WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 5 | 6 || 8 | 9 |   ...   | 15 |

«Distributed Systems Guide Microsoft 2000 Server Microsoft Press Распределенные системы Книга 1 2000 Server Москва 2001 Я fl I (I Г К I P УДК 004 ББК 32.973.26-018,2 М59 Microsoft ...»

-- [ Страница 7 ] --

Слишком значение этой величины свиде тельствует о размере кэш-памяти, Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти File Bytes Written/sec (Байтовая Скорость (байт в секунду), с которой байты записы скорость записи файлов) ваются в базы данных из кэша базы дан ных. Слишком большое значение этой свидетельствует о недостаточном размере кэша базы Чтобы увеличить емкость базы данных, надо расширить объем оперативной памяти File Operations Pending (Количество Количество операций чтения и записи в файлы базы файловых операций) инициированных диспетчером кэша базы данных и в данный выполняемых операци онной системой. Большое количество ных операций повышает пропускную способность системы, но, с другой стороны, увеличивает время выполнения отдельных операций. Обычно большое указывает на место», которым явля ются файловые операции с файлами базы данных File Количество файловых операций чтения и (Частота файловых операций) инициируемых диспетчером кэша базы данных, в Слишком большое значение этой величины свидетельствует о недостаточном размере кэша базы данных. Чтобы увеличить емкость кэша базы данных, надо расширить объем оперативной памяти ГЛАВА 8 за производительностью в Active Directory Таблица 8-2. (продолжение) Описание Log Record Stalls/sec Количество записей журнала в которые не (Частота задержанных записей) удается добавить в буферы из-за их переполнения Когда большую часть значение этого зателя отлично от нуля, маловат буфер журнала Log Threads (Число Количество потоков, записи своих дан потоков, ожидающих журнал) ных в журнал для завершения обновления базы данных. Если эта величина слитком ал может стать причиной снижения производительности Log Writes/sec Количество операций записи данных в секунду из (Частота записи в журнал) буферов в журнала. Если это число при ближается к максимальной скорости записи устрой ства, на котором хранятся файлы журналов, это собно стать причиной снижения Open Cache % Hit (Процент Доля таблиц баз данных, открытых с использовани открытых в кэш-памяти) ем кэширования. Слишком низкое этого обычно свидетельствует о ом размере кэш-памяти. Чтобы увеличить емкость кэша базы данных, надо расширить объем памяти Table Open Cache Hits/sec (Частота Количество таблиц баз данных в секунду, открывания таблиц в открываемых с использованием кэширования.

Слишком низкое значение этого показателя свидетельствует о недостаточном размере кэш-памя ти. Чтобы увеличить емкость базы расширить объем оперативной памяти Open Cache Misses/sec Количество таблиц баз данных в (Частота открывания без открываемых без кэширования. Слишком кэширования) значение этого показателя обычно свидетельствует о недостаточном размере кэш-памяти. Чтобы увеличить кэша базы данных, надо рить объем оперативной памяти Table Opens/sec Общее количество таблиц базы данных, (Частота открывания в секунду Примечание Счетчики снабжены подробными описаниями (в том числе указания ми о высоком» или «слишком низком» показателей), которые помогают сконфигурировать систему. Например, если после изменений в Active Directory частота ошибок страниц кэша возросла, понятно, что Вы посту пили неверно и следует восстановить исходные значения. Следует иметь в виду, что невозможно изменять и таким корректировать поведение счет чиков в System Monitor. Эти параметры конфигурируются другими способами, на пример реестр или загрузочные Выбор счетчиков производительности в System Monitor Вы вправе выбирать счетчики производительности, которые требуется в System Monitor. Существует три варианта графического отображения данных счетчиков: в виде диаграммы, гистограммы или отчета. Выбрав счетчик и кнопку Explain (Объяснение), Вы получите возможность просмотреть его ние и подсказки, как улучшить работу системы.

332 ЧАСТЬ 1 Служба Active Directory Выбор наблюдаемого счетчика производительности Active Directory В меню Start последовательно подменю Programs (Програм мы) и Administrative Tools и Performance (Си стемный монитор).

Откроется оснастка с графической диаграм мой в области сведений.

2. Щелкните добавления счетчика (+), чтобы открыть окно Add Counters (Добавить счетчики).

3. имя компьютера, за работой которого Вы хотите наблюдать — локаль ный компьютер или другой контроллер домена.

4. Выберите объект NTDS или Database (База данных).

5. Выберите счетчик производительности, который требуется добавить, и те кнопку Add (Добавить). Чтобы просмотреть подробное описание счетчика щелкните кнопку Explain G. Выбрав все требуемые счетчики, щелкните кнопку Close (Закрыть). Выбранные счетчики отобразятся в нижней части области сведений. System Monitor при сваивает каждому счетчику индивидуальный цвет для графического отображе ния данных.

Примечание При создании системного монитора для экспорта в окне до бавления счетчика обязательно переключатель в положение Use local computer counters (Использовать счетчики), в противном случае экс портированная консоль System Monitor будет привязываться к счетчикам компью тера, выбранного в независимо от того, где установлена консоль. Подроб нее о создании консолей - на Web-странице Web Resources по адресу http:// vvindows.microsoft.com/windows2000/reskit/webrcsources. ссылка Platform SDK.

Дополнительные материалы Подробнее о Windows 2000 Platform SDK — на Web-странице Web Resources адресу по http://windows.microsoft.com/window52000/reskit/webresources, ссылка Microsoft Platform SDK.

Архивирование и восстановление данных в Active Directory Архивирование и восстановление данных крайне для нормальной работы компьютеров. В этой главе обсуждаются процедуры архивирования и ния данных только применительно к Active Directory — службе каталогов в соста ве Microsoft Windows 2000.

В главе Основные сведения Архивирование Active Directory Восстановление Active Directory См. также • об и восстановлении данных — в книге «Сопровожде ние сервера. Ресурсы Microsoft Windows 2000 Server» 2001).

Основные сведения В главе процедуры архивирования Active Directory с ванием служебных программ в составе Microsoft Windows 2000 Server — как графическим интерфейсом, так и выполняемых в коман строке. Для архивирования и восстановления Active Directory как и данных и служб) применяется служебная программа с ин терфейсом Windows 2000 Backup (Средства архивации и восстановления Win dows 2000). Служебная программа командной строки используется стно с Windows 2000 Backup и топко управлять восстановлением объектов в Active Directory, 334 ЧАСТЬ 1 каталогов Active Directory Архивирование Active Directory Программа Windows 2000 Backup обладает функций, облегчающих операции архивирования Active Directory и позволяющих не прерывать соедине ние с сетью или работу контроллера домена, данные которого требуется заархиви ровать. В частности Windows 2000 Backup позволяет архивировать:

• Active Directory на контроллере домена в рабочем состоянии в сети (online);

• Active Directory и другие системные файлы и файлы данных;

• Active Directory посредством командного файла;

• Active на любой носитель, сетевой диск или в файл.

Хотя Windows 2000 Backup предоставляет несколько способов архивирования, Active Directory поддерживает только один из них — обычный архив (normal bac kup). В этом случае создается резервная копия всей системы работающего контрол лера домена. Процедура архивирования отменяет атрибут Archive (Архивный) за архивированных файлов и усекает файлы журналов базы данных. При этом для восстановления системы достаточно выполнить одну процедуру восстановления с носителя. Эта процедура от используемой в случае архива (incremental backup). этом для полного системы необходимы как первый обычный архив, так и все добавочные архивы.

При архивировании Active Directory средствами Windows 2000 Backup программа также архивирует все системные и распределенные службы, от кото рых зависит работа Active Directory. Эти данные вместе с Active Directory называ ют данными состояния системы (System State data).

На контроллере домена Windows 2000 к данным состояния системы относятся за грузочные системные файлы, реестр, данных регистрации СОМ+, служба репликации файлов (каталог данных служб (если они установлена), служба DNS (если она установлена), служба кластеров (если она установлена) и Active Directory. Таким образом, при использовании Windows 2000 Backup для создания копии Active Directory архивирует ся не только Active Directory, но и многие компоненты. Рекомен дуется планировать архивирование Active Directory и выполнять его периодически.

Восстановление Active Directory Существует два способа восстановления данных на контроллере домена. Первый зак лючается в переустановке Windows 2000, контроллера домена, после чего база данных домена заполняется самыми данны ми посредством стандартного механизма репликации. Второй предусматри вает программы Windows 2000 Backup для восстановления данных из архива без переустановки ОС и контроллера домена. В этом суще ствует два основных способа восстановления данных с архивного носителя: прину дительный (authoritative) и (nonauthoritative).

При непринудительном восстановлении распределенные службы контроллера до мена восстанавливаются из архива, а затем данные обновляются путем репликации, то есть восстановленные разделы каталога самые по следние от партнеров по репликации. Непринудительное ние обычно выполняют после неустранимого сбоя контроллера домена из-за про блем с аппаратурой или программным ГЛАВА 9 Архивирование и восстановление данных в Active Directory При принудительном восстановлении целые каталоги, поддеревья или отдельные перезаписывать поверх остальных экземпляров этих объектов на контроллерах домена. В этом случае при обычной репликации данные восстановленного контроллера домена обладают более высоким приоритетом по от к другим партнерам репликации. Принудительное обыч но выполняют для приведения системы в предыдущее например до оши бочного удаления некоторых объектов Active Directory. Служебная программа ко мандной строки Ntdsutil позволяет принудительно восстанавливать весь каталог, поддерево или отдельные объекты дерева, Разрешения и права пользователей Для архивирования или восстановления Active Directory ходимо обладать определенными и правами пользователей.

• Для архивирования данных состояния системы необходимо войти в систему учетной записью члена группы Backup Operators (Операторы архива) Administrators (Администраторы).

• Выполнять восстановление состояния системы разрешается только чле нам локальной группы Administrators (Администраторы).

Все перечисленные группы — это встроенные группы пользователей Windows 2000.

для которых полностью сконфигурированы и права.

Поддержка средств архивирования сторонних поставщиков Программа Windows 2000 Backup поддерживает архивы на созданные граммами архивирования сторонних производителей. Это чрезвычайно когда программное обеспечение этих производителей по каким-либо причинам не доступно, например, когда требуемая программа архивирования еще не на после полного восстановления системы. Кроме того, служебные программы сто ронних позволяют применять удаленные ленточные что удобно при архивировании данных целого предприятия. Ленты, Windows 2000 Backup, записываются в несжатом виде в формате MTF (Mic rosoft Таре Format).

Подробнее о конкретных архивирования и восстановления - в спра вочной системе Windows 2000 Server.

Архивирование Active Directory Этот раздел архивированию Active Directory средствами программы с графическим интерфейсом Windows 2000 Backup (Средства ции и восстановления Windows 2000). Для запуска этой программы введите в ко мандной строке Ntbackup. Windows 2000 Backup для архивирования и восстановления Active и других служб и позволяет восстановить дан ные или системные компоненты в случае непредвиденного или случайного их строя оборудования или программного обеспечения. В частности, Windows Backup поддерживает архивирование и восстановление:

• данных всего сервера;

• выбранных файлов;

• данных состояния системы.

336 ЧАСТЬ 1 Служба каталогов Directory Как мы уже говорили, к данным состояния системы относится Active Directory и все другие системные и от которых зависит работа служ бы На контроллере домена Windows 2000 к данным состояния системы относятся системные файлы, реестр, данных служба репликации файлов (каталог база служб сертификации (если служба DNS (если она установлена), служба кластеров (если она и Active Directory. Данные DNS это информация интегрированных с Active Directory зон DNS. Данные службы класте ров содержат все контрольные точки реестра и журнал кворума, содержащий са мую информацию базы данных кластера. К Active Directory относятся файлы:

• Ntds.dit - база данных • — файл точки;

• — журналы Active Directory (размер каждого -- • Resl.log и Res2.log — файлы резервного дискового для журналов, По умолчанию файл базы данных Active Directory расположен в ката логе Впрочем, не исключено, что сервера ром домена был указан другой путь.

В программе Windows 2000 Backup имеется мастер Backup Wizard архива ции и восстановления), который применяется для управления процессом рования. Тем менее Вы вправе отказаться от его услуг и воспользоваться для выполнения архивирования интерфейсом Windows 2000 Backup, Архивирование данных состояния системы средствами мастера Backup Wizard (Мастер архивации и восстановления) 1. В меню Start (Пуск) выберите Run (Выполнить) и введите в команд строке команду Ntbackup.

2. В Tools (Сервис) выберите команду Backup Wizard (Мастер архивации) 3. Щелкните Next (Далее). На следующей странице мастера переключатель в положение back up the System State data только данные состояния системы) и кнопку Next.

4. Укажите путь, где требуется сохранить данные состояния системы, и Next.

5. настройку кнопку Finish (Готово).

Щелкнув кнопку Advanced па последней странице мастера Back up Wizard, Вы сможете задать дополнительные параметры в том числе проверку данных, аппаратное метки носителей, определите, следует ли добавлять новое задание к предыдущему (или перезаписать но ситель), а также следует ли это для выполнения по распи санию. Чрезвычайно полезна проверка В этом случае программа Win dows 2000 Backup отличаются ли архивируемые файлы до мена от копий в создаваемом архиве. Результат проверки в дальнейшем доступен для просмотра в консоли (Просмотр событий). Если файлы от личаются, возвращается событие ошибки (Error), в противном случае — ГЛАВА 9 Архивирование и восстановление данных в Active Directory сообщение (Information). Подробнее об ошибках при архивировании - на Web-странице Web Resources по адресу http://windows.microsoft.com/windows2000/ ссылка Microsoft Platform SDK. об программы 2000 Backup, в том числе о параметрах — в справочной системе Microsoft Windows 2000 Server, Для восстановления после сбоя понадобятся архивы всех дис ков и данных состояния системы. Чтобы создать такие архивы, запустите програм му Windows 2000 Backup и на странице What to Back Up (Что архивиро вать) мастера Backup Wizard (Мастер и восстановления) установите реключатель в Back up everything on my computer данные на этом компьютере).

данных состояния системы вручную 1. В меню Start (Пуск) команду Run и введите в команд ной строке команду Ntbackup.

2. На вкладке Backup (Архивация) в области Click to select the check box for any drive, folder, or file that you want to back up флажки для всех объектов, которые Вы хотите заархивировать) отметьте флажком System State (Состояние системы). Данные состояния системы расположены в папке My Computer (Мой компьютер), 3. В поле со списком Backup destination архива) выберите File (Файл) или другой тип носителя, где сохранить архив.

4. В окне Backup media or file name (Носитель архива или имя файла) укажите имя файла или носителя, где следует сохранить архив.

5. Щелкните кнопку Start Backup (Архивировать). В открывшемся те при необходимости о задании архивирования и щелкните Start Backup (Запуск).

При архивировании данных состояния системы и других файлов средствами слу жебной программы Windows 2000 Backup следует иметь в что:

• для архивирования данных состояния системы необходимо войти в систему под учетной записью члена группы (Администраторы) или Backup Operators (Операторы архива);

• данные состояния системы не содержат Active Directory, если на кото ром архивируются, является контроллером домена;

• в ходе архивирования разрешается архивировать как лить данные состояния системы, так и эти данные совместно с другими файлами;

• архивировать данные состояния системы на диск, ленту или общий сетевой ресурс, даже когда контроллер домена находится в (online);

• при на ленту, вероятно, придется Removable Storage (Съемные ЗУ), чтобы добавить накопитель в пул носителей Backup. Накопитель, не внесенный в этот пул недоступен для архивирования.

