AD客户端常见问题解析ppt课件

AD概述及域中客户端AD概述及域中客户端1议 程Windows2000/2003活动目录概述Windows2000/XP客户端启动/登录过程域中客户端常见问题常用工具议 程Windows2000/2003活动目录概述2活动目录概述活动目录的基本概念活动目录的结构管理操作主机DNS 与活动目录管理用户和组组策略常用工具活动目录概述活动目录的基本概念3什么是活动目录Printer1用户?目录目录服务器服务器 名称名称:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名称名称:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印机打印机 名称名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd FloorServer1Server2活动目录服务基于活动目录服务基于 X.500 数据库结构，用数据库结构，用于在一个层次结构中组于在一个层次结构中组织网络资源织网络资源目录目录服务器服务器 名称名称:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名称名称:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印机打印机 名称名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd Floor什么是活动目录Printer1用户?目录Server1Ser4活动目录的对象对象代表网络资源 属性存储对象的信息 属性属性属性属性姓姓名名登录名属性属性属性属性打印机名称打印机名称打印机位置活动目录活动目录活动目录活动目录打印机Printer1Printer2Suzan Fine用户Don Hall属性值属性值属性值属性值对象对象对象对象打印机用户Printer3活动目录的对象对象代表网络资源 属性姓属性打印机名称活动目录5活动目录的结构活动目录逻辑结构活动目录物理结构Sites及活动目录的复制活动目录的结构活动目录逻辑结构6活动目录逻辑结构域 Domains组织单元 Organizational Units树和森林 Trees and Forests全局编录 Global Catalog活动目录逻辑结构域 Domains7域 Domains域是一个安全边界域管理员只能在本域中执行管理操作，除非他被明确地赋予其他域管理员身份一个域是一个复制单元域控制器包含域中信息的完整集合，并且参与域信息的复制Windows 2000DomainUser1User2User1User2复制复制复制复制域 Domains域是一个安全边界Windows 20008能力复制单元大小命名管理委派NT 4.0NT 4.0对象对象对象对象40,000 40,000 对象对象对象对象NetBIOSNetBIOS建立新域建立新域建立新域建立新域Windows 2000Windows 2000属性属性属性属性1,000,000+1,000,000+对象对象对象对象DNSDNS在域内建立管理委派在域内建立管理委派在域内建立管理委派在域内建立管理委派到到到到OUOU域的性能能力NT 4.0Windows 2000域的性能9组织单元用OU来个对象进行分组管理委派到OU用于结构化活动目录 公司的组织结构公司的管理构架组织结构组织结构组织结构组织结构SalesVancouverRepairUsersSalesComputers网络管理型模型网络管理型模型网络管理型模型网络管理型模型组织单元用OU来个对象进行分组组织结构SalesVancou10组织单元的划分原则基于部门 OUs基于项目 OUs基于业务功能 OUs基于管理 OUs基于对象 OUs地理位置DomainParisSalesRepairUser1User2User3User4组织单元的划分原则基于部门 OUsDomainParisSa11树和森林contoso.msft(root)au.contoso.msftasia.contoso.msft树树双向传递性信任双向传递性信任双向传递性信任双向传递性信任au.nwtraders.msftasia.nwtraders.msftnwtraders.msft森林森林树树双向传递性信任双向传递性信任双向传递性信任双向传递性信任树和森林contoso.msft(root)au.asia12全局编录Global CatalogGlobal Catalog Server全局编录全局编录全局编录全局编录所有所有对象对象的的属性属性子集子集域域域域域域域域域域域域查询查询查询查询用户登陆时的组用户登陆时的组用户登陆时的组用户登陆时的组成员成员成员成员全局编录Global CatalogGlobal Catal13 活动目录物理结构域控制器Sites活动目录的复制 