经过几年的网络管理工作，总结了一些关于AD的排错经验现在拿出来同大家分享，其中一些说明抄了微软的KB在这里说明一下，排错笔记有些地方可能写的不是很全，看不明白的地方大家可以GOOGLE一下，不对的地方也请大家提出
活动目录故障排除
一．  在活动目录出现问题是大家首先获得活动目录的日志，
1.  改注册表获得获得更为详细目录日志
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
取值范围：0-3
注意调整目录服务日志大小，以便存放所产生日志
记录的日志在日志目录中查看
使用方法：
Dcidiag /v  /c  /e
/v 详细日志
/c 开启更详细的日志
/e 查看整个森林的日志
2.  现场快速排除使用命令：
DCDIAG:
1.  分析域控制器状态
2.  针对域控制器特定功能执行测试
3． NETDOM:
1. 管理和检查信任关系
2.确认数据库复制是否正常
使用方法：
NETDOM query ?
NETDOM query dc (查询那些机器装有域控制器)
NETDOM quey fsmo (查看操作主机的角色)
4.  NETDIAG
1.进行网络功能诊断，可以帮助分析DNS等故障
使用方法
NETDIAG /V  /DEBUG  >C:\ENTDIAG.TXT
/V  显示详细的日志
/DEBUG  显示更加详细的日志
二．  DNS配置故障
DNS服务器在active directory中，除了提供名称格式的支持服务，一般的名称到IP的查询外，最重要的作用是记录域控制器与全局变了服务器的相关信息，并向客户端提供这些重要信息；
域控制器会在DNS服务器上注册，注册的记录不仅包括主机记录（A记录），而且包括相应的服务记录（SRV记录），类似于：
_ldap._tcp.dc_msdcs.xyz.com.600 INsrv 0 100 389 dcserver1.xyz.com
上面这条记录代表xyz.com域的域控制器是dcserver1.xyz.com;
客户端需要查询这些记录，才能找到域控制器，并完成用户登陆，active directoey 查询等工作
Active directory 的正常工作，依赖于DNS服务的正确配置和正常工作
_msdcs区域中包含所有域控制器的服务记录（SRV）
Active directory 森林的根域中的_msdcs区域中还额外包含森林中所有的全局编录服务器的记录
_msdcs区域的作用是为了定位域控制器和全局编录服务器，如果该区域不存在或记录不正确，active directory会出现故障
验证DNS的的完整性
使用NSLOOKUP来验证DNS记录是否完整
如果DNS记录缺失，可以通过一下方法来进行修复：
1.  重新启动NET logon服务
2.  使用nltest.exe /dsregdns （这个工具来自于support tools中）
DNS配置要求：允许动态更新，区域名称和域名相一致，dns服务器本身需要配置dns域名后缀等
小窍门：如果计算机在启动过程中常时间停留在正在准备网络这里，那么90%的情况下是DNS出现了问题，2.如果在排除时使用NSLOOKUP进行dns检查是出现电信或网通的DNS地址，那么可以确定你的DNS配置一定有问题，前提是在域控制器上使用NSLOOKUP,命令：
Net stop netlogon & net start netlogon (停止并重启netlogon*在计算机重启的过程中netlogon服务同样会重启，如果在重启数次还没有修复_msdcs那么就需要重建DNS了，
*如果在删除DNS的过程中出现无法删除DNS的情况，你可以稍等一会，因为此时可能多台域控制器正在复制信息，如果就一台域控制器而且出现了这种情况，那就需要查看日志了
*建立DNS时建议最好将_msdcs这一项单独创建一个主要区域，创建完成后还要进行委派（目的是告诉森林中的其它域控制器全局编录是在我这的），单独创建_msdcs的前提是DNS是和域控制器安装在同一台服务器上的，注意一点是在使用向导时进行到“选择如何复制区域数据时选择第一项（至active directory林xx中的所有DNS服务器），”至于为什么选这一项可以查询微软KB这里就不详细介绍了。补充：如果DNS是在创建域控制器时集成的就不需要单独创建_msdcs
活动目录复制篇：
活动目录数据复制检测工具
1.  图形工具
a.  Active Directory Replication Monitor (启动命令是replmon)
检查活动目录的复制
图形化显示复制拓扑
强制复制
2.  命令行工具