338 ЧАСТЬ 1 Служба Active Directory Внимание! Так как Windows 2000 Backup только локальное архиви рование Active Directory, для сохранения всего каталога Active Directory необходи мо выполнить архивирование на всех контроллерах домена предприятия. (Active Directory нельзя заархивировать на удаленном компьютере.) Это ограничение про граммы архивирования Windows 2000 Backup, поставляемой с Windows 2000. Мно программы архивирования сторонних производителей поддерживают удален архивирование и восстановление Active Directory.

Подробнее об устранении неполадок архивирования и об использовании консоли Event Viewer (Просмотр событий) — в главе 10 «Выявление и непола док, а также восстановление Active Восстановление Active Directory Существует два способа восстановления Active Directory. Первый — переустановка операционной системы и заполнение базы данных Active Directory в ходе обычной а второй — восстановление из архива. В первом случае Active Directory восстанавливается до текущего состояния своих партнеров по а во вто ром — к предыдущему на момент создания архива.

Восстановление Active Directory путем переустановки и репликации Один из способов контроллера домена заключается в переустанов ке операционной системы Windows 2000 Server на потерпевшем и назначении его контроллером домена. Со временем самые последние обновления автоматически реплицируются на него службой Active Directory. Перед выполне нием такой операции средствами оснастки Active Directory Sites and Services (Active Directory — сайты и службы) одного из оставшихся контроллеров домена удалите все ссылки на старый контроллер домена.

Ярлык оснастки Active Directory Sites and Services расположен в меню Tools Затем следует переустановить Windows 2000 Server на компьютере и повысить его роль до контроллера домена средствами мастера Active Directory Installation wizard (Мастер установки Active Directory). В процессе репликации на этот контроллер домена обновленные Directory и каталог о мастере установки Active Directory — в справочной системе Microsoft Windows 2000. Средства Active Directory расположены в папке port\Tools на установочном компакт-диске Microsoft Windows 2000 Server.

Восстановление Active Directory из архива из методов восстановления информации Active Directory на контроллере до мена в восстановлении данных состояния системы из архива. В этом случае кроме службы Active Directory восстанавливаются все данные состояния системы, от которых зависит ее работа. Существует два основных способа восста новления Active Directory из архива: принудительный и непринудительный.

При непринудительном после развертывания архива на контрол лере домена данные службы каталогов до в ходе ГЛАВА 9 Архивирование и восстановление данных в Active Directory обычной Например, выполняется при поломке основного жесткого диска на контроллере домена. В этом случае сле дует отформатировать новый диск, воссоздать на нем структуру разделов, существо вавшую на отказавшем диске, переустановить 2000 Server в основной раз дел, восстановить все файлы данных, которые существовали на компьютере, и за тем восстановить распределенные службы вместе со службой каталогов Active Directory. Программа Windows 2000 Backup позволяет выполнять только восстановление распределенных служб (в том числе Active Directory), при котором все реплицированные данные на восстановленном авто матически обновляются репликации с другими домена.

При принудительном Active из архива весь каталог, под дерево или объекты разрешается отметить для принудительного новления. При этом они получают более высокий приоритет (больший порядковый номер обновления) по отношению к любым экземплярам этих объектов на партне рах репликации, поэтому во время обычной репликации данные восстановленного контроллера заменяют более новые данные па партнерах.

восстановление обычно используется для приведения системы к предыдущему со стоянию, например, после ошибочного удаления объектов. Принудительное восста новление выполняется средствами программы командной строки При этом можно выбрать весь каталог, поддерево или отдельные объекты.

При восстановлении Active Directory из архива следует иметь в виду, что:

• при замене отказавшего компьютера или контроллера домена другим или при установке других сетевых адаптеров, вероятно, придется вручную изменить па раметры • при замене отказавшего компьютера или контроллера домена количество и раз мер томов диска должен быть такой же или больше, чем у предыдущей систе мы. При замене жесткого диска сначала установите Windows 2000 (на тот же диск, что и ранее), затем заново создайте разделы и тома (той же структуры и и лишь затем восстанавливайте информацию Active Directory.

Непринудительное восстановление Active Directory средствами Windows 2000 Backup Служебная 2000 Backup выполняет только непринудительное восстановление. После восстановленного контроллера в сеть он определяет, что данные не с момента архивирования, и начинает получать от партнеров и применять обновления по механизму реп Таким образом, все обновления каталогов (в том числе метаданные), про после создания архива, попадают на контроллер в ходе обычной репли кации. Подробнее о реконструкции метаданных — в главе 6 «Репликация Active Восстановление Active Directory средствами Windows 2000 Backup Восстановить контроллер возможно только при отключенной службе Active Directory. Для этого следует домена в режиме Directory Services Restore Mode (Восстановление службы каталогов), 340 ЧАСТЬ 1 Служба каталогов Active Directory Загрузка контроллера домена в режиме Directory Services Restore Mode (Восстановление службы каталогов) 1. контроллер домена.

2. В меню F8, чтобы перейти в меню Windows Options Menu дополнительных загрузки Windows 2000), 3. При помощи клавиш со стрелками выберите вариант Directory Services Restore Mode (Восстановление службы каталогов) и нажмите Enter.

Примечание перезагрузке компьютера в Directory Services Mode в систему следует войти под учетной записью Administrator воспользовавшись и хранятся в локальной базе администратора SAM. и пароля администратора Direc невозможно, так как Active Directory не работает и не в состоянии выполнить проверку подлинности. В этом случае к файлам Active Directory ся SAM.

Далее следует перейти к восстановлению данных состояния системы посредством мастера Restore Wizard (Мастер восстановления) или средствами графического интерфейса программы Windows 2000 Backup. Процедура с помо щью мастера Restore Wizard описана далее. Подробнее о восстановлении данных состояния системы вручную средствами программы Windows 2000 Backup -- в спра вочной системе Microsoft Windows 2000 Server.

Восстановление состояния системы средствами мастера Restore (Мастер восстановления) 1. В меню Start (Пуск) команду Run (Выполнить) и введите 2. В меню Tools (Сервис) выберите команду Restore Wizard (Мастер восстанов ления).

3. Щелкните Next (Далее). из которого следует восста новить данные, отметьте флажком System State (Состояние системы) и затем щелкните кнопку Next.

4. Щелкните кнопку Finish (Готово).

По состояния системы восстанавливаются в папку системы и замещают существующие данные контроллера домена. Задав тельные параметры восстановления, Вы сможете изменить такой режим восстанов ления некоторых компонентов данных состояния системы, однако это не примени мо к Active Для изменения стандартного местоположения восстанавли ваемых файлов щелкните кнопку Advanced (Дополнительно) на последней нице мастера и укажите, куда следует восстановить состояния системы. При выборе альтернативного восстановить только загрузочные файлы, файлы реестра, файлы каталога и информацию базы службы кластеров. Базы Active Directory и СОМ+ и файлы служб Windows 2000 Backup восстанавливать не будет.

При восстановлении данных состояния системы местоположение вой папки системы должно совпадать с ее момент ГЛАВА 9 и восстановление данных в Active восстановить архивный системы более старой, время объектов для (количество на которого объект в каталоге Active в виде до его уничтоже ния механизмом «сбора Атрибут задается на объекте и его значение по умолчанию — 60 дней, хотя Вы его Подробнее о настройке времени захороненных — в главе 2 данных Active Для установки устаревшего архива потребуется опе рационную систему Windows 2000 Server. Подробнее атрибуте — в главе 2 данных в Active Если домена архива, старшего, чем время жизни он может удаленные объекты. Но объекты удаляются из реплики, поэтому событие удаления не на восстановленный контроллер домена. Вот почему Windows 2000 Backup не ляет данные из архивов.

Подробнее о конкретных процедурах восстановления из архива средствами Backup в справочной системе Microsoft Windows 2000 Server, Примечание Архив, на общем сетевом ресурсе на томе рекомен дуется восстанавливать па том диска с файловой системой NTFS Windows иначе некоторые или свойства могут потеряться. Например, при лении данных, из архива, созданного на томе FAT или версии в Microsoft Windows NT 4.0, теряются разрешения, параметры фай ловой системы (Encrypting System, EFS), информация о дисковых квотах, ин формация о подключенных дисках и о внешних хранилищах.

При восстановлении Active Directory программа Windows 2000 Backup ливает базу данных и параметры реестра, поэтому также конфи гурация протокола DNS, файлы данных сертификации и служба репликации файлов (File Replication Service, FRS). восстановления:

• служба репликации файлов переустановлена и готова к репликации с партнеров по репликации FRS;

• база данных Active Directory сверена и в соответствие с копией.

Далее сервер перегружается в обычном режиме работы и выполняет следующие действия:

• проверяет файлы базы Active Directory на непротиворечивость и ор индексирует их;

• реплицирует FRS с партнеров по репликации о FRS в гла ве 18 книги системы. 2. Ресурсы Microsoft («Русская Редакция», 2001);

• восстанавливает базу данных служб сертификации о службах тификации - в главе 16 «Службы сертификации и инфраструктура ключа в Windows служб Служба Active Directory тесно связана с другими распределенными службами, та кими, как службы сертификации, FRS, DFS, реестр и т. п. Но 342 ЧАСТЬ 1 Служба Active Directory Active Directory это не операция. В Active Directory использует свои политики для привязки политик к доменам и организационным подразделениям. Несовпадение режимов восстановления всех зависимых служб или архивов, из которых они восстанавливаются, способно несогласованность в системе.

Примечание При архивировании файлового сервера, не реплицируемо го в пределах леса, таких не возникает.

Последствия непринудительного Программа Windows 2000 Backup восстанавливает контроллер домена в неприну дительном режиме. Это означает, при между восстановленным кон троллером домена и его партнерами восстановленные разделы каталогов обновля ются текущими данными домена.

Таким образом, при восстановлении контроллера домена из архива все обновления каталогов, произошедшие после архивирования, применяются в ходе обычной реп ликации. Кроме того, обновляются метаданные репликации. Подробнее о восста новлении метаданных репликации — в главе 6 Active Когда разделы каталога восстанавливаются из архива средствами Windows Backup, контроллер домена безвозвратно потерять информацию об обнов лениях каталогов, произошедших со времени создания архива и выполненных на этом контроллере. Проиллюстрируем это утверждение. Допустим, архив создается в день 1. В день 2 на данном контроллере Вы добавляете какие-то новые объекты или выполняете изменения в Active Directory, но сведения об этих обновлениях не реплицируются на остальные контроллеры домена по причине неполадок сети. А в день 3 происходит невосстановимый сбои (не связанный с изменениями, выполнен ными в день 2) и единственный выход восстановить контроллер домена из архи ва. В этом случае новые объекты или изменения, произведенные на контроллере домена после архивирования, потеряны безвозвратно, так как они не реплицирова лись на другие и их автоматически воссоздать на вос становленном контроллере.

Если на контроллере домена выполнить некоторые обновления создать или изменить объекты) до того, как он получит сведения об обновлении этих объек тов от партнеров по репликации, возникнет одна из двух ситуаций:

• контроллер домена решит, что обладает самыми последними собственными об новлениями (то есть выполненными им самим). В этом случае он никогда не получит оставшиеся обновления, произошедшие на нем после архивирования и ранее другие контроллеры;

• контроллер домена решит, что не обладает самыми последними собственными обновлениями. В этом случае все им ранее (до архивирования) будут обратно реплицированы на него.

Проблемы возникают и когда контроллер домена попытается определить, какой из номеров обновления (update sequence number, USN) принять за последний.

Если он использовать имеющийся возможны серьезные проблемы реп ликации из-за того, что у контроллера домена нет полной инфор мации о состоянии сети: он только о самом себе и своих текущих источни ках репликации.

ГЛАВА 9 Архивирование и восстановление данных в Active Решение заключается в для данного кон троллера домена. Это автоматически в восстановления. Восста новленный контроллер домена новый и осведомлен о номере USN своих изменений по отношению к его состоянию на момент архива. Контроллер сохраняет эту информацию о своем состоянии, чтобы партнеры по репликации отправляли ему изменения, произошедшие ло кально до архивирования.

контроллер получает в ходе обычной репликации изме нения, произошедшие на нем после архивирования (и до а также изменения, внесенные в каталог на других контроллерах домена. Последние анало гичным образом получают изменения, восстановленным контролле ром домена, как если бы это была обычная новая реплика.

Подробнее о репликации — в главе 6 «Репликация Проверка непринудительного Убедитесь в успешном завершении процесса восстановления, проверив работу Active Directory, служб сертификации и репликации файлов. Базовая проверка Active Directory заключается в просмотре пользователей, групп и других до архивирования. более тщатель ной проверки описана далее.

Внимание! Эту процедуру разрешается только сразу после восстановле ния контроллера домена и до его запуска в нормальном режиме и подключения к сети.

Расширенная проверка Active Directory после восстановления средствами Windows 2000 Backup 1. Перезагрузите компьютер в режиме Directory Services Restore Mode (Восста службы Для этого в меню загрузки нажмите чтобы пе рейти в меню Windows 2000 Advanced Options Menu (Меню дополнительных ва риантов загрузки Windows 2000) и выберите режим загрузки Directory Restore Mode.

2. Войдите в систему под учетной локальной записью Adminstrator тор).

3. корректность Active Directory из архива. Для этого следует определенный параметр реестра. В командной строке введи те команду regedit или regedt32.

4. В разделе найдите параметр Этот параметр создается программой Windows 2000 Backup пос ле успешного восстановления и заставляет Active Directory выполнить ку согласованности и переиндексировать файлы базы данных при По окончании этого процесса RestorelnProgress автоматически удаляется. Не не и не изменяйте 344 ЧАСТЬ 1 Служба каталогов Active Directory Примечание из база данных имеет неверный формат.

Программа Windows 2000 Backup параметр в под раздел NTDS, чтобы Directory базу данных в состояние, ное для использования. Active Directory считывает эту запись во время инициа лизации системы и удаляет ее.

5. Закройте редактор реестра и запустите программу Ntdsutil. команду Files для перехода в меню Files, а затем Info для перехода в меню Information.

Если файлы базы Active Directory успешно служебная программа Ntdsutil отобразит соответствующее сообщение. Подробнее о служеб ной программе Ntdsutil — на Web Resources no адресу http:// ссылка Microsoft Plat form SDK, 6. Перезагрузите контроллер домена в режиме.

После перезагрузки компьютера в обычном режиме Active Directory автоматичес ки обнаруживает выполнение и повторно базу данных. Просмотрите каталог и убедитесь, что все объекты, су ществовавшие в каталоге до восстановлены.

Внимание! Не модифицируйте реестр самостоятельно (с помощью редактора реес тра) делайте это в крайнем случае, когда другого выхода нет. В отличие от инструментов управления редактор реестра обходит стандартные средства защиты, призванные не допускать ввода конфликтующих значений параметров, а также спо собных снизить быстродействие системы или ее. Не исключено, что по следствия прямого редактирования реестра окажутся не такими, как Вы ожидали, и, возможно, Вам придется переустанавливать Windows 2000. Для настройки и кон фигурирования Windows 2000 рекомендуется использовать Control Panel (Панель управления) или Microsoft Console (Консоль управления Microsoft).

