AD域（active directory）排错和检查（三）

AD的检查和排错

 

检查active directory是否正常

 

• 通过域控制器检查

 

首先启动域控制器，登录界面如下图，输入密码登录到gaoyk.com域中。

如果正常登录表示我们的域控制器正在工作，但是并不能表明我们的活动目录已经安装完成。所以我们还要在控制器上检查如下几项：

 

第一项：查看管理工具中相关的项是否已经存在。如下图：

 

第二项：检查AD数据库文件与SYSVOL文件夹。AD数据库文件会默认安装到：C:\WINDOWS\NTDS文件夹中，其中ntds.dit便是AD的数据库文件，.log文件是日志文件。

而SYSVOL文件夹会默认安装到：C:\WINDOWS\SYSVOL，其中sysvol是共享文件夹。

这个共享文件夹下面还有域文件夹里面还有一个共享文件夹scripts，可以通过net share命令查看共享，如图

第三项：查看DNS服务器内与AD相关的文件夹和SRV记录是否存在或完整，由于域控制器会把自己的主机名，IP地址以及所扮演的角色数据登录到DNS服务器内，以便让其他的计算机通过DNS服务器来寻找这台域控制器。因此必须要检查这些文件夹和SRV记录，打开DNS，如图：

我们发现有一个叫gaoyk.com的正向查找区域，它是安装AD的时候自动创建的，以便让域gaoyk.com中的成员（域控制器，成员服务器，client客户端）将数据登记到这个区域。从上图中我们可以看到主机已经经自己名称以及IP地址登记到这个区域内。同时还有一个_msdcs.gaoyk.com的正向查找区域，因为我们安装活动目录的时候顺便安装了DNS服务器，所以也创建了这个区域，此时server 2019域控制器会将数据登记到_msdcs.gaoyk.com区域内。我们可以浏览这两个区域的_TCP文件夹以及相对应的SRV记录，如图：

 

从上面这些图中我们可以清晰的看到，域和站点的GC是谁，LDAP服务器是谁，以及KDC服务器是谁。

排错1：如果DNS中没有出现上面这些文件夹以及SRV记录。我们一般需要这么做。首先为域控制器指定正确的DNS服务器的IP地址，然后重新启动Net Logon服务。如果重启Net Logon服务还不正确，请按下面的步骤：1，首先为域控制器指定正确的DNS服务器的IP地址。2，在DNS服务器中建立和域名相同的正向查收区域，并启用动态更新。3，重新启动Net Logon服务。经过这3步相关的文件夹和SRV记录就应该出现了

 

• 通过客户端加入域检查

 

首先我们登录到客户端client，然后对计算机属性进行更改

 

如果在加入域的时候弹出 错误对话框提示加入域失败，原因可能就是没有给client客户端进行IP的配置。但是这个时候可以利用NETBIOS名来加入域。比如在上面不输入gaoyk.com,而是输入gaoyk，然后点击确定，就会弹出登录对话框，说明通过NETBIOS名我们找到了域控制器，此时使用的是广播。

为了使用域名而不是让NETBIOS名让客户端加入域，我们必须配置client客户端的IP地址。如图：

配置完IP后，我们重新执行刚才的步骤，这次我们就可以顺利的找到域控制器了。我们知道计算机之间的通信是通过IP地址进行的，我们这里输入域名gaoyk.com后，事实上DNS服务器帮我们把gaoyk.com域名解析成域控制器的IP地址。所以客户端加入域需要DNS服务器的支持。此时弹出的登录对话框我们输入管理员账户和密码，点击确定即可加入域。

确定后我们会被提示许哟啊重启，重启后我们发现界面已经更改

 

当选择登录到域时，我们还必须在域控制器上位这个客户端创建一个用户账户。

 

此时我们打开计算机的管理会发现computers中已经多了一台client1，如图

现在我们来创建一个用户账户

密码默认要符合复杂度定义条件，A-Z，a-z，0-9，特殊字符等任选三种，同时长度必须大于等于7位。可以选择密码永不过期，这样可以解除默认42天的限制。

然后我们发现张三这个用户账户已经成功创建

然后我们可以用此账户进行登录

这时我们发现和原先的桌面不一样了