naka共享空间: 深入了解活动目录

很好，很强大，很无语

Thu, 18 Sep 2008 01:52:31 GMT

全面封杀你不想运行的程序（比哈希强多了）

发现老是有人问如何封什么软件的问题，看完这个，我想你以后都不再发愁...........我自个觉得比哈希强多了
注：这些是用脚本、注册表来实现的，有些可能要用管理员的权限才能写入。
条件1：
首先在服务器(ad)上共亨一个文件夹A$,为了安全，访问设权限为只读，并保证客户端不用输帐号密码能正常访问这个A$文件夹。
（当然，如果你会写脚本让客户端自动输入帐号密码就更安全了，如果你会，请分亨一下. ）
条件2：
01.将下面=号分隔线中间的（分隔线不要），保存为 b.bat
b.bat导入\\192.168.1.66\A$目录下的全部REG注册表文件-(注意是全部注册表文件）。:)

========================================================
@FOR %%A IN (\\192.168.1.66\A$\*.REG) DO (REGEDIT /S %%A)
========================================================

:)
02.将下面=号分隔线中间的（分隔线不要），保存为 a.vbs
a.vbs延时大约10秒隐藏调用\\192.168.1.66\A$\B.bat    这样菜鸟MM就不会大惊小怪了
  请将这个脚本放到AD上计算机与用户配置的启动处（两处都放保险点）。
\\192.168.1.66这个路径请自行修改
================================================================
DIM objShell
set objShell=wscript.createObject("wscript.shell")
WScript.Sleep(10000)
iReturn=objShell.Run("cmd.exe /C \\192.168.1.66\A$\B.bat", 0, TRUE)
================================================================

条件3：
将下面=号分隔线中间的（分隔线不要），保存为 C.REG
修改注册表，禁止运行你想禁的程序，不够多可以自已加入。这个文件放到A$的共亨文件夹里。
当然你也可以简单点，直接把这个文件拷贝到你不想运行这些程序的机子上，双击这个文件。
================================================================
REGEDIT4
;

;“禁止运行程序”  <是>    (注：重启电脑后生效）  csb888csb
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisallowRun"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\DisallowRun]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"**delvals."=" "
"0001"="freecell.exe"    ; 空当接龙
"0002"="sol.exe"       ; 纸牌
"0003"="spider.exe"    ; 蜘蛛纸牌
"0004"="winmine.exe"    ; 扫雷
"0005"="pinall.exe"    ; 桌上弹球(三维弹球)
"0006"="mshearts.exe"    ; 红心大战
"0007"="chkrzm.exe"    ; Internet 跳棋
"0008"="bckgzm.exe"    ; Internet 双陆棋
"0009"="hrtzzm.exe"    ; Internet 红心大战
"0010"="shvlzm.exe"    ; Internet 黑桃王
"0011"="Rvsezm.exe"    ; Internet 翻转棋
"0012"="zclientm.exe"    ; 上面的Internet类游戏连接网络程序。
"0013"="wmplayer.exe"    ; Media Player系统自带播放器。
"0014"="moviemk.exe"    ; Windows Movie Maker系统自带视频剪辑！
"0015"="tm.exe"          ; 腾讯tm程序。
"0016"="qq.exe"          ; 腾讯qq程序。
"0027"="tt.exe"          ; 腾讯的浏览器器程序。
"0018"="realplay.exe"    ; RealPlayer播放器程序。
"0019"="Storm.exe"       ; 暴风影音播放器程序。
"0020"="flashget.exe"    ; 网络快车(FlashGet)程序。
"0021"="Thunder.exe"    ; 讯雷程序。
"0022"="BitComet.exe"    ; BT程序。
"0023"="QQDownload.exe" ; 腾讯超级旋风。
"0024"="setup.exe"       ; 默认的安装名程序包。（这个不推荐关闭）
================================================================

:P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P :P
可能有人说，我改一下程序名不就能运行了，:lol 但是，有很多程序是改名不能运行的。比如QQ.EXE改名就不行了。
又有人说我用绿色版QQ就可以了:o 。好吧，那再来一招绝、狠一点的吧。

将下面=号分隔线中间的（分隔线不要），保存为 D.REG  这个文件放到A$的共亨文件夹里。
当然你也可以简单点，直接把这个文件拷贝到你不想运行这些程序的机子上，双击这个文件。
程序名请按实际的使用自已加入。
注意了：这个注册表文件请小心使用。不然会要重装机了
指定可运行的程序，也就是说下面有的程序才能运行，当然系统本身的很多程序是可以运行的。不然就不能开机了。这个功能其实就是
组策略里面的，指定可运行的程序。只是用注册表来实现了，所以大家不用担心，这是安全的。
================================================================
REGEDIT4
;

;“指定可运行的程序”  <是> (注：重启电脑后生效）csb888csb
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"RestrictRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\RestrictRun]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
"0001"="regedit.exe"          ; 注册表编辑器（注：没有这个可就没法删除导入的注册表信息了，后果严重。只能重装机子）。
"0002"="gpedit.msc"          ; 组策略管理器（注：没有这个可就没法删除导入的注册表信息了，后果严重。只能重装机子）。
"0003"="mmc.exe"             ; 组策略管理器相关
"0004"="RegWorkshop.exe"    ; 注册表编辑工具
"0005"="Rav.exe"             ; 瑞星主程序
"0006"="RavMon.exe"          ; 瑞星文件监控程序
"0007"="RavService.exe"       ; 瑞星相关
"0008"="RavTray.exe"          ; 瑞星相关
"0009"="RavTask.exe"          ; 瑞星相关
"0010"="RavStub.exe"          ; 瑞星相关
"0011"="RavMonD.exe"          ; 瑞星相关
"0012"="taskmgr.exe"          ; 任务管理器
"0013"="notepad.exe"          ; 写字板
"0014"="cmd.exe"             ; cmd命令提示符
"0015"="IEXPLORE.EXE"       ; IE
"0016"="mstsc.exe"          ; 远程桌面连接
"0017"="Excel.exe"          ; Microsoft Office Excel
"0018"="Word.exe"             ; Microsoft Office Word
"0019"="poweront.exe"    ; Microsoft Office PowerPoint

