《AD客户端常见问题解析ppt课件.ppt》由会员分享,可在线阅读,更多相关《AD客户端常见问题解析ppt课件.ppt(82页珍藏版)》请在三一办公上搜索。
1、AD概述及域中客户端,议 程,Windows2000/2003活动目录概述Windows2000/XP客户端启动/登录过程域中客户端常见问题常用工具,活动目录概述,活动目录的基本概念活动目录的结构管理操作主机DNS 与活动目录管理用户和组组策略常用工具,什么是活动目录,Printer1,?,目录服务器 名称:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名称:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印机 名称:Printer1Type:HP4
2、SiColor:NoDuplex:YesLocation:3rd Floor,活动目录服务基于 X.500 数据库结构,用于在一个层次结构中组织网络资源,目录服务器 名称:Server1OS:Windows 2000Type:File ServerLocation:1st Floor 名称:Server2OS:Novell Netware 4.0Type:File ServerLocation:2nd Floor打印机 名称:Printer1Type:HP4SiColor:NoDuplex:YesLocation:3rd Floor,活动目录的对象,对象代表网络资源 属性存储对象的信息,活动目
3、录,打印机,Printer1,Printer2,Suzan Fine,用户,Don Hall,属性值,对象,打印机,用户,Printer3,活动目录的结构,活动目录逻辑结构活动目录物理结构Sites及活动目录的复制,活动目录逻辑结构,域 Domains组织单元 Organizational Units树和森林 Trees and Forests全局编录 Global Catalog,域 Domains,域是一个安全边界域管理员只能在本域中执行管理操作,除非他被明确地赋予其他域管理员身份一个域是一个复制单元域控制器包含域中信息的完整集合,并且参与域信息的复制,Windows 2000Domain
4、,User1User2,复制,能力复制单元大小命名管理委派,NT 4.0对象40,000 对象NetBIOS建立新域,Windows 2000属性1,000,000+ 对象DNS在域内建立管理委派到OU,域的性能,组织单元,用OU来个对象进行分组管理委派到OU用于结构化活动目录 公司的组织结构公司的管理构架,组织结构,Sales,Vancouver,Repair,Users,Sales,Computers,网络管理型模型,组织单元的划分原则,基于部门 OUs基于项目 OUs基于业务功能 OUs基于管理 OUs基于对象 OUs地理位置,Domain,Paris,Sales,Repair,树和森林
5、,全局编录Global Catalog,活动目录物理结构,域控制器Sites活动目录的复制,域控制器,Sites,Sites: 优化复制通信量是用户可以通过可信赖的、高速的连接登录域控制器,相关概念,Site A,Site B,Site C,Site层次,域结构,物理网络,Site Model,活动目录的复制,多主机复制所有域控制器参预复制,对等的任何变化将从一台域控制器复制到所有域控制器任何变化可从不同的域控制器上产生Sites 允许预定的复制ScheduleInterval,Directory Partition 复制,Directory Partition也称为命名上下文Naming C
6、ontext or NC,复制协议,Transport拓扑结构复制模型压缩,RPC over IPRingNotify/PullNone,RPC or SMTP*Spanning TreeRequest/PullFull,Intra-Site复制,Inter-Site复制,SMTP over IP is only supported for DC of different domains (i.e. Schema, Configuration and GC replication),操作主机,森林范围内:Schema MasterDomain Naming Master域范围内:PDC Emu
7、latorRID MasterInfrastructure Master,操作主机介绍,只有作为操作主机的域控制器才能对活动目录信息作相应改变在操作主机上作的改变将会复制到其他的域控制器任何域控制器可以作为操作主机操作主机角色可以转移,操作主机的默认位置,森林中的第一台域控制器,森林范围你的角色:Schema masterDomain naming master,域范围内角色:RID masterPDC emulatorInfrastructure master,转移操作主机角色,不丢失数据方法:NTDSUtil.exe图形界面,抓取操作主机角色,当且仅当某个操作主机无法再使用可能丢失数据方法