活动目录物理结构域控制器14域控制器域控制器域控制器域控制器域控制器域域复制复制复制复制User1User2User1User2=活动目录数据库的可写拷贝活动目录数据库的可写拷贝域控制器域控制器:l参与活动目录复制参与活动目录复制l在域中作为单操作主机角色在域中作为单操作主机角色域控制器域控制器域控制器域复制User1User1=活动15SitesSites:l优化复制通信量优化复制通信量l是用户可以通过可信赖的、高速的连接登录域是用户可以通过可信赖的、高速的连接登录域控制器控制器SiteIP IP 子网子网子网子网IP IP 子网子网子网子网Los AngelesSeattleChicagoNew YorkSitesSites:SiteIP 子网IP 子网Los16相关概念Site ASite ASite BSite BSite CSite CConnectionsConnectionsSite LinksSite Links(Schedule&Cost)(Schedule&Cost)BridgeheadBridgeheadServerServerSiteSite-一个或多个子网一个或多个子网一个或多个子网一个或多个子网-一个或多个域一个或多个域一个或多个域一个或多个域Site LinkSite LinkBridgesBridgesISTGISTG相关概念Site ASite BSite CConnecti17Site层次Site层次域结构物理网络Site Model18活动目录的复制多主机复制所有域控制器参预复制，对等的任何变化将从一台域控制器复制到所有域控制器任何变化可从不同的域控制器上产生Sites 允许预定的复制ScheduleInterval活动目录的复制多主机复制19Directory Partition 复制Domain ZDomain YDomain XConfigurationSchemaGlobal Catalog ServerGlobal Catalog ServerFullFullReplicaReplicaPartialPartialReplicaReplicaForestForestDomainDomainSchemaConfigurationDomainDomain ControllerDomain ControllerNTDS.DITNTDS.DITDomainConfigurationSchemaDomainConfigurationSchemaDomain ZDomain YDomain XConfigurationSchemaReplicaReplicaDCDCDCDCGCGCDirectory Partition也称为命名上下文命名上下文Naming Context or NCDirectory Partition 复制Domain Z20复制协议Transport拓扑结构拓扑结构复制模型复制模型压缩压缩RPC over IPRingNotify/PullNoneRPC or SMTP*Spanning TreeRequest/PullFullIntra-Site复制复制Inter-Site复制复制SMTP over IP is only supported for DC of different domains(i.e.Schema,Configuration and GC replication)复制协议TransportRPC over IPRPC or21操作主机森林范围内：Schema MasterDomain Naming Master域范围内：PDC EmulatorRID MasterInfrastructure Master操作主机森林范围内：22操作主机介绍n只有只有作为操作主机的作为操作主机的域控制器才能对活动目录信息作相应改变域控制器才能对活动目录信息作相应改变n在操作主机上作的改变将会复制到其他的域控制器在操作主机上作的改变将会复制到其他的域控制器n任何域控制器可以作为操作主机任何域控制器可以作为操作主机n操作主机角色可以转移操作主机角色可以转移复制复制单主机操作单主机操作操作主机操作主机操作主机介绍只有作为操作主机的域控制器才能对活动目录信息作相23操作主机的默认位置森林中的第一台域控制器森林中的第一台域控制器森林范围你的角色：森林范围你的角色：lSchema masterlDomain naming master域范围内角色：域范围内角色：lRID masterlPDC emulatorlInfrastructure master操作主机的默认位置森林中的第一台域控制器森林范围你的角色：域24转移操作主机角色不丢失数据方法：NTDSUtil.exe图形界面FunctioningOperations Master Transfer Role to Another Domain Controller转移操作主机角色不丢失数据FunctioningTransf25抓取操作主机角色当且仅当某个操作主机无法再使用可能丢失数据方法：NTDSUtilNon FunctioningOperations Master Seize a Role and Reassign to Another Functioning Domain Controller抓取操作主机角色当且仅当某个操作主机无法再使用Non Fun26DNS 与活动目录DNS在活动目录中的角色DNS 