================================================================
还不够具体吗？上面都有解释的了
1.  客户端开机时，自动执行a.vbs，  a.vbs的作用就是：延时大约10秒隐藏调用（\\192.168.1.66\A$\B.bat）的B.bat。
2.  b.bat的作用就是：导入\\192.168.1.66\A$目录下的全部REG注册表文件-(注意是全部注册表文件）。
3.  c.reg  里面的内容就是你要禁用的程序名。             这里列出的程序名就不能运行了。
4.  d.reg  里面的内容，就是你指定可以运行的程序名。比如，你的客户机，你在这里指定了A.EXE，那么，除了A.EXE这个程序以外的，其它的都不能运行。

如何，这样子的结合封杀，你还能不能用你的绿色版QQ:lol ，总之大家以后有什么注册表的文件，尽管向A$里扔就是了，呵呵，很方便是不是？

FSMO五种角色的作用

Mon, 28 Jan 2008 03:04:34 GMT

原来想自己写一个，碰巧找到了，这个在webcast上也有一个比较好的视频，红色是我加的。

FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念:

　　单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在NT4域的年代，域网络上区分PDC和BDC，所有的复制都是从PDC到BDC上进行的，因为NT4域用的是这种复制机构，所以要在网络上进行对域的修改就必须在PDC上进行，在BDC上进行是无效的。如果你的网络较小的话，那么这种机构的缺点不能完全的体现，但是如果是一个跨城区的网络，比如你的PDC在上海，而BDC在北京的话，那么你的网络修改就会显得非常的麻烦。

　　多主复制:多主复制是相对于单主复制而言的，它是指所有的域控制器之间进行相互复制，主要是为了弥补单主复制的缺陷，微软从Windows 2000域开始，不再在网络上区分PDC和BDC，所有的域控制器处于一种等价的地位，在任意一台域控制器上的修改，都会被复制到其它的域控制器上。

　　既然Windows 2000域中的域控制器都是等价的，那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器，而取决于FSMO五种角色在网络中的分布情况，现在开始进入正题，FSMO有五种角色，分成两大类:

　　1、森林级别(即一个森林只存在一台DC有这个角色):

　　(1)、Schema Master中文翻译成:架构主控

　　(2)、Domain Naming Master中文翻译成:域命名主控

　　2、域级别(即一个域里面只存一台DC有这个角色):

　　(1)、PDC Emulator 中文翻译成:PDC仿真器

　　(2)、RID Master 中文翻译成:RID主控

　　(3)、Infrastructure Master 中文翻译成:基础架构主控

网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的，否则就没有办法添加删除森里的域了。

　　一、接下来就来说明一下这五种角色空间有什么作用:

　　1、 Schema Maste

　　用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像，比如用户、计算机、打印机等，这些对像有一系列的属性，活动目录本身就是一个数据库，对像和属性之间就好像表格一样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Maste，如果大家部署过Excahnge的话，就会知道Schema是可以被扩展的，但需要大家注意的是，扩展Schema一定是在Schema Maste进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

　　2、建议:在占有Schema Maste的域控制器上不需要高性能，因为我们不是经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少，但我们必须保证可用性，否则在安装Exchnage或LCS之类的软件时会出错。

打开的方式：运行中使用Regsvr32 schmmgmt.dll，之后在mmc中可以添加

　　3、 Domain Naming Master （如果添加，删除，信任有问题，那么可能就是DNM出现问题）

　　这也是一个森林级别的角色，它的主要作用是管理森林中域的添加或者删除或者信任或者添加和删除对外部目录的交叉引用对象。如果你要在你现有森林中添加一个域或者删除一个域的话，那么就必须要和Domain Naming Master进行联系，如果Domain Naming Master处于Down机状态的话，你的添加和删除操作那上肯定会失败的。

　　4、建议:对占有Domain Naming Master的域控制器同样不需要高性能，我想没有一个建议和GC放在一起

　　5、 PDC Emulator

漏了一个作用：默认域主浏览器，提供浏览列表，刷新可能有延迟。

　　在前面已经提过了，Windows 2000域开始，不再区分PDC还是BDC，但实际上有些操作则必须要由PDC来完成，那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是以下操作:

　　⑴、处理密码验证要求;

　　在默认情况下，Windows 2000域里的所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC Emulator，然后由PDC Emulator触发一个即时更新，以保证密码的实时性，当然，实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路情况。

　　⑵、统一域内的时间;

　　微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过，微软这种设计主要是用来防止回放式攻击。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

　　⑶、向域内的NT4 BDC提供复制数据源;

　　对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况，这种情况下要向NT4 BDC复制，就需要PDC Emulator。

　　⑷、统一修改组策略的模板;

　　⑸、对Winodws 2000以前的操作系统，如WIN98之类的计算机提供支持;

　　对于Windows 2000之前的操作系统，它们会认为自己加入的是NT4域，所以当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC Emulator就会成为它们的联系对象!

　　建议:从上面的介绍里大家应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。

　4、RID Master

　　在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然我们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，所以当两个用户的SID一样的时候，尽管他们的用户名可能不一样，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种情况?这就需要用到RID Master，RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

　建议:对于占有RID Master的域控制器，其实也没有必要一定要求高性能，因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了，当然高可用性是必不可少的，否则就没有办法添加用户了。

GUID大括号，Sid使用S打头。RID主机负责整个域的RID分配，但是每个DC中也回分配自己的RID。每个DC的RID池用到80％就向RID主机申请500个连续的RID，之后DC再分发RID。

　　5、 Infrastructure Master （单域中无用？）

作用是：跨域的数据更新，因此这里描述有错误。

　　FSMO的五种角色中最无关紧要的可能就是这个角色了，它的主要作用就是用来更新组的成员列表，因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

　　建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下，Infrastructure Master根本不起作用，所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。

　　二、FSMO的规划，在规划时，请大家按以下原则进行:

　　1、占有Domain Naming Master角色的域控制器必须同时也是GC;

　　2、不能把Infrastructure Master和GC放在同一台DC上;

　　3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

　　4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

　　5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

　　6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

---------------------------------

故障：
Schema出现问题：
1，更新Schema受影响，比如说安装exchange ，lcs登，无法安装
2，短期内看不到影响

处理：
1，永久性脱机才去抓取到其他服务器上
2，确保此DC为最新的更新DC

Naming Master
1，添加删除dc或者信任出现问题
2，短信内看不到影响

处理
1，永久性脱机才去抓取到其他服务器上
2，确保此DC为最新的更新DC

RID Master：
1，无法获得新的RID池，建立大量用户无法建立。RID主机无法分配新的500个帐号。

处理：
1，永久性脱机才去抓取到其他服务器上
2，确保此DC为最新的更新DC

PDC Master
1,低端客户不能访问AD
2,不能跟改域帐号和密码
3,浏览服务问题
4,时间同步

处理:
1,及时恢复
2,临时抓取

谈论 Windows Server: 用于管理 Active Directory 的 11 个基本工具

Thu, 24 Jan 2008 09:08:37 GMT

引用

Windows Server: 用于管理 Active Directory 的 11 个基本工具
在一个大型的组织中，即使最常见的 Active Directory 任务（如添加和修改对象）都可能是乏味且耗时的。这 11 种工具可使 Active Directory 管理变得更加轻松。