Перед изменением реестра советуем делать резервную копию. Подробнее о редак тировании параметров реестра — в справочной системе редактора реестра. Подроб нее о реестре — в техническом руководстве Technical Reference Microsoft Win dows 2000 Professional Resource Kit (файл Восстановление Active на с отличной от исходной Для Active Directory на другом компьютере, на нем должно быть такое же количество жестких дисков, как и на исходном. Кроме того, если на но вом контроллере домена установлен другой видеоадаптер или несколько сетевых удалите их из системы восстановлением данных. После перезаг рузки компьютера механизм Plug and Play скорректирует конфигурацию.

Принудительное Принудительное восстановление выполняется после непринудительного восстанов ления Active Directory из архива, и в его процессе весь каталог, поддерево или от дельные объекты отмечаются для принудительного восстановления в лесе. Таким образом, в условиях обычной репликации восстановленный домена ста новится полномочным (authoritative) по отношению к партнерам репликации.

Даже если набор реплик старше текущих реплик, все равно на остальные контроллеры домена будет именно он, ГЛАВА 9 Архивирование и восстановление данных в Active восстановление выполняется непринудительного восстанов ления. Далее средствами программы отмечаются для принудительного восстановления и репликации их на другие кон троллеры доменов и перезаписи существующих копий этих объектов во всем лесе.

Внимание! Для принудительного восстановления помечать только объекты разделов или конфигурации. Схему принудитель запрещено, так как это поставить под целостность данных. На пример, если схема изменена путем создания объекта нового или ного класса восстановление способно новые или классы и повлечь серьезное нарушение целостно сти Принудительное восстановление часто используется в случае ошибочного удаления объектов из Active Directory и репликации сведений об этом удалении на другие доменов. Для восстановления таких объектов Active Directory восстанавливается из архива, до их удаления. После восста контроллера домена, по до его перезагрузки ранее удаленные объекты помечаются для принудительного Далее приведения кон троллера домена в рабочее состояние такие объекты реплицируются на другие кон троллеры домена в ходе репликации. Удаленные (а точнее, захороненные) объекты не реплицируются, так как порядковый номер у принудитель но объектов выше, чем у удаленных объектов.

Следует заметить, что восстановление не влияет на объекты, зданные после архивирования. наличии в хотя бы одного другого кон троллера (кроме восстанавливаемого) после принудительного все объекты, в каталоге после остаются в Active Directory.

архив создается в понедельник, а во вторник создается учетная запись пользователя по Джеймс Смит, которая реплицируется на другие кон троллеры домена. В среду случайно удаляется учетная запись другого ля - Эми Андерсон. Для принудительного восстановления Эми без ввода информации можно домена из архива, со зданного в Затем средствами Ntdsutil отметить учетную запись Эми Андерсон для принудительного Она успешно восстановле на, этом учетная запись Джеймса Смита не исчезнет.

Принудительным восстановлением средствами Ntdsutil следует так как при этом каталог в состоянии на момент архивирования, и все более поздние безвозвратно теряются. Эта операция ся для выборочного восстановления объектов, поддеревьев, или даже целых деревьев, но к восстановлению следует только условии точной идентификации конкретной неполадки и если Вы уве рены, что это устранит проблему, Примечание Как так и непринудительное восстановление никак влияет на службы так как данные этих служб не реплицируются, Однако восстановление обоих типов влияет на FRS. Но ко мандной строки Ntdsutil используется для принудительного восстановления Для принудительного восстановления следует восстановить файлы этой службы в альтернативном контроллер домена и после публи 346 ЧАСТЬ 1 Служба каталогов Active Directory ресурса скопировать восстановленные файлы из альтерна тивного места в исходное. Копировать файлы разрешается только публика ции обшего SYSVOL, в восстановление неуда чу и будут нарушены некоторые политики.

восстановление Active Directory средствами Для восстановления Active Directory заархивируйте и восстановите контроллер домена средствами программы Windows 2000 Backup о выполнении этих операций — в «Архивирование Active Directory» ранее в этой главе). завершите до того, как контроллер в рабочее и подключите его к сети, выполните ко манды Ntdsutil.

Принудительное восстановление Active Directory 1. Непринудительно восстановите Active Directory и перезагрузите компьютер.

Перезапустите контроллер и в меню загрузки нажмите F8, чтобы перей ти в меню Windows 2000 Advanced Options (Меню дополнительных ва загрузки Windows 2000). Выберите вариант Directory Services Restore Mode (Восстановление службы и нажмите Enter. В этом режиме кон троллера работает в изолированном режиме.

2. В командной строке введите ntdsutil и нажмите Enter. Введите authoritative restore и раз нажмите Enter.

1. Для принудительного всего каталога введите Restore data base и нажмите Enter.

Для восстановления части или поддерева каталога, напри мер введите:

Restore subtree Нажмите Enter.

Например, чтобы восстановить подразделение Marketing домена Reskit.com, введите следующие команды:

restore Restore Subtree 3. Для принудительного восстановления всего каталога и игнорирования стар версий команду:

Restore database verinc и нажмите Enter.

4. Для принудительного восстановления поддерева каталога и игнорирования старшинства версий введите команду:

Restore subtree verinc и нажмите Enter.

Во время восстановления утилита Ntdsutil открывает файл увеличивает номера пересчитывает записи, требующие обнов ГЛАВА 9 Архивирование и восстановление данных в Active Directory ления, номера обновленных и о ций. Если не указать, на сколько увеличить номер Ntdsutil сделает автоматически.

3 Введите команду quit и нажмите Enter для выхода из Ntdsutil.

контроллер в обычном режиме и приведите его в При подключении восстановленного контроллера к все изменения с контроллеров домена, перезаписанные при принудительном восстановлении, реплицируются на восстановленные объек ты реплицируются на другие контроллеры домена леса. Ранее удаленные для восстановления, реплицируются с ного контроллера домена на остальные домена.

Так как у объектов такие же значения атрибутов и objectSID, работа механизма безопасности с этими объектам продолжается как обычно и взаимозависимости между объектами сохраняются.

Подробнее об использовании Ntdsutil — в главе 10 «Выявление и ладок, а также восстановление Directory» и в В — служебная программа диагностики Active Directory».

Примечание выше процесс главным образом для прину дительного восстановления Active Directory. Но отдельным объектам Active Direc tory (например, подразделениям, доменам и сайтам) групповые по литики;

они в каталоге О принудительном восстановлении Directory и SYSVOL — в разделе «Принудительное восстановление всей базы Active этой главе.

Принудительное всей базы данных Active Directory принудительном базы данных Active Directory следует убедиться в всех выбранных элементов. Для этого копируют каталог SYSVOL из альтернативного места в существующий каталог SYSVOL Таким обра зом предохраняют целостность групповой политики на компьютере.

Восстановление всей базы данных Active Directory 1 Средствами Windows 2000 Backup создайте архив данных состояния системы, 2 Перезагрузите компьютер в режиме Directory Services Restore Mode ление службы каталогов), 3 Восстановите данные системы в исходное и в альтернативное место положение.

4 Средствами Ntdsutil отметьте всю базу данных Active Directory для тельного восстановления.

5 Перезагрузите компьютер в обычном режиме.

В опубликования общего ресурса SYSVOL скопируйте каталог SYSVOL из альтернативного местоположения (поверх существующего). Чтобы убедиться в успешном следует проверить содержимое каталога - он должен папки Scripts и Policies.

348 ЧАСТЬ 1 Служба каталогов Active отдельных объектов Active Directory При принудительном восстановлении базы данных Active Directory (в том числе объектов политик) необходимо выполнить описанные далее дополнительные процедуры с 1. Средствами Windows 2000 Backup создайте архив данных состояния системы.

2. Перезагрузите в режиме Directory Service Mode ление службы каталогов).

3. Восстановите данные состояния системы в первоначальное и в альтернативное местоположение.

4. Средствами поочередно пометьте требуемый объект для при нудительного 5. компьютер в обычном режиме.

6. После опубликования общего ресурса SYSVOL скопируйте из альтернативного места в исходное только те папки (идентифицируемые кото рые относятся к восстановленным объектам Policy.

Внимание! При принудительном восстановлении как всей базы Active Di rectory, так и отдельных объектов копировать SYSVOL и данные политики из альтернативного местоположения опубликования обшей папки SYSVOL.

Если компьютер расположен в домене, на опубликование ресур са SYSVOL уходит несколько Это время необходимо для синхронизации с партнерами по репликации.

Если все компьютеры домена принудительно и перезагружены од новременно, каждый их них будет ждать время синхронизации с другими. В таком случае восстановите один из контроллеров домена первым, что бы опубликовать первым его общий ресурс SYSVOL. Затем восстановите осталь ные компьютеры Проверка принудительного восстановления В ходе принудительного восстанавливаются атрибуты существую щих объектов или объекты. Каждый атрибут принимает его текущее значение. Впрочем, меняются не сами значения атрибутов, а их метаданные. Это позволяет указать, где и когда каждому атрибуту его текущее значение.

Во время репликации другие контроллеры домена рассматривают как обновле ние и изменяют текущие значения. У каждого контроллера может быть свое поня тие «текущего значения». Для восстановленного контроллера доме па им является значение на момент архивирования. Для других контроллеров — значение, после применения всех обновлений, сделанных после архи вирования.

Служебную программу командной строки для проверки уве личения версии каталога или поддерева, то есть проверки успешного завер шения Для этого введите команду show metadata с равным точному составному имени восстановленного каталога или поддерева. Под робнее об использовании программы — в главе и устра нение неполадок, а также восстановление Active Directory».

ГЛАВА 9 Архивирование и данных в Active Directory В процессе восстановления метаданных, описанные в Таблица 9-1. Переменные метаданных, обновляемые в ходе принудительного восстановления Атрибут Результат Для контроллера домена на единицу в результате го каждого объекта, так как номера USN зависят от Это означает, что они сравни только с другими USN, сгенерированными текущим домена Для каждого объекта и каждого контроллера домена Устанавливается равным значению атрибута У разных контроллеров домена разные атрибуты одного и того объекта, даже если они Для каждого объекта When-Changed равным текущему времени Для каждого атрибута Устанавливается равным текущего контроллера домена текущему атрибута Highest- Committed- USN version равным номеру версии чем номер версии любой другой копии объекта на остальных контроллерах домена. (Подробнее — далее в этой главе) When-Changed равным текущему времени Устанавливается равным значению атрибута Originating- USN Создается новая метаданных Обновления, в ходе принудительного восстановления, реплицируют ся как и любые другие за одним номер версии этих об выше, у Кроме того, номер версии увеличивается из расчета 100 000 на каждый день после обновления заархивированных данных (количество дней задает тот, кто выполняет восстановление). Бы справе изменить этот номер версии.

Влияние принудительного восстановления на доверительные и сетевые соединения Сведения о доверительных отношениях между родительскими и дочерними объек тами в доменах Windows 2000, а также доверительных и с другими доменами Windows NT 4.0 или Windows 2000 в разделе домена. Сведения о отношениях и пароли записей ютера согласуются через определенные интервалы времени (при этом новые пароли). При восстановлении всего раздела домена, эти дан ные до на момент архивирования. восста новленных и текущих паролей нарушает и приводит к 350 ЧАСТЬ 1 Служба Active Directory недействительности Нарушение доверительных отношений спо собно привести к потере связи с других доменов. При восстановле нии старого пароля учетной записи рабочая станция или рядовой сервер может потерять доступ к контроллеру домена. Таким образом, если принудительно вос влияет на отношения или пароли за переопределить пароли. Поэтому следует очень внимательно выбирать объекты для принудительного восстановления. Восстанавливайте толь ко те части раздела домена, которые совершенно необходимы.

Примечание По умолчанию пароли каждые 7 дней (это не относится к учетным записям компьютеров). Предыдущий пароль также сохраняется. Поэтому принудительное из архива, раньше, чем за 14 дней, мо жет повлиять на отношения.

Влияние, оказанное принудительным восстановлением на доверительные зависит от его восстановления. большая часть иерархии домена вовле чена в тем больше влияние на доверительные отношения. Дабы уп ростить восстановление доверительных отношений и сократить операции по об компьютеров к необходимо регулярно выполнять архивирование. Впрочем, существуют доверительные отношения, пользовате ли и учетные записи которые нуждаются в перенастройке.

Сброс паролей доверительных 2000 выполняется средствами Active Directory Domains and Trusts (Active Directory домены и доверие).

Подробнее о процедурах сброса паролей -- в справочной системе Microsoft Windows 2000 Server. Сброс учетных записей компьютеров выполняется средствами оснастки Active Directory Users and Computers (Active Directory пользователи и Для сброса отношений и паролей учет также применяется служебная программа командной строки Netdom.

Подробнее об использовании — па компакт-диске, прилагаемом к брошюре Microsoft Windows 2000 Server. а также в главе 10 «Выяв ление и устранение а также восстановление Active Directory».

Подробнее о доверительных между родителями и потомками в гла ве 1 «Логическая структура Directory».

Дополнительные материалы Подробнее об API-интерфейсах архивирования и данных в Windows 2000 - - на Web-странице Web Resources по адресу http:// ссылка Microsoft Platform SDK.

Подробнее о после сбоев в книге «Windows Getting Started» на компакт-диске с операционной системой Windows 2000 или Windows 2000 Server.

Подробнее об архивировании и данных — в справочной систе ме Microsoft Выявление и устранение неполадок, а также восстановление Active Directory Для диагностирования и неполадок в работе службы каталогов Active Directory в Windows 2000 необходимо в объеме с содержанием предыдущих этой книги, а также в совершенстве знать служеб ные программы с к книге компакт-диска Microsoft 2000 Server Resource Kit и компакт-диска с системой Microsoft Windows Server. и устранение тем, что Active Directory тесно с другими службами и протоколами: DNS для имен, в качестве протокола доступа к каталогам LDAP, а TCP/IP служит R качестве транспортного протокола. ресурсов иногда становится невозможным или неправильной конфигурации служб и Излагая материал главы, Вы усвоили со остальных глав этой книги, Active Directory, В этой главе Особенности архитектуры Directory Диагностика и устранение в Active Directory Дополнительные способы неполадок после сбоя См. также • Подробнее о диагностике и неполадок — в книге «Сопровождение сервера. Ресурсы Windows 2000 Server» («Русская Редакция», 2001) • Подробнее об при установке и программ - в главе 25 книги «Распределенные системы. Книга Ресурсы Microsoft Windows Редакция», 2001) и на Web-странице Web Resources адресу ссыл ка ResourceLink, 352 ЧАСТЬ 1 Служба каталогов Active Directory Особенности архитектуры Active Directory Чтобы точно определять причины Active Directory, Вы должны ее архитектуру и понимать, как она взаимодействует с другим сетевым и протоколам. Active Directory в Microsoft Windows 2000 -- это база данных, храня щая информацию и Кроме того, это обновленная и службы каталогов. Новые функциональные позволили облегчить равление большими массивами и упростить работу и конечных Однако, с другой стороны, это усложнило архитектуру службы каталогов. Поэтому, чем рассказывать о диагностике и неполадок Active Directory, в разделах мы Вас со струк турой системы: архитектурой Active Directory и обслуживающими се протоколами и службами. Подробнее об архитектуре Active - в главе 2 дан ных в Active Directory».

