Сразу после выпуска операционной системы Windows 2000 многие администраторы столкнулись с проблемами при работе с инфраструктурой Active Directory. Некоторые из этих проблем были связаны с ошибками в настройке, а некоторые были результатом отказов системы. Выход Windows Server 2003 показал, что служба Active Directory стала более зрелой, и множество администраторов научились настраивать эту службу для достижения необходимой надежности службы каталогов, работающей на уровне предприятия.
Так как Active Directory представляет собой сердце системы безопасности организации, любые отказы в службе Active Directory требуют немедленной реакции и быстрого решения проблемы.
В представленных далее статьях рассматривается диагностика и исправление проблем в работе Active Directory, что позволит администраторам быстро устранять любые трудности, которые могут возникать при использовании этой службы.
Так как Active Directory имеет иерархическую архитектуру, большая часть процесса исправления проблемы заключается в поиске уровня или места, в котором возникла проблема. Помня об этом, начнем рассматривать базовые компоненты архитектуры Active Directory.
Обзор архитектуры Active Directory
Перед рассмотрением диагностики и исправления проблем в работе Active Directory, начнем с базовых понятий. В следующих статьях рассматриваются базовые компоненты службы Active Directory.
- Active Directory: леса (Forests) и домены (Domains)
- Active Directory: организационные подразделения (Organizational units)
- Active Directory: сайты (Sites)
- Active Directory: контроллеры домена (Domain Controllers)
- Active Directory: объекты групповой политики (Group policy objects)
В этих статьях можно узнать про функциональные уровни Active Directory.
- Active Directory: описание функциональных уровней
- Active Directory: функциональные уровни домена
- Active Directory: функциональные уровни леса
О том, что нового в реализации Active Directory для Windows Server 2003 рассказывается вот здесь.
Оснастки Active Directory
В составе операционной системы Windows Server 2003 предоставляется четыре очень полезных оснастки с графическим интерфейсом, которые предназначены для диагностики и исправления ошибок в работе Active Directory.
- Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers)
- Active Directory — Домены и доверие (Active Directory — Domains and Trusts)
- Active Directory — Сайты и службы (Active Directory — Sites and services)
- Active Directory — Схема (Active Directory — Schema)
Диагностика Active Directory
Из-за логической структуры Active Directory процесс диагностики намного упрощается. Использование правильного инструмента позволяет определить источник проблемы за несколько минут. Далее представлены ссылки на описание утилит для командной строки и программ, имеющих графический интерфейс, которые используются для диагностики Active Directory.
Каждая утилита имеет свои задачи в диагностике и управлении Active Directory. Если возникнет необходимость в исправлении Active Directory, очень важно знать, какой инструмент должен использоваться.
- Утилита ACLDIAG
- Утилита DCDIAG
- Утилита GPRESULT
- Утилита GPUPDATE
- Утилита NLTEST
- Утилита REPLMON
- Утилита RSOP
Диагностика проблем в работе контроллеров доменов Active Directory
В работе отдельных контроллеров доменов может возникать несколько проблем. Но никогда не следует забывать, что кажущаяся проблема локального контроллера домена на самом деле связана с недоступностью удаленного контроллера домена, который поддерживает необходимую роль хозяина операции. Если нет уверенности в природе проблемы, возникшей в работе локального контроллера домена, запустите утилиту dcdiag. Это будет хорошим началом процесса диагностики, так как эта команда выполняет последовательность тестов над контроллером домена.
Если контроллер домена проявляет определенный симптом, обратитесь к подходящему описанию проблемы, представленному далее.
- Невозможно подключится к контроллеру домена Windows 2000
- Утилита DCPromo не в состоянии повысить сервер до контроллера домена
- Сообщения об ошибке Домен не найден (Domain Not Found), Сервер не доступен (Server Not Available) и Сервер RPF не доступен (RPF Server Is Unavailable)
- Невозможно зарегистрироваться локально
- Невозможно удалить Active Directory
- Изменения членства в группах завершается неудачно
- Невозможно создать участника безопасности
Диагностика проблем репликации Active Directory
При возникновении проблем в процессе репликации стоит начать с проверки сетевых подключений между контроллерами домена. Для этого можно использовать такие команды, как ping и pathping. Эти утилиты позволяют убедится в работоспособности сетевых соединений и правильности маршрутизации между контроллерами домена.
После этого необходимо проверить состояние службы репликации файлов (File Replication Services) на всех контроллерах домена, которые принимают участие в процессе репликации. Состояние службы FRS на удаленном компьютере можно проверить с помощью утилиты SC или с помощью оснастки Управление компьютера (Computer Management).
При использовании связей между сайтами для ограничения времени репликации помните о возможность определения расписания репликации для каждой связи и частоты репликации, которая по умолчанию равна одному разу за 180 минут.
В диалоговом окне с расписанием репликации затененные области позволяют репликацию в указанное время, а очищенные области запрещают репликацию в это время. Помните, что для диагностики репликации очень полезно представлять себе топологию соединений между контроллерами домена. Эту топологию можно использовать для определения точки возникновения проблемы.
Каждый раз, когда необходимо воспроизвести ошибку в репликации, самым простым методом является использование оснастки Active Directory — Сайты и службы (Active Directory — Sites and Services). Откройте объект сайта, сервера и объект параметров NTDS (NTDS Settings).
Для запуска принудительной репликации кликните правой кнопкой мыши на объекте подключения в разделе параметров NTDS и выберите Реплицировать сейчас (Replicate Now).
В следующих статьях рассматривается решение определенных проблем в репликации.
- При попытке ручной репликации возникает ошибка доступа
- Событие ID 1265 в журнале службы каталогов
- Событие ID 1311 в журнале событий
- Медленная репликация между сайтами
Диагностика объектов групповых политик Active Directory
В этих статьях можно узнать приемы диагностики объектов групповой политики (GPO).
- Диагностика GPO
- Обработка loopback
- Блокирование наследования и отказ в переопределении
- Распространенные проблемы
Диагностика схемы Active Directory
Одной из самых больших проблем при диагностике схемы, с которыми сталкиваются администраторы, является сложность поиска оснастки Active Directory — Схема (Active Directory — Scheme). Помните, что сначала оснастку необходимо зарегистрировать, и только добавлять в консоль и использовать.
Еще одной проблемой является отказ программ, которые должны вносить изменения в схему Active Directory. Для внесения таких изменений пользователь должен входить в группу Администраторы схемы (Schema Admins).
Необходимость внесения изменений в схему Active Directory возникает крайне редко. Обычно только приложения расширяют схему. Например, схема расширяется при установке Exchange Server. В случае, если в работе схемы Active Directory возникают проблемы, обратитесь к следующим трем статьям, которые содержат подсказки для выхода из тупиковой ситуации.
- Невозможно изменить или расширить схему
- Невозможно добавить атрибуты к классу
- Невозможно подключиться к контроллеру домена под управлением операционной системы Windows 2000
Диагностика отношений доверия Active Directory
Если системы из одного домена сталкиваются с проблемами при доступе к ресурсам другого домена (особенно за пределами леса), стоит рассмотреть отношения между лесами, которые начинаются с отношений доверия. В конце концов, какие могут быть отношения без доверия?
В следующих статьях рассматриваются самые распространенные проблемы отношений доверия, которые возникают при доступе к ресурсам разных доменов.
- Клиенты не в состоянии получить доступ к ресурсам доверенного домена
- После модернизации Windows NT возникают ошибки
- Резервное копирование и восстановление Active Directory
По мере появления новых статьей данный раздел будет пополняться.