8、:NTDSUtil,DNS 与活动目录,DNS在活动目录中的角色DNS 和活动目录的命名空间活动目录中的DNS名字解析SRV记录,DNS在活动目录中的角色,名称解析DNS 转换计算机名称到IP地址 计算机之间相互确定地址Windows 2000/2003 域的名称Windows 2000 /2003 使用 DNS 命名标准DNS 域和活动目录的域使用共同的名称层析结构定位活动目录的物理组件DNS根据域控制器提供的服务来确定它们域中计算机使用DNS来定位域控制器何全局编录,DNS 和活动目录的命名空间,活动目录中的DNS名字解析,SRV (Service) 资源纪录SRV Records 由域控
9、制器注册域中计算机用DNS 来定位域控制器,由域控制器注册的SRV 记录,Netlogon 服务负责注册域控制器的所有DNS纪录,建立一个新域,运行 dcpromo.exe建立 root domain建立 sub-domain建立额外的 domain controller,管理用户和组,用户帐户和组的介绍Active Directory 用户和计算机建立大量用户帐户管理用户帐户使用组,用户帐户和组的介绍,使用 CSVDE 使用LDIFDE使用脚本(VBScript),建立大量用户帐户,使用组,活动目录的组 使用 Global Groups 使用 Domain Local Groups 使用Un
10、iversal GroupsDistributed Groups,组策略,组策略介绍组策略设置的类型组策略对象和组策略容器组策略应用的顺序,组策略介绍,组策略作用:设置集中或分散的策略确保用户有他们需要的环境通过控制用户和计算机环境来降低TCO强制全体策略,组策略设置的类型,针对计算机和用户的组策略,Group Policy Settings for Computers:Group Policy Settings for Users:,组策略对象和组策略容器,GPO 设置应用于连接在在一个Site、域、和OU中的用户和计算机一个GPO可以连接在多个Site、域、和OU 上一个Site、域、和O
11、U 上可以连接多个GPO,一个组策略应用的顺序,Computer - Scripts - StartupComputer - Software InstallationUser - Software InstallationUser Profile Logon ScriptsUser - Scripts - LogonUser - Scripts - LogoffComputer - Scripts - Shutdown,常用工具,常用管理工具AD用户和计算机站点和服务AD域信任DNS管理器Resource Kit/Support Tools 工具排错工具事件察看器MPS ReportNetw
12、ork Monitor,Windows2000/XP客户端启动/登录过程,启动过程登录过程,启动过程,连接到网络确定Site和域控制器建立和域控制器的安全通道Kerberos认证加载组策略客户端证书时间同步动态DNS注册登录画面(GINA),连接到网络,连接到网络并加载TCP/IP协议 启动过程的开始静态TCP/IP设置或者DHCP获得DHCP 网络基础架构,不是AD必须的 不使用DHCP,而使用静态TCP/IP设置,AD依旧可以正常工作,确定Site和域控制器,客户端定位服务确定最近的一个Site,并存贮在注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlS
13、etServicesNetlogonParametersDynamicSiteName 向DNS服务器发出查询请求,查找当前Site的DC客户端: _ldap._tcp.dc._msdcs.Domain.Name服务器端:_ldap._tcp.dc._msdcs.main.local 随机挑选DC(如果DNS返回记录大于1),建立和域控制器的安全通道,安全通道客户端和DC之间建立的获得域的特定信息更新客户端计算机特定信息Eg: 计算机密码,检查域成员信息SMB,Kerberos认证,获取所有的必须的Tickets来建立IPC$的对话,加载组策略,RPC call,转换名称到Distinguis
14、hedNameLDAP查询组策略使用SMB加载各项组策略,客户端证书,每次加载组策略时进行检查计算机证书状态下载企业CA证书下载有关SMART Card证书,时间同步,TCP 123端口域中时间同步机制客户端和登录DC同步DC和域中PDC同步其他域PDC和根域PDC同步根域PDC和外部时间源同步时间服务(w32time)类型NTPNT5DS,动态DNS注册,更新DNS记录,用户登录过程,按Ctrl+Alt+DelKerberos认证加载组策略完成显示桌面,按Ctrl+Alt+Del,登录名(Sam account name)+选择域UPN()用户FQDN,Kerberos认证,获得对话Tick
