НОУ ІНТУІТ, Лекція, Усунення несправностей з Active Directory

Мета лекції: Дати уявлення про можливі неполадки з Active Directory та способи їх усунення.

При виникненні неполадок у роботі Active Directory необхідно спочатку перевірити журнал подій служби каталогів. Крім того, існують інші спеціалізовані засоби відстеження проблем. Також для вирішення питань з Active Directory можливе звернення до сертифікованих служб підтримки вендорів і до інформації, розміщеної на офіційному сайті виробника.

Типові проблеми з Active Directory

Перерахуємо деякі типові проблеми з Active Directory, з якими можна зіткнутися, та їх можливі рішення [4], [5].

  • Неможливо додати або видалити домен. Можлива причина: власник іменування доменів недоступний, що може бути викликано проблемами з мережевим з'єднанням або відмовою комп'ютера, що грає роль власника доменів . Пропоноване рішення: вирішити проблему з мережевим з'єднанням, або полагодити/замінити комп'ютер, що грає роль господаря іменування доменів, або перепризначити роль господаря іменування доменів.
  • Неможливо створити об'єкти в Active Directory. Можлива причина: недоступний майстер відносних ідентифікаторів, що може бути викликано проблемами з мережевим з'єднанням або відмовою комп'ютера, що відіграє роль майстра відносних ідентифікаторів. Пропоноване рішення: вирішити проблему з мережевим з'єднанням, або полагодити/замінити комп'ютер, що грає роль майстра відносних ідентифікаторів, або перепризначити роль майстра відносних ідентифікаторів.
  • Зміни членства групи не набирають чинності. Можлива причина: недоступний господар інфраструктури, що може бути викликано проблемами змережевим з'єднанням або відмовою комп'ютера, що відіграє роль господаря інфраструктури. Пропоноване рішення: вирішити проблему з мережевим з'єднанням, або полагодити/замінити комп'ютер, що грає роль господаря інфраструктури, або перепризначити роль господаря інфраструктури.
  • Користувачі без програмного забезпечення Active Directory не можуть увійти до системи. Можлива причина: Емулятор основного контролера домену недоступний, що може бути викликано проблемами з мережевим з'єднанням або відмовою комп'ютера, що відіграє роль емулятора основного контролера домену. Пропоноване рішення: вирішити проблему з мережевим з'єднанням, або полагодити/замінити комп'ютер, що відіграє роль емулятора основного контролера домену, або перепризначити роль емулятора основного контролера домену.
  • Користувачу не вдається локально увійти в систему на контролері домену. Можлива причина: можливість локального входу до системи контролера домену управляється політиками безпеки, які встановлюються в параметрах групової політики. Пропоноване рішення: у об'єкті "Політика контролера домену", що використовується за умовчанням, призначити певному користувачеві або групі право "Локальний вхід в систему".
  • Неможливо підключитися до контролера домену, який працює під керуванням Windows 2000. Можлива причина: на контролері домену під керуванням Windows 2000, до якого здійснюється підключення, не встановлено пакет оновлень версії 3 або пізнішої. Пропоноване рішення: встановити на контролер домену під керуванням Windows 2000 пакет оновлень версії 3 або пізнішої.
  • Повідомлення про помилки "Домен не знайдено", "Сервер недоступний" або "Сервер RPC недоступний". Можлива причина: помилка реєстрації або дозволу імені. Пропоноване рішення:перевірити доступність і правильність роботи DNS (у тому числі реєстрацію NetBIOS) на відповідному сервері.

Помилки реплікації

Неефективна реплікація викликає падіння продуктивності служби Active Directory, наприклад, можуть не розпізнаватись нові користувачі. Найчастіше внаслідок неефективної обробки запитів та неефективної реплікації інформація каталогу застаріває, а контролери домену стають недоступними.

Журнал служби каталогу повідомляє про помилки реплікації, які відбуваються після встановлення реплікаційного зв'язку. Потрібно переглядати журнал реєстрації подій служби каталогу в пошуках подій реплікації, які мають тип Error (Помилка) або Warning (Попередження).

Далі наводиться два приклади типових помилок реплікації у тому вигляді, як вони відображені в журналі реєстрації подій служби каталогу [13].

  • Подія з >Сайти та служби Active Directory), не відображає точно фізичну топологію мережі. Ця помилка вказує на те, що один або більше контролерів домену або сервер-плацдарм знаходяться в автономному режимі (або відключені), або що сервери-плацдарми підключені, але не містять потрібних контекстів іменування (NC) або при реплікації необхідного контексту найменування між сайтами Active Directory виникають помилки. Також можлива причина даної помилки полягає в тому, що один або кілька вузлів не включені у зв'язку сайтів або зв'язку сайтів містять всі сайти, але не всі зв'язки сайтів, що взаємодіють між собою.
  • Подія з >Access denied - Доступ заборонено). Ця помилка може виникати в тому випадку, якщо локальний контролер домену не зміг підтвердити справжність свого партнера щодо реплікації при створенні реплікаційного зв'язку або при спробі реплікуватищодо існуючого зв'язку. Помилка виникає тоді, коли контролер домену був від'єднаний від решти мережі протягом тривалого часу і його пароль облікового запису комп'ютера не синхронізовано з паролем облікового запису комп'ютера, що зберігається в каталозі його реплікаційного партнера.