关于GC (Hu Yi)

Wed, 23 Jan 2008 05:44:48 GMT

GC:存储森林中所有对象部分只读信息的特殊域控制器

GC作用：

1，存储森林对象信息，方便进行搜索
2，存储通用组成员成份信息，帮助用户构建范围令牌
3，UPN登录决定用户属于森林中的哪个域
4，EXchange
     提供全局地址列表GAL
     展开邮件列表，协助进行邮件分发
     DSACCESS组建访问GC获取目录信息

等等

限制用户多点并发登录

Wed, 16 Jan 2008 03:40:20 GMT

限制用户多点并发登录之四“UserLock”篇
http://bbs.winos.cn/thread-25646-1-2.html
限制用户多点并发登录之三“LimitLogin”篇
http://bbs.winos.cn/thread-25643-1-2.html
限制用户多点并发登录之二“脚本”篇
http://bbs.winos.cn/thread-25641-1-2.html
限制用户多点并发登录之一“登录到”篇
http://bbs.winos.cn/thread-25640-1-2.html

关于AD复制

Tue, 15 Jan 2008 09:47:48 GMT

概念：一个站点由一个或多个子网组成。这些子网内的计算机应该由高性能带宽的网络组成。并且这些自己架设的高性能网络在花费上比一般的由ISP组建的链路要便宜很多。如Ethernet对比拨号。我们可以认为它是用局域网连接起来的一个区域。当然，被广域网隔离的网络区域或者更慢的链路应该被定义为不同的站点。
提要：一、站点的范围
1 它可以包含一个域中的所有DC
2 它可以包含一个域中的部分DC
3 不同域的DC
二、站点包括服务器对象
三、第一个站点在DOMAIN完成时就会自动建立。默认站点是PDC，名称是Default-First-Site-Name
四、站点控制可以做什么？
1 当一个WINDOWNS NT用户试图登陆进DOMAIN时，因为时间和花费的考虑它会试图在相同的站点找到一个DC作为工作站。
2 复制数据。当目录中一个对象发生变化，如用户的密码发生变更时，站点间将会控制该变化怎样和什么时候被复制到另外一个站点的DC以维持资料的同步。
内容：一、站点内复制
站点内复制是一个站点内DC的复制。在地理上可能是物理距离比较近而且用高速局域网连接起来的DC群。站点内复制拓扑是通过RPC的环状结构拓扑。每个DC被它的GUID所识别（全局唯一标识符），类似于令牌。GUID用来映射复制路径。
1 站点内复制可以自动生成。KCC可以自动决定复制的路径。每当一个新的DC加入时，KCC就会自动考虑该新DC。KCC全称是“信息一致性检查器”，它是一个内置的进程，用于生成AD的复制拓扑。它也会在指定的时间间隔内检查复制拓扑并对其修改。
PS：使用“活动目录复制检查器”可以查看监视复制情况。
二、站点间复制
站点间复制是需要手工规划管理，而且被设计成压缩的数据传输。因为站点间复制通常是花费较大而时间较长的（相比于局域网）。
1 复制通过二种传输方式：TCP/IP的RPC同步传输和SMTP异步传输。第二种方式需要IIS5（以包括在WINDOWS 2000）中的SMTP组件的支持。
PS：SMTP的方式传输支持架构配置和全局目录复制，但是不可以在相同的域中进行复制。这是因为和不支持异步传输而且是必须要使用的FRS（File Replication Service）冲突。
2 我们可以在“活动目录站点和服务”中建立配置并连接站点和管理进行站点内\间的复制。
三、配置规划站点时需要考虑的因素
1 我们需要考虑网络传输的可用带宽和网络的质量。但从实际上前者更重要。
2 只有被认为快速低费用和可靠的子网才可以被规划成一个子网。实际上看是距离比较近，比如在同一层楼或同一幢楼中。
3 考虑复制流量和登陆的繁忙程度。每个登陆的请求都会产生一定的数据流。即使一个请求的数据是非常小的，但是如果在繁忙的时候，如上班员工纷纷打开计算机准备登陆时。如果这时进行复制是非常不明智的。具体的复制时间可以自己调整。
四、站点间复制的好处
1 我们能否自己制定复制发生的时间。如网络几乎被闲置的深夜。
2 指定传输的方式，RPC或SMTP。
3 站间复制总是被压缩，将数据缩小到原始的10%-15%。
PS：复制前也应该考虑该链路的作用：是用作复制还是用作登陆。考虑网络的质量，如水晶头的老化情况以防止发生故障。
教程: 一、创建一个新站点
步骤：首先确认作为Administrator登陆进域中。打开“活动目录站点和服务”。右击“站点”。选择“新站点”。输入站点名字。在“选择此站点的一个站点链接对象”中选择“DefaultSiteLink”。全部确定。
二、进行一次强制的站点对象复制
步骤：打开“活动目录站点和服务”。展开站点树。选定你要操纵复制的服务器。选择NTDS设置。选择要复制到的DC。单击“立即复制副本”。全部确定。
三、使用SMTP进行传输。
步骤：展开“活动目录站点和服务”中“站点”中的“站点传输”。右击SMTP。新建立链接和创建新站点连接。添加其并全部确定。PS：SMTP复制可能需要一定的时间。请等待刷新。一切都需要在二台DC上设置。

与 Active Directory 有关的 DNS 问题的疑难解答

Tue, 15 Jan 2008 05:38:58 GMT

Active Directory 的功能如何取决于是否对 DNS 基础结构进行了适当配置。这些配置包括：

DNS 客户端配置，其中包括域控制器、域成员和其他计算机的配置。
DNS 服务器和区域的配置，以及父 DNS 区域中的适当委派。
存在 DNS 域控制器定位器记录。