和活动目录的命名空间活动目录中的DNS名字解析SRV记录DNS 与活动目录DNS在活动目录中的角色27DNS在活动目录中的角色名称解析DNS 转换计算机名称到IP地址 计算机之间相互确定地址Windows 2000/2003 域的名称Windows 2000/2003 使用 DNS 命名标准DNS 域和活动目录的域使用共同的名称层析结构定位活动目录的物理组件DNS根据域控制器提供的服务来确定它们域中计算机使用DNS来定位域控制器何全局编录DNS在活动目录中的角色名称解析28DNS 和活动目录的命名空间AmericamicrosoftDNS NamespaceActive Directory Namespace=DNS node(domain or computer)=Active Directory domainFareastcomputer1(DNS root domain)“.”“.”.InternetDNS 和活动目录的命名空间far29活动目录中的DNS名字解析SRV(Service)资源纪录SRV Records 由域控制器注册域中计算机用DNS 来定位域控制器活动目录中的DNS名字解析SRV(Service)资源纪30由域控制器注册的SRV 记录nNetlogon 服务负责注册域控制器的所有DNS纪录SRV RecordSRV RecordLookup CriteriaLookup Criterialdap._tcp.DnsDomainName.LDAP服务器 _ldap._tcp.SiteName._sites.dc._msdcs.DnsDomainName.查找同Site的域控制器_gc._tcp.DnsForestName.GC_gc._tcp.SiteName._sites.DnsForestName.查找同Site的GC_kerberos._tcp.DnsDomainName.KDC_kerberos._tcp.SiteName._sites.DnsDomainName.查找同Site的KDC由域控制器注册的SRV 记录Netlogon 服务负责注册域31建立一个新域运行 dcpromo.exe建立 root domain建立 sub-domain建立额外的 domain controller建立一个新域运行 dcpromo.exe32管理用户和组用户帐户和组的介绍Active Directory 用户和计算机建立大量用户帐户管理用户帐户使用组管理用户和组用户帐户和组的介绍33用户帐户和组的介绍UsersUsersShared ResourcesShared ResourcesPermissionsGroupGroup用户帐户和组的介绍UsersShared Resources34使用 CSVDE 使用LDIFDE使用脚本(VBScript)建立大量用户帐户使用 CSVDE 建立大量用户帐户35使用组活动目录的组 使用 Global Groups 使用 Domain Local Groups 使用Universal GroupsDistributed GroupsnGroups Can Be Nested Inside Other GroupsnUsers Can Be Members of Multiple GroupsGroupGroupnGroups Simplify Assigning Permission to ResourcesGroupGroupGroupGroupGroupGroup使用组活动目录的组 Groups Can Be Nested36组策略组策略介绍组策略设置的类型组策略对象和组策略容器组策略应用的顺序组策略组策略介绍37组策略介绍组策略作用:设置集中或分散的策略确保用户有他们需要的环境通过控制用户和计算机环境来降低TCO强制全体策略SiteDomainOUWindows 2000 Applies ContinuallyUsersUsersComputersComputersAdministrator Sets Group Policy OnceGroup PolicyGroup Policy组策略介绍组策略作用:SiteDomainOUWindow38组策略设置的类型组策略设置的类型组策略设置的类型组策略设置的类型组策略设置的类型AdministrativeTemplates基于注册标的组策略设置Security本地、域、网络安全设置Software Installation软件安装的集中管理设置ScriptsStartup,shutdown,logon,and logoff 脚本Remote Installation Services 有关远程安装服务的设置Internet Explorer Maintenance设置和管理定制的IEFolder Redirection将用户文件夹存贮到网络服务器上的设置组策略设置的类型组策略设置的类型Administrative39针对计算机和用户的组策略Group Policy Settings for Computers:Group Policy Settings for Users:UsersUsersComputersComputers针对计算机和用户的组策略Group