在實際排查AD故障時,面臨的情況可能比較復(fù)雜,需要盡快發(fā)現(xiàn)和解決問題。為了便于排查AD錯誤,系統(tǒng)提供了一些實用的工具。例如,使用DCDIAG這一工具,可以分析域控的狀態(tài),針對域控的特定功能進行測試,并將測試的結(jié)果以文本形式顯示。使用NETDOM這一工具,可以對域的信任關(guān)系進行管理檢查,利用該工具可以查詢活動目錄的相關(guān)信息,確認數(shù)據(jù)庫復(fù)制是否正常。
使用NETDIAG這一通用工具,可以進行網(wǎng)絡(luò)功能的診斷,來幫助用戶分析和網(wǎng)絡(luò)相關(guān)的AD故障信息,例如和DNS以及IP地址配置相關(guān)的AD錯誤。
執(zhí)行“netdiag /debug> xxx.txt”命令,將檢測信息保存到名為“xxx.txt”的文件中,打開該文件,可以看到非常詳細的測試信息,包括所有網(wǎng)絡(luò)接口的連通 性,和 NetBIOS、DNS、NetBT、Winsock等配置項目的分析信息等。對于標識為“Passed”的項目,表示測試通過,對于標識為“Failed”的項目,就需要加以關(guān)注了。利用這些信息,可以很清楚地了解與網(wǎng)絡(luò)有關(guān)的錯誤項目。
當通過了網(wǎng)絡(luò)測試之后,可以使用NETDOM命令,對客戶機加入域以及信任的情況進行測試。
執(zhí)行“netdom query”命令,在返回信息中看到其可以使用的附加參數(shù),包括對域中的工作站、服務(wù)器、域控、OU、主域控制器角色PDC、操作主機FSMO以及信息關(guān)系等對象進行查詢。
例如執(zhí)行“netdom dc”命令,可以查看域中的域控信息。利用該命令,可以更加有效地了解網(wǎng)絡(luò)結(jié)構(gòu),確定不同角色的真實位置,例如確定PDC在哪臺域控上等。 執(zhí)行“dcdiag /v /c”命令,對當前域控執(zhí)行全面的測試。
執(zhí)行“dcdiag /v/c /a”命令,可以對整個站點中的所有域控進行測試。
執(zhí)行“dcdiag /v/c /e”命令可以對企業(yè)網(wǎng)中的所有域控進行測試。為了便于觀察,可以將測試結(jié)果保存到文件中。
例如執(zhí)行“dcdiag /v/c >xxx.txt”命令,打開“xxx.txt”文件,查看和網(wǎng)絡(luò)連通性,對域控的各種功能的狀態(tài)等信息。
該命令可以根據(jù)事件日志中和AD相關(guān)的事件進行分析,如果在最近的一段時間(例如半小時內(nèi)等)域控發(fā)生了錯誤,也會被該工具檢測記錄下來。如果發(fā)現(xiàn)某測試項顯示“passed test”內(nèi)容,說明其沒有問題。如果經(jīng)過以上攻擊的測試,沒有發(fā)現(xiàn)具體錯誤的話,就說明問題比較復(fù)雜。