表 2.4 显示的是 Active Directory 正确发挥功能所需的 DNS 记录。

表 2.4 需要的 DNS 记录

助记键	类型	DNS 记录	要求
Pdc	SRV	_ldap._tcp.pdc._msdcs.<DnsDomainName>	每个域一个
GC	SRV	_ldap._tcp.gc._msdcs.<DnsForestName>	一个目录林至少一个
GcIpAddress	A	_gc._msdcs.<DnsForestName>	一个目录林至少一个
DsaCname	CNAME	<DsaGuide>._msdcs.<DnsForestName>	每个域控制器一个
Kdc	SRV	_kerberos._tcp.dc._msdcs.<DnsDomainName>	每个域至少一个
Dc	SRV	_ldap._tcp.dc._msdcs.<DnsDomainName>	每个域至少一个
	A	<DomainControllerFQDN>	每个域控制器一个（具有多个 IP 地址的域控制器可以有多个 A 资源记录）

在部署 Active Directory 时，请从一开始就按照有关 DNS 配置的最佳实例的建议进行操作，这是成功部署和操作 Active Directory 的关键。有关设计和部署 Active Directory 的最佳实例的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/，在“Planning & Deployment Guides”（计划与部署指南）下搜索并下载“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）和“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。

有关 DNS 问题疑难解答的详尽信息，请参见《Windows 2000 Server Resource Kit》（Windows 2000 Server 资源工具包）的“TCP/IP Core Networking Guide”（TCP/IP 核心网络指南）中的“Windows 2000 DNS”一节。

有关 WINS 名称解析问题的疑难解答的更多信息，请参见《Windows 2000 Server Resource Kit》（Windows 2000 Server 资源工具包）的“TCP/IP Core Networking Guide”（TCP/IP 核心网络指南）中的“Windows Internet Name Service”一节。有关该书的联机版本，请访问 http://www.microsoft.com/windows2000/reskit/。

表 2.5 显示的是指示发生了 DNS 问题的常见事件和现象，并提供可找到相关解决方案的章节。

表 2.5 指示 DNS 问题的 Netlogon 事件

事件或现象	根源	解决方案
Netlogon 事件 ID 5774	域控制器无法动态注册特定的 DNS 记录，即宣称它可作为域控制器的 DNS 记录。	解决域控制器定位器 DNS 记录注册失败的问题。
Netlogon 事件 ID 5775	域控制器无法动态注册特定的 DNS 记录，即宣称它可作为域控制器的 DNS 记录。	解决域控制器定位器 DNS 记录注册失败的问题。
Netlogon 事件 ID 5781	域控制器无法动态注册特定的 DNS 记录，即宣称它可作为域控制器的 DNS 记录。	解决域控制器定位器 DNS 记录注册失败的问题。
Netlogon 事件 ID 5783	错误信息中所列的源服务器无法对目标服务器调用远程过程调用 (RPC)。最常见的情况是，这意味着要么源服务器无法在 DNS 中找到目标服务器，要么目标服务器上的 RPC 接口不工作。	如果源服务器无法在 DNS 中找到目标服务器，请解决由于 DNS 配置错误而造成的 Active Directory 复制失败问题。如果这不是 DNS 问题，请解决 RPC 问题。
Active Directory 安装向导运行失败，因为它无法找到域控制器	为了向现有目录林添加服务器，Active Directory 安装向导必须能够在域或目录林中找到域控制器。	解决 Active Directory 安装向导无法找到域控制器的问题。
无法联接域	该失败可能是由于无法找到域控制器造成的，这通常表示有 DNS 问题。	解决尝试联接域时无法找到域控制器的问题。

由于 DNS 配置错误造成的 Active Directory 复制失败问题的疑难解答

错误的 DNS 配置可能导致出现各种失败，因为所有的 Active Directory 服务都取决于设备能否找到域控制器，这种查找操作是通过 DNS 查询来执行的。

由于 DNS 配置错误造成的 Active Directory 复制失败问题的疑难解答过程

验证 DNS 记录，并确定源域控制器的所有必需 DNS 记录是否都在目标域控制器使用的 DNS 服务器中。
如果目标域控制器能够解析必需的 DNS 记录，则该问题最有可能与网络连接有关，或者是由于与 Active Directory 相关的服务停止或运行不正常造成的。请使用 Ping 命令来验证源域控制器和目标域控制器之间的网络连接。

如果 Ping 命令失败，则您必须解决源域控制器和目标域控制器之间的网络连接问题。有关网络连接问题疑难解答的更多信息，请参见《Windows 2000 Server Resource Kit》（Windows 2000 Server 资源工具包）的“TCP/IP Core Networking Guide”（TCP/IP 核心网络指南）中的“TCP/IP Troubleshooting”（TCP/IP 疑难解答）一节。

如果能够使用 Ping 命令找到目标域控制器，则请解决 Active Directory 相关服务所出现的问题。请验证这些服务是否已启动并且运行正常。有关 Active Directory 相关服务问题疑难解答的更多信息，请参见本指南的“验证服务是否运行正常”一节，或者参见本指南中介绍每个服务的单个章节。

如果您无法解决该问题，请与指定的支持服务提供商联系，或者与 Microsoft 产品支持服务联系。

如果目标域控制器无法解析所需的 DNS 记录，那么该问题最有可能与 DNS 配置有关。
1. 验证网络配置，以确保目标域控制器的 IP 配置中指定的首选和备用 DNS 服务器设置正确无误。有关适用于 Active Directory 的正确 DNS 服务器设置的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/。然后在“Planning & Deployment Guides”（计划与部署指南）下搜索并下载“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）和“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。
2. 如果目标域控制器的设置不正确，请更改该配置，然后刷新 DNS 缓存，重新尝试执行以前失败的操作。

– 或者 –

如果目标域控制器的客户端设置配置正确，请验证管理 <DSAGuid>._msdcs.<ForestName> 的 CNAME 资源记录的主区域是否允许动态更新。（与源域控制器对应的 Server 对象中含有“NTDS 设置”容器，DSAGuid 是该容器的 objectDSA 属性的值。）

