域的信任關(guān)系什么是信任關(guān)系信任關(guān)系是用于確保一個域的用戶可以訪問和使用另一個域中的資源的安全機制。根據(jù)傳遞性分，信任關(guān)系可分為可傳遞信任關(guān)系和不可傳遞信任關(guān)系。根據(jù)域之間關(guān)系分，WINDOWS信任關(guān)系可分為四種。1．雙向可傳遞父子信任關(guān)系2．樹與樹之間的雙向可傳遞信任關(guān)系3．同一個森林兩個域之間的快捷方式信任關(guān)系外部信任關(guān)系，建立不同的域或者不同的森林。WINDOWS域和非WINDOWS域，NT域2000域。一般都是不可傳遞的單向信任關(guān)系。森林信任，2000的森林信任關(guān)系是不可傳遞的。信任僅僅存在與森林根域之間。2003的信任是雙向可傳遞的信任關(guān)系。只要在根域創(chuàng)建了森林信任。域里面的所有用戶都建立了信任關(guān)系。創(chuàng)建信任關(guān)系的考慮，域中有一定量用戶要求長期訪問某個域中的資源。由于安全理由，區(qū)分了資源域和賬號域部分信任關(guān)系默認存在。處于減少上層域DC/GC壓力，可創(chuàng)建快捷方式信任關(guān)系站點簡介?站點是一個物理概念?定義處于同一個物理區(qū)域的一個或多個子網(wǎng)中的用戶對象。優(yōu)化用戶登陸，訪問優(yōu)化AD復(fù)制站點連接站點內(nèi)用更新宣告的方式來獲取更新，傳輸是非壓縮的傳輸，占用的帶寬和數(shù)據(jù)量比較大站點之間使用站點連接器進行復(fù)制，可以設(shè)置復(fù)制時間和復(fù)制間隔，占用多少帶寬和采用什么樣的協(xié)議等。可以設(shè)置開銷和復(fù)制時間，值越小，優(yōu)先級別越高。部署站點的最佳實踐。根據(jù)復(fù)制需求來定制站點間的復(fù)制間隔和復(fù)制時間。對于大環(huán)境，建議關(guān)閉ITSG,手動配制復(fù)制鏈接AD排錯工具EnableNDSIdiagnosticslog獲取詳細的底層信息修改注冊表MACHINE\system\currentconti\services\ntds\diagnostcs取值范圍：0——3調(diào)整目錄服務(wù)日志的大小，以便存放產(chǎn)生的日志其他工具DCDIAG分析域控制器的狀態(tài)針對域控制器特定的功能執(zhí)行測試NETDOM管理和檢查信任關(guān)系確認數(shù)據(jù)庫復(fù)制是否正常NETDIAG進行網(wǎng)絡(luò)功能的診斷NETDIAG/VNETDIAG/DEBUG>netdag.txt輸出詳細的網(wǎng)絡(luò)信息到TXT文件然后用NETPAD（紀事本）打開DNS與AD活動目錄DNS服務(wù)器在AD中，除了提供名稱格式的支持服務(wù)。一般的名稱到IP地址的查詢外，最重要的作用是紀錄域控制器與全局編錄服務(wù)器的相關(guān)信息。并向客戶端提供這些重要信息域控制器會在DNS服務(wù)器上注冊，注冊的紀錄不僅包括主機紀錄（A紀錄），而且包括相應(yīng)的服務(wù)記錄（SRV紀錄），類似于：-ldap._tcp.dc._,6上面這條紀錄代表XYZ.com域的域控制器是DCSERVER1.XYZ.COM客戶端需要查詢這些紀錄，才能找到域控制器，并完成用戶登陸，AD查詢工作等AD的正常工作。依賴于DNS服務(wù)器的正確配制和正常工作個人經(jīng)驗中至少一半的AD故障都源與DNS的配置問題。