Policy Setti40组策略对象和组策略容器GPO 设置应用于连接在在一个Site、域、和OU中的用户和计算机一个GPO可以连接在多个Site、域、和OU 上一个Site、域、和OU 上可以连接多个GPOSiteDomainOUOUOUOU GPOOU GPOSite GPODomain GPO组策略对象和组策略容器GPO 设置应用于连接在在一个Site41一个组策略应用的顺序Computer-Scripts-StartupComputer-Software InstallationUser-Software InstallationUser Profile Logon ScriptsUser-Scripts-LogonUser-Scripts-LogoffComputer-Scripts-Shutdown一个组策略应用的顺序Computer-Scripts-42常用工具常用管理工具AD用户和计算机站点和服务AD域信任DNS管理器Resource Kit/Support Tools 工具排错工具事件察看器MPS ReportNetwork Monitor常用工具常用管理工具43Windows2000/XP客户端启动/登录过程启动过程登录过程Windows2000/XP客户端启动/登录过程启动过程44启动过程连接到网络确定Site和域控制器建立和域控制器的安全通道Kerberos认证加载组策略客户端证书时间同步动态DNS注册登录画面(GINA)启动过程连接到网络45连接到网络连接到网络并加载TCP/IP协议 启动过程的开始静态TCP/IP设置或者DHCP获得DHCP 网络基础架构，不是AD必须的 不使用DHCP，而使用静态TCP/IP设置，AD依旧可以正常工作连接到网络连接到网络并加载TCP/IP协议 46确定Site和域控制器客户端定位服务确定最近的一个Site，并存贮在注册表：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetlogonParametersDynamicSiteName 向DNS服务器发出查询请求，查找当前Site的DC客户端：_ldap._tcp.dc._msdcs.Domain.Name服务器端：_ldap._tcp.dc._msdcs.main.local 随机挑选DC（如果DNS返回记录大于1）确定Site和域控制器客户端定位服务确定最近的一个Site，47建立和域控制器的安全通道安全通道客户端和DC之间建立的获得域的特定信息更新客户端计算机特定信息Eg:计算机密码，检查域成员信息SMB建立和域控制器的安全通道安全通道48Kerberos认证获取所有的必须的Tickets来建立IPC$的对话Kerberos认证获取所有的必须的Tickets来建立IP49加载组策略RPC call，转换名称到DistinguishedNameLDAP查询组策略使用SMB加载各项组策略加载组策略RPC call，转换名称到Distinguish50客户端证书每次加载组策略时进行检查计算机证书状态下载企业CA证书下载有关SMART Card证书客户端证书每次加载组策略时进行51时间同步TCP 123端口域中时间同步机制客户端和登录DC同步DC和域中PDC同步其他域PDC和根域PDC同步根域PDC和外部时间源同步时间服务(w32time)类型NTPNT5DS时间同步TCP 123端口52动态DNS注册更新DNS记录动态DNS注册更新DNS记录53用户登录过程按Ctrl+Alt+DelKerberos认证加载组策略完成显示桌面用户登录过程按Ctrl+Alt+Del54按Ctrl+Alt+Del登录名(Sam account name)+选择域UPN（）用户FQDN按Ctrl+Alt+Del登录名(Sam account n55Kerberos认证获得对话TicketKerberos:Server Name=$Kerberos:Server Name=$Kerberos:Server Name=krbtgt.Kerberos:Server Name=ldap.Kerberos认证获得对话Ticket56加载组策略RPC call，转换名称到DistinguishedNameLDAP查询组策略使用SMB加载各项组策略加载组策略RPC call，转换名称到Distinguish57完成断开和DC的连接（SMB）显示桌面完成断开和DC的连接（SMB）58客户端常见问题无法加入域登录慢组策略应用不成功Internet Explorer 的一般除错步骤共享不能访问其他的机器客户端常见问题无法加入域59无法加入域网络配置(TCP/IP)DNS客户端防火墙使用NetBIOS域名，但是没有NetBIOS over TCP/IP已经建立了和域控制器的连接File and Print Sharing/Client for Microsoft Networks无法加入域网络配置(TCP/IP)60无法加入域-续SMB Signing拒绝访问计算机账户已存在权限修改普通用户只能加入10台计算机安装了Proxy2.0客户端KDC无法找到无法加入域-续SMB