在源域控制器的命令提示处，键入下列命令并按 ENTER 键：

dcdiag /test:registerindns /dnsdomain

如果管理 CNAME 资源记录的主区域不允许动态更新，请在该区域上启用安全的动态更新。

对于源域控制器的 A 资源记录重复上述步骤。

验证网络配置，以确保源域控制器的 IP 配置中指定的首选和备用 DNS 服务器设置正确无误。有关适用于 Active Directory 的正确 DNS 服务器设置的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/，在“Planning & Deployment Guides”（计划与部署指南）下搜索“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）和“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。
如果源域控制器的设置不正确，请更改该配置，并刷新 DNS 缓存，然后停止并重新启动 Net Logon服务。
验证在目标域控制器上是否注册了所需的 DNS 资源记录。在命令提示处，键入下列命令并按 ENTER 键：

f. dcdiag /test:connectivity

刷新 DNS 缓存，然后重试复制过程。

如果问题依然存在，则可能是因为 DNS 数据复制有问题。查看 DNS 设计方案，确定它是否包含端对端 DNS 复制。确定 DNS 复制失败是不是由于 Active Directory 复制失败造成的。有关 Active Directory 复制失败问题的检测和疑难解答的更多信息，请参见本指南中的“Active Directory 复制问题的疑难解答”。
如果问题依然存在，请配置受影响的域控制器的 IP 设置，使它们都具有相同的主 DNS 服务器和辅 DNS 服务器。然后停止并重新启动 Net Logon，刷新 DNS 缓存，并重新尝试执行以前失败的操作。这是用来从失败恢复的临时配置，但一定要返回到根据“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）中提供的建议所设计的原始配置。有关适用于 Active Directory 的正确 DNS 服务器设置的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/，在“Planning & Deployment Guides”（计划与部署指南）下搜索并下载“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。
如果问题依然存在，请参见《Windows 2000 Server Resource Kit》（Windows 2000 Server 资源工具包）的“TCP/IP Core Networking Guide”（TCP/IP 核心网络指南）中的“Windows 2000 DNS”一节，获取有关 DNS 疑难解答的更多信息。

域控制器定位器 DNS 记录注册失败的疑难解答

如果系统事件日志中出现 Net Logon 服务记录的 ID 为 5774、5775 或 5781 的事件，则表明相应的域控制器无法动态注册特定的 DNS 记录，即宣称它可作为域控制器的 DNS 记录。这种失败造成的后果是，域控制器、域成员以及其他设备无法找到此域控制器。结果，其他域控制器可能无法从此域控制器进行复制。此外，其他计算机也可能无法联接此域，您还可能无法将其他域控制器添加到此域中（除非此域中的其他域控制器已经成功注册了域控制器定位器 DNS 记录）。

域控制器定位器 DNS 记录注册失败问题的疑难解答过程

验证网络配置，以确保域控制器的 IP 配置中指定的首选和备用 DNS 服务器正确无误。有关正确 DNS 设置的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/，在“Planning & Deployment Guides”（计划与部署指南）下搜索并下载“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）和“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。如果问题依然存在，请继续执行下一步。
在命令提示处，键入下列命令并按 ENTER 键：

3. dcdiag /test:registerindns /dnsdomain:FQDN /v

按照屏幕输出中提供的建议操作。

Active Directory 安装向导无法找到域控制器问题的疑难解答

若要在现有 Active Directory 目录林中的某台服务器上安装 Active Directory，则该服务器必须能够找到目录林根域的域控制器；如果是将域控制器添加到现有域，则必须能够找到该现有域的域控制器。

Active Directory 安装向导无法找到域控制器问题的疑难解答过程

验证网络配置，以确保要升级的服务器的 IP 配置中指定的首选和备用 DNS 服务器正确无误。有关正确 DNS 设置的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/，在“Planning & Deployment Guides”（计划与部署指南）下搜索并下载“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）和“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。如果问题依然存在，请继续执行下一步。
在命令提示处，键入下列命令之一，然后按 ENTER 键：

3. dcdiag /test:dcpromo /dnsdomain:FQDN /NewTree /ForestRoot:Forest_Root_Domain_DNS_Name/v

4. dcdiag /test:dcpromo /dnsdomain:FQDN /ChildDomain /v

5. dcdiag /test:dcpromo /dnsdomain:FQDN /ReplicaDC /v

这一命令测试现有的 DNS 基础结构，看是否有可以升级的域控制器。

按照屏幕输出中提供的建议操作。

尝试联接域时无法找到域控制器的疑难解答

因计算机找不到现有 Active Directory 域的域控制器而造成无法将此计算机加入到该域的问题，通常是由于 DNS 配置错误造成的。

尝试联接域时无法找到域控制器的疑难解答过程

验证网络配置，以确保尝试联接域的计算机的 IP 配置中指定的首选和备用 DNS 服务器正确无误。有关正确 DNS 设置的更多信息，请参见位于以下网址的 Web 资源页中的 Active Directory 链接：http://www.microsoft.com/windows/reskits/webresources/。然后在“Planning & Deployment Guides”（计划与部署指南）下搜索并下载“Best Practice Active Directory Design for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳设计实例）和“Best Practice Active Directory Deployment for Managing Windows Networks”（适用于管理 Windows 网络的 Active Directory 最佳部署实例）。如果问题依然存在，请继续执行下一步。
在命令提示处，键入下列命令，然后按 ENTER 键：

3. netdiag /test:dsgetdc /d:域名 /v

如果有任何测试过程失败，请按照屏幕输出中提供的建议操作。

创建 Active Directory site 详细操作

Tue, 08 Jan 2008 10:36:21 GMT

Naka原创

AD site建立分成以下几个步骤：
1，环境
2，在Win2k3_sl中建立建立第一台域控制器testsite.com。
3，在Win2k3_wl中建立额外域控制器：
4，重命名默认站点，并建立新站点
5，移动WL服务器到新站点
6，划分子网
7，修改站点连接名字

1，环境

操作系统：win2k3，两台服务器，分别为win2k3_sl和win2k3_wl

Win2k3_sl 网络配置如图:

Win2k3_wl 网络配置如图：

在次两个win2k3服务器之间有VPN连通，并且能够互相访问。

目标：

在Win2k3_sl上建立一个AD,然后通过VPN在Win2k3_wl建立一个原有AD的Site，使这两个服务器在不同的子网和不同的站点中,现实部署中，有vpn连接的两个office常用此方式。

2，在Win2k3_sl中建立建立第一台域控制器testsite.com。

在Win2k3_sl中使用dcpromo建立第一台域控制器testsite.com，并将DNS集成，安装support tools（省略）。然后使用dcdiag和netdiag来检查dc和网络配置是否有问题。如图所示，红色的command将这两个命令的结果存储到了c盘根目录下，如果没有什么项目是error的，那么就说明AD已经建立完整。能够正常运行.