_msdcszone_msdcs區(qū)域中包含所有域控制器的服務(wù)紀錄（SRV紀錄）AD森林根域中的_msdcs區(qū)域中還額外包含森林中所有的全局編錄服務(wù)器的紀錄。_msdcs區(qū)域的作用是為了定位域控制器和全局編錄服務(wù)器，如果該區(qū)域不存在或者紀錄不正確，AD會出現(xiàn)故障。在2003里，該紀錄被單獨按一個項目創(chuàng)建。Resolvednsconfigurationproblem使用NSLOOKUP來驗證DNS記錄是否完整如果DNS記錄缺失，通過以下方法來進行修復(fù)重新啟動NETLOGON服務(wù)使用nltest.exe/dsregdns注意DNS配置要求，允許動態(tài)更新，區(qū)域名稱和AD域名要一致，DNS服務(wù)器本身需要配置域名后綴等。、Nltest.exe/dsregdns修復(fù)域控制器服務(wù)復(fù)制過程的排錯DC之間所要復(fù)制的內(nèi)容。目錄服務(wù)復(fù)制，AD對象，用戶計算機文件復(fù)制服務(wù)FRSSYSVOL登陸腳本，組策略等復(fù)制相關(guān)故障排除的工具圖形工具ACTIVEDIRECTORYREPLICATONMONITOR檢查AD復(fù)制的。圖形化顯示復(fù)制拓補強制復(fù)制命令行工具REPADMIN診斷域控制器間復(fù)制故障確認復(fù)制伙伴確認活動目錄對象復(fù)制來源強制復(fù)制域控制器只復(fù)制SYSVOL共享文件夾NETLOGON共享低版本客戶端的登錄腳本和系統(tǒng)策略SYSVOL共享為WIN2000及以后的客戶端提供組策略命令行工具NTFRSUTL檢查文件復(fù)制狀態(tài)檢查復(fù)制日程安排強制輪詢檢查復(fù)制集常見問題？？拒絕訪問由于存在DNS查找故障，DNA操作無法繼續(xù)操作被排隊或者沒有顯示任何復(fù)制鏈接復(fù)制訪問被拒絕或者正在刪除名稱上下文站點之間存在重復(fù)的連接對象多個域控制器中所應(yīng)用的組策略不一致目錄服務(wù)因太忙而無法完成操作。AD域錯誤提示及解決辦法。1.這個機器是在目錄林根域的PDC,請用“NETTIME/SETSMT：SERVERNAME”配置外部時間源同步。解決辦法：在根域PDC模擬器角色上配置外部時間源：在命令行提示符下，運行：NETTIME/SETSNTP:時間服務(wù)器，時間服務(wù)器可以設(shè)置為外部時間源，如,或者其他的時間服務(wù)器：等待客戶機自動進行時鐘同步，或者手動運行：NETSTOPW32TIMEW32TM-ONCENETSTARTW32TIME在windowsxp和windowsserver2003上需要運行：W32tm/resync需要在防火墻上允許PDC訪問INTERNET上的時間服務(wù)器，開啟到INTERNET時間服務(wù)器的UDP123端口訪問。2．用戶登陸，訪問服務(wù)器經(jīng)常出現(xiàn)“由于時鐘差異，訪問拒絕”的提示。跟kerberos協(xié)議有關(guān)所有的計算機（包括客戶機和服務(wù)器，操作系統(tǒng)為win2000及以上，會自動將根域的PDC模擬器作為時間服務(wù)器，W32TIME（windowstime）服務(wù)按照一定的周期進行時鐘校正：從計算機啟動開始，嘗試以45分鐘作為時間間隔，聯(lián)系時間服務(wù)器，進行時鐘同步如果成功同步，以8小時為間隔，進行同步驗證如果同步失敗，開始嘗試進行時鐘同步。