Якщо отримано повідомлення про подію з ID 1265 та помилку "Помилка пошуку в DNS" або про помилку "RPC-сервер недоступний" у журналі служби каталогів, то можлива причина свідчить про проблеми DNS .

Реплікація Active Directory залежить від таких факторів:

  • Записи повинні реплікуватися на сервери DNS, які використовуються партнерами реплікації.
  • Кожна зона DNS повинна мати потрібне делегування дочірніх зон.
  • В ІР-конфігурації контролерів доменів повинні бути правильно задані основні та альтернативні DNS-сервери.

Як правило, проблеми, які можна усунути засобами консолі Active Directory Sites and Services, такі [4]:

  • нова інформація каталогу не поширюється своєчасно;
  • запити обслуговування не обробляються вчасно.

Далі наведено деякі типові помилки реплікації та способи їх усунення [4], [5], [6].

  • Будь-яка відмова у реплікації між контролерами домену. Можлива причина: неправильне функціонування інфраструктури DNS. Пропоноване рішення: настроїти DNS-сервер і правильно налаштувати службу DNS.
  • Реплікація інформації каталогу припинилася. Можлива причина: сайти, що включають клієнтів та контролери домену, не мають зв'язків з контролерами доменів іншого сайту мережі, що викликає збої в обміні інформацією каталогу між сайтами. Пропоноване рішення: створити зв'язок між поточним сайтом та сайтом, підключеним доіншим сайтам мережі.
  • Реплікація інформації каталогу сповільнилася, але не зупинилася. Можливі причини та запропоновані рішення наведено у таблиці 14.1.
Таблиця 14.1. Причини та рішення при уповільненні реплікаціїМожлива причина Запропоноване рішення
Хоча всі сайти пов'язані зв'язками, існуюча структура міжсайтової реплікації недостатньо повна. Інформація каталогу реплікується на всі контролери домену, якщо вони об'єднані зв'язками, але це не є оптимальним рішенням. За наявності зв'язків сайтів та відсутності мостів поширення змін з одних контролерів доменів на інші, з якими відсутні прямі зв'язки, виконується надто довгоНеобхідно переконатися, що Active Directory налаштовано правильно. Для об'єднання кількох зв'язків сайтів, що вимагають більш ефективної реплікації, рекомендується створити міст або об'єднати у міст усі зв'язки сайтів
Поточних мережевих ресурсів недостатньо обслуговування сумарного трафіку реплікації. Така ситуація може вплинути на служби, що не мають відношення до Active Directory, оскільки обмін інформацією каталогу потребує значних мережних ресурсів.Збільшити частку вільних мережевих ресурсів, що виділяються трафіку каталогу. Зменшити частоту реплікації у розкладі. Налаштувати вартість зв'язків сайтів. Створити зв'язки сайтів або мости зв'язків сайтів, щоб отримати мережеві підключення з підвищеною пропускною здатністю
Інформація каталогу, що змінилася на контролерах домену в одному сайті, своєчасно не оновилася на контролерах домену в інших сайтах, оскільки задана в розкладі частота міжсайтової реплікації дуже низькаЗбільшити частоту реплікації. Якщо реплікація виконується через міст,перевірити, який зв'язок сайтів стримує реплікацію. Збільшити інтервал часу, відведений для реплікації або частоту реплікації в заданий інтервал часу для проблемного зв'язку сайтів.
Клієнти намагаються запитати автентифікацію, інформацію та служби у контролера домену з підключення з низькою пропускною здатністю. Це може сповільнити відповідь на запити клієнтів.Перевірити, чи є сайт , який здатний краще обслуговувати підмережі клієнта. Якщо клієнт, що повільно обслуговується, ізольований від контролера домену, спробувати створити інший сайт з власним контролером домену, до якого потім приєднати клієнта. Створити підключення з більшою пропускною здатністю.
  • При спробі реплікації вручну отримано повідомлення "Відмовлено у доступі" від оснащення Active Directory Sites And Services (Сайти та служби Active Directory). Можлива причина: примусова реплікація, що виконується користувачем вручну, тягне за собою реплікацію не всіх загальних каталогів додатків партнерів реплікації, а можлива тільки для тих контейнерів, для яких дозволено синхронізацію реплікації, при цьому реплікація інших каталогів додатків дасть збій. Пропоноване рішення: для примусової реплікації вручну вказаного каталогу програм використовувати засоби командного рядка Repadmin із набору інструментів підтримки Windows.
  • Не вдається підключитися до контролера домену під керуванням Windows 2000 за допомогою оснастки Active Directory Sites And Services (Сайти та служби Active Directory). Можлива причина: на контролері домену, який працює під керуванням Windows 2000 і до якого потрібно підключитися, не інстальовано пакет оновлень версії 3 або пізніший. Пропоноване рішення: встановити на контролердомену під керуванням Windows 2000 пакет оновлень версії 3 або пізніший.

Перевірка топології реплікації полягає в тому, що Active Directory запускає процес, який визначає вартість міжсайтових підключень, перевіряє доступність відомих контролерів домену та факт додавання нових. На основі отриманих відомостей, Active Directory додає або видаляє об'єкти-підключення для формування ефективної топології реплікації. Цей процес не впливає на об'єкти підключення, створені вручну за допомогою інструмента Active Directory Sites and Services.