Протоколы Основные протоколы, R Active Directory - DNS (Domain System) и TCP/IP и LDAP (Lightweight Directory Access DNS DNS считается стандартом «де-факто» системы именования в и использу ется для поиска компьютеров в Интернете. В Windows 2000 служба DNS применя ется для компьютеров и контроллеров доменов (то есть для поиска Active Directory). Отдельные компьютеры и рядовые серверы находят контроллер обращаясь к при установке или обновлении до Microsoft Windows 2000 Server обязательно наличие инфраструктуры DNS, или ее придется вместе с Windows 2000.

Все домены и компьютеры в Windows reskit.com — имя домена, Serverl.reskit.com имя компьютера). Таким образом, домены и компьютеры как в качестве объектов Active Directory, так и в качестве узлов в DNS. о DNS — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 2001).

TCP/IP является базовым транспортным службы каталогов Active Directory. Подробнее о TCP/IP книге «Сети Ресурсы Microsoft Windows 2000 Server» («Русская 2001).

LDAP LDAP - это структурированный протокол, для просмотра и ления информацией иерархических баз данных. Протокол LDAP описан в те RFC Directory Access В Active Directory этот про токол применяется для просмотра и изменения сведений, содержащихся в службе каталогов. Active Directory обе версии LDAP — LDAPv2 и Работа LDAP построена на основе модели «клиент в которой передает серверу на а сервер, его, результат клиенту — будь то данные или сообщение об ошибке.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Примечание что требуется от — это возвращение резуль татов, - в спецификации протокола нет ни слова о синхронного взаимодействия клиентов и серверов. Запросы и отпеты между и ром могут в любом порядке, а — чтобы клиент в конечном счете получил результаты своих запросов, Способность проводить поиск в каталоге подразумевает способность клиента вы несколько операций, в том числе поиск сервера, подключение, добавление и удаление Для администратора лезной возможность управлять информацией в Directory, но самое большое достоинство службы для конечного пользователя — средства для про информации. Например, при пользователь может найти в каталоге телефон или номер комнаты коллеги.

Подробнее о LDAPv3 — на Web-странице Web Resources по адресу microsoft.com/windows2000/reskit/webresources, ссылка RFC 2251.

Агент системы каталогов системы каталогов (directory system agent, - это процесс, который обеспечивает доступ к хранилищу - физическому месту расположения информа ции каталога на жестком диске. В Active Directory DSA является частью безопасности (Local Security Authority, LSA).

задача DSA - управление каталогом, а для этого ему знать, что представ ляют из себя отдельные объекты каталога. В частности, он проверяет соответствие вновь создаваемых объектов каталога и их атрибутов как обязательных, так и — определению этих объектов в схеме.

DSA также управляет топологией определяя, когда и какие события запускают синхронизацию реплик. Таким образом, DSA фактически службу каталогов. Доступ клиентов к каталогу осуществляется по одному из под держиваемых DSA механизмов:

• по протоколу Клиенты под управлением Windows 2000, а также под уп 98 (в том числе и Windows 95) с установленными тами клиента Active Directory с DSA по протоколу • через MAPI-клиенты, такие, как Microsoft Exchange Server версии 5.5, получают к по протоколу вызова (remote call, RPC) MAPI-интерфейса;

• под управлением Microsoft Windows NT версии 4.0 или более получают доступ к DSA с диспетчера безопасности (Security Account Manager, SAM);

• для между контроллерами доменов Active Directory в процессе реплика ции используется частная реализация разработанная в Microsoft.

о DSA — в главе 2 «Хранение Active Directory».

Уровень базы данных layer) инфор в базе в соответствии с в схеме семантикой.

Он изолирует более высокие уровни службы каталогов от самой системы базы дал 354 ЧАСТЬ 1 Служба каталогов Active Directory Уровень базы данных является внутренним интерфейсом, который не виден пользователям. Запросы на доступ к базе данных направляются только через уро вень базы данных и никогда не попадают напрямую в ядро Extensible Storage Engine.

Directory поддерживает иерархическое имен, в котором каж дый объект уникально идентифицируется в базе данных по его атри буту — (relative distinguished RDN). Полное составное имя объекта name, DN) состоит из относи тельного составного имени самого объекта и его родительских объектов. В базе данных хранятся всех объектов с ссылками на соответствующие родительские объекты. Уровень базы генерирует составное обрабаты вая и соединяя в одну строку эти Примечание Относительные составные имена уникальны только среди потомков одного объекта-родителя, то есть в одном родительском не мо жет быть двух объектов с одинаковыми Составное имя идентифи цирует сам и уникально в пределах всего каталога.

Главная базы данных это преобразование составных в це лочисленную называемую имени (distinguished name tag) и во всех внутренних операциях базы данных. Уровень базы дан ных следит за уникальностью тегов составных среди записей базы Все описывающие объект данные в виде атрибутов в столбцах таб лиц базы данных. Уровень базы данных отвечает за создание, поиск и удаление от дельных записей, атрибутов и их значений. Для получения сведений об атрибутах в нем схемы (отдельная в DSA).

Подробнее о схемы — в главе 4 «Схема Подробнее о состав ных именах и относительных именах — в главе 1 «Логическая Extensible Storage В основе Active Directory положен механизм доступа (Indexed Sequential Access Method, получившим название Jet. Это же ядро базы данных используется в сервере Microsoft Exchange Server, в службе файлов (File Replication FRS), редакторе конфигурации безопасности, служ бе сертификации, WINS и многих других Windows. В 2000 он называется Extensible Storage (ESE).

Для обеспечения целостности Active в базе данных ESE (Esent.dll) ис пользуется транзакций и журналы. Каждый запрос к DSA о добавлении, обновлении или удалении объектов или атрибутов обрабатывается как тран закция. После транзакция регистрируется в ряде с Ntds.dit файлом. По умолчанию файлом базы данных Active Directory размешен в файле По журналы хранятся в этом же каталоге.

о ESE — в главе 2 «Храпение данных в Active Directory». Подробнее с службе файлов - в главе 18 книги системы. Книга 2.

Ресурсы Microsoft Windows Редакция», 2001).

ГЛАВА 10 Выявление и устранение неполадок, атакже восстановление Active Directory Локатор контроллеров доменов Когда приложение доступ к Active Directory, поиск сервера Active Directory домена) (domain controller locator) — алгоритмом, выполняющимся в контексте службы Net Logon (Сетевой в систему). Локатор домена по их DNS (для компьютеров, поддерживающих или DNS) или по NetBIOS-имена ми (для управлением Windows 3.x, Microsoft for Workgroups, Microsoft Windows NT версии 3.5 или более поздней, Windows или Windows 98). Кроме того, локатор может в сетях, поддержи вающих IP-транспорт.

Вот какую действий выполняет локатор в кон троллера 1. Клиент (компьютер, которому требуется найти контроллер домена) инициа локатор как службы Net Logon вход в систему). В этой службе также реализована API-функция локатора (DsGetDcName).

2. Клиент собирает сведения, необходимые для розыска контроллера и передает их службе Net Logon в параметрах DsGetDcName.

3. Для поиска контроллера домена па основании от клиента инфор мации службой Net Logon используется один из двух способов.

• Если службе Net Logon передано применяется локатор, с IP /DNS, то есть DsGetDcName обращается к для просмотра записей ресурсов служб (Service Resource, и записей А из DNS после в строки имени домена, на пытающийся войти в домен Windows 2000, опрашивает записи в DNS в общей форме:

Серверы Directory поддерживают протокол поверх TCP, поэто му клиенты находят LDAP-еервер, в запись следующего вида:

• Если службе Net Logon (Сетевой вход в систему) передается DNS-имя, то используется локатор, совместимый с Microsoft Windows NT версии 4.0, то есть применяется механизм Примечание В Windows NT 4.0 и более ранних версиях поиск (discovery) троллера домена для определения подлинности либо в основном, либо в домене.

4. Служба Net Logon направляет дейтаграмму (то есть на компьютеры, кото зарегистрировали искомое имя. Для NetBIOS-имен дейтаграмма имеет вид почтового сообщения, а в случае DNS-имен дейтаграмма реализована как по протоколу (User Protocol). — это протокол чи дейтаграмм без соединения, часть набора протоколов TCP/IP.

Протокол TCP - это транспортный протокол с созданием соединения.

356 ЧАСТЬ 1 Служба каталогов Active Directory Примечание а пересылается на порт, что позво приложениям на разных обмениваться дейтаграммами заданный порт.

5. Все доступные домена отвечают на свое активное состояние и на 6. Служба Logon передает клиенту от откликнувшегося контроллера домена.

7. Служба Logon помещает о домена в кэш, чтобы при последующих весь процесс розыска. Кроме того, та кое позволяет создать к одному домена таким образом, обеспечить вида Active Directory.

Примечание Регистрацию событий в журнале отладки службы Net Logon (Се тевой в систему) можно из выполнив команду компьютер и посмотрите па записи в разде ле файла Net в папке Служба Net Logon про заносить в журнал об ей неполадках, му рекомендуется прежде всего обращаться к этому журналу.

В общем случае для запуска отладки совсем не обязательно кать компьютер — мы выполнили для просмотра изменений в разделе файла Net После установки флага журнал отладки активизи руется автоматически.

На рис. 10-1 процесс поиска контроллера домена.

Начало Сбор сведений;

DNS-имя домена, GUID домена, имя Нашел т Вызов совместимого Нашел ли локатор бы windows NT 4 О контроллер домена?

Да клиенту Рис. Процесс поиска контроллера домена ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory Примечание Локатор можно передавая имя домена в формате NetBIOS;

в этом случае передается локатору, с Windows NT 4.0, При входе в систему или при подключении к сети должен контроллер домена. Для этого он посылает в па поиск контроллеров домена в своей подсети, и система ближайший контроллер в своей подсети.

Обнаружив домена, подключается и получает доступ к Directory протоколу В процессе обмена контроллер домена определяет сайт, в котором находится но IP-адресу его Если клиент подклю чился к контроллеру домена, не в ближайшем (оптимальном) сай те, клиенту возвращается имя его сайта и сведения о том, находится ли контроллер домена в ближайшем сайте. Если клиент уже пытался разыскать в этом сайте (например, отправив в DNS на поиск контрол лера домена в своей подсети), но не нашел он использует неоптимальный кон троллер домена. В противном случае клиент повторяет запрос в DNS на поиск кон троллера в указанном сайте. Контроллер домена применяет информации DSA для идентификации сайтов и подсетей.

Примечание После обнаружения клиентом контроллера домена, сведения об контроллере Если контроллер домена находится не в оптимальном сайте, по истечении пятнадцати минут клиент очищает Далее он пытается ти оптимальный домена в своем сайте.

Установив связь с контроллером домена, клиент войти в си стему и подтвердить свою подлинность, а также при (к Win dows 2000) канал Только после этого вы полняет запросы и в каталоге.

При входе в систему клиент устанавливает связь по протоколу LDAP с контролле ром домена, далее запрос передается диспетчеру учетных записей безопасности, а затем он попадает в на уровень базы данных и, наконец, в саму базу данных ESE. Таким образом, в процессе входа задействованы несколько подсистем, и для эффективного решения Вам надо научить ся определять и диагностировать возникающие в них Подробнее о локаторе — в 3 имен в Active Directory».

Диагностика и устранение неполадок в Active Directory В процессе анализа причин и неполадок Active Directory необходимо следовать действий. Она позволяет точно установить вид сбоя, изучить его, а затем проблему. Последователь ность действий по выявлению и неполадок в Directory стрирована на рис. 10-2.

358 ЧАСТЬ 1 Служба каталогов Active Directory Для устранения неполадок использовать:

• Event Viewer событий) • • • NetDiag • NetMon Для устранения неполадок использовать:

• Event Viewer (Просмотр Работает ли • PING разрешения • Для устранения неполадок использовать:

• Event Viewer (Просмотр событий) домена?

• DCDiag • DSAStat Для устранения неполадок использовать:

Нет • Event Viewer (Просмотр Выполняется ли проверка • NetSetup Для устранения неполадок использовать:

• Event Viewer Работает ли доступом?

• Клонирование участника безопасности Готово Рнс. 10-2. Последовательность действий при выявлении и устранении неполадок в Active Directory В этой главе мы на имеющихся данных привести примеры типов а также описать служебные программы, кото рые можно использовать для и идентификации, а также предложить возможные решения. По 2000 Active Directory на большем числе систем новые сведения о работе службы каталогов будут на Web-странице Web Resources по адресу http://windows.microsoft.com/ ССЫЛКУ Personal Support.

ГЛАВА 10 Выявление и устранение неполадок, а также Active Directory Сетевые соединения Первый таг к и Active проверка наличия сетевых В данном разделе описаны приведены примеры наиболее неполадок сетевых соединений и предла гаемые способы их устранения. Чтобы удостовериться в правильности работы сети, сначала проверьте работу ниже подсистем.

Event Оснастка Event Viewer (Просмотр событий) — одна из наиболее полезных ных программ, применяемых не только для неполадок сетевых ний, но и сбоев в разрешении имен, в службе каталогов, а также других Возвращаемые ею коды четко классифицированы, что позволяет легко ус тановить проблему и проанализировать ее причины. Всегда проверяйте журнал со ли в нем записей о каких-либо которые проблем в будущем.

папку системных событий и проанализируйте ука занные в ней типы ошибок и предупреждений. Для каждой ошибки реждения откройте страницу свойств Event Properties (Свойства) и изучите опи данного сбоя и возвращенные В поле Data пе реключатель в положение Words (Слова) и преобразуйте код в десятичные числа. Обнаружив в Event (Тип) ошибки, восполь зуйтесь командой net для получения краткого соответствующей неполадки.

Например, первые четыре цифры 8007 кода ошибки указывают па сетевую ошибку или сбой интерфейса Microsoft Win32 API. Для расшифровки кодов ошибок пред команда net helpmsg. Чтоб ею воспользоваться, необходимо сначала образовать четыре цифры кода ошибки в десятич ное и в строке:

net helpmsg Программа возвратит описание соответствующей ошибки. Например, если возвратила ошибку с кодом требуется преобразовать число 054В в десятичное представление — 1355, чего ввести в строке:

net helpmsg Программа возвратит следующее сообщение, указывающее, что ошибка отсутствием или недоступностью домена:

The specified domain either not could not be contacted, (Указанный домен не существует или к нему невозможно подключиться) Ошибки типа «access (доступ или «had пароль), скорее всего, о проблемах с безопасностью, а не о ладках в сети. Ошибка «No logon servers» (отсутствие сервера входа в систему) обычно при невозможности обнаружить контроллер домена для входа. Код «No logon servers» содержит в качестве источника Net Logon, Ошибка нарушения доступа (access может содержать в источника SAM.

360 ЧАСТЬ 1 каталогов Active Directory Подробнее о Net Helpmsg и объяснениях кодов ошибок - на Web-страни це Web Resources по адресу http://windows.microsoft.com/windows2000/reskit/ ссылка Microsoft Platform SDK.

