活动目录常见故障排错工具

出处：5DMail.Net收集整理作者：5DMail.Net收集整理时间：2007-4-3 1:25:53

“兵欲善其事，必先利其器”，这句话放在网络排错上可谓是再合适不过了，如果你去问一名从事网络工程师，在平时的网络排错中最希望得到什么？我估计十有八九都会跟你说――好工具！的确，对于技术人员而言，工具就像是一款精良的武器，可以帮助你迅速掌握网络情况，找到问题的症结所在。在本文中，笔者结合平时对活动目录排错的经验，来向广大读者展示一些非常实用的工具，希望能够起到抛砖引玉，举一反三之功效。

在这里，笔者拿一个简单的活动目录域作为案例：现在有一家企业，AAA集团，为了提高企业效益和员工的生产力，该集团组建了自己的办公网络，申请了一个域名：http://aaa.ad。（在这里，笔者用虚拟的域名来做演示）。AAA集团的网络管理采用了Windows 2003活动目录域。为了方便员工间的交流和对外宣传，AAA集团还搭建了基于Exchange平台的电子邮件系统。域的规模不是很大，域控制器和Exchange邮件服务器各两台，

场景一：每周的星期一，AAA集团的IT技术工程师都要对活动目录进行常规检查，就像医生给病人做体检一样，对于工程师来说，每一次的常规检查怎样才能做到迅速、准确呢？

TOOL：

l 活动目录状态检测工具：DCDiag

活动目录状态检测工具DCDiag可以说是一款检查活动目录状态的必备工具，它有助于工程师方便查看现有的活动目录状态以及今后可能出现的问题，做到未雨绸缪。这款工具可以在Windows 2000/2003的安装光盘support\tools下找到。双击SUPTOOLS软件包，安装好之后，开始菜单会生成一个Command Prompt，单击打开，键入 dcdiag /?先来查看一下帮助，从长长的帮助信息中我们能够感受到该命令是非常强大的。不过，在实际使用中，我们更多的还是会用dcdiag /v > c:\ad.txt来把活动目录于域的详细状态导出到一个文本文件，便于我们今后查看。（其中，/v表示详细输出，c:\ad.txt可以根据实际情况调整导出位置及文件名。）

Dcdiag检测的信息相当丰富，限于文章篇幅，笔者不可能一一解释，这里笔者只解释一些经常关注的信息，请看下表：

显示内容

含义及作用

在实际中的应用

* Found 1 DC(s). Testing 1 of them.

检查森林中有几台DC，从而能够让你轻松获得用户网络环境大小。

如果曾经进行过DC的删除，从这一行能够很明确的看出，整个域环境究竟有几台DC。

Starting test: NCSecDesc

检测活动目录中主要分区的权限是否设定正确（域分区，架构分区等）。

DC1 passed test NCSecDesc表明DC1域控制器分区权限正常。

Starting test: Advertising

The DC DC1 is advertising as a Key Distribution Center

The DC DC1 is advertising as a time server.

检查域控制器上服务的正确性。

表明该DC是一台KDC。

表明该DC是一台时间服务器

有时用户会无意间停止的一些服务，结果给整个活动目录域带来问题。比如整个域内如果没有KDC，那么身份验证将无法进行，用户自然无法登陆到域内。

总的说来，DCDiag是一款功能强大，高效便捷的命令行工具，微软的网站上有专门的Dcdiag Examples，有兴趣的读者可以去看一看。这里，笔者给出其链接：

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/824f106c-a90b-421b-aa44-ebc1403c8b4c.mspx

信息搜集工具MPS Report

 信息搜集工具MPS Report是用来搜集信息的工具，也是一款在微软历史悠久的工具。它比较适合每月（或更长时间）对域内的服务器（如Exchange、DC等）检测时使用，详尽的报告可以让你对你的服务器运行情况了如指掌，更能够帮助你及时发现服务器的问题，以便作出相应解决方案。

我们可以从微软的网站上下载该工具

（http://www.microsoft.com/downloads/details.aspx?familyid=cebf3c7c-7ca5-408f-88b7-f9c79b7306c0&displaylang=en#filelist.）

MPS Report更像是一个脚本，针对你服务器类型事先定义了一些变量，然后依次运行相关的工具得出一个报告，与Dcdiag相比，报告内容会更详细，因此，运行时间也会更长一些，但一般都不会超过10分钟。