15、etKerberos: Server Name = $ Kerberos: Server Name = $ Kerberos: Server Name = krbtgt.Kerberos: Server Name = ldap.,加载组策略,RPC call,转换名称到DistinguishedNameLDAP查询组策略使用SMB加载各项组策略,完成,断开和DC的连接(SMB)显示桌面,客户端常见问题,无法加入域登录慢组策略应用不成功Internet Explorer 的一般除错步骤共享不能访问其他的机器,无法加入域,网络配置(TCP/IP)DNS客户端防火墙使用NetBIOS域名,但是没有N
16、etBIOS over TCP/IP已经建立了和域控制器的连接File and Print Sharing/Client for Microsoft Networks,无法加入域-续,SMB Signing拒绝访问计算机账户已存在权限修改普通用户只能加入10台计算机安装了Proxy2.0客户端KDC无法找到,无法加入域-一般排错,检查网络配置PingNSLookupPortqry停用SMB SigningNetwork Monitor,登录慢,网络DNS加载组策略运行大量脚本本地DC不可用Roaming ProfileProxy2.0第三方应用程序Anti Virus防火墙第三方GINAWeb
17、Client service,登录慢-一般排错,检查网络通讯检查DNS查看Event log复查Sysvol文件夹,是否太大复查脚本内容暂停第三方应用程序Netlogon日志和Userenv日志(109626,221833 )带网络的安全模式Network Monitor,缓存登录,用户客户端无法联系到DC时,依旧可以使用域用户登录计算机默认10个用户HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionWinlogon,组策略应用不成功,网络DNS计算机账户过期千兆网卡本地服务(WMI, Registry)防火墙GPO应用权限
18、访问DC权限Bypass Traverse checkingAccess this computer from network第三方GINADC上的Sysvol复制不成功Password和“账户锁定”策略是整个域强制的,组策略应用不成功-一般排错,检查网络检查DNS重新加入域检查本地服务检查防火墙检查GPO权限和用户权限SYSVOL复制排错,Internet Explorer 的一般除错步骤,重新注册IE的重要文件scrrun.dll, msxml.dll, mshtml.dll, jscript.dll, urlmon.dllshdocvw.dll, browseui.dll, softpu
19、b.dllwintrust.dll, dssenh.dll, rsaenh.dll, gpkcsp.dll,sccbase.dll, slbcsp.dll, cryptdlg.dll, actxprxy.dll, shell32.dll, oleaut32.dll, 命令:Regsvr32 ,Internet Explorer 的一般除错步骤,清空IE的临时文件,SSL状态。禁止第三方的网络插件,Internet Explorer 的一般除错步骤,使用Process Explorer 来查看是否有第三方的DLL附在IE的进程上面。如果有,暂时卸载它们。,共享不能访问其他的机器,常见原因网络不通
20、名字解析有问题,解析到了错误的IP地址对方文件共享的端口被关闭了常用对策检查网络连通情况 检查WINS,DNS,HOSTS,LMHOSTS文件直接用”IP address”的方式访问检查对方机器的445(TCP)(DIRECTHOST SMB), 137-139(UDP)(NETBIOS over Tcpip(NBT) 端口,常用工具,Event LogWindows Support ToolsWindows Resource Kit toolsEnable Debug logUserenv (221833)Netlogon (109626)WinLogon (232575)GINA (312
21、158)Group Policy Edit (833384 ),常用工具,Process Explorer,常用工具,Network Monitor,常用工具,MPS Report,常用工具,File Monitor,常用工具,Registry Monitor,常用工具,TCP Viewer,常用工具,Advanced Registry Tracer http:/,参考资源,Windows 2000 Startup and Logon Traffic Analysis http:/ domain logon informationhttp:/ Users Cannot Join Workstation or Server to a Domainhttp:/ Microsoft 配置捕获实用工具 (MPS_REPORTS) 概述http:/,参考资源,How to disable automatic machine account password changeshttp:/ MPS Reporthttp:/ 微软Technethttp:/,Q&A,