Оборудование Убедитесь, что оборудование, такое, как сетевой концентратор, кабели и т. п., фун кционируют должным образом. Например, если Local Area Connection (Подключение по локальной сети) диспетчера Network and Dial-up Connections (Сеть и удаленный к сети) на Control Panel (Панель управления) отмечен красным крестиком, то это, как значит, что сетевой кабель отсоединен.

о проверке работы оборудования - в книге «Сопровождение сервера.

Ресурсы Microsoft Windows 2000 Server» Редакция», 2001).

всего, убедитесь в работы сетевых адаптеров и драйверов.

Это можно сделать несколькими способами непосредственно из панели управления.

Можтто открыть объект Add/Remove Hardware (Установка оборудования) на па нели управления и щелкнуть Add/Troubleshooting (Добавить/произвести диагно устройства) для отлаживаемого устройства или выбрать вкладку Hardware (Оборудование) в окне System Properties (Свойства системы) панели управления.

Другой способ — выбор Hardware Wizard (Диспетчер устройств) на вкладке Hardware (Оборудование ) в окне System Properties (Свойства системы) панели управления.

В окне Hardware Wizard укажите требуемое устройство а затем проверьте, работа ет ли оно должным образом. Исследуйте свойства представленных в окне мастера устройства, дважды щелкая их значки устройства. Состояние устройства отобра. жено на вкладке General (Общие). Если устройство работает некорректно, щелк ните кнопку (Устранение неполадок), чтобы получить Соединение с локальной сетью Следующее, что нужно проконтролировать при проверке сетевого соединения, это наличие и исправность соединения с локальной сетью и IP-адре сов. Для этого используется служебная программа командной строки IPConfig, предназначенная для просмотра и обновления параметров конфигурации протоко ла на данном компьютере. IPConlig применяют также для обнов DNS при регистрации записей о компьютере в службе DNS.

Просмотр параметров конфигурации IP 1. Введите в командной строке /all и нажмите Enter.

2. Просмотрите текст и проверьте следующее:

• есть ли у компьютера • задан ли основной шлюз;

• указан ли сервер DHCP.

3. С помощью ping связь с основным шлюзом и сервером DHCP.

Проверка наличия связи по протоколу TCP/IP средствами команды ping 1. В командной строке обратитесь по адресу замыкания на себя;

для этого выпол ните команду:

ping ГЛАВА и устранение неполадок, а также восстановление Active Directory Если эта команда не выполнена, то компьютер, вероятно, не был перезагружен после установки и настройки TCP/IP.

2. Обратитесь ping по IP-адресу компьютера.

Если эта команда не выполнена, компьютер и проверьте таблицу маршрутизации командой route print.

3. Обратитесь командой ping по IP-адресу основного шлюза.

Если эта команда не выполнена, проверьте правильность IP-адреса шлюза и работоспособность этого шлюза (маршрутизатора).

4. командой ping по IP-адресу удаленного узла (узла, находящегося в другой подсети).

Если эта команда не выполнена, проверьте правильность IP-адреса удаленного узла, работоспособность этого узла, а также работоспособность всех шлюзов (маршрутизаторов) между локальным компьютером и удаленным узлом.

5. Обратитесь командой ping по IP-адресу DNS-сервера.

Если эта команда не выполнена, проверьте правильность IP-адреса DNS-серве ра, работоспособность DNS-сервера, а также работоспособность всех (маршрутизаторов) между локальным компьютером и DNS-сервером.

Примечание Команду ping используйте для проверки связи по протоколу TCP/IP и обнаружения неполадок связи между различными компьютерами. При невоз можности соединиться с сервером ping возвращает сообщение «Request timed out» (тайм-аут запроса), Пример локальной сети без сетевого Здесь приводится пример конфигурации TCP/IP для локальной сети.

Сведения о недоступных компонентах выделены курсивом. Обратите внимание на отсутствие что о некорректном соединении с локаль ной сетью.

ipconfig /all Windows 2000 IP Configuration Host : SERVER Primary DNS Suffix :

Type : Hybrid IP Routing Enabled : No WINS Proxy Enabled : No DNS Suffix Search List : reskit.com Ethernet adapter Local Area Connection:

Media State : Cable Description : EtherLink XL 10/100 PCI TX NIC Physical Address : 00-10-5A-99-F7- 362 ЧАСТЬ 1 Служба каталогов Active Directory Пример сети с исправным сетевым соединением пример корректного соединения с локальной сетью. Обратите вни мание на наличие IP-адресов.

/all Windows 2000 IP Configuration Host Name : SERVER Primary DNS Suffix : reskit.com Type : Hybrid IP Routing : No WINS Proxy Enabled : No DNS Suffix List : resklt.com Ethernet adapter Local Area Connection:

Description : 3Com EtherLink XL 10/100 PCI TX NIC (3C905B-TX) Physical Address :

DHCP Enabled : No Address :

Subnet Mask :

Default Gateway : 172.25.128. Servers :

Primary WINS Server : 172.25.254. Сохранение конфигурации IP в текстовом файле Иногда требуется для дальнейшего анализа параметры IP соединения с локальной сетью, с помощью Эти данные мож но сохранить в текстовом файле, задав команду в командной строке:

ipconfig /all По умолчанию будет в каталоге. Для просмотра и рования файла дважды его мышкой. Подробнее устране нии неполадок протокола в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» Редакция», Клиентское соединение Для работоспособности программа Netdiag. Она помогает отделить неполадки сети от сбоев в соединениях посредством проведения Получаемые результате этих испытаний дан ные о состоянии сети и отлично идентифицировать не поладки в сети. Кроме того, поскольку Netdiag не нуждается ни в каких ключах и параметрах командной строки, Вы можете на анализе результатов ее работы и не тратить время на обучение пользователей работе с ней.

Netdiag выполняет следующие проверки (тесты):

• Ndis — тест сетевой карты;

• - тест конфигурации IP;

• — тест членства в домене;

• NetBT Transports — тест • тест (Automatic Private IP Addressing);

ГЛАВА 10 Выявление и устранение а также восстановление Active Directory • ping no адресу па себя (127.0.0.1);

• DefGw — тест основного шлюза;

• NbtNm — • WINS — тест службы WINS;

• — тест • DNS;

• Browser тест редиректора и обозревателя;

• DsGetDc — тест поиска контроллера • проверку списка • Trust — тест доверительных • — тест • Ldap — тест LDAP;

• Route — • Netstat — тест информации • Bindings — тест создания • WAN - тест конфигурации WAN;

• Модем диагностику модема;

• Netware — тест Netware;

• тест IPX.

После запуска netdiag.exe и завершения работы программы найдите в выведенной информации слово FATAL оно указывает на ошибку, Подробнее о служебной программе Netdiag в справочной системе Microsoft Windows 2000 Support Пример в DNS и проверка защищенного канала Ниже пример сведений, предоставленных Netdiag, в неполадок в процессе регистрации в DNS и проверки канала. Сбои отмечены кур сивом.

Computer Name:

DNS Host Name:

System info : NT Server 5.0 (Build 2091) Processor : x86 Family 6 Model 5 Stepping 2, List of installed hotfixes :

Netcard queries test : Passed interface Adapter : Local Area Connection Netcard queries test... : Passed Host Name :

IP Address : 172.16.85. Subnet Mask :

Default Gateway : 172.16.84. Primary WINS Server.... :

WINS Server... :

Dns Servers.. :

364 ЧАСТЬ 1 Служба каталогов Active Directory 172.16.254. ration results : Passed Default gateway test : Passed NetBT name test : Passed WINS service test : Passed results:

Domain test : Passed NetBT transports test : Passed List of transports currently configured.

1 Net8t transport currently Autonet address test : Passed IP ping : Passed Default gateway test : Passed NetBT name test : Passed test : Passed DNS test Failed The DNS registration for reskit. reskit.com is incorrect on all DNS Redir and Browser test : Passed List of NetBt transports currently bound to the Redir The is bound to 1 NetBt transport.

List of NetBt currently bound to the browser The browser is bound to 1 NetBt transport.

DC discovery test : Passed DC list test : Failed Trust relationship test Failed [FATAL] Secure to domain is broken.

Kerberos test : Skipped LDAP test : Passed Bindings test : Passed WAN configuration test : Skipped No active remote access connections, Modem diagnostics test : Passed The command successfully о диагностике и устранении регистрации в DNS — в далее в этой главе. Подробнее о диагностике и устранении не поладок защищенного канала — в «Проверка далее в этой главе, успешного сетевого соединения Ниже приведен пример сообщений, выводимых программой для успешно го клиент-серверного соединения.

Computer Serverl DNS Host Name:

Processor : x86 Family 6 Model 5 Stepping 1, List of installed hotfixes :

Netcard test : Passed Per interface results:

Adapter : Local Area Connection Netcard queries test : Passed ГЛАВА Выявление и устранение неполадок, а также восстановление Active Directory Host :

IP Address :

Subnet :

Default Gateway : 172.16.128. Primary WINS Server.... :

Dns Servers :

results. : Passed Default test... : Passed name test : Passed No remote names have been found.

WINS service test : Passed Global results:

Domain membership test : Passed NetBT transports test : Passed List of NetBt transports configured, 1 NetBt transport currently configured.

address test : Passed IP loopback ping test : Passed Default gateway test : Passed NetBT name test : Passed test : Passed DNS test : Passed PASS - All the DNS entries for DC registered DNS server Redir and Browser test : Passed List of NetBt transports currently bound to the Redir The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser The browser is bound to 1 NetBt transport.

DC discovery test : Passed DC List test : Passed Trust relationship test : Skipped test : Passed LDAP test : Passed Bindings test : Passed WAN configuration test : Skipped No active remote access connections.

Modem diagnostics test : Passed The command completed successfully Сохранение данных, возвращенных Netdiag, в текстовом файле требуется сохранить для дальнейшего анализа сведения о сетевом и серверном с помощью Netdiag. Эти данные можно сать в текстовом файле, задав следующую в командной По умолчанию файл сохранится текущем каталоге. Для просмотра и редактиро вания файла достаточно мышью.

* Эти сведения — в файле при ключа/1.

По имя файла — 366 ЧАСТЬ 1 Служба каталогов Active Directory Соединение с контроллером домена Проверьте работоспособность домена. Для проверки сетевого соеди нения с контроллером своего (а также других доменов сети) используйте ping. При наличии IP-адреса разрешаться корректно.

Для этого, например, выполните ping ping ping Успешна ли хотя бы одна из предыдущих Проверьте также, верно ли разрешается IP-адрес компьютера. Если да, переходите к следующему разделу.

Доверительные отношения между клиентом и контроллерам Существует множество причин, по которым нарушается целостность канала между клиентом и доменом. Одна из них — это отсутствие соответствующе го разрешения, как показано в следующем примере:

nltest [FATAL] Secure channel to domain is broken.

Flags: Trusted DC Name Trusted DC Status Status = 5 0x The command completed successfully Для определения настройки обычно проверяют наличие за щищенного канала:

• для о состоянии защищенного канала выполните команду Nltest /sc_query • для запуска попытки принудительного восстановления защищенного канала выполните команду Nltest • для принудительного защищенного канала на определенном контроллере домена выполните команду Nltest Примечание Результаты команды Nltest ненадежны — она возвращает не текущее состояние канала, а состояние на момент его использования. Для доверительных отношений рекомендуется сначала nltest и в успеха этой команды запус тить nltest Определение причины неполадок доверительных отношений 1. Войдите в систему под локальной учетной записью.

С помощью служебной программы Nltest установите следующие флаги Net Logon (Сетевой вход в систему):

Nltest 3. Выполните следующую команду:

nltest ГЛАВА Выявление и устранение неполадок, а также Active Directory В файле описаны причины невозможности ус тановить канал. Одна из них — неготовность на данном компьютере. Соответствующая запись об ошибке в Netlogon.log может иметь следующий вид:

08/30 10:15:19 Returning paused to since: not ready Ниже обычные причины сбоев системы доверительных отношений:

• No SAM Trust Account — отсутствие учетной SAM, что обычно вызвано отсутствием учетной записи данного компьютера;

• Access denied — запрещение доступа, вызванное, как правило, несовпадением лей доверия. Будьте внимательны с этим типом ошибки: такую же ошибку Вы по у Вас нет разрешения на выполнение команд или sc_reset.

Частая причина проблем с учетными записями и соответствующими в работе защищенных каналов — установка компьютеров с одинако выми именами. Обычный способ такой — выпол нение присоединения, Вот еще один сбоя доверительных между клиентом и лером домена:

nltest Flags: Trusted DC Name Trusted DC Connection Status Status = The command completed successfully В данном случае клиент полагает, что он присоединен к домену, однако не может учетную на контроллере домена.

Подробнее о доверительных отношениях — в главе 1 структура Active Directory».

Средства диагностики доверительных отношений Служебная программа командной строки Nltest проверить состояние доверительных отношений, а также соединения и трафик между сетевым клиентом и контроллером домена. Nltest выявляет канала подключе ния к контроллеру домена клиентов под управлением как Windows 2000, так и Windows NT. Эта программа также помогает находить домены и а также получать полный список всех доступных контроллеров домена и серверов глобального каталога. Кроме того, она позволяет узнать все контроллеры доменов, для пользователя, а также получать сведения о нем.

Чтобы при поиске контроллера клиентом под управлением Windows 2000 при менялись сведения из кэша, вызове Nltest нужно задать параметр /force:

nltest /force Примечание Команда Nltest используется для запуска локатора, то есть параметр заставляет программу искать кон троллер заданного домена, a /force использовать сведения из кэша.

но задавать параметры /gc или чтобы искать глобальный каталог или эмулятор PDC, соответственно. При поиске глобального каталога задать имя дерева, то есть корневого домена.

368 ЧАСТЬ 1 Служба каталогов Active Directory Возвращение ошибки при проверке защищенно го канала с использованием обычно о том, что найти контроллер заданного домена. Чтобы проверить контроллера домена, необходимо выполнить команду Если кон троллер недоступен, проверьте в DNS и сетевые соединения.

Подробнее о подтверждении регистрации в DNS в разделе «Разрешение далее в этой главе.

Ниже пример неудачной попытки найти контроллер домена:

nltest Flags: Trusted DC Name Trusted DC Connection Status Status = 1311 Ox51f The command successfully Следующий пример иллюстрирует неудачную попытку найти контроллер указан ного домена с применением параметра nltest /force Status = Ниже приведен пример удачной попытки найти контроллер определенного домена:

nltest /force DC:

Address:

Name:

Forest Name: reskit.com DC Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: GC DS LDAP KDC WRITABLE The completed successfully Неполадки сервера DHCP Чтобы определить, не является ли сервер DHCP причиной неполадок, необходимо освободить IP-адрес компьютера, DHCP и затем восстановить этот адрес. Эти действия выполняются следующей последовательностью команд:

ipconfig /release net stop dhcp net start dhcp ipconfig /renew Если после этой операции клиенту все равно не удается создать соединения с кон троллером домена (даже при условии корректности IP-адреса), следует изучить след попытки соединения в анализаторе пакетов в мониторе.

Подробнее о DHCP — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2001). Подробнее о сервере DHCP - в справочной системе Windows 2000 Server.