Signing61无法加入域-一般排错检查网络配置PingNSLookupPortqry停用SMB SigningNetwork Monitor无法加入域-一般排错检查网络配置62登录慢网络DNS加载组策略运行大量脚本本地DC不可用Roaming ProfileProxy2.0第三方应用程序Anti Virus防火墙第三方GINAWebClient service 登录慢网络63登录慢-一般排错检查网络通讯检查DNS查看Event log复查Sysvol文件夹，是否太大复查脚本内容暂停第三方应用程序Netlogon日志和Userenv日志（109626，221833）带网络的安全模式Network Monitor登录慢-一般排错检查网络通讯64缓存登录用户客户端无法联系到DC时，依旧可以使用域用户登录计算机默认10个用户HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionWinlogon 缓存登录用户客户端无法联系到DC时，依旧可以使用域用户登录计65组策略应用不成功网络DNS计算机账户过期千兆网卡本地服务（WMI,Registry）防火墙GPO应用权限访问DC权限Bypass Traverse checkingAccess this computer from network第三方GINADC上的Sysvol复制不成功Password和“账户锁定”策略是整个域强制的组策略应用不成功网络66组策略应用不成功-一般排错检查网络检查DNS重新加入域检查本地服务检查防火墙检查GPO权限和用户权限SYSVOL复制排错组策略应用不成功-一般排错检查网络67Internet Explorer 的一般除错步骤重新注册IE的重要文件scrrun.dll,msxml.dll,mshtml.dll,jscript.dll,urlmon.dllshdocvw.dll,browseui.dll,softpub.dllwintrust.dll,dssenh.dll,rsaenh.dll,gpkcsp.dll,sccbase.dll,slbcsp.dll,cryptdlg.dll,actxprxy.dll,shell32.dll,oleaut32.dll,命令：Regsvr32 Internet Explorer 的一般除错步骤重新注册I68Internet Explorer 的一般除错步骤清空IE的临时文件，SSL状态。禁止第三方的网络插件Internet Explorer 的一般除错步骤清空IE的69Internet Explorer 的一般除错步骤使用Process Explorer 来查看是否有第三方的DLL附在IE的进程上面。如果有，暂时卸载它们。Internet Explorer 的一般除错步骤使用Pro70共享不能访问其他的机器常见原因网络不通名字解析有问题，解析到了错误的IP地址对方文件共享的端口被关闭了常用对策检查网络连通情况 检查WINS,DNS,HOSTS,LMHOSTS文件直接用”IP address”的方式访问检查对方机器的445(TCP)(DIRECTHOST SMB),137-139(UDP)(NETBIOS over Tcpip(NBT)端口共享不能访问其他的机器常见原因71常用工具Event LogWindows Support ToolsWindows Resource Kit toolsEnable Debug logUserenv(221833)Netlogon(109626)WinLogon(232575)GINA(312158)Group Policy Edit(833384)常用工具Event Log72常用工具Process Explorer常用工具Process Explorer73常用工具Network Monitor常用工具Network Monitor74常用工具MPS Report常用工具MPS Report75常用工具File Monitor常用工具File Monitor76常用工具Registry Monitor常用工具Registry Monitor77常用工具TCP Viewer常用工具TCP Viewer78常用工具Advanced Registry Tracer http:/ 常用工具Advanced Registry Tracer 79参考资源Windows 2000 Startup and Logon Traffic Analysis http:/ domain logon informationhttp:/ Users Cannot Join Workstation or Server to a Domainhttp:/ Microsoft 配置捕获实用工具(MPS_REPORTS)概述http:/ 参考资源Windows 2000 Startup and L80参考资源How to disable automatic machine account password changeshttp:/ MPS Reporthttp:/ 微软Technethttp:/ 参考资源How to disable automatic m81Q&AQ&A82