Windows Server 2008 R2 Active Directory 簡易查修

針對 AD 基本檢查與除錯有以下關鍵

• 檢視系統新啟動的事件記錄 (重新開機到開機完成這段時間的事件記錄)
• 檢視 網域主控站 (Domain Controller) 相關服務的啟動狀態
• KDC
• Netlogon
• FRS
• w32time
• 檢查網路相關設定
• IP
• DNS
• 檢查 DNS 伺服器上的 SRV 紀錄是否都正常
• 缺少記錄？
• 重複記錄？
• 檢視 AD 五大角色 (FSMO) 及位置
• netdom query fsmo
• FSMO (Flexible Single Master Operations) 五大角色分別為：
• 架構主機 (Schema Master)
• 負責更新目錄架構。
• 網域命名主機 (Domain Naming Master)
• 負責變更樹系網域目錄名稱空間。
• 基礎架構主機 (Infrastructure Master)
• 跨網域物件參照中，負責更新物件 SID 與辨別名稱。
• RID 主機 (RID Master)
• 負責處理 RID (Relative ID) 集區中來自給定的網域的所有 DC 要求。
• PDC 模擬器 (PDC Emulator)
• 對舊版的工作站、成員伺服器與網域控制站宣稱自己為主要網域控制站 (PDC)。
• 檢查 網域主控站 (Domain Controller) 預設分享是否有異常
• SYSVOL
• NETLOGON
• 檢查 網域主控站 (Domain Controller) 在 AD 中的 UserAccountControl 屬性是否為 532480
• 網域主控站 (Domain Controller) 預設 UserAccountControl 屬性為 532480
• 成員伺服器 ( Member Server ) 預設 UserAccountControl 屬性為 4096
• 網域使用者 ( User ) 預設 UserAccountControl 屬性為 512
• 檢查 C:\Windows\Debug 目錄下的記錄檔

常用的 AD 診斷工具與常用指令

• 網域控制站診斷工具 (dcdiag.exe) – DCDiag
• DCDiag /v

        詳細資訊。除了錯誤及警告的資訊外，也會呈現成功測試結果的資訊 (如果沒
        有使用 /v 參數，則只會呈現錯誤及警告資訊)。Microsoft 建議在摘要表格
        中報告錯誤或警告時，使用 /v 參數。

• DCDiag /test:dns

        用於確認 DNS 狀況。

• 執行與複寫相關的工作 (repadmin.exe) – Repadmin
• Repadmin /replsummary

        果想要取得複寫的摘要資訊，則輸入「repadmin /replsummary」來取得這部
        網域控制站與網域中其他主機的複寫摘要資訊。

• Repadmin /showreps 或 Repadmin /showrepl

        當Active Directory中有多個網域時，下達「repadmin /showtrust」命令
        即可查看所有受信任的網域清單。

• Repadmin /syncall

        同步覆寫AD

• 使用 Netdom.exe 工具 (netdom.exe) – NetDOM
• netdom query fsmo

        查看五大角色於哪幾台網域控制站主機

• 網域安全通道公用程式 (nltest.exe) – NLTest
• nltest /dsgetdc:<DomainName> /force
• nltest /SC_RESET:<DomainName>\<PDCServerName>
• 註: nltest 可用來重新建立用戶端與 DC 之間的安全通道，可以不用退出網域再重新加入。
• ADSI 編輯器 (adsiedit.msc) – ADSI Edit
• Active Directory Management Support Tools
• AD LDS 系統管理工具

GPO 問題在【用戶端】可用的工具

• GPUpdate
• GPUpdate /force
• 使用 GPUpdate.exe 更新群組原則設定
• GPResult
• GPResult /v
• GPResult /z
• 以 GPResult.exe 判定原則結果組

Windows Server 2008 / Windows Vista 以後的版本可透過設定以下機碼啟用紀錄功能：

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
• 值名稱：GPSvcDebugLevel
• 值類型：REG_DWORD
• 值資料：0x00030002 (hex)   -- 備註：十進位數值為 196610
• 快速套用指令
  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v "GPSvcDebugLevel" /t REG_DWORD /d 0x00030002 /f
• 快速關閉指令
  reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics" /v "GPSvcDebugLevel" /f
• GPO 套用記錄檔所在路徑
• C:\Windows\debug\UserMode\GPSVC.log

Windows Server 2003 / Windows XP 以前(含) 的版本可透過設定以下機碼啟用紀錄功能：

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• 值名稱：UserEnvDebugLevel
• 值類型：REG_DWORD
• 值資料：0x00030002 (hex)   -- 備註：十進位數值為 196610
• 快速套用指令
  reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "UserEnvDebugLevel" /t REG_DWORD /d 0x00030002 /f
• 快速關閉指令
  reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "UserEnvDebugLevel" /f
• GPO 套用記錄檔所在路徑
• C:\Windows\debug\UserMode\Userenv.log

資料轉載來源
 http://blog.miniasp.com/post/2010/11/27/Windows-Server-2008-R2-Active-Directory-Troubleshooting.aspx