在下载页面上，首先根据你服务器的类型选择相应的报告工具，（如你需要检测Exchange邮件服务器的状态，就下载MPSRPT_Exchange.EXE）下载到本地后，只需双击运行即可。由于是脚本类工具，因此整个过程不需要任何人工干预，这样也就大大减少了管理员的工作量（你可以不必一次又一次的敲命令）。最后，系统会自动弹出一个文件夹，解压该文件夹内的CAB包就会得到服务器运行状态检测结果，你可以选择有关txt日志文件来查看。

l 基础网络诊断工具 NetDiag （NetDiag Network Diagnostic）

NetDiag是一款帮助你分析当前网络状况和连通性的工具，它会按照事先设定好的规则在你的机器上运行一系列测试，以确定网络客户机的状态和功能。你可以使用这些测试结果及 Netdiag.exe 提供的网络状态信息，找出基于 Windows 2000 的工作站或服务器上的网络和连接问题。此外，它还可以检查你的服务器打有哪些补丁（Hotfixes）。这款工具你可以从Windows 2000/2003安装光盘的Support Tools下得到。Netdiag的参数也很多，其中，使用/v参数可以在详细模式下运行 Netdiag.exe，并显示有关执行的操作的信息；/l参数可将输出结果写入到Netdiag.log 文件，该文件会创建在运行 Netdiag.exe 的同一文件夹中；/debug参数可使NetDiag命令在调试模式下运行，这样输出的结果要比使用 /v 参数时多。关于Netdiag的详细使用方法，微软的网站上有专门的文章介绍，有兴趣的读者可以去看看，同样，笔者在这里给出相关链接：

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;321708

场景二：技术人员拿到了很多日志文件，但是每一个日志文件的内容很多，而且很杂乱，有success,也有fail，但是，对于技术人员来讲，fail才是他们所关心的，有没有一款免费工具能够把每个日志文件中失败的信息提取出来呢？

TOOL：Find String

Find String 是一款能够在任何ASCII文件中搜索字串的工具，对于技术人员查看、归纳和提炼log文件的信息很有帮助。同时，Find String是一款系统自带的工具，位于Windows\system32目录下，因此完全免费。

如在场景二中，工程师需要提取日志文件findstr.txt 中“fail”的信息，可以使用如下命令：findstr /i /l "fail" c:\findstr.txt >c:\findstrnew.txt （其中，/i表示搜索时不分大小写
，/l表示按字使用搜索字符串，引号内添入你希望搜索的字串），这样就可以将findstr.txt中含有fail的字符导入到findstrnew.txt文件中去。

由于是系统自带的命令，更多的功能和使用方法读者可以参考系统的“帮助和支持”中心。

场景三：某天，管理员需要将上次的Exchange存储备份还原到邮件服务器上面，但是却失败了。

单击报告，显示：

还原状态

操作: 还原

"DC1\Microsoft Information Store\第一个存储组" 的备份，还原为 "DC1\Microsoft Information Store\第一个存储组"

备份集 #1 在媒体 #1 上

备份描述: "集创建于 2005-7-25，22:35"

于 2005-7-28，11:15 开始还原。

无法将 Exchange 数据还原到 DC1\Microsoft Information Store\第一个存储组，

详细信息，请检查应用程序事件日志

于 2005-7-28，11:15 完成还原。

目录: 0

文件: 0

字节数: 0

时间: 1 秒

----------------------

TOOL：

l 事件查看器

事件查看器记录了应用程序、安全性、系统、目录服务、DNS服务等事件的信息，这些信息包含正确信息、警告和错误，我们可以首先查看这些信息获得排错的基本线索。

通过查看事件的详细信息，发现如下描述：“从 Microsoft Active Directory 中查找数据库以便还原时失败。备份媒体上指定的存储组是 a97a034f-82fe-415a-aaaf-3e800773754d。备份媒体上指定的数据库是公用文件夹存储(DC1)，错误是 0xc7fe1f46”。