Использование сетевого монитора для анализа неполадок сетевого обмена Анализатор пакетов в Network Monitor (Сетевой монитор) помогает отследить весь (входящий и исходящий) трафик компьютера;

также как трафик к и от сервера DHCP, ответственного за выпуск IP-адресов. В составе Windows 2000 Server ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory «облегченная» версия анализатора. Полная версия, позволяющая вать все возможности сетевого монитора, включена в состав Microsoft Systems Management Server.

Установка сетевого монитора 1. Щелкните кнопку Start (Пуск), затем — Settings (Настройка) и затем — Panel (Панель управления). В окне панели управления дважды щелкните зна чок Add/Remove Programs и программ).

2. В диалоговом окне Add/Remove Programs (Установка и удаление программ) щелкните кнопку Add/Remove Windows 2000 Components (Добавление и уда ление Windows).

3. В мастере компонентов Windows выберите Management and Monitoring Tools (Средства управления и наблюдения), а затем щелкните кнопку Details 4. В диалоговом окне Management and Monitoring Tools (Средства управления и наблюдения) установите флажок Network Monitoring Tools (Средства сетевого монитора) и ОК.

5. Если запрашиваются дополнительные файлы, компакт-диск Windows Server или укажите путь к расположению этих файлов на компьютере или в сети.

После установки полной версии сетевого монитора Вы можете и просматривать все пакеты в сети. Сетевой монитор изолирует сетевой уровень, на котором произошел сбой, и определить причину неисправности.

Примечание Сетевой монитор следует запускать на компьютере с неполадками со единения или на другом компьютере, присоединенном к этому же Подробнее о сетевом мониторе — в книге «Сопровождение сервера. Ресурсы Mic rosoft Windows 2000 («Русская Анализатор пакетов сетевого монитора отслеживает весь сетевой обмен, что позволяет быстро просмотреть его и установить причину сбоев. Например, если сбой регулярно повторяется, отслеживаемые (или перехватываемые) анализатором пакеты дают воз можность определить конкретную вызывающую сбой. Анализатор предос сведения о скорости операций, источнике трафика, наличии отброшенных па кетов и выяснить, не отключаются ли процессы по таймауту.

Пример наблюдения за сетевым трафиком Обычно для наблюдения за трафиком сетевой монитор устанавливается рабочем компьютере. Если компьютеры к одному Вы сможете анализировать пакеты всех остальных компьютеров сети. Например, чтобы наблюдать за другим компьютером, достаточно узнать его адрес (в виде реса Ethernet) и добавить его в список компьютеров, за которыми Вы наблюдаете.

Теперь Вы сможете контролировать этот компьютер, отбирая (отфильтровывая) пакеты из данных, анализатором.

Если присмотреть весь трафик (как IP, так и IPX), для от бора пакетов нужно использовать Ethernet-адрес (а не адрес IP), так как задержки могут быть вызваны межпротокольными преобразованиями.

Завершив сбор данных об интересующем Вас компьютере, стоит установить дру гой фильтр (другое правило отбора пакетов).

370 ЧАСТЬ 1 Служба каталогов Active Directory Пример наблюдения за кадрами динамического обновления DNS с применением сетевого монитора Windows 2000 в DNS автоматически при условии, что DNS соответствующим образом. В следующем примере показан кадр клиентский запрос па обнов ление сервера DNS.

DNS: to of type Host DNS: Query Identifier = DNS: DNS Flags = Query, - RCode - No error DNS: 0 Request DNS:. 0101 = Dynamic Update DNS: 0 = Server not authority domain DNS: 0 = complete DNS: 0 = Iterative query DNS: 0 No recursive queries DNS: = Reserved DNS: 0000 No error DNS: Count = 1 (0x1) DNS: Prerequisite Section Entry Count = 0 (0x0) DNS: Update Section Entry Count = DNS: Additional Records Count = DNS: Update Zone: mycorp.com. of type SOA on class addr.

DNS: Update Zone Name: fnycorp.com.

DNS: Update Zone Type Start of zone of authority DNS: Update Zone Class = Internet address class DNS: Update: of type Host Addr on class Req.

for any(2 records present) DNS: Resource Record: of type Host Addr on class Req. for any(2 records present) DNS: Resource Name:

DNS: Resource Type = Host Address DNS: Resource Class = for any class DNS: Time To Live = 0 (0x0) DNS: Resource Data Length = 0 (0x0) В этом кадре также имеется запись, которая будет внесена в DNS: Resource Record: of type Host class INET addr.

DNS: Resource Name:

DNS: Resource Type = Host Address DNS: Resource Class = Internet address class DNS: Time To Live = DNS: Resource Data Length DNS: IP address = 100.2.0. Версия монитора сети, в состав Windows 2000 Server, корректно ана лизирует и отображает такие кадры, Примечание Если Вы более раннюю версию сетевого или анализатор Вы можете идентифицировать кадры намического обновления по четырем битам в разделе DNS Flags кадра.

ГЛАВА 10 Выявление и устранение неполадок, также восстановление Active Directory показаны эти четыре бита:

DNS: Qry of type SOA on class DNS: Query Identifier = 23 (0x17) DNS: DNS Flags = Query, - RD Bits Set, - No error DNS: 0 Query DNS:. 0101 = Reserved [значение 5 - это DNS] DNS: О - Server authority for DNS: 0 = Message complete DNS: 1 = Recursive query desired DNS: 0 = No recursive queries DNS: 000 = Reserved DNS: 0000 No error В этом кадре также имеется запись, которая будет в DNS:

DNS: Authority Section: HYSERVER.mycorp.com. of type Host Addr on class INET addr.

DNS: Resource DNS: Resource Type = Host Address DNS: Resource Class Internet address class DNS: To Live = 3600 (OxE10) DNS: Resource Data Length = 4 (0x4) DNS: IP address = 100.2.0. Пользуясь монитором, имейте в виду следующие особенности:

• интерфейс сетевого контекстно-зависим, то есть в зависи мости от контекста;

• панели инструментов работу в окне сетевого монитора;

• меню изменяется в зависимости от того, какое окно выбрано Capture Window или capture window;

• собираемые данные можно сохранить в виде файла с расширением для следующего анализа;

• фильтры разрешается сохранять и быстро • монитор способен отображать время предыдущего кадра (это требуется для быстродействия);

• если в одном из столбцов указан адрес без имени, для удобства ему можно при своить имя, щелкнув правой кнопкой мыши;

• устанавливать различные цвета для каждого из • в буфера сбора задавать большую длину буферов — это полез но, если Вы хотите проанализировать данные за длительный период времени;

• в LDAP порт глобального каталога (порт 3268) не рассматривается в качестве порта Чтобы задать его как порт необходимо добавить строку в разделе set в файл % 3268 = LDAP • чтобы изменить фильтр, нажмите Оставьте двустороннюю стрелку (<->.) в окна. Выберите с стороны окна ANY, а с другой имя 372 ЧАСТЬ 1 Служба каталогов Active Directory компьютера. Если имени нужного компьютера нет, создайте его, выбери те его и щелкните ОК. МАС-адрес компьютера — это физический адрес адаптера, отображаемый при выполнении команды /all (например, • чтобы включить запись пакетов, передаваемых по сети, нажмите F10. Выполни те операцию, которая вызывает сбой. пакеты отображаются в нижней части окна сетевого монитора. Остановите запись, файл и присоедините его к отчету о Подробнее о сетевом мониторе - в книге «Сопровождение сервера. Ресурсы Mic rosoft Windows 2000 («Русская 2001). Подробнее о службе DNS — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» Ре 2001).

Неполадки редиректора Чтобы определить, является ли редиректор причиной неполадок, выполните в ко мандной строке команду net Эта команда показывает, как настроен редиректор или рабочая станция. Если тта рабочей станции неисправен хотя бы один транспорт, Вы увидите фрагмент, анало гичный приведенному ниже:

Computer name Workstation active on Software version Windows Workstation domain Logon domain RESKIT Open Timeout (sec) COM Send Count (byte) COM Send Timeout (msec) The command completed successfully, Рабочая станция должна хотя бы вид транспорта, например NetBT Tcpip, как ниже:

Computer name \\Reskit User name Userl Workstation active on NetbiosSmb <000000000000> Software version Windows Workstation domain Logon domain RESKIT COM Open Timeout COM Send Count (byte) COM Send Timeout The command completed successfully.

Если это не так, то причина неполадок сети кроется либо в редиректоре, либо в транспорте, либо в некорректной самонастройке (РпР). Одна из основных отсутствия по крайней мере одного транспорта, с редиректором или ра бочей станцией, — конфликт одинаковых имен.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory Примечание Иногда при попытке к ресурсами из системы с несколькими редиректорами. Такая появляется только при первой попытке подключения.

Подробнее о редиректоре — на Web-странице Web Resources по адресу http:// windows.microsoft.com/windows2000/reskit/webresources, ссылка Microsoft Platform SDK.

имен Если после проверки и настройки сетевых соединений все равно не удастся свя заться с Active Directory, то, вероятно, причина сбоя — в неверном разрешении имен. Невозможность связаться с другими компьютерами или сетевыми ресурсами иногда вызывается некорректным доменных имен DNS в В этом разделе мы рассмотрим служебные программы для диагностики неполадок, покажем примеры сбоев разрешения имен и предложим способы их устранения.

Первое, что надо сделать при и неполадок имен Active Directory, как компьютеры под управлением Windows регистрируют имена и находят контроллеры домена.

Нужно что при запуске контроллер под Win dows 2000 регистрирует два типа имен:

• доменное имя в DNS;

• в WINS или в другой службе, NetBIOS условии, что компьютер должен поддерживать NetBIOS).

Среди DNS, регистрируемых контроллерами домена, — записи SRV, А, а также — они контроллера в дан ном домене и в лесе.

В момент входа в домен компьютер под управлением Windows 2000 выполняет две • запрашивает DNS, пытаясь найти контроллер домена для проверки подлинно сти (при условии, что имя домеиа в формате DNS);

• отсылает на розыск контроллера данного домена (при условии, что имя домена - имя NetBIOS).

В случае успешного поиска сведения о контроллере домена поиск пре кращается и используются данные кэша.

Подробнее о локаторе и поиске домена — в главе 3 имен в Active Directory».

Теперь надо выяснить, удается ли обнаружить имена и адреса сетевых ресурсов с помощью команды ping или net use. Ответ на этот вопрос позволяет ли разрешаются имена контроллеров домена службой DNS.

Если ответ отрицательный, Вам придется продолжить исследования: сначала Вы конфигурацию DNS, а убедитесь в правильности имен DNS.

В следующих разделах мы познакомим Вас с служебными программи из состава Windows 2000 Server Resource Kit, которые помогут Вам выполнить ди агностику, чтобы устранить неполадки при разрешении имен.

374 ЧАСТЬ 1 каталогов Active Directory Согласованность и регистрация в DNS Рекомендуется после Directory убедиться, что записи DNS о ре сурсах контроллера домена на сервере DNS. Внесение таких записей называется Существуют два вида для компьютера записей А и PTR, и для контроллера домена записей Л и па сервере Рекомендуется проверять оба вида регистрации.

Примечание Если записи на сервере DNS, никакому ком пьютеру или пользователю удастся контроллер домена. Сообщения об с отсутствием регистрации компьютера в DNS, доступны для просмотра в системном в оснастке Event Viewer (Просмотр событий), Требуется проверить, выполняет ли служба Net Logon (Сетевой вход в систему) регистрацию при своем запуске и перезапуске домена. Эта служба каж дый час отсылает в DNS запросы на динамическое записей SRV, А и для обеспечения их постоянного присутствия на сервере Как но в RFC 2136, протокол динамического обновления DNS добавлен к стандарту недавно и предназначен для внесения на сервер DNS или Все контроллеры под Windows 2000 должны в качестве локатора службу Каждый такой контроллер динамически регистри рует в DNS записи служб что позволяет находить серверы по типу службы (в нашем примере, и по протоколу (например, TCP или Кроме запи сей относящихся к LDAP, служба входа в систему регистрирует записи для протокола проверки что позволяет найти серверы, на которых работает ключей (Key В зонах, с Active Directory, сервер DNS хранит все записи в этой зоне Active Directory. Возможно, запись в Directory обновлена, но еще не реп лицирована на все серверы DNS, загружающие эту зону. В этом случае возникают неполадки, связанные с нарушением согласованности. По умолчанию все серверы на которые загружаются зоны из Directory, регулярно опрашивают службу каталогов (обычно каждые пять минут) и вносят все ния в зоне в каталог. В большинстве случаев DNS занимает не более минут;

но включает репликацию на все серверы DNS доменного окружения Active Directory с заданными по параметрами переноса по надежным высоко скоростным линиям связи. Таким очень важно обеспечить согласованность данных интегрированной зоны. В Windows 2000 согласованность DNS так же важ как согласованность Windows NT 4.0, как службы, обеспечивающей вход в и поддержку доверительных отношений.

Служебные используемые для диагностики и устранения неполадок DNS В этом разделе рассмотрены служебные для устранения не исправностей службы DNS.

Оснастка Event Viewer Журнал событий сервера DNS в консоли Event Viewer (Про смотр событий) одно из средств используемых для при ГЛАВА 10 Выявление и устранение а также Active Directory чин в разрешении имен DNS. Сообщения сервера размещены в панке DNS Server, а DNS — папке System Log (Журнал системы). Подробнее о — в книге TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская 2001).

В событий регистрируются операционной системе Win 2000 и службах (в том числе DNS). Поэтому можно попытаться обнаружить в сообщения о событиях, относящихся к DNS.

Запуск Event Viewer (Просмотр событий) • Щелкните кнопку Start (Пуск), Programs (Программы), Administrative Tools и — значок Event Viewer (Просмотр событий).

Щелкните DNS Server для просмотра сообщений сервера или щелкните System Log системы) для просмотра клиента об оснастке Viewer — справочной системе Microsoft Windows 2000.

Если в журнале системы для клиента есть записи об ошибках это означает, что у данного клиента появились проблемы с динамическим обновлением Если в журнале событий имеется сообщение об 5781 службы входа в систему для определенного контроллера домена, это также обычно указывает на не поладки в динамическом обновлении DNS. Методы устранения этих ошибок опи саны далее в этой главе, Использование для имен Служебную программу Nslookup для запросов и изучения содер файлов на локальных и Для этой служеб программы в интерактивном режиме и нужно ввес ти в командной строке:

NSLOOKUP При наличии ошибки Вы получите сообщение:

DNS request timed out.

timeout was 2 seconds.

*** Can't find server for address 172.16.0.0: out Default Server:

Address: 172.16.0. типа Can't find server name for address 172.16.0.0: Timed можно игнорировать — она обычно указывает на что ресурсов ука зателя сервера DNS. Таким образом, если удается найти имя сервера но его IP-адресу, она использует имя Unknown, никак не влияя на Ваши запросы, о программе Nslookup - в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» Редакция», 2001).

Использование Netdiag для регистрации в DNS Netdiag позволяет с помощью нескольких тестов локализовать сети и Сбой при имен, вероятно, вызван неполадками при ре гистрации в DNS или отсутствием согласованности. Чтобы найти причину неис ответить на следующие вопросы:

376 ЧАСТЬ 1 Служба каталогов Active Directory Сообщает ли Netdiag о каких-либо ошибках DNS? Например:

DNS test : Failed The DNS registration SERVER1 in reskit.com is incorrect on all DNS servers.

