验证域控制器部署是否正常

  • 一、验证AD DS域服务
  • 二、验证默认容器
  • 三、验证Domain Controllers
  • 四、验证default-first-site-name
  • 五、验证Active Directory数据库和日志文件
  • 六、验证计算机角色
  • 七、验证系统共享卷“SYSVOL”和“Netlogon”服务
  • 1、验证活动目录SYSVOL文件夹结构
  • 2、验证系统共享卷“SYSVOL”和“Netlogon”
  • 3、默认域策略和默认域控制器策略
  • 4、验证目录服务器
  • 八、验证“SRV记录”
  • 九、验证FSMO操作主机角色


一、验证AD DS域服务

自Windows Server 2008版本发布之后,AD DS域服务成为一个普通的服务,通过“服务”控制台可以查看AD DS域服务运行状态,可以同普通服务一样启动、停止、暂停、重新启动服务,不需要和Windows Server 2008之前的版本一样,只有在重新启动域控制器并进入到“目录还原模式”后,才能维护活动目录服务。

AD DS域服务部署完成后,默认部署2个和AD DS域服务直接相关的服务:

  • Active Diretory Domain Services(ADDS)服务
  • Active Directory Web Services(ADWS)服务

这2个服务默认处于必须“正在运行”状态。

二、验证默认容器

三、验证Domain Controllers

默认的域控制器管理单元为“Domain Controllers”,包含第一个域控制器(DC),另外还是新域控制器(额外域控制器、只读域控制器)的默认容器。其他域控制器安装后,将自动归并到该组织单元中。

四、验证default-first-site-name

将服务器提升为域控制器过程中,安装向导自动确定该域控制器属于哪个站点的成员。如果新建域控制器是新林中的第一个域控制器,将创建名称为“Default-First-Site-Name”的默认站点,第一台域控制器称为该站点的第一个成员。

五、验证Active Directory数据库和日志文件

服务器提升为域控制器过程中,“路径”对话框设置Active Directory数据库和日志文件的存储位置,默认位于“%Systemroot%\Ntds”文件夹中,其中:

Active Directory数据库文件“Ntds.dit”,存储域控制器中所有活动目录对象。扩展名“dit”,全称为“Direcory Informatin Tree”,中文直译为“目录信息树”。

事务日志文件“edb.log”

该文件保存Active Directory操作信息,默认事务日志名为edb.log,每个事务日志文件大小为10MB

当edb.log写满时被重命名为edbxxx.log,重新建立一个新日志文件,同时旧日志文件被自动删除。其中xxxx是文件编号,从0001开始逐渐递增。

Active Directory将事务日志写入到内存的同时,将事务日志写到日志文件edb.log。如果系统不正常关机,导致内存尚未写入Active Directory数据库的数据丢失,当开机后系统根据检查点文件edb.chk得知要从事务日志文件edb.log内的哪个数据开始,利用事务日志文件edb.log内的日志记录,将关机前尚未写入Active Directory数据库日志继续写入Active Directory数据库。

检查点文件“edb.chk”,跟踪尚未写入活动目录数据库文件的日志。记录Active Directory数据库文件和内存中Active Directory数据之间的差异,一般此文件用于Active Directory的初始化或还原。

暂存日志文件为“edbtmp.log”。该日志是当前日志文件(Edb.log)填满时的暂时日志。

保留日志文件“edbres00001.jrs”和“edbres00002.jrs”。这2个文件是日志保留文件,仅当含有日志文件的磁盘空间不足时使用。如果当前日志文件填满且由于磁盘剩余空间不足而导致服务器不能创建新的日志文件,服务器将当前内存中的活动目录处理日志写入到两个保留日志文件中然后关闭活动目录。每一个日志文件也是10MB大小。

