2023年11月27日发(作者:)

AD DS域创建完成后,下面来检查DNS服务器内的SRV日志、主机日志,

还有域控制器内的SYSVOL文件夹、Active Directory数据库文件等是否都已经

正常地创建完成。

2-3-1 检查DNS服务器内的日志是否完整

由于域控制器会将它的主机名、IP地址与所扮演的角色等数据注册到DNS

服务器内,以便让其他计算机可以通过DNS服务器来找到这台域控制器,因此

我们首先来检查DNS服务器内是否已经有域控制器的相关文件。

1 . 检查主机日志

首先检查域控制器是否已将其主机名与IP地址注册到DNS服务器内。请到

扮演DNS服务器角色的计算机()上选择“开始”—管理工具—

DNS,如下图所示,应该会有一个名为的区域,图中的主机(A

日志表示域控制器已经正确地将其主机名与IP地址注册到DNS

服务器内。

2. 检查SRV日志—使用DNS控制台

如果域控制器已经正确将其所扮演的角色注册到DNS服务器内,则应该还

会有如上图所示的_tcp_udp等文件夹(域控制器创建完成并重新开机后,可能

需要等一下才会有这些文件夹出现)

在选择_tcp文件夹后,可以看到下图的画面,其中数据类型为“服务位置

SRV”的_ldap日志,表示已经成功地注册为域控制器。由图

中的_gc日志还可以看出,全局编录服务器的角色也是由所扮演。

附注

LDAP服务器是用来提供Active Directory数据库访问的服务器,Windows Server 2008

Windows Server 2003Windows 2000 Server域控制器就是扮演着LDAP服务器的角色

DNS区域内有了这些数据后,其他将要加入域的计算机,就可以通过此区

域得知域控制器为,com。这些加入域的成员(域控制器、成员服务器、

Windows VistaWindows XP Professional等)默认也会将其主机与IP地址数据

注册到此区域内。

Windows Server 2008Windows Server 2003Windows 2000 Server域控制

器不但会将自己所扮演的角色注册到_tcp_sites等相关的文件夹内,还会另外

注册到_msdcs文件夹。

如果DNS服务器是在安装AD DS时顺便安装的,则它除了会自动创建一

个用来支持AD DS的区域外,还会创建一个名为_

的区域,它是专供Windows Server 2008Windows Server 2003Windows 2000

Server域控制器来注册的,此时这些域控制器会将其资料注册到

_区域内,而不是_msdcs文件夹。如下图所示为注册在

_区域内的部分日志。

在创建完成第1个域之后,系统就会自动创建一个名为

Default-First-Site-Name的站点,而我们所创建的域控制器默认也是位于此站点

内,因此在DNS服务器内也会有这些日志。例如下图中位于此站点内扮演全局

编录服务器(gcKerberos服务器、LDAP服务器等三个角色的域控制器都是

3. 检查SRV日志—使用NSLOOKUP命令

也可以使用NSLOOKUP命令来检查DNS服务器内的SRV日志。

步骤1:选择:开始—命令提示符

步骤2:运行nslookup

附注

若出现DNS request timed out错误信息,表示在DNS服务器内没有此DNS服务器自己的PTR

日志(需创建在反向查找区域内)。您可以不理会此错误信息。

步骤3:输入set type=srv 后按Enter 键,表示要显示SRV日志。

步骤4:如下图所示,输入_ldap._._后按Enter 键,

由图中可看出域控制器已经成功地将其扮演LDAP服务

器角色的信息注册到DNS服务器内。

图略

步骤5:有需要的话,还可以使用其他类似的命令来查看其他SRV日志,例如

使用_gc._命令来查看扮演全局编录服务器的域控制器。

也可以使用ls -t SRV 命令来查看所有的SRV日志,不过必

须先在DNS服务器上将区域的“允许区域传送”权限开放

给您的计算机,否则无法查询且会显示Query refused的警告信息。

2-3-2排除注册失败的问题

如果因为域控制器(或域成员计算机)本身的设置有误或是网络问题,造

成它们无法将数据注册到DNS服务器的,可以在问题解决后,通过重新启动这

些计算机的方式来重新注册,或是使用以下的方法来手动注册:

如果是域控制器(域成员计算机)的主机名与IP地址数据没有正确注册到DNS

服务器,到这台计算机上使用以下命令来手动注册:

ipconfig

/registerdns

完成后,请到DNS服务器的区域内检查是否已经有正确的日志。例如域成员在

主机名为IP地址为192.168.8.1,则应检查DNS区域

内是否有dc1的主机(A)日志,其IP地址是否为192.168.8.1

如果发现域控制器并没有将其所扮演的角色登记到DNS服务器内,也就是并没

有类似上图的_tcp等文件夹与相关日志时,则请到此台域控制器上使用:开始—

管理工具—服务,如下图所示,右击Netlogon服务,选择“重新启动”的方式

来注册。

附注:域控制器默认每隔24小时会自动向DNS服务器注册1次。

2-3-3 检查Active Directory数据库文件与SYSVOL文件夹

Active Directory数据库文件与日志文件默认是存储在% systemroot %ntds

文件夹内,故可以选择:开始—运行—% systemroot %ntds确定。来检查文件

夹与文件是否已经被正确创建。如下图中的就是Active Directory数据库

文件,而等扩展名为.log的文件是日志文件(扩展名默认

会被隐藏)

另外,SYSVOL默认是被创建在

% systemroot %SYSVOL文件夹内,因此可以

选择:开始—运行—% systemroot %SYSVOL确定,如下图所示。

图中的SYSVOL文件夹之下会有4个子文件夹,其中的sysvolscripts

都会被设为共享文件夹。可以如下下图所示使用“计算机管理”窗口或如下图使

net share命令,来检查它们是否已被设置为共享文件夹。

2-3-4 添加新的管理工具

AD DS安装完成后,在“开始”—“管理工具”菜单内会增加一些AD DS

管理工具,例如Active Directory用户和计算机、Active Directory站点和服务等。

2-3-5 查看事件日志文件

可以选择“开始”—管理工具—事件查看器。来查看事件日志文件,以便检

查任何与AD DS有关的问题。例如下图中可以使用系统DFS Replication

DNS服务器目录服务”等日志文件来检查。