или DNS test : Failed [FATAL] No DNS have our DNS for this DC registered Обнаружив такую ошибку, воспользуйтесь предложенными в данном разделе ме тодиками неполадок при регистрации в Примечание Наилучшее средство для проверки DNS в домене — ко манда /debug. Эту команду необходимо выполнить на всех контроллерах домена.

Для обновления всех в DHCP адресов и перерегистрации имен DNS для компьютеров команда /registerdns. Для обновления и пе ререгистрации имен DNS для контроллеров доменов нужно остановить, а затем службу входа в систему. По эта служба автоматически, каждый час перерегистрирует имена DNS. Подробнее о DHCP - в книге «Сети TCP/IP. Ресурсы Microsoft 2000 Server» («Русская 2001).

для проверки согласованности — служебная программа, применяемая для изучения свойств серверов зон и записей ресурсов. Для сбора сведений о конфигурации сервера в том и данных о статистике производительности, используйте Dnscmd или консоль DNS.

Dnscmd также применяется для ручной настройки свойств сервера DNS, создания и удаления зон и записей ресурсов, а также для вынужденной репликации между физической памятью сервера DNS и базой данных DNS и файлами данных, Подробнее о Dnscmd.exe — в справочной системе Microsoft Windows 2000 Resource Kit на прилагаемом к книге компакт-диске.

службы DNS Возможны три основные типы неполадок:

• пользователь не может войти в систему;

• в процессе работы мастера Active Directory проблемы с розыском работающего контроллера домена в существующем лесе или домене;

• одному домена не удается найти другой контроллер домена.

Проверка существующей конфигурации DNS Поскольку для поиска сетевых в Active Directory используется DNS, важ но убедиться, что эта служба настроена должным образом. Подробнее о настройке DNS — в главе 3 «Разрешение имен в Active Однако прежде выясните следующее:

• ли Вы конфигурацию • проверили ли Вы сервера DNS;

ГЛАВА 10 Выявление и неполадок, а также восстановление Active Directory • убедились ли Вы, что все необходимые в DNS и реп все серверы DNS?

До проверки конфигурации сервера и наличия записей в верности параметров клиента DNS.

Проверка параметров клиента DNS 1. Щелкните правой кнопкой значок My Network Places (Мое ок ружение) и в контекстном меню выберите Properties (Свойства).

2. Щелкните правой кнопкой мыши соединение, которое требуется настроить на сервере DNS, и в контекстном меню выберите Properties (Свойства).

3. Щелкните Internet Protocol (TCP/IP) [Протокол Интернета а за тем — Properties (Свойства).

4. На странице Internet Protocol (TCP/IP) Properties [Свойства: Протокол Ин тернета IP-адрес существующего сервера DNS в поле Pre ferred DNS server Добавьте IP-адрес дополнитель ного сервера в поле Alternate DNS server (Альтернативный DNS-сервер).

5. Если требуется определить более одного дополнительного сервера щелк ните Advanced перейдите на вкладку DNS и введите имена дополнительных серверов в поле DNS server addresses (Адреса в порядке Утилиту командной строки Ipcontig применяют и для изучения параметров конфи гурации клиентов просмотра и сброса кэша, используемого для обработки запросов на разрешение имен а также для регистрации записей ре сурсов в процессе динамического обновления клиента. Запущенная без параметров, отображает о каждого из адаптеров, в том числе имя домена и используемые им DNS. В таблице 10-1 приведены некото рые параметры командной строки для Ipconfig.

Таблица 10-1. Параметры командной строки программы Ipconfig Действие /all Выводит полные сведения о DNS, в том числе полное имя узла (Fully Qualified Domain Name, и список поиска по DNS суффиксу ipconfig Сбрасывает содержимое распознавателя имен кли ентов DNS ipconfig Выводит кэша имен DNS ipconfig DHCP (арендованные адреса) и регистрирует все имена Эту команду на компьютере со службой клиента DHCP ipconfig /release Освобождает все арендованные адреса в DHCP ipconfig /renew арендованные DHCP и динамически ляет записи DNS. Эту используют только на компьютере со клиента DHCP 378 ЧАСТЬ 1 Служба каталогов Active Directory Примечание Кроме как посредством сбросить кэш можно, и пе резапустив службу клиента об очистке кэша — в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

Убедившись, что клиент корректно на основной и ный серверы проворьте, способны ли они разрешать рекурсивно. Если, конечно, эти серверы не являются ответственными за имена, за клиентом. о рекурсивном разрешении имен в книге TCP/IP. Ресурсы Microsoft 2000 («Русская 2001).

Убедившись в корректности конфигурации клиентов и способности основного и DNS разрешать имена, Вам придется прове рить наличие всех необходимых записей па сервере В разделе список записей регистрируемых служ бой Net Logon (Сетевой вход в систему), работающей на контроллерах домена.

Проверка регистрации контроллера домена в DNS Кроме и PTR, которые для всех компьютеров под уп равлением Windows 2000, контроллеры домена также регистрируют дополнитель ные записи, указывающие ими роль. При каждом запуске (в том числе и при перезапуске служба входа в систему пытается зарегистрировать часть или все ресурсов. Это показано в примере.

ресурсов регистрируются службой входа в систему, которая вносит записи в файл Netlogon.dns, в папке rao%\System32\config.

Примечание Перерегистрировать записи ресурсов в строке net stop и net start Вот пример файла Netlogon.dns:

600 IN A 600 IN SRV 0 100 600 IN SRV 0 100 600 IN SRV 0 100 600 IN SRV 0 100 600 IN A 600 IN 600 SRV 0 100 reskit.com. 600 IN SRV 0 100 600 IN SRV 0 100 600 IN SRV 0 100 600 IN SRV 0 100 600 IN SRV 0 100 600 IN SRV 0 100 _ldap. 600 IN SRV 0 100 reskit.com. 600 IN SRV 0 100 ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory 600 IN SRV О 1СО 600 IN SRV 0 100 SERVER1.

600 IN SRV 0 100 reskit.com. 600 IN SRV 0 100 Для к домену запись:

Для подключения к дереву запись:

Для подключения к лесу создается запись:

Чтобы убедиться, что все соответствующие записи в вос пользуйтесь программой или управления В показано, как Nslookup проверить нали чие в DXS общих записей домена Reskit.com типа выделены команды, вводимые с клавиатуры):

Default Server:

Address:

> set > reskit. com Address:

_ldap._tcp. SRV service location:

priority = weight = port svr hostname SRV service location:

priority = weight port = svr hostname internet address = 10.0.0. internet address - 10.0.0. Примечание Имейте в виду, что для работы локатора клиент должен не только имена домена по SRV-записям но и по записям А (то есть по Обычно такие записи А содержаться в ном разделе ответного DNS. Если в ответе таких записей нет, воспользуйтесь Nslookup и проверьте их наличие в DNS.

В приглашении nslookup введите имя узла, запись о котором должна быть на вере DNS.

Примечание чтобы имя узла завершалось точкой, 380 ЧАСТЬ 1 Служба каталогов Active Directory Как успешные, так и неудачные результаты могут включать следующие строки (курсивом выделены команды, с клавиатуры):

> reskit.

Se г:

Address: 172.16.0. Чате;

Addresses:

Это означает, что DNS содержит соответствующую запись А и сервер возвращает IP-адрес — Далее требуется убедиться, что этот адрес действительно является данного компьютера DC1. Для этого достаточно на компьюте ре DC1 выполнить команду которая возвратит его IP-адрес, или запустить программу Nbtstat следующим образом:

NbtStat -A 172.31,94.18.

Служебную программу мы более подробно далее в этой главе, Обнаружив, что некоторые из записей, которые должны присутствовать, не зареги стрированы, устраните неполадки в регистрации записей DNS.

Устранение неполадок регистрации записей DNS При сбоях в регистрации необходимо проверить конфигурацию кли ента на контроллере домена и конфигурацию зоны, полномочной для регист рируемых записей.

Проверка регистрации записей компьютера в DNS Для диагностики и устранения Вам выполнить по следовательность действий.

• нет ли каких-либо сообщений об ошибках в DNS и в службе Net Logon вход в систему) в журнале системных событий (System Log).

Войдите с компьютера, ответственного за регистрацию записей.

• Запустите и посмотрите, нет ли в выводимых сообщениях слова Подробнее об использовании Netdiag — в разделе «Сетевые соедине ния» ранее в этой главе.

• Проверите, ли у какого-либо сервера DNS полномочная для регист рируемого и поддерживает ли она динамическое обновление:

• Подключитесь к серверу DNS и откройте консоль DNS. Проверьте дан ной зоны на сервере DNS: щелкните правой кнопкой имя зоны и в кон текстном меню выберите Properties (Свойства). В окне свойств перейдите на вкладку General (Общие). поле со списком Allow Dynamic Update (Динамическое обновление) и убедитесь, что оно установлено в No Вы берите закладку Start of Authority (SOA) (Начальная запись зоны) и проверьте поле Primary server (Основной сервер), а также убедитесь, что в поле основно го сервера отображено верное полное имя домена Подробнее о поле основного сервера, SOA (Start of Authority начальная запись зоны) и зонах в книге TCP/IP. Ресурсы Microsoft Windows 2000 Server» Ре дакция», ГЛАВА 10 Выявление и устранение неполадок, а также Active Directory • что у регистрируемого компьютера правильно сконфигурированы основной и (альтернативный) DNS.

• Закройте и удостоверьтесь, что содержит запись А об • Проверите основного и дополнительного серверов Подроб нее об основном и серверах DNS — в книге «Сети TCP/IP. Ре сурсы Microsoft Windows 2000 Server» («Русская 2001).

• Если эти серверы не являются уполномоченными для этих имен, убедитесь, что они способны их рекурсивно. Подробнее о том, как проверять, спо собны ли основной и дополнительные серверы рекурсивно находить ченный сервер DNS, в книге TCP/IP. Ресурсы Microsoft Windows Редакция», 2001), Успешное всех операций гарантирует получение сервером DNS динамических обновлений от клиентов. Теперь Вы можете перейти к проце следующего раздела.

Устранение неполадок обновления Описанные ниже выполняются, если при динамическом обновлении за пись ресурса не регистрируется • Если клиент не настроен на работающий и доступный сервер DNS получения списка серверов, на которые настроен выполните из мените список серверов DNS. Для этого щелкните правой кнопкой мыши чок My Network Places (Мое окружение) и в контекстном меню выбе рите Properties (Свойства). Щелкните правой кнопкой мыши Local Connections (Подключение по локальной сети) и в контекстном меню выбери те команду Properties (Свойства). Щелкните Internet Protocol (TCP/IP) токол а затем Properties (Свойства). Измените сервера DNS. Щелкните Use the following DNS server addresses (Использовать следующие адреса DNS-серверов) и затем введите действительные серверы DNS.

Принудительно перерегистрируйте клиент, R котором выявили неполадки, команду:

• Подождите приблизительно пять минут, после чего нет ли к Event Viewer (Просмотр событий) каких-либо сообщений о неполадках в DNS.

• Проверьте, ли зоны полномочной для име осуществляющего попытку обновления. Воспользуйтесь Netdiag, чтобы выяснить, устранены ли в регистрации.

Примечание Достаточно, чтобы запись DNS была зарегистрирована всего лишь на одном сервере DNS. На других серверах DNS она может вследствие задержки распространения.

Подробнее об обычном и динамическом обновлении в «Сети TCP/IP. Ресурсы Microsoft Windows 2000 Редакция», 2001).

382 ЧАСТЬ 1 Служба каталогов Active Directory Устранение неполадок DNS ] далее советы диагностировать вероятные проблемы с DNS.

• Чтобы исключить другие ли основной DNS-cep вср основным DNS динамического обновления для клиента.

Это критично для динамического обновления, но, если клиент настроен на основной сервер, от DNS-сервера зоны, непо ладка может вызвана например сбоем соединения между этими серверами или рекурсивным поиском сер вера Чтобы исследовать основного DNS-сервсра для клиента, проверьте IP-адрес, указанный в его сетевого подключения по TCP/IP, или выполните команду Для зоны, интегрированной с каталогом, обновление может любой сервер DNS, содержащий копию такой зоны.

• Проверьте, ли зона для поддержки безопасного динамического обнов ления.

Даже если поддерживает такое оно может оказаться неудач ным, если по безопасности для зоны или записи или если у клиента пет права регистрируемым Подробнее о причине неисправности можно в Event Viewer (Просмотр событий) клиента.

о безопасном динамическом обновлении в книге TCP/IP.

Ресурсы Microsoft Windows 2000 («Русская Редакция», 2001).

• Для повышения быстродействия в клиентской части службы DNS используется поэтому если регистрируемые (например, IP-адрес или А) изменялись недавно, время жизни (Time to Live, TTL) кэша не истекло и служ ба может пользоваться устаревшими данными из Чтобы уст подобную стоит или остановить кэш или net stop dnscache соответственно. Рекомендуется очищать кэш командой ipconfig которая сбрасывает кэш Существуют два способа отключения кэширования в DNS.

• Выполнить в командной строке команду net stop dnscache. Это упорядочение серверов и адаптеров, поддерживающих тех РпР. В результате разрешение имен будет выполняться по механиз му Windows NT 4.0;

• Установить в нуль значение параметра типа REG_DWORD в разделе Он определяет верхний предел времени результатов успешного Такая операция га рантировано устраняет кэширование всех ресурсов, но не отключает упорядочение сервера и поддержку Подробнее о DNS в книге «Сети TCP/IP. Ресурсы Microsoft Windows 2001).

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Проблемные IP-адреса Иногда проверять IP-адреса, командой Например, желательно возвращен ли адрес 0.0.0.0, что ука на недоступность DHCP и на то, что статический ТР-адрес не на значен.

Определение метода разрешения имен (DNS или WINS) К сожалению, в случае неудачи ping не предоставляет никаких о отказа. Она может крыться в сбое разрешения имен или WINS) или в не соединений. Но даже успех не гарантирует коррект ности возвращенного DNS или — вполне возможно, что этот же используется другим о в WINS в справочной Windows 2000 Server.

ряд способов определить пути имен.

• Если gethostbyname применяе мая в Explorer), то первую очередь и только после его система обращается к Имя, мое в ВТ, имеет вид такое же имя применяет команда nbtstat -а при попытке его разрешения. Подроб нее о программе Nbtstat в следующем разделе.

• В запросах файловой системы (например, обрабатываемые редиректо ром, - net view, net use и т.п.) в DNS и WINS параллельно. Однако имя, разрешаемое имеет вид Подробнее о NetBT в следующем разделе.

• Очистите и па экран содержимое кэша и Для очистки кэша DNS выполните ipconfig а для nbtstat -R. Далее используйте команду ping. Для вывода кэша DNS применяет ся команда ipconfig а в WINS — nbtstat -с.

Выявление неполадок при разрешении имен в NetBIOS Один из самых простых способов проверить соответствия IP-адреса и — применить утилиту Nbtstat, отображающую статистику про токола и использующих (NetBIOS поверх TCP/IP).

Примечание Параметры Nbtstat чувствительны к регистру.

таблицу имен удаленного компьютера его IP-адресу, a nbtstat -a - по имени Далее перечислены неполадки, возникающие при NetBIOS.

• Удается применить ping для другого однако Nbtstat считает, что это не искомый компьютер. Это может означать сбой адресов и имен.