临时文件“Temp.edb”。该文件在数据库维护时使用,存储维护过程中处理的数据。

六、验证计算机角色

由于部署网络中第一台有域控制器,也就是根域控制器,所以第一台域控制器的“计算机角色”应该为“PRIMARY”。如果是额外域控制器,“计算机角色”应该为“BACKUP”。

net accounts,可以查看当前计算机角色状态。
Microsoft Windows [版本 6.3.9600]
(c) 2013 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>net accounts
强制用户在时间到期之后多久必须注销?:     从不
密码最短使用期限(天):                 1
密码最长使用期限(天):                 42
密码长度最小值:                      7
保持的密码历史记录长度:                24
锁定阈值:                           从不
锁定持续时间(分):                    30
锁定观测窗口(分):                    30
计算机角色:                         PRIMARY
命令成功完成。

C:\Users\Administrator>

七、验证系统共享卷“SYSVOL”和“Netlogon”服务

服务器提升为域控制器过程中,“路径”对话框设置Active Directory数据库、日志文件以及系统共享卷的存储位置,系统共享卷默认位于“%Systemroot%\SYSVOL”文件夹中。

1、验证活动目录SYSVOL文件夹结构

iOS 判断当前控制器正在显示_iOS 判断当前控制器正在显示

2、验证系统共享卷“SYSVOL”和“Netlogon”
C:\Users\Administrator>net share

共享名       资源                            注解

-------------------------------------------------------------------------------
C$           C:\                             默认共享
D$           D:\                             默认共享
IPC$                                         远程 IPC
ADMIN$       C:\Windows                      远程管理
NETLOGON     C:\Windows\SYSVOL\sysvol\pokes.com\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL\sysvol        Logon server share
命令成功完成。

C:\Users\Administrator>

分别用计算机名和域名访问,进行验证。如果能访问到,说明是正常的。

iOS 判断当前控制器正在显示_日志文件_02


iOS 判断当前控制器正在显示_服务器_03

3、默认域策略和默认域控制器策略

iOS 判断当前控制器正在显示_服务器_04

4、验证目录服务器
Microsoft Windows [版本 6.3.9600]
(c) 2013 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>dcdiag /test:netlogons

目录服务器诊断

正在执行初始化设置:
   正在尝试查找主服务器...
   主服务器 = PDC
   * 已识别的 AD 林。
   已完成收集初始化信息。

正在进行所需的初始化测试

   正在测试服务器: Default-First-Site-Name\PDC
      开始测试: Connectivity
         ......................... PDC 已通过测试 Connectivity

正在执行主要测试

   正在测试服务器: Default-First-Site-Name\PDC
      开始测试: NetLogons
         ......................... PDC 已通过测试 NetLogons


   正在 ForestDnsZones
    上运行分区测试

   正在 DomainDnsZones
    上运行分区测试

   正在 Schema
    上运行分区测试

   正在 Configuration
    上运行分区测试

   正在 pokes
    上运行分区测试

   正在 pokes.com
    上运行企业测试

C:\Users\Administrator>

八、验证“SRV记录”

iOS 判断当前控制器正在显示_日志文件_05

iOS 判断当前控制器正在显示_Windows_06

查看域控制器的FQDN

iOS 判断当前控制器正在显示_Windows_07


双击打开,复制“完全限定的域名”

iOS 判断当前控制器正在显示_日志文件_08

测试域控制器的FQDN的连通性

Microsoft Windows [版本 6.3.9600]
(c) 2013 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>ping e9fab941-2bf8-4691-9e7c-6379406dc4ab._msdcs.pokes.co
m

正在 Ping pdc.pokes.com [10.10.30.51] 具有 32 字节的数据:
来自 10.10.30.51 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.30.51 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.30.51 的回复: 字节=32 时间<1ms TTL=128
来自 10.10.30.51 的回复: 字节=32 时间<1ms TTL=128

10.10.30.51 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 0ms,最长 = 0ms,平均 = 0ms

C:\Users\Administrator>

九、验证FSMO操作主机角色

Microsoft Windows [版本 6.3.9600]
(c) 2013 Microsoft Corporation。保留所有权利。

C:\Users\Administrator>netdom query fsmo
架构主机          PDC.pokes.com
域命名主机        PDC.pokes.com
PDC              PDC.pokes.com
RID 池管理器      PDC.pokes.com
结构主机          PDC.pokes.com
命令成功完成。


C:\Users\Administrator>