Сразу после выпуска операционной системы Windows 2000 многие администраторы столкнулись с проблемами при работе с инфраструктурой Active Directory. Некоторые из этих проблем были связаны с ошибками в настройке, а некоторые были результатом отказов системы. Выход Windows Server 2003 показал, что служба Active Directory стала более зрелой, и множество администраторов научились настраивать эту службу для достижения необходимой надежности службы каталогов, работающей на уровне предприятия.

 Active Directory

Так как Active Directory представляет собой сердце системы безопасности организации, любые отказы в службе Active Directory требуют немедленной реакции и быстрого решения проблемы.

В представленных далее статьях рассматривается диагностика и исправление проблем в работе Active Directory, что позволит администраторам быстро устранять любые трудности, которые могут возникать при использовании этой службы.

Так как Active Directory имеет иерархическую архитектуру, большая часть процесса исправления проблемы заключается в поиске уровня или места, в котором возникла проблема. Помня об этом, начнем рассматривать базовые компоненты архитектуры Active Directory.

Обзор архитектуры Active Directory

Перед рассмотрением диагностики и исправления проблем в работе Active Directory, начнем с базовых понятий. В следующих статьях рассматриваются базовые компоненты службы Active Directory.

В этих статьях можно узнать про функциональные уровни Active Directory.

О том, что нового в реализации Active Directory для Windows Server 2003 рассказывается вот здесь.

Оснастки Active Directory

В составе операционной системы Windows Server 2003 предоставляется четыре очень полезных оснастки с графическим интерфейсом, которые предназначены для диагностики и исправления ошибок в работе Active Directory.

Диагностика Active Directory

Из-за логической структуры Active Directory процесс диагностики намного упрощается. Использование правильного инструмента позволяет определить источник проблемы за несколько минут. Далее представлены ссылки на описание утилит для командной строки и программ, имеющих графический интерфейс, которые используются для диагностики Active Directory.

Каждая утилита имеет свои задачи в диагностике и управлении Active Directory. Если возникнет необходимость в исправлении Active Directory, очень важно знать, какой инструмент должен использоваться.

Диагностика проблем в работе контроллеров доменов Active Directory

В работе отдельных контроллеров доменов может возникать несколько проблем. Но никогда не следует забывать, что кажущаяся проблема локального контроллера домена на самом деле связана с недоступностью удаленного контроллера домена, который поддерживает необходимую роль хозяина операции. Если нет уверенности в природе проблемы, возникшей в работе локального контроллера домена, запустите утилиту dcdiag. Это будет хорошим началом процесса диагностики, так как эта команда выполняет последовательность тестов над контроллером домена.

Если контроллер домена проявляет определенный симптом, обратитесь к подходящему описанию проблемы, представленному далее.

Диагностика проблем репликации Active Directory

При возникновении проблем в процессе репликации стоит начать с проверки сетевых подключений между контроллерами домена. Для этого можно использовать такие команды, как ping и pathping. Эти утилиты позволяют убедится в работоспособности сетевых соединений и правильности маршрутизации между контроллерами домена.

После этого необходимо проверить состояние службы репликации файлов (File Replication Services) на всех контроллерах домена, которые принимают участие в процессе репликации. Состояние службы FRS на удаленном компьютере можно проверить с помощью утилиты SC или с помощью оснастки Управление компьютера (Computer Management).

При использовании связей между сайтами для ограничения времени репликации помните о возможность определения расписания репликации для каждой связи и частоты репликации, которая по умолчанию равна одному разу за 180 минут.

В диалоговом окне с расписанием репликации затененные области позволяют репликацию в указанное время, а очищенные области запрещают репликацию в это время. Помните, что для диагностики репликации очень полезно представлять себе топологию соединений между контроллерами домена. Эту топологию можно использовать для определения точки возникновения проблемы.

Каждый раз, когда необходимо воспроизвести ошибку в репликации, самым простым методом является использование оснастки Active Directory — Сайты и службы (Active Directory — Sites and Services). Откройте объект сайта, сервера и объект параметров NTDS (NTDS Settings).

Для запуска принудительной репликации кликните правой кнопкой мыши на объекте подключения в разделе параметров NTDS и выберите Реплицировать сейчас (Replicate Now).

В следующих статьях рассматривается решение определенных проблем в репликации.

Диагностика объектов групповых политик Active Directory

В этих статьях можно узнать приемы диагностики объектов групповой политики (GPO).

Диагностика схемы Active Directory

Одной из самых больших проблем при диагностике схемы, с которыми сталкиваются администраторы, является сложность поиска оснастки Active Directory — Схема (Active Directory — Scheme). Помните, что сначала оснастку необходимо зарегистрировать, и только добавлять в консоль и использовать.

Еще одной проблемой является отказ программ, которые должны вносить изменения в схему Active Directory. Для внесения таких изменений пользователь должен входить в группу Администраторы схемы (Schema Admins).

Необходимость внесения изменений в схему Active Directory возникает крайне редко. Обычно только приложения расширяют схему. Например, схема расширяется при установке Exchange Server. В случае, если в работе схемы Active Directory возникают проблемы, обратитесь к следующим трем статьям, которые содержат подсказки для выхода из тупиковой ситуации.

Диагностика отношений доверия Active Directory

Если системы из одного домена сталкиваются с проблемами при доступе к ресурсам другого домена (особенно за пределами леса), стоит рассмотреть отношения между лесами, которые начинаются с отношений доверия. В конце концов, какие могут быть отношения без доверия?

В следующих статьях рассматриваются самые распространенные проблемы отношений доверия, которые возникают при доступе к ресурсам разных доменов.

По мере появления новых статьей данный раздел будет пополняться.