|
|
>>> Перейти на мобильный размер сайта >>> Учебное пособие Самоучитель системного администратора11.5. Диагностика службы каталоговСледствием неисправностей функционирования службы каталогов (Active Directory, AD) неизбежно являются отказы информационной системы. На работоспособность AD оказывают влияние как "собственные" службы, так и подсистемы, обеспечивающие функционирование сетевой инфраструктуры: службы динамического назначения параметров протокола и разрешения имен (DHCP, DNS, WINS), службы аутентификации пользователей (Net Logon, Kerberos), репликации данных (FRS), синхронизации времени, собственные службы AD: KDC (Key Distribution Center), KCC (Knowledge Consistency Checker), ISTG (Intersite Topology Generator), TRS (Time Reference Server) и т. д.
Поэтому работы по поиску неисправностей должны включать анализ всех компонентов системы, начиная от проверки кабельной структуры. Обнаружение неисправностей ADСистемный администратор должен принять максимум усилий, чтобы обнаружить и правильно интерпретировать первые предвестники неисправности AD. В первую очередь этому поможет анализ файлов протоколов систем. Особое внимание необходимо уделить событиям, перечисленным в табл. 11.3. Таблица 11.3.
К сожалению, появление записей об ошибках в протоколах событий, как правило, уже свидетельствует о наличии проблем. Конечно, можно включить расширенные возможности аудита, но в нормальных условиях эта настройка обычно не используется, поскольку снижает полезную производительность системы. Если администратор хочет своевременно обнаруживать проблемы функционирования AD и ликвидировать их еще до того момента, как они приведут к сбоям служб бизнес -структуры, необходимо использовать любую систему мониторинга реального времени. Следует внимательно относиться ко всей информации пользователей. Например, информация о том, что система второй раз запросила смену пароля пользователя, может косвенно свидетельствовать о проблемах репликации двух контроллеров AD. Средства тестирования ADДля проверки функционирования службы каталогов можно использовать любые утилиты, которые взаимодействуют с AD. В первую очередь это три стандартные консоли управления AD: пользователи и компьютеры, доверительные отношения и домены, сайты. В состав Resource Kit входит ряд утилит, которыми можно воспользоваться для диагностирования проблемы. Это dcdiag, специально предназначенная для тестирования AD. Кроме того, для тестирования инфраструктуры можно воспользоваться утилитами, перечисленными в табл. 11.4. Таблица 11.4.
Можно также воспользоваться утилитами, позволяющими отображать необходимую структуру AD и менять параметры объектов (табл. 11.5). Таблица 11.5.
Для проверки сетевых соединений и их качества можно использовать любые утилиты из состава операционной системы (см. разд. "Диагностика IP-протокола”ранее в этой главе). Кроме того, при анализе и настройке AD придется использовать оснастки управления DNS, монитора производительности, утилиту редактирования реестра, утилиту управления AD с возможностью модификации ее метаданных — ntdsutil.exe и т. д.
Проверка разрешения именКак уже было сказано, комплексную проверку доступности служб AD можно осуществить с помощью утилиты dcdiag. Но поскольку она устанавливается дополнительно, то в оперативных случаях следует быть готовым выполнить простейшие проверки стандартными средствами операционной системы. Обычно достаточно проконтролировать возможность разрешения имен с помощью типовых утилит. Необходимо проверить достижимость контроллера домена по его краткому (без доменного суффикса) и полному имени, а также разрешение адресов служб AD. Соответствующая структура DNS создается автоматически, и обычно достаточно проконтролировать ее наличие в оснастке управления сервером DNS. Если такая возможность отсутствует, то нужно вручную, с помощью команды nslookup, выполнить попытку разрешения имен, перечисленных в табл. 11.6. Для разрешения имен служб (записи типа SRV) в nslookup предварительно следует выполнить команду set type=all или set type=srv. Обратите также внимание, что в операции разрешения имени сервера глобального каталога указывается имя леса, а не домена. Обычно в малых организациях эти имена совпадают. Таблица 11.6.
Обратите внимание на весьма простую операцию, удачное выполнение которой зависит от правильности настройки системы, разрешения имен и от функционирования контроллера домена. Попробуйте открыть следующий сетевой ресурс: \\<DNS_имя_домена>\SYSVOL. Если попытка неудачна, то либо в организации неверно настроено разрешение имен, либо контроллер домена неработоспособен.
|
|
|