a.  dsastat –s:xx;xx (xx代表你的DC名字s后面是：xx是； )此命令代表比对两台服务器的状态是否相同,只看结果的最后是不是pass即可
b.  REPADMIN
诊断域控制器间复制故障
确认复制伙伴
确认活动目录对象复制来源
强制复制
* 小常识：
SYSVOL共享文件夹
a.  NETLOGON共享：低版本客户端的登陆脚本和系统策略
b.  SYSVOL共享  ：为windows2000及以后客户端提供组策略
命令行排错工具-NTFRSUTL
a.  检查文件复制服务状态
b.  检查复制日程安排
c.  强制轮询
d.  检查复制集
复制问题导致的故障：
a.  拒绝访问
b.  由于存在DNS查找故障，DSA操作无法继续
c.  操作被排队或者没有显示任何复制连接
d.  复制访问被拒绝或者正在删除名称上下文
e.  站点之间存在重复的连接对象
f.  多个域控制器中所应用的组策略不一致
g.  目录服务因太忙而无法完成操作
两个站点间的立即复制操作：
Active directory 站点和服务—>域名（test）?servers?NTDS Setting—>点击右边方框中的；自动生成；--?右键立即复制即可（域服务器的复制大概5分钟同步，根据站点间的距离的不同复制的时间也相应的不同）
a.  如果在复制时报错那么就需要调用Active Directory Replication Monitor这个工具了（replmon.exe）*补充一句：如果在点击立即复制没有报错那么至少可以保证你的复制是正常的，如果出现报错那么就需要a中提到的这个工具了
用replmon这个工具可以用图形的方式显示出所有站点的拓扑图，而且可以确认操作主机的功能是否正常
b.  第二个重要的工具是命令行工具dsastat.exe检查目录服务的状态
Dsastat  -s|test1:test2 >c:\dsastat.txt(比对test1和test2这台服务器的活动目录服务数据状态是否一致)*补充：如果比对出问题，有些是可以解决的而有些是无法解决，据我知道的大部分是无法解决的，哈哈没办法，如果出现这样的问题那就找个板凳拿卷纸找格墙角哭去吧
三．  操作主机问题
1.fsmo角色的转移
A 图形化接口工具
B  NTDSUTIL工具
这两格工具的使用在这里就不详细介绍了，因为在我们bbs.winos.cn论坛中都有详细的说明，如果想学习那就辛苦点搜索一下
什么是fsmo http://bbs.winos.cn/viewthread.php?tid=55443&highlight=fsmo
Fsmo的转移 http://bbs.winos.cn/viewthread.php?tid=7195&highlight=fsmo （基于命令行的转移）
Fsmo的转移 http://bbs.winos.cn/viewthread.php?tid=1527 （基于图形化的转移）
四．  活动目录发生故障的层面
网络层：包括网络的连通性，可用性（比如丢包问题，具微软工程师说大功率的设备，天花板走线，因为天花板中有强电电路所有有时造成干扰）
活动目录的支撑服务:如tcp/ip  DNS  WINS
活动目录的复制问题：
关掉了一些服务所导致：
比较常见的一些错误案例
1.  在日志中出现 这个机器是目录林根域的PDC。请用net命令 net time /setsntp，配置尾部时间源同步
出现这个错误我们可以在命令提示符下，运行:net time /setsntp:时间服务器(时间服务器有time,windows.com /time.nist.gov等)
需要注意的是有时防火墙关闭了udp123端口造成pdc不能和外部时间服务器同步。在说明一点域服务器间时间差不能超过5分钟，客户机和服务器不能超过30分钟，这是默认设置的你自己也可以调整。当然时间错误还有很多其它原因比如时区选择错误等
2.  第二个有意的案例是：某客户报告，客户端计算机启动缓慢，在出现”正在准备网络连接”提示时，会有长时间的停留，这个问题我们一般会认为是DNS的问题，经检查DNS配置正确，通过细致检查发现这个管理源在设置DNS时只使用了XXX而不是xxx.com或xxx.n et的域名，造成了DNS不注册的现象(不知这里我的说明，大家看明白了没有)所以造成客户端无法找到域控制器，
微软的广播也有一个关于活动目录排错的，所以大家可以结合微软的广播来看上面的笔记，案例是微软的案例我只是手工录入到了我的笔记中，微软广播下载地址http://download.microsoft.com/do ... fc/msft081804vx.zip