為了保證時間服務(wù)器正常工作，在根域的PDC模擬器上建議設(shè)置外部時間源，指向INTERNET上的時間服務(wù)器，在其他計算機上，確保WINDOWSTIME服務(wù)正常啟動。Kerberos協(xié)議要求計算機時鐘同步經(jīng)過分析，發(fā)現(xiàn)客戶端計算機啟動的某個應(yīng)用程序，會在啟動時與服務(wù)器進行時鐘校驗而該服務(wù)器時鐘與域控制器時鐘存在差異（約45分鐘）將域控制器時鐘與服務(wù)器同步，并建議設(shè)統(tǒng)一時間源另外請注意，在windowsserver2003上，如果正確配置了外部時間源，但無法與時間源進行時鐘同步時，可能標明您需要相應(yīng)的補丁。3．某客戶報告，客戶端啟動緩慢，在出現(xiàn)“正在準備網(wǎng)絡(luò)連接”提示時，會長時間的停留。經(jīng)檢查發(fā)現(xiàn)，客戶端計算機雖然正確配置了DNS服務(wù)器地址，但在同時作為域控制器的DNS服務(wù)器上，發(fā)現(xiàn)沒有相應(yīng)的DNS紀錄客戶使用了SOMEDOMAIN形式的域名故障原因：windows2000xp2003不在頂級域下注冊DNS記錄解決方法：1，修改注冊表2，使用組策略在客戶現(xiàn)場，臨時使用了手動加載NETLOGON.dns文件的方法。4．某用戶對網(wǎng)絡(luò)進行結(jié)構(gòu)調(diào)整，以提高安全性將所有服務(wù)器移動到同一子網(wǎng)，并使用硬件防火墻在服務(wù)器子網(wǎng)和客戶端計算機所在子網(wǎng)之間進行地址轉(zhuǎn)換（NAT）兩臺windows2000域控制器被移動到服務(wù)器子網(wǎng)。所有客戶端計算機位于另外子網(wǎng)?？蛻舳擞嬎銠C可以訪問域控制器的共享文件夾，DNS服務(wù)。但是客戶端計算機無法登錄域原因：防火墻只是轉(zhuǎn)換了IP包頭中的IP地址，沒有轉(zhuǎn)換NETBIOS數(shù)據(jù)包頭中的源IP地址NETBIOS數(shù)據(jù)報的用途：查找登錄服務(wù)器發(fā)送登錄請求進行域同步瀏覽服務(wù)主機名稱宣告瀏覽服務(wù)工作組/域宣告住瀏覽服務(wù)器存在和選舉包NETSEND/D：<DOMAIN>“MESSAGE”需要確認防火墻支持NETBIOS數(shù)據(jù)報包頭轉(zhuǎn)換。5．某用戶報告，所有用戶在注銷時，都會提示與網(wǎng)絡(luò)上某個共享文件夾進行同步，但是實際上該文件夾并沒有開啟文件緩存功能，同時也沒有任何登錄和注銷腳本與此相關(guān)。用戶擔心這是安全問題。經(jīng)過檢查，發(fā)現(xiàn)該文件夾下存放所有用戶的APPLICATIONDATA目錄，應(yīng)該是由于文件夾重定向策略引起的。但是經(jīng)過所有目前的組策略對象。沒有發(fā)現(xiàn)有相應(yīng)的策略設(shè)置對象。使用GPMC進行分析。確認是管理人員曾經(jīng)的測試所引起的。在策略對象中重新定向目錄到用戶本地計算機。GPMC進行組策略的分析。6：某客戶在兩年前將同一windowsNT4域的兩臺域控制器升級到windwsserver2000域控制器，升級后未正確配置DNS服務(wù)，導(dǎo)致兩年來兩臺域控制器在同步上一直存在故障，出現(xiàn)用戶無法正常修改口令，經(jīng)常性登陸失敗。用戶曾經(jīng)嘗試卸載其中一臺域控制器，打算重新安裝，但是卸載失敗。