器。IT人員可以通過它來輕易地瀏覽整個AD數(shù)據(jù)庫的內(nèi)容、定義自己的導覽位置、查看對象的屬性內(nèi)容與設(shè)置值、編輯權(quán)限設(shè)置、查看對象的Schema以及建立自定義的搜尋設(shè)置。

圖4 AD瀏覽工具

此外，Active Directory瀏覽器也可以讓您存儲AD數(shù)據(jù)庫的快照，以便于可以在脫機的狀態(tài)下進行查看，或是與現(xiàn)有運行中的在線AD數(shù)據(jù)庫進行各種內(nèi)容的比較。通過自動化條件設(shè)置的比對功能，讓IT人員可以迅速得知哪一些對象的設(shè)置出了現(xiàn)異常，或是權(quán)限的設(shè)置已經(jīng)修正過等。

在點選執(zhí)行后，將會先開啟“Connect to Active Directory”聯(lián)機頁面設(shè)置，在此您可以輸入所要聯(lián)機的域名稱以及登錄的賬戶密碼。如果目前計算機已登錄域，則可以直接點選“OK”按鈕聯(lián)機。

此外，后續(xù)如果有其他存儲AD數(shù)據(jù)庫的快照文檔，也可以在此瀏覽中加載。而對于所建立的AD數(shù)據(jù)庫聯(lián)機，如果想要儲存，則可以將下方的“Save this connection”選項勾選,并且輸入一個識別名稱即可。

完成登錄之后，您也可以在任一容器中新增對象。在“New Object”的下拉選單中，可以選取新增對象的類型。接著只要完成對象屬性的各項字段設(shè)置即可（如圖4）。

對于目前的AD數(shù)據(jù)庫，您可以將它快照到指定的文件夾中，只要執(zhí)行“Snapshot Active Directory”即可。這樣，以后如果需要進行目前AD數(shù)據(jù)庫與之前快照的AD數(shù)據(jù)庫進行差異性比對時，只要點選位于“Compare”下拉選單中的“Compare Snapshots”功能，便可以讓我們加載快照的AD數(shù)據(jù)庫文檔，并且選擇所要比對的容器與與屬性字段。最后，點選“Compare”按鈕，即可開始進行差異性比對。

Active Directory Explorer下載網(wǎng)址：http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

搜尋與還原已刪除的AD對象

圖5 搜尋已刪除的對象

當我們在“Active Directory用戶及計算機”的界面中刪除了某一個對象時，系統(tǒng)會先將該對象的isDeleted屬性字段設(shè)置為True，一直到其生存時間（TTL）到期時才會真正從Active Directory中刪除。而生存時間是多長呢？在默認的狀態(tài)下，Windows 2000和Windows Server 2003配置的樹系為60天，如果是Windows Server 2003 SP1以上版本，所配置的樹系則為180天。

因此，如果您在Active Directory中不小心刪除的對象還在TTL到期的時間之內(nèi)，那么您便可以善用AdRestore.exe命令工具來將它還原，它可以在Windows XP或Windows Server 2003以上版本的操作系統(tǒng)上運行。

圖5為筆者在此輸入AdRestore.exe來搜尋已經(jīng)刪除的tank用戶對象，在搜尋結(jié)果中告知了我們這個對象仍存在Active Directory的Users容器中。

最后，輸入AdRestore.exe -r"tank"來還原此用戶對象。執(zhí)行系統(tǒng)將會詢問我們確認要還原該對象嗎？輸入y，即可完成此用戶對象的還原了。

AdRestore下載網(wǎng)址：http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx

查看TCP與UDP聯(lián)機信息

想要迅速知道在目前的計算機中有哪些執(zhí)行中的程序正在對外進行TCP與UDP的聯(lián)機，最簡單的方法就執(zhí)行圖形界面的TCPView工具，它可以在Windows XP或Windows Server 2003以上版本的操作系統(tǒng)上運行，可以說是系統(tǒng)內(nèi)置的netstat命令工具的圖形界面版本。

在窗口中可以清楚地查看到，哪些進程（Process）正在通過TCP或UDP通訊協(xié)議進行聯(lián)機，并且可以得知本地端與遠程所使用的地址、通訊端口號碼以及狀態(tài)。

如果想要了解特定的執(zhí)行程序，只要以鼠標連續(xù)點選該程序，即可看到該程序的儲存路徑與所使用的相關(guān)參數(shù)，并且可以隨時將該程序的進程中斷掉。此外，您也可以從“Options”選單中點選“Refresh Rate”來變更更新的頻率（默認=1秒）。TCPView下載網(wǎng)址：http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

TCP/UDP端點查看命令工具

除了圖形界面的TCPView工具之外，您還可以考慮使用更輕巧的命令工具tcpvcon.exe，它同樣可以運行在Windows XP或Windows Server 2003以上版本的操作系統(tǒng)上。默認會顯示所有已建立的TCP聯(lián)機，并且自動解析本地與遠程的完整域名稱地址（FQDN）。

如果想要顯示所有端點，可以使用-a參數(shù)，如果想將結(jié)果輸出成CSV文檔，可以使用-c參數(shù)，如果不想自動解析地址名稱，可以搭配-n參數(shù)。

