Windows Active Directory 域故障排错

Windows Active Directory 域故障排错

大庆油田高级人才培训中心 张东辉

本节介绍Windows 2000/03 AD域故障的排错。首先我们会介绍活动目录（Active Directory）及其相关概念，然后介绍和域故障排错相关的知识、工具软件的使用，最后以实例的形式讲解针对具体的各种域故障如何进行排错，如何有效地利用组策略来管理AD域、管理网络。

通过本节的学习，读者可以掌握活动目录（Active Directory）及其相关概念，活动目录的功能、逻辑结构、物理结构；管理Windows 2000/03网络的方法，相关工具的使用；提高域故障排错能力，掌握活动目录上的最大应用：组策略。

2-3-1活动目录（Active Directory）及其相关概念

要掌握Windows 2000/03 AD域故障排错，首先就得知道什么是域，什么是活动目录，活动目录的工作原理如何。以下内容作为后面域排错的基础理论知识至关重要。

2-3-1-1为什么要使用活动目录？

为什么要使用活动目录？首先我们来看两个例子：

如果我们要记住10个、20个电话号码还可以，但更多的就无能为力了。这时我们就会想到把电话号码记录到电话簿上，需要时去查询。

如果我们家中只有10本、20本的书，我们会比较容易找到我们想要的那一本，但如果我们家中的书像图书馆那么多，这时我们就会想到把书分门别类地放好，并根据书的书名、作者、出版社、类别等属性信息做好索引，以利于查找。 有效地管理网络，也象管理电话号码、管理图书一样。我们会把网络中众多的对象：计算机、用户、用户组、打印机、共享夹??，分门别类、井然有序地放在活动目录这个大仓库中。使用活动目录对你公司的网络进行管理，才是积极有效的管理方法，而且网络规模越大，越能体现出活动目录在管理网络上的高效性。

2-3-1-2工作组（Workgroup）

当然如果网络规模很小，也可以使用Windows工作组模式来进行管理，但其管理功能极其有限。对于一台Windows计算机来讲，它要么隶属于工作组，要么隶属于域。工作组是微软的概念，一般的普遍称谓是对等网。

工作组通常是一个由不多于10台计算机组成的逻辑集合，如果要管理更多的计算机，微软推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用

域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的10台只是一个参考值，11台甚至20台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。

工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。顺便说明一下，工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的NetBIOS名称列表。用户可以使用默认的工作组名workgroup，也可以任意起个名字（不必担心重名），同一工作组或不同工作组间在访问时也没有什么分别，都需要输入目标计算机上的用户名、口令进行验证。 在工作组模式下，用户要访问10台计算机上的资源，就需要记住至少10个用户名和口令，工作组的这种分散管理性是它和域的集中式管理相比最大的缺点。AD域提供了对网络资源的集中控制，用户只需登录一次就可以访问整个活动目录的资源。

2-3-1-3活动目录（Active Directory）和域控制器（Domain Controller）

如果网络规模较大，这时我们就会考虑把网络中众多的对象（被称之为AD对象）：计算机、用户、用户组、打印机、共享夹??分门别类、井然有序地放在一个大仓库中，并做好检索信息，以利于查找、管理和使用这些对象（资源）。这个有层次结构的数据库，就是活动目录数据库，简称AD库。

接下来，我们应该把这个数据库放在哪台计算机上呢？是这样的，我们把存放有活动目录数据库的计算机就称之为域控制器（Domain Controller），简称DC。

2-3-1-4活动目录架构（Active Directory Schema）

架构是关于AD对象类型属性的定义。一种类型AD对象应该有哪些属性是由架构来定义的，比如它定义了用户对象有姓、名、登录名、口令等一系列的属性。如果你想增加一个“性别”属性，这就要修改架构，一般称之为扩展AD架构，这要求你必须是林根域上的Schema Admins组成员才行。

整个活动目录的林中只有一个架构，因此在活动目录中创建的所有对象都遵从同样的规则。也就是说你对架构的修改将影响到林中的所有域，你没办法实现同一林中的一个域用户对象有“性别”属性，而另一个域没有。

2-3-1-5目录访问协议（DAP）和轻量级目录访问协议（LDAP）

AD对象存储在活动目录中，客户和应用程序就通过访问活动目录，来查找这些存放于活动目录中的对象。用户访问这些AD对象，当然要遵照一定的规则和约

定，这就是协议。客户访问目录所用的协议被称之为目录访问协议（DAP），DAP是在X.500中定义的一个复杂协议，它的简化版本被称之为轻量级目录访问协议（LDAP），被微软的活动目录AD所采用。LDAP是用于查询和更新活动目录的目录服务协议。