(Результат Nbtstat отменяет результат • в применении ping для другого компьютера с ошибкой «Bad dress» (неверный IP-адрес) - на невозможность найти имя, • в применении ping для другого компьютера с ошибкой timed out» запроса) - о либо в имен, либо о неполадках соединений, либо о нерабочем сервера, 384 ЧАСТЬ 1 Служба каталогов Active Directory Извлечение из таблицы удаленных кэша NetBIOS Для решения задачи можно применить команду nbtstat-c, которая извлекает IP-адреса, хранящиеся в таблице удаленных соединений NetBIOS/TCP, и отображает последние разрешенные имена NetBIOS.

Извлечение IP-адреса из таблицы удаленных соединений TCP средствами Nbtstat • В командной строке введите:

nbtstat -с Параметр -с вызывает из NetBIOS /TCP перечень кэша имен удаленных компь ютеров и их IP-адресов.

В таблице 10-2 приведен пример списка последних имен NetBIOS.

Таблица 10-2. Кэш удаленных соединений NetBIOS /TCP Имя Тип Адрес узла Время с User2 <20> UNIQUE 172.31.228.117 UNIQUE 172.31.226. PRINT <2I)> UNIQUE 172.31.64.42 RESKIT <1C> GROUP Внимание! В таблице 10-2 приводятся значения из кэша NetBIOS/TCP, а не DNS.

Если разрешение имен проводится WINS, нужно очистить кэш.

Очистка кэша NetBIOS/TCP с помощью Nbtstat • В строке введите:

nbtstat -R Nbtstat для проверки правильности IP-адреса NetBIOS-имени Команда для проверки имени NetBIOS:

nbtstat -A В результате отобразится таблица имен узла, отсортированная по ТР-адресам.

В следующей процедуре предполагается, что уже выполнен ping домена RESKIT и получен его ГР-адрес - 172.16.80.200.

Проверка правильности IP адреса для NetBIOS-имени средствами Nbtstat • В командной строке введите:

nbtstat -А (например, параметр -А для вывода таблицы имен но IP-адресу. В таблице 10-3 перечислены NetBIOS-имена удаленных компьютеров.

Таблица 10-3. NetBIOS-имена удаленных компьютеров Гил SERVER1 UNIQUE Зарегистрирован RESKIT GROUP RESKIT GROUP ГЛАВА 10 и устранение неполадок, а также восстановление Active Таблица 10-3.

Имя Состояние UNIQUE Зарегистрирован RESKIT <1B> UNIQUE Зарегистрирован RESKTT <1E> GROUP Зарегистрирован SERVER1 <03> UNIQUE Зарегистрирован RESKIT <1D> UNIQUE Зарегистрирован MS BROWSE <01> GROUP Зарегистрирован <1C> GROUP Зарегистрирован IS- <00> UNIQUE Зарегистрирован Команда nbtstat -А также разрешает IP-адреса в MAC Address Обратите внимание на регистр параметра;

-А имен узла по его имени. Как использованный ранее ping, так и команда Nbtstat -А указывают, что 172.16.80.200 - IP-адрес домена RESKIT.

Команда ping -а так же, как и nbtstat -А зап рашивает в NetBT IP-адресов в имена, но выводит только имена, В таблице 10-3 расшифрованы типы имен NetBIOS, указанных в таблице 10-4, Таблица 10-4. Расшифровка типов имен NetBIOS Имя Тип Назначение 00 Unique Рабочая станция пи Group Домен Unique Служба сообщений Group Основной браузер 03 Unique Имя в систему/Имя Unique Сервер Group Lotus up Lotus Notes и: Unique Основной браузер И Контроллеры доменов Group Выбор браузера Примечание Групповые имена можно опускать (обычно доменные имена или име на рабочих групп).

Выявление неполадок NetBT средствами сетевого монитора Ниже приведены примеры неудачных и успешных и ответов NetBT. Изу чать эти и ответы выявлении неполадок при разрешении имен реко мендуется, применяя NetBIOS Для запросов команда nbtstat -А 386 ЧАСТЬ 1 Служба каталогов Active Directory Вот пример успешного запроса NBT:

Frame: Base frame properties + ETHERNET: ETYPE 0x0800 : Protocol = IP: Internet Protocol + IP: ID = OxF421;

= + UDP: Src Port: NETBIOS Name Service, (137);

Dst Port: NETBIOS Name Service (137);

Length = 58 (ОхЗА) NBT: NS: req. for NBT: Transaction ID = 37902 (Ox940E) NBT;

Flags Summary = 0x0100 - Success NBT: 0 = NBT:.0000 = Query NBT: 0 = Non-authoritative Answer NBT: 0 = Datagram not truncated NBT: 1 = Recursion desired NBT: 0 Recursion not available NBT: 0 = Reserved NBT: 0 = Reserved = Not a broadcast packet 0000 = Success NBT: Question Count = 1 (0x1) NBT: Answer Count = 0 (0x0) NBT: Name Service Count = 0 (0x0) NBT: Additional Record Count = 0 (0x0) NBT: Question Name = <00> NBT: Question Type General Name Service NBT: Question Class = Internet Class А вот пример неудачного NBT из анализатора сетевого мо нитора:

Frame: Base frame properties ETHERNET: ETYPE = 0x0800 : Protocol IP: DOD Internet Protocol + IP: ID = OxCCFF;

Proto = UDP;

Len: UDP: Src NETBIOS Service, (137);

Dst Port: NETBIOS Name Service (137);

Length = 64 (0x40) NBT: NS: (Node Status) resp. for name exist NBT: Transaction ID = 37902

exist NBT: 1 = Response NBT:.0000 = Query NBT: 1 = Authoritative Answer NBT: 0 - Datagram not truncated NBT: 1 = Recursion desired NBT: 1 = Recursion available NBT: 0 = Reserved NBT: 0 = Reserved NBT: = Not a broadcast packet 0011 = name doesn't exist NBT: Question Count = 0 (0x0) NBT: Answer Count 0 (0x0) NBT: Name Service Count = 0 (0x0) NBT: Additional Record = 0 (OxOJ NBT: Resource Record Name BOGUSNAHE <00> NBT: Resource Record Type = Null NBT: Resource Record Class = Internet Class NBT: Time To = 0 (0x0) NBT: RDATA Length = 0 (0x0) ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory о — в книге «Сети TCP/IP. Ресурсы Microsoft Windows Server» («Русская 2001).

Использование Nbtstat для выявления возможных конфликтов имен NBT Ниже перечислены возможные имен, нии утилиты Nbtstat.

• Если конфликт при обращении к имени <00> с сообще нием о наличии имени-двойника, то наиболее причина ошибки — на идентичного имени компьютера типа WORKGROUP. способ устранить переименовать компьютер.

• Конфликт имен сервера <20>, а также компьютера <00> па наличие в сети компьютера с В этом случае выполнить сле операции:

• найдите конфликт и к лю или сами переименуйте его;

• если конфликт вызывает только имя <20>, нет ли в нале сообщений о соответствующих ошибках.

• имени сервера входа в систему <03> или имени компьютера что вошел в систему более чем с одного компьютера.

Ошибки, обусловленные имени ошибки, обусловленные отсутствием и советы по их уст • Отсутствие только одного имени <00> вероятнее наличием имени-двойника. Проверьте окно Event Viewer (Просмотр на предмет ошибок или компьютер.

• Об имени сервера входа в <03> иногда сообщается, когда не служба (Служба сообщений). Поищите соответствующие ошибки в окне Event Viewer и попытайтесь выполнить коман ду net start messenger.

• Если имя сервера совместно с именем компьютера <00>. то вероятно, вызвано имен. Поищите соответствующие ошибки в окне просмотра событий и, убедившись в правильности именуйте компьютер.

Неполадки разрешения имен по механизму RPC Ошибки удаленного вызова (remote procedure RPC) в общем случае вызваны неполадками либо в соединениях, либо в разрешении Две наиболее обычные причины — нерабочее состояние и имен.

Важно понять, какое имя используется приложением для удаленного вызова. Например, Directory всегда обращается к другим кон троллерам домена по их так именам «на основе Это имя ет следующий вид:

Рекомендуется проверить регистрацию имени. Если адресат — рядовой сервер, не повышенный до роли контроллера домена, возможно, информация об этом еще не достигла всех серверов Чтобы это, Netdiag на компьютере.

388 ЧАСТЬ 1 Служба каталогов Active Directory Чтобы выяснить, кроется ли в разрешении имен, нужно ответить на два вопроса:

• удается ли с помощью утилиты NSLookup получить записи А и • есть ли соответствующие в оснастке Viewer (Просмотр событий).

В общем случае ошибка not available» недоступен) выз вана проблемами с разрешением имен или регистрацией на контроллере домена, Выполните следующую команду на контроллере домена, а затем на клиентском компьютере:

Netdiag /fix Таким образом Вы обнаружите некоторые конфликты имен или незарегистрирован ные или неразрешенные имена на контроллере домена.

Чтобы программа создала файл результатов, укажите параметр /1. Служебная про грамма Netdiag хранится в каталоге Support па с сис темой Windows 2000 Server.

Ошибки на Ошибка с сообщением о может возникнуть при выпол нении некоторых задач выполняемых сервером. К ним относится:

• репликация;

• вход* в систему;

• создание доверительных отношений;

• к контроллерами домена;

• подключение к доверенным доменами;

• проверка подлинности Ошибка server unavailable» может быть вызвана следующими причинами:

• отключена служба удаленного вызова;

• не удается разрешить имя NetBIOS или DNS;

• невозможно установить Устранение ошибки server unavailable» 1. На сервере щелкните кнопку Start (Пуск) и выберите Run (Выполнить).

2. В Open (Открыть) введите:

net start rpcss 3. Щелкните ОК.

4. Проверьте, повторяется ли ошибка — например, проверьте связь с контролле ром домена. Если ошибка к следующему пункту.

Щелкните Start (Пуск) и выберите Run (Выполнить). В поле Open (Открыть) введите:

ping где — зто имя сервера и DNS- или соеди нение с которым требуется проверить. Если при к этим ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory ров происходит сбой, обратитесь к администратору Если ошибка ется, выполняйте следующий пункт.

5. Средствами служебной программы проверьте корректность работы кон троллера домена. (Вы можете пути пакетов протоколов MSRPC, DNS, NBT, или TCP.) Если источником неполадок является кон троллер домена, обратитесь к администратору сети. Если ошибка перейдите к следующему пункту.

6. Воспользуйтесь программой Netdom для проверки доверительных отношений в сети, сброса или перенастройки соединения с сервером. Если не удается найти контроллер домена, это значит, что сбой происходит на разрешения имен, и в этом случае требуется обратиться к администратору. Успех поиска контрол лера домена свидетельствует о нормальной работе Служебную про грамму Netdom можно использовать для переустановки соединения или пере ключения на другой сервер.

Проверка LDAP Убедившись в отсутствии неполадок в сети и службе DNS, Вы должны проверить работу интерфейса LDAP.

Примечание Наиболее популярной для диагностики неполадок LDAP является служебная программа Ldp, а вторым по частоте применения — сетевой монитор (Network Monitor).

Служебные программы диагностики LDAP Далее перечислены служебные программы, используемые для изучения доступнос ти службы LDAP, а также се способности принимать и запросы.

• Ldp. Эта служебная программа командной строки обладает графическим интер фейсом пользователя и выполнять такие как созда ние привязки, поиск, обновление, добавление и удаление в любой службе ката логов, поддерживающих LDAP (например, в Active Directory). Ldp становится после установки служебных программ, которые находятся в компакт-диске с операционной системой Windows 2000 Server.

Чтобы начать установку, надо дважды щелкнуть значок Setup в этой папке. Под робнее о Ldp — в справочной системе служебных программ Windows 2000. Ldp можно запустить из командной строки. Окно программы состоит из двух пане лей: левая навигационная панель служит для просмотра и поиска в а в правой выводятся сообщения об В графическом служебных программ, поставляемых в стандартной версии Windows 2000 Server, отображаются не все свойства объектов Active Directory. Чтобы просмотреть свойства таких Ldp. Некото рые свойства объектов являются ссылочными — так называемыми ми. Они содержат сведения о других данных, используемых про граммой или средой. Ценность Ldp заключается в том, что она все свойства объектов в службе каталогов. Кроме того, Ldp можно применять для выполнения расширенных операции LDAP.

390 ЧАСТЬ 1 Служба каталогов Active Directory Примечание ADSI Edit более подходит для просмотра и модификации свойств, так как эта программа отображает объекты в иерархическом представлении и свойства странитт свойств.

Ldp выполнить следующие LDAP-операции:

• создание или снятие к определенному контроллеру домена;

• добавление объектов в каталог;

• удаление объектов из каталога;

• обновление атрибутов • составного (relative distinguished объекта;

• поиск в каталоге с указанием базы поиска и • сравнение значения атрибута объекта с значением;

• расширенные операции LDAP;

• просмотр дескриптора объекта (для этой более удобна Edit);

• просмотр метаданных репликации и проверка, были ли объекты обновлены и реплицированы во контроллеры домена (для выполнения ции • просмотр определенной масти дерева каталогов;

• просмотр представленных в графическом виде доменов и контроллеров до менов, включая об их состоянии — (online) или от ключенный (offline).

Подробнее об использования Ldp, Edit и Repadmin — в справочной систе ме служебных программ командной строки 2000 Support Tools, Network Monitor (Сетевой монитор). Сетевой - это анализатор прото колов, для изучения и сетевого трафика, поэтому его можно применять для регистрации и последующего изучения пакетов протокола Подробнее о сетевом в книге серве ра. Ресурсы Microsoft Windows 2000 Server» («Русская Редакция», 2001).

Netdiag. Служебная программа Netdiag используется для проверки таких се тевых компонентов, как LDAP, DNS и т. п. Позволяет запрашивать службу LDAP и проверять привязки и поиска на лере домена.

Служебная программа служит для задания границ админист рирования, времени по тайм-ауту и границ сервера. Подробнее о Ntdsutil — в Б «Документы относящиеся к ADSI Edit. ADST Edit можно использовать для выполнения в любом из разделов каталога. Если удается связаться с ката логом Edit, то LDAP нормально. Кроме того, оснастки Active Directory можно использовать для проверки доступности и кор работы уровня ТР и службы каталогов.

ГЛАВА 10 Выявление и устранение неполадок, а также восстановление Active Directory • Сценарии Scripts). Сценарии применяются для получения сведений об объектах каталога и для их Эти сценарии также позво ляют проверить службы Выявление неполадок LDAP В этом разделе описана последовательность диагностирования и ладок протокола Сначала на несколько вопросов.

• Есть ли какие-либо сообщения об ошибках в журнале службы каталогов (Direc tory Service) в окне Event Viewer (Просмотр событий)?

При неполадках службы каталогов первым делом проверьте этот журнал. По смотрите, нет ли в нем сообщений об NTDS • Удается ли вообще установить связь по протоколу LDAP? и по пытайтесь подключиться через порт 389.

Подключение к контроллеру домена и просмотр атрибутов в окне Ldp t. В окне Ldp в меню Connection выберите Connect.

Pages:     | 1 |   ...   | 5 | 6 || 8 | 9 |   ...   | 15 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.