Следствием неисправностей функционирования службы каталогов (Active Directory, AD) неизбежно являются отказы информационной системы.
На работоспособность AD оказывают влияние как "собственные" службы, так и подсистемы, обеспечивающие функционирование сетевой инфраструктуры: службы динамического назначения параметров протокола и разрешения имен (DHCP, DNS, WINS), службы аутентификации пользователей (Net Logon, Kerberos), репликации данных (FRS), синхронизации времени, собственные службы AD: KDC (Key Distribution Center), KCC (Knowledge Consistency Checker), ISTG (Intersite Topology Generator), TRS (Time Reference Server) и т. д.
Поэтому работы по поиску неисправностей должны включать анализ всех компонентов системы, начиная от проверки кабельной структуры.
Обнаружение неисправностей AD
Системный администратор должен принять максимум усилий, чтобы обнаружить и правильно интерпретировать первые предвестники неисправности AD. В первую очередь этому поможет анализ файлов протоколов систем. Особое внимание необходимо уделить событиям, перечисленным в табл. 11.3.
Таблица 11.3. Перечень файлов, подлежащих анализу
К сожалению, появление записей об ошибках в протоколах событий, как правило, уже свидетельствует о наличии проблем. Конечно, можно включить расширенные возможности аудита, но в нормальных условиях эта настройка обычно не используется, поскольку снижает полезную производительность системы. Если администратор хочет своевременно обнаруживать проблемы функционирования AD и ликвидировать их еще до того момента, как они приведут к сбоям служб бизнес -структуры, необходимо использовать любую систему мониторинга реального времени.
Следует внимательно относиться ко всей информации пользователей. Например, информация о том, что система второй раз запросила смену пароля пользователя, может косвенно свидетельствовать о проблемах репликации двух контроллеров AD.
Средства тестирования AD
Для проверки функционирования службы каталогов можно использовать любые утилиты, которые взаимодействуют с AD.
В первую очередь это три стандартные консоли управления AD: пользователи и компьютеры, доверительные отношения и домены, сайты. В состав Resource Kit входит ряд утилит, которыми можно воспользоваться для диагностирования проблемы. Это dcdiag, специально предназначенная для тестирования AD. Кроме того, для тестирования инфраструктуры можно воспользоваться утилитами, перечисленными в табл. 11.4.
Таблица 11.4. Утилиты для тестирования инфраструктуры
Утилита
Для чего используется
netdiag.exe
Проверка сетевой инфраструктуры
netdom.exe
Проверка и управление доверительными отношениями
nltest.exe
Проверка состояния secure channel
ntfrsutl.exe
Управление службой репликации файлов
dsastat.exe
Анализ состояний AD на различных контроллерах
repadmin.exe
Проверка репликации данных AD, возможности инициировать частичную или полную репликацию заданного контекста
replmon.exe
Контроль репликации данных и запуск ручной репликации (графическая утилита)
Можно также воспользоваться утилитами, позволяющими отображать необходимую структуру AD и менять параметры объектов (табл. 11.5).
Таблица 11.5. Утилиты для отображения структуры AD и изменения параметров объектов
Утилита
Для чего используется
ADSI Edit
Просмотр и редактирование объектов AD, установка списков доступа (access control lists, ACLs)
ldp.exe
Взаимодействие с AD по протоколу LDAP
Для проверки сетевых соединений и их качества можно использовать любые утилиты из состава операционной системы (см. разд. "Диагностика IP-протокола”ранее в этой главе). Кроме того, при анализе и настройке AD придется использовать оснастки управления DNS, монитора производительности, утилиту редактирования реестра, утилиту управления AD с возможностью модификации ее метаданных — ntdsutil.exe и т. д.
Проверка разрешения имен
Как уже было сказано, комплексную проверку доступности служб AD можно осуществить с помощью утилиты dcdiag. Но поскольку она устанавливается дополнительно, то в оперативных случаях следует быть готовым выполнить простейшие проверки стандартными средствами операционной системы. Обычно достаточно проконтролировать возможность разрешения имен с помощью типовых утилит. Необходимо проверить достижимость контроллера домена по его краткому (без доменного суффикса) и полному имени, а также разрешение адресов служб AD. Соответствующая структура DNS создается автоматически, и обычно достаточно проконтролировать ее наличие в оснастке управления сервером DNS. Если такая возможность отсутствует, то нужно вручную, с помощью команды nslookup, выполнить попытку разрешения имен, перечисленных в табл. 11.6. Для разрешения имен служб (записи типа SRV) в nslookup предварительно следует выполнить команду set type=all или set type=srv. Обратите также внимание, что в операции разрешения имени сервера глобального каталога указывается имя леса, а не домена. Обычно в малых организациях эти имена совпадают.
Таблица 11.6. Перечень имен, проверяемых в процессе теста
Имя
Тип записи
Чему соответствует
_ldap._tcp.dc.Jmsdcs<DNS_имя_домена>
SRV
Контроллер домена
_ldap._tcp.pdc._msdcs. <DNS_имя_домена>
SRV
Эмулятор первичного контроллера
_ldap.jtcp.gc._msdcs. <DNS_имя_леса>
SRV
Сервер глобального каталога
_kerberos._tcp.dc._msdcs. <DNS_имя_домена>
SRV
Расположение службы KDC
Обратите внимание на весьма простую операцию, удачное выполнение которой зависит от правильности настройки системы, разрешения имен и от функционирования контроллера домена. Попробуйте открыть следующий сетевой ресурс: \\<DNS_имя_домена>\SYSVOL. Если попытка неудачна, то либо в организации неверно настроено разрешение имен, либо контроллер домена неработоспособен.