3，在Win2k3_wl中建立额外域控制器：

在Win2k2_wl中，运行，然后使用dcpromo，如下图：

点击下一步：

选择额外不控制器，如下图

填写域控制器（win2k3_sl）的用户名字和密码

选择域名

安装完成之后，重新启动，使用dcdiag和netdiag看看有没有什么问题。默认情况下，有几个“错误”，但是都不是配置错误。参考http://yizh1977.spaces.live.com/blog/cns!2B3776EFF823A0D5!328.entry

4，重命名默认站点，并建立新站点

在win2k3_wl中，

单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 站点和服务”。出现下面的控制台：

重新命名默认站点

更改 Default-First-Site-Name1. 单击“+”号展开“Sites”树。在控制台左窗格中，右键单击“Default-First-Site-Name”，然后单击“重命名”。键入“Slsite”，然后按“Enter”键。

建立新站点右键单击“Sites”，然后单击“新站点”。在“新建对象 – 站点”对话框中，键入“Wlsite”作为新站点的名称。单击以突出显示“DEFAULTIPSITELINK”，然后单击“确定”。
点"确定"之后，出现下图：

仔细看看，站点建立的步骤都在这里了。

5，移动WL服务器到新站点
在“Active Directory 站点和服务”管理单元中，单击“Slsite”旁边的“+”号，然后单击“Servers”。在结果窗格中，右键单击“Wl”，然后单击“移动”。选择wlsite之后，确定。

移动完成之后，看看在wlsite中是否已经有了Wl这台dc

6，划分子网

在控制台左窗格中，单击“Subnets”，右键单击“Subnets”，然后单击“新建子网”。在“新建对象 – 子网”框中，键入“地址”和“掩码”数字.然后记住点选“slsite”，告诉服务器这个site对应这个子网。

重复以上动作，给wlsite也建立一个站点。

7，修改站点连接名字：

单击“Inter-Site Transports”旁边的“+”号，右键单击“IP”，选择默认站点连接。看看默认连接器的属性如下图：

修改描述成为sl－wl，说明这个连接器是用来连接这两个site的。这个很重要，如果右多个站点，那么在排错的时候，必须清楚site之间是怎么样进行连接的。

最后别忘记使用dcdiag和netdiag看看有没有问题.复制方面的问题经常要使用support tool里面的软件，我有空的时候就写一个这方面的文章

Dcdiag Examples

Tue, 08 Jan 2008 08:38:37 GMT

关于DCDIAG我经常使用,但是也有些地方是比较模糊,今天做site文挡的时候遇到了几个问题,这些问题其实很正常.

1,建立了WL AD之后,出现Example 1: A normal DC的情况

2,建立了WL AD之后,在SL中出现Example 2: Failed DNS registration情况

DCDiag Examples

Example 1: A normal DC

In this example, you want to examine the domain controller so you can verify that it is healthy and functioning properly. Type the following at the command prompt:

C:\Program Files\Support Tools>dcdiag /s:reskit-DC1 \administrator password

Output similar to the following displays:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\RESKIT-DC1
      Starting test: Connectivity
         ......................... RESKIT-DC1 passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\RESKIT-DC1
      Starting test: Replications
         ......................... RESKIT-DC1 passed test Replications
      Starting test: NCSecDesc
         ......................... RESKIT-DC1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... RESKIT-DC1 passed test NetLogons
      Starting test: Advertising
         ......................... RESKIT-DC1 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... RESKIT-DC1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... RESKIT-DC1 passed test RidManager
      Starting test: MachineAccount
         ......................... RESKIT-DC1 passed test MachineAccount
      Starting test: Services
         ......................... RESKIT-DC1 passed test Services
      Starting test: ObjectsReplicated
         ......................... RESKIT-DC1 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... RESKIT-DC1 passed test frssysvol
      Starting test: kccevent
         ......................... RESKIT-DC1 passed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:28:25
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:40:30
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:43:30
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:58:46
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:02:11
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:05:11
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:10:51
            Event String: The time provider NtpClient is configured to
         ......................... RESKIT-DC1 failed test systemlog

   Running partition tests on : Schema
      Starting test: DeadCRTest
         ......................... Schema passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: DeadCRTest
         ......................... Configuration passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : RESKIT-DOM
      Starting test: DeadCRTest
         ......................... RESKIT-DOM passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... RESKIT-DOM passed test CheckSDRefDom

   Running enterprise tests on : RESKIT-DOM.reskit.com
      Starting test: Intersite
         ......................... RESKIT-DOM.reskit.com passed test Intersite
      Starting test: FsmoCheck
         ......................... RESKIT-DOM.reskit.com passed test FsmoCheck

Example 2: Failed DNS registration

In this example, you have noticed that one of the DCs is not replicating properly. After verifying that the DC is operational and can be pinged by IP address, use DCDiag to do an enterprise check. Type the following at the command prompt:

C:\Program Files\Support Tools>dcdiag /s:reskit-DC1 \administrator password /e

Output similar to the following displays:

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\RESKIT-DC1
Starting test: Connectivity
......................... RESKIT-DC1 passed test Connectivity

Testing server: Default-First-Site-Name\RESKIT-DC2
Starting test: Connectivity
The host 7594898c-8ba4-4496-a01a-b0f2cadd28a6._msdcs.RESKIT-DOM.reskit.com could not be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(7594898c-8ba4-4496-a01a-b0f2cadd28a6._msdcs.RESKIT-DOM.reskit.com)
couldn't be resolved, the server name
(reskit-DC2.reskit-sib.RESKIT-DOM.reskit.com) resolved
to the IP address (172.26.220.34) and was pingable. Check that the IP
address is registered correctly with the DNS server.
......................... RESKIT-DC2 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\RESKIT-DC1
Starting test: Replications
[Replications Check,RESKIT-DC1] A recent replication attempt failed:
From RESKIT-DC2 to RESKIT-DC1
Naming Context: CN=Configuration,DC=RESKIT-DOM,DC=reskit,DC=com
The replication generated an error (1722):
The RPC server is unavailable.
The failure occurred at 2001-12-21 02:19:04.
The last success occurred at 2001-12-21 01:57:43.
1 failures have occurred since the last success.
The source remains down. Please check the machine.
......................... RESKIT-DC1 passed test Replications
Starting test: NCSecDesc
......................... RESKIT-DC1 passed test NCSecDesc
Starting test: NetLogons
......................... RESKIT-DC1 passed test NetLogons
Starting test: Advertising
......................... RESKIT-DC1 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... RESKIT-DC1 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... RESKIT-DC1 passed test RidManager
Starting test: MachineAccount
......................... RESKIT-DC1 passed test MachineAccount
Starting test: Services
......................... RESKIT-DC1 passed test Services
Starting test: ObjectsReplicated
......................... RESKIT-DC1 passed test ObjectsReplicated
Starting test: frssysvol
......................... RESKIT-DC1 passed test frssysvol
Starting test: kccevent
......................... RESKIT-DC1 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 01:28:25
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 01:40:30
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 01:43:30
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 01:58:46
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 02:02:11
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 02:05:11
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 02:10:51
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 02:13:51
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 02:18:58
Event String: The time provider NtpClient is configured to
An Error Event occured. EventID: 0xC25A001D
Time Generated: 12/21/2001 02:21:58
Event String: The time provider NtpClient is configured to
......................... RESKIT-DC1 failed test systemlog