將其中一臺域控制器卸載，然后重新安裝，是較好的方法采用將其中一臺與網(wǎng)絡(luò)隔離，強制轉(zhuǎn)移操作主機角色，然后卸載（如果正常卸載失敗還可以考慮通過修改注冊表的方法）在保留的域控制器上，使用NTDSUTIL工具清除已卸載域控制器記錄信息。正確配制DNS服務(wù)重新安裝域控制器。1．使用修改注冊表的方法卸載域控制器2.NTDSUTIL清除殘存的域控制器信息。操作主機角色詳解背景知識單主模式只能對系統(tǒng)中某一特定結(jié)點進行修改其他結(jié)點都以該結(jié)點為準進行復(fù)制多主模式可以對系統(tǒng)中任意結(jié)點進行修改相互復(fù)制機制沖突及沖突解決機制操作主機的引入WINDOWSNT域PDC主域控制BDC副域控制器WINDOWS2000/2003活動目錄域DC操作主機OM以前又叫做FSMO操作主機類型森林級別架構(gòu)主機域命名主機域級別RID主機PDC模擬主機基礎(chǔ)架構(gòu)主機架構(gòu)主機功能控制活動目錄中所有對象，屬性的定義提示Regsvr32schmmgmt.dllSchemaAdmins組域命名主機功能控制森林內(nèi)域的添加和刪除添加和刪除對外部目錄的交叉引用對象提示建議與GC配制在一起EnterpriseAdmins組RID主機功能管理域中對象相對標示符RID池提示對象安全標識符=域安全標識符+相對標識符RIDPDC模擬主機功能模擬WindowsNTPDC默認的域主瀏覽器默認的域內(nèi)權(quán)威時間源統(tǒng)一管理域賬號密碼更新，驗證及鎖定提示PDC模擬主機不僅僅是模擬NTPDC一般負荷較大基礎(chǔ)結(jié)構(gòu)主機功能負責對跨域?qū)ο笠眠M行更新提示單域情況下基礎(chǔ)結(jié)構(gòu)主機不需要工作不能同時和GC配置在一起如何察看操作主機角色用圖形界面工具用命令行工具NTDSUTILNETDOMDCDIAG其他操作主機的放置默認情況架構(gòu)主機在森林根域的第一臺DC上域命名主機在森林根域的第一臺DC上其他三個主機在各自域的第一臺DC上問題和GC的沖突性能考慮操作主機的放置手工優(yōu)化基礎(chǔ)結(jié)構(gòu)主機與GC不要放在一起域命令主機與GC放一起架構(gòu)主機與域命名主機可放一起PDC模擬主機建議單獨放置操作主機的轉(zhuǎn)移和抓取轉(zhuǎn)移圖形界面工具命令行NTDSUTIL抓取圖形界面工具命令行NTDSUTIL操作主機故障架構(gòu)主機影響更改域結(jié)構(gòu)受影響短期內(nèi)一般看不到影響典型問題如不能安裝EXCHANGE處理需要確定原OM為永久性脫機才可抓取確保目標DC為具有最新更新的DC操作主機故障域命名主機影響更改域結(jié)構(gòu)受影響短期內(nèi)一般看不到影響典型問題如添加刪除域處理需確定原OM為永久性脫機才可抓取確保目標DC具有最新更新的DC操作主機故障RID主機影響無法獲得新的RID池分配典型問題如無法新建大量用戶賬戶處理需確定原OM為永久性脫機才可抓取確保目標DC為具有最新更新的DC操作主機故障PDC模擬主機影響低端客戶不能訪問AD不能更改域賬戶密碼瀏覽服務(wù)問題時間同步問題處理需要比較及時的恢復(fù)可以臨時抓取到其他DC在原OM恢復(fù)后可以抓取回去操作主機故障基礎(chǔ)架構(gòu)主機影響外域帳號不能識別，標記為SID處理需要比較及時的恢復(fù)可以臨時抓取到其他DC在原OM恢復(fù)后可以抓取回去。清理需移除的DC留下的殘留數(shù)據(jù)S/?id=216498抓取操作主機角色到另外一臺DCS/?id=25550