当我们拿到错误代码（0xc7fe1f46）后，我们怎么才能明白是什么含义呢？这时，我们就需要用到我们的第二个工具：Knowledge Base（微软知识库）！

行文至此，笔者想在这里多说两句，笔者在实际的Troubleshooting和给网管人员培训时发现不少网管人员都存在这样几个“通病”。其一，他们很少去微软的网站，拿到问题后先是去百度或者google上去搜索，殊不知，像百度或者google这样的搜索引擎容量是很大的，因此信息也不够权威和精确，而微软的KB是微软最重要的知识共享系统，被誉为“解决实际问题的电子字典”，其中的解决方案都是微软专门的工程师经过理论分析、反复实验得出的，而且解决方案的思路也很清晰，对排错很有帮助，可以说是工程师“居家必备”的工具。因此，笔者建议，如果你经常和微软的产品“打交道”，微软的网站是一定要去的，尤其是要经常查KB；其二，还有不少管理员拿到返回的错误信息不知道该做什么，而是在那里自己琢磨，盲目操作，毫无疑问，这样的排措效率无疑是低下的，而且很可能会产生新的问题。所以，当我们拿到一个错误信息或者是错误代码的时候，应该首先去微软知识库KB上去查，其链接为 http://support.microsoft.com。

l Knowledge Base（微软知识库）

打开 http://support.microsoft.com，在搜索一栏中输入错误代码0xc7fe1f46后，回车，可以看到一个解决方案。

插入0xc7fe1f46 Found！.html

通过查看KB我们得知，这是由于没有选中“This database can be overwritten by a restore”的原因，知道了原因，我们便可以很好的解决这个故障了。

编辑注意：事实上很多时候，这时问题并没有解决，原因是有时候管理员疏忽了卸下数据库导致还原仍然失败，但同样可在KB中查到，具体到本文用不用写，我个人认为没有必要，因为本文是重在讲工具而不是讲如何排措，请编辑定夺一下。

有一点请读者注意，知识库有中文和英文两种，英文内容要比中文多很多，建议英文水平好的读者看英文的KB。

场景四：用户在打开Microsoft Outlook 时，系统提示输入用户名和密码，输入有效凭据后，收到以下内容的错误信息：Your logon information is incorrect。去事件查看器中查看发现：事件 ID: 1000 事件来源: Userenv 描述:Windows不能确定用户或计算机名称。返回值 (1753)。

TOOL：错误代码查看工具

错误代码查看工具同样是为管理员和工程师准备的一本详尽字典，涵盖了大部分错误代码的原因（包含SQL-server，Windows Server等）。读者可以从微软网站上下载：

http://www.microsoft.com/downloads/details.aspx?familyid=be596899-7bb8-4208-b7fc-09e02a13696c&displaylang=en

下载回来后，解压，得到一个文件夹Err，然后在命令行提示符下进入Err目录，键入err加错误代码，例如：err 1753

从图中可以看出，1753这个错误代码在SQL-Server和Windows中有着不同的含义，在Windows Server中表示RPC 终结点映射程序错误。同样，这时我们就可以去微软的KB上查询这个错误的原因以及相应的解决方案，在此笔者不再赘述。

场景五：活动目录域少不了组策略，但是在很多时候，用户最终生效的策略往往与管理员设想阴差阳错，那么对组策略的应用检查需要使用哪些工具呢？

TOOL：

l GPResult.exe

谈到组策略，网管人员问的最多的问题莫过于“为什么我预先设定的策略没有生效？”，看似简单的一句话，其中却包含了很多问题。笔者认为，组策略的排错应该有一定的顺序。首先，要把故障再确定一下，例如，是什么策略没有生效？是计算机设定？还是用户设定？还是桌面设定？亦或是安全设定？等等等等。搞清楚这些问题以后，我们还应该确定，组策略对象是什么？它链接在何处？此外，用户或者是计算机是否链接在GPO（组策略对象）所在的OU下？用户的操作系统是什么？与服务器的连接速度是慢速还是快速？例如，如果客户端和服务器的连接速度过慢（拨号方式），那么应用程序安装策略是不会生效的。

确定了以上问题后，一般首先使用GPResult.exe（系统自带，2000在support\tools中）来获取用户或计算机的组策略设置和策略的结果集，看看这台计算机究竟被应用到了哪些策略，这时，需要注意的是没有被应用的策略，管理员应该从这里找原因，看看为什么这些策略没有被应用。另外，GPResult.exe还会显示出用户和计算机在哪个OU中，这时你应该注意设定的组策略与用户和计算机是否在同一个OU中。

分享到：