Testing server: Default-First-Site-Name\RESKIT-DC2
Skipping all tests, because server RESKIT-DC2 is
not responding to directory service requests

Running partition tests on : Schema
Starting test: DeadCRTest
......................... Schema passed test DeadCRTest
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: DeadCRTest
......................... Configuration passed test DeadCRTest
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : RESKIT-DOM
Starting test: DeadCRTest
......................... RESKIT-DOM passed test DeadCRTest
Starting test: CheckSDRefDom
......................... RESKIT-DOM passed test CheckSDRefDom

Running partition tests on : reskit-sib
Starting test: DeadCRTest
......................... reskit-sib passed test DeadCRTest
Starting test: CheckSDRefDom
......................... reskit-sib passed test CheckSDRefDom

Running enterprise tests on : RESKIT-DOM.reskit.com
Starting test: Intersite
......................... RESKIT-DOM.reskit.com passed test Intersite
Starting test: FsmoCheck
......................... RESKIT-DOM.reskit.com passed test FsmoCheck

Example 3: Failed Netlogon Service

In this example, the Netlogon Service has failed on one of the domain controllers. To troubleshoot, type the following command:

C:\Program Files\Support Tools>dcdiag /s:reskit-DC1 \administrator password

Output similar to the following displays:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\RESKIT-DC1
      Starting test: Connectivity
         ......................... RESKIT-DC1 passed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\RESKIT-DC1
      Starting test: Replications
         ......................... RESKIT-DC1 passed test Replications
      Starting test: NCSecDesc
         ......................... RESKIT-DC1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... RESKIT-DC1 passed test NetLogons
      Starting test: Advertising
         Fatal Error:DsGetDcName (RESKIT-DC1) call failed, error 1722
         The Locator could not find the server.
         ......................... RESKIT-DC1 failed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... RESKIT-DC1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... RESKIT-DC1 passed test RidManager
      Starting test: MachineAccount
         ......................... RESKIT-DC1 passed test MachineAccount
      Starting test: Services
            NETLOGON Service is stopped on [RESKIT-DC1]
         ......................... RESKIT-DC1 failed test Services
      Starting test: ObjectsReplicated
         ......................... RESKIT-DC1 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... RESKIT-DC1 passed test frssysvol
      Starting test: kccevent
         ......................... RESKIT-DC1 passed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:28:25
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:40:30
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:43:30
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:58:46
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:02:11
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:05:11
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:10:51
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:13:51
            Event String: The time provider NtpClient is configured to
         ......................... RESKIT-DC1 failed test systemlog

   Running partition tests on : Schema
      Starting test: DeadCRTest
         ......................... Schema passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: DeadCRTest
         ......................... Configuration passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : RESKIT-DOM
      Starting test: DeadCRTest
         ......................... RESKIT-DOM passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... RESKIT-DOM passed test CheckSDRefDom

   Running enterprise tests on : RESKIT-DOM.reskit.com
      Starting test: Intersite
         ......................... RESKIT-DOM.reskit.com passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1717
         A Global Catalog Server could not be located - All GC's are down.
         Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1717
         A Primary Domain Controller could not be located.
         The server holding the PDC role is down.
         Warning: DcGetDcName(TIME_SERVER) call failed, error 1717
         A Time Server could not be located.
         The server holding the PDC role is down.
         Warning: DcGetDcName(GOOD_TIME_SERVER_PREFERRED) call failed, error 1717
         A Good Time Server could not be located.
         Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1717
         A KDC could not be located - All the KDCs are down.
         ......................... RESKIT-DOM.reskit.com failed test FsmoCheck

Example 4: Unresponsive or inaccessible server

In this example, you have noticed replication problems. To resolve the issue, type the following at the command line:

C:\Program Files\Support Tools>dcdiag /s:reskit-DC1 \administrator password /e

Output similar to the following displays:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Default-First-Site-Name\RESKIT-DC1
      Starting test: Connectivity
         ......................... RESKIT-DC1 passed test Connectivity

   Testing server: Default-First-Site-Name\RESKIT-DC2
      Starting test: Connectivity
         Server RESKIT-DC2 resolved to this IP address 172.26.220.34,
         but the address couldn't be reached(pinged), so check the network.
         The error returned was: Error due to lack of resources.
         This error more often means that the targeted server is
         shutdown or disconnected from the network
         ......................... RESKIT-DC2 failed test Connectivity

Doing primary tests

   Testing server: Default-First-Site-Name\RESKIT-DC1
      Starting test: Replications
         [Replications Check,RESKIT-DC1] A recent replication attempt failed:
            From RESKIT-DC2 to RESKIT-DC1
            Naming Context: CN=Configuration,DC=RESKIT-DOM,DC=reskit,DC=com
            The replication generated an error (1722):
            The RPC server is unavailable.
            The failure occurred at 2001-12-21 02:19:04.
            The last success occurred at 2001-12-21 01:57:43.
            1 failures have occurred since the last success.
            The source remains down. Please check the machine.
         ......................... RESKIT-DC1 passed test Replications
      Starting test: NCSecDesc
         ......................... RESKIT-DC1 passed test NCSecDesc
      Starting test: NetLogons
         ......................... RESKIT-DC1 passed test NetLogons
      Starting test: Advertising
         ......................... RESKIT-DC1 passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... RESKIT-DC1 passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... RESKIT-DC1 passed test RidManager
      Starting test: MachineAccount
         ......................... RESKIT-DC1 passed test MachineAccount
      Starting test: Services
         ......................... RESKIT-DC1 passed test Services
      Starting test: ObjectsReplicated
         ......................... RESKIT-DC1 passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... RESKIT-DC1 passed test frssysvol
      Starting test: kccevent
         ......................... RESKIT-DC1 passed test kccevent
      Starting test: systemlog
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:28:25
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:40:30
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:43:30
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   01:58:46
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:02:11
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:05:11
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:10:51
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:13:51
            Event String: The time provider NtpClient is configured to
         An Error Event occured.  EventID: 0xC25A001D
            Time Generated: 12/21/2001   02:18:58
            Event String: The time provider NtpClient is configured to
         ......................... RESKIT-DC1 failed test systemlog