2-3-1-6目录服务

回过头来，我们再来看一下目录服务的定义。目录服务由X.500标准定义，目录是指一个组织中关于人和资源信息的结构化、层次化的库。在微软的Windows 2000/03网络中，这个目录服务就是指活动目录（Active Directory）服务，又比如在Novell公司的NetWare上使用的目录服务叫NDS（Novell目录服务），目录服务的实质就是一种网络服务。 活动目录（Active Directory）作为网络目录服务，提供了用于组织、管理和控制网络资源的结构和功能，使我们有了集中管理Windows 2000/03网络的能力，管理员可以在一个地点管理整个网络。当然也可以利用OU进行委派控制，把一部分管理工作分派给OU管理员。

2-3-1-7活动目录的逻辑结构

活动目录的逻辑结构具有伸缩性，小：可以只是一台计算机，大：可以应用到大型跨国公司的网络。活动目录的逻辑组件包括： l 活动目录林（Active Directory Forest） l 活动目录树（Active Directory Tree） l 活动目录域（Active Directory Domain） l 组织单元（OU，Organizational Units） l 全局目录（GC，Global Catalog）

mcse.com

sub.mcse.com my.com

接下来，以上图为例，进行相关讨论。这整个是一个林，mcse.com为林根域，有两个树，一个由mcse.com和它的子域sub.mcse.com组成，另一个由my.com单独组成，林中有mcse.com，sub.mcse.com，my.com三个域。相关概念如下： 林根域：在林中建立的第一个域，如：mcse.com 树：共用连续的命名空间的多层域，如mcse.com（父域）和sub.mcse.com（子域）

树根域：树最高层的域，名最短。如：mcse.com和my.com

Windows 2000/03可采用多层域结构，但最有效、最简便的管理方法仍是单域，所以大家在实际工作中要记住一个原则“能用单域解决，就不用多域”。

一、域（Domain）

域是活动目录中逻辑结构的核心单元。一个域包含许多计算机，它们由管理员设定，共用一个目录数据库，一个域有一个唯一的名字。 域是安全边界，保证域的管理员只能在该域内有必要的管理权限，除非得到其它域的明确授权。每个域都有自己的安全策略和与其它域的安全联系方式。注意：1、无法在一个域内实现不同的帐号策略。2、父域对子域并没有任何管理特权，但要注意林根域下有企业管理员组Enterprise Admins，它默认对林中的其它域是有特权的。

父域和子域间默认就有双向可传递的信任关系，也就是说用户可以使用林中任意一个域内的计算机，登录到林内的任何一个域上（操作上就是使用欲要登录的那个域的用户帐号）；还可以，以自己本域的帐号登录，访问林内任何资源而不需要重新输入口令，当然要想能真正访问某一具体资源，在该资源上必须得有相应权限才行。

二、组织单元（OU，Organizational Units）

在域下面，我们可以规划OU，放入计算机、用户、用户组等对象。也就是说通过OU，我们可以把对象组织起来，并形成一个有层次的逻辑结构。OU下面可以再建小OU，微软建议嵌套层次不要超过3层，我们平常一般1到2层就够用了。

在规划OU时，要考虑到将来的管理和组策略的应用，一般应把有相同需求的计算机、用户等放在同一OU下。可以基于部门、基于管理责任，也可以基于地理位置来规划，使其最佳地适应你的公司的需求。

在域下面规划OU，不是仅仅为得到一个层次结构，我们主要目的是要基于OU实现委派控制和将来链接相应的组策略来实现管理控制。委派的权限可以是完全控制，也可以是仅指定有限的权限（如：修改OU内的用户口令）给一个或几个用户和组。

三、活动目录林（Active Directory Forest）

在林中建立的第一个域，被称为林根域，如前面提到的mcse.com。在刚开始时候，我们这个林中只有一个树，树内只有一个域，域内只有一台计算机作为域控制器。也就是说此时我们整个林就只有一台计算机。

接下我们也可以为它添加子域，如sub.mcse.com.，再添加了一个新树下的域my.com。这样我们的这个林下就有了两个树：一个树由mcse.com域、和它的子域sub.mcse.com构成，一个树仅由my.com域构成。 四、活动目录树（Active Directory Tree）