圖6 進程瀏覽器

無論是使用TCPView還是tcpvcon工具，對于本地某些服務(wù)占用特定的通訊端口時（例如：網(wǎng)站默認的80端口），就可以通過這一類的工具來迅速找到問題所在。建議您參考一下Microsoft知識庫文章http://support.microsoft.com/kb/816944中所描述的IIS網(wǎng)站無法啟動的問題。

tcpvcon獨立下載網(wǎng)址：http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

查詢Internet地址登記信息

Whois這一個命令工具，可以針對指定的域名稱或IP地址執(zhí)行登錄信息的查詢，它可以運行在Windows XP或Windows Server 2003以上版本的操作系統(tǒng)上。我們可以從中得知目標域的建立日期、注冊的日期、到期的日期、組織的名稱、組織的地址、管理員的信息等。

Whois獨立下載網(wǎng)址：http://technet.microsoft.com/en-us/sysinternals/bb897435.aspx

進程瀏覽器與監(jiān)控工具

相信大家都使用過Windows操作系統(tǒng)內(nèi)置的任務(wù)管理器（Task Manager），來查看目前處理器、內(nèi)存、網(wǎng)絡(luò)以及處理程序的使用情形，不過這個默認功能只能讓您看到較粗略的信息，并且進行一些較單的管理動作（例如：中斷某個執(zhí)行的應(yīng)用程序或處理程序）。

如今，可以進行更高級的選擇，那就是內(nèi)含在Sysinternals套件中的處理程序瀏覽器（Process Explorer），它可以運行在Windows XP（包含IA64版本）或Windows Server 2003（包含IA64版本）以上版本的操作系統(tǒng)上。

您只要執(zhí)行Procexp.exe，即可開啟如圖6所示的處理程序瀏覽器窗口，在此可區(qū)分為上下不同信息的瀏覽窗口，如果處于句柄（Handles）查看模式時，下方窗口將會顯示所選取處理程序的相對應(yīng)句柄（目錄、檔案、事件、登錄機碼、進程等）。如果是處于DLL查看模式，則會像示例中那樣顯示相對應(yīng)加載的DLL清單。

關(guān)于這兩種查看模式的切換，可以點選工具欄的圖示，或是點選“View”選單下的“Lower Pane View”子選單來完成。至于各類顏色的標記，可以通過“Options”選單下的“Configure Highlighting”項目來設(shè)置，例如，您可以設(shè)置針對所有以.NET所開發(fā)的應(yīng)用程序以紫色顯示。而針對自動顯示在右下角任務(wù)欄中的動態(tài)性能圖標，可以從“Options→Tray Icons”下拉選單中選取所要顯示的項目，分別有處理器、內(nèi)存、I/O等。

圖7 整合至任務(wù)欄

如果您想看某一個處理程序的詳細屬性信息，只要對該項目點擊鼠標右鍵，選擇“Properties”，即可查看到此程序會話所占用的處理器、內(nèi)存以及I/O資源的使用情形。如果切換到“Performancne”，則可以查看到更詳盡的各性能數(shù)據(jù)，例如：I/O讀取與寫入的性能或是內(nèi)存高峰時的使用量等。切換到“Image”頁面，則可以看到該執(zhí)行程序的路徑與參數(shù)，您可以在這里點選“Kill Process”按鈕來進行刪除處理程序的操作。針對高級的管理操作，可以從“Process”下拉選單或按下鼠標右鍵，點選“Kill Process Tree”、“Restart”、“Suspend”任一操作。

在整個系統(tǒng)信息與圖表的完整顯示部分，可以在“View→ System Information”中查看多處理器核心的平均運行狀態(tài)，也可以讓每個處理器核心個別使用各自的圖形來表示。而在最小化的時候，會顯示在如圖7所示的任務(wù)欄中。

最后，如果您希望使用此工具來取代默認的任務(wù)管理器，則可以點選位于“Options”下拉選單中的“Replace Task Manager”，以后我們開啟任務(wù)管理器時，所看到的窗口將處理程序瀏覽器了。

Process Explorer下載網(wǎng)址：http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

程序監(jiān)視器

下面介紹專門用于監(jiān)控目前執(zhí)行中的程序，對于文檔與登錄文檔的存取情形，有助于診斷系統(tǒng)故障問題或是發(fā)現(xiàn)惡意程序、病毒或木馬的感染跡象。它可以運行在Windows XP SP2或Windows Server 2003 SP1以上版本的操作系統(tǒng)上。

此工具的使用只要點選“Procmon.exe”即可開啟監(jiān)視畫面，默認會根據(jù)不同的屬性條件，以不同顏色來進行標記。您也可以直接針對目前選取的處理程序，點選“Options”下拉選單中的“Highlight Colors”來設(shè)置顯示的顏色。

如果您還是覺得想要查看所關(guān)心的程序不是很方便，建議您可以在“Filter”下拉選單中點選“Highlight...”，來開啟篩選條件設(shè)置頁面，例如您可以設(shè)置只針對特定的幾個執(zhí)行程序來進行監(jiān)控。