   Testing server: Default-First-Site-Name\RESKIT-DC2
      Skipping all tests, because server RESKIT-DC2 is
      not responding to directory service requests

   Running partition tests on : Schema
      Starting test: DeadCRTest
         ......................... Schema passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: DeadCRTest
         ......................... Configuration passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : RESKIT-DOM
      Starting test: DeadCRTest
         ......................... RESKIT-DOM passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... RESKIT-DOM passed test CheckSDRefDom

   Running partition tests on : reskit-sib
      Starting test: DeadCRTest
         ......................... reskit-sib passed test DeadCRTest
      Starting test: CheckSDRefDom
         ......................... reskit-sib passed test CheckSDRefDom

   Running enterprise tests on : RESKIT-DOM.reskit.com
      Starting test: Intersite
         ......................... RESKIT-DOM.reskit.com passed test Intersite
      Starting test: FsmoCheck
         ......................... RESKIT-DOM.reskit.com passed test FsmoCheck

Active Directory和DNS 的 SRV记录

Sun, 06 Jan 2008 13:31:39 GMT

Naka 原创

首先来看看默认情况下AD下的DNS:

环境：
win2k3
ip:192.168.0.9
dns:192.168.0.9
域:test.com
完整的计算机名:cd1.test.com
DNS建成AD

下图可以看出，主要分两个部分组成，名为test.com的域在微软的DNS中并没有简单的注册成test.com，DNS实际上是建立tset.com之后，在test.com中建立了一个子域，也就是_msdcs.test.com,然后将_msdcs区域委派给DNS Server自己(在win2k中和win2k3有所不同)。微软这也做的原因有二个，我也只能猜想了（哪位知道，请补充一下）。其一是为了在多个服务器之间分配通信量负载，需要将一个大的区域分成若干小的区域，这提高了 DNS 名称解析性能或创建了一个容错性更好的 DNS 环境。其二，需要通过立刻添加许多子域来扩展名称空间，例如提供开放的新分支或站点。简单来说就是建立一个高可用性和可靠性的dns服务系统。

test.com_msdcs：
灰色的文件夹，看到灰色文件夹不要认为不正常，这里是将_msdcs域委派给了test.com，我们点开_msdcs.test.com来看看是些什么，msdcs下包含了四个子域dc，domain，gc和pdc。

dc和gc：
其中dc和gc是按照站点来划分的，这也可以让客户机快速的找到想到找的Active Directory服务（kerberse，ldap等）我这个测试环境只有一个site，名字为Default-first-site-name(DFSN)。那么为什么按照站点来划分？我想应该和客户端登陆过程有关，其登陆使用三种类型的信息来尝试找到域控制器，也就是kerberse服务器。这三种类型分别是域名，GUID，站点识别标识。

按照上图，来说明一下什么是SRV记录，看上图中的_kerbers属性。
域：DFSN._sites.dc.msdcs,这是一个子域，也就是test.com下的子域。
服务：kerberos服务
协议：使用了tcp协议
优先级：0～65535之间的数，数字越小，级别越高
权数（重）:0～65535之间的数.设置附加的优先级，用于确定在应答SRV查询中使用的目标主机的准确顺序或选择平衡
端口号：tcp使用的端口号
以上详细信息查看http://yizh1977.spaces.live.com/blog/cns!2B3776EFF823A0D5!288.entry

这个属性面板到底说的是什么呢？在test.com的DFSN._sites.dc.msdcs子域中有一个使用tcp的kerberos服务器（注意就是域可控制器）。当用户通过tcp协议的88端口对kerberos做请求时，这台dc将做反应。

Domains：
domains下面的那些数字是domainguid，如下图所示：_ldap._tcp.domainguid.domains._msdcs.test.com.这个属性面板说明，当用户通过tcp协议的389端口对ldap进行请求时，test.com下的子域domainguid.domains._msdcs将做出反应。这个主要是用于复制。

看下图：还剩下_sites,_tcp,_udp和其他两个子域。那两个子域是存储林信息的，在这里不做介绍。

_sites:
站点代表的是一个高速连接区域，根据DC的站点从属关系来建立了DC索引之后，客户端就可以检查_SITES来寻找本地服务，而不必通过WAN来发送它们的LDAP查询请求。标准LDAP查询端口是389，全局编录查询则使用3268（如图所示）。在site中提供三种服务，GC，Ldap，kerberos，其实Gc指的也是ldap，但是ms取了一个名字，叫Global Catalog，是与一个域的子集交流的服务。也就是site具备了除_kpasswd这外的其他所有服务。以下是其具体说明：
1，_gc._tcp.._sites.—允许客户机找到与指定的使用活动目录根域的站点最切合的全局目录服务器。
2，_kerberos._tcp.._sites.—允许客户机找到最切合指定站点的域中的KDC。
3，_ldap._tcp.._sites.—允许客户机在最切合指定站点的域中找到ldap服务器

_tcp:
收集了DNS区域中的所有DC也就是提供kerberos验证服务的服务器。如果客户端找不到它们特定的站点，或者具有本地SRV记录的任何DC都没有响应，需要寻找网络中其他地方的DC，就应该将这些客户端放到这个分组中。在这个子域中，可以得到AD得所有服务gc,kerberos,kpasswd,ldap，以下是其具体说明：
1，_ldap._tcp.—允许客户机在指定域中找到ldap服务器
2，_gc._tcp.—允许客户机找到使用活动目录根域的全局目录服务器
3，_kerberos._tcp.—允许客户机找到对本域的kerberosKDC服务
4，kpasswd._tcp.—允许客户机找到域中的kerberos改变密码服

_udp:
kerberos v5允许客户端使用获取票证并更改密码。这是通过与相同服务的TCP端口对应的UDP端口来完成的,票证交换使用UDP的88端口，而密码更改使用464。以下是其具体说明：
1，kerberos._udp。－允许客户机找到对本域的kerberosKDC服务，使用udp
2，_kpasswd._udp.—允许客户机找到域中的kerberos改变密码服务，使用udp

搞了一下午终于弄完了，这些概念和知识主要用于排错。