Описание Active Directory

Поиск в Active Directory

Теперь, когда вы определили структуру OU, создали свои объекты и поместили объекты в соответствующие OU, можно выполнять поиск информации, содержащейся в Active Directory. В Windows Server 2003 имеются превосходные средства поиска, позволяющие формировать запросы для поиска информации, содержащейся в этом каталоге.

Active Directory Users and Computers

Оснастка Active Directory Users and Computers в Windows XP и последующих операционных системах содержит узел, используемый для создания сохраняемых запросов. Вы можете создавать запросы, сохранять их и экспортировать результаты вашего поиска. Для создания запроса выполните следующие шаги.

1. Откройте Active Directory Users and Computers из меню Administrative Tools в Windows Server 2003.
2. Вверху левой панели щелкните правой кнопкой на Saved Queries (Сохраненные запросы) и выберите New/Query (Создать/Запрос).
3. В диалоговом окне New Query введите имя и описание вашего запроса.
4. В середине диалогового окна New Query вы можете выбрать корень запроса для вашего поиска; по умолчанию это будет корень домена. Вы можете щелкнуть на кнопке Browse, чтобы выбрать другой корень для своего поиска; например, вы можете выбрать какую-либо OU, с которой начнется ваш поиск. Чем более ограничивающим будет ваш выбор конкретного корня для поиска, тем быстрее будет выполняться этот поиск.
5. Щелкните на кнопке Define Query (Определить запрос).
6. В диалоговом окне Find Common Queries (Поиск типичных запросов), рис. 10.2, вы можете создавать фильтры по объектам, чтобы искать свою информацию.

Рис. 10.2. Создание фильтра для поиска информации в Active Directory

Открыв диалоговое окно Find Common Queries, вы можете выбирать разнообразные опции, чтобы формировать фильтры для вашего поиска. Имеются три вкладки, в которых вы можете делать выбор: User, Computers и Groups. Внутри каждой из этих вкладок вы можете проводить простой поиск объектов, например, отключенных учетных записей. Кроме того, в раскрывающемся списке Find вы можете выбрать вариант Custom Search (Специализированный поиск), который позволяет вам создавать фильтры по различным атрибутам объектов каталога.

После создания условий поиска вы можете сохранить эту информацию для последующего просмотра и экспорта.

Использование средства поиска Windows

Большинство ваших пользователей не будут иметь доступа к оснастке Active Directory Users and Computers. Они могут использовать для поиска в Active Directory средство Search из Windows XP. Выберите Start/Search, чтобы открыть окно поиска, которое позволяет вам выполнять поиск компьютеров, принтеров и пользователей в вашей сети.

Поддержка Active Directory

Вы можете сталкиваться с ситуациями, когда требуется восстановить или изменить информацию, которая содержится в вашем Active Directory. В Windows Server 2003 имеется пара утилит, о которых вы должны знать как администратор: NTDSUtil и DCDiag.

NTDSUtil

NTDSUtil - это утилита командной строки, позволяющая изменять и управлять вашей структурой Active Directory. Это средство в основном используется для управления базой данных Active Directory, для удаления метаданных информации, содержащейся в Active Directory, и управления работой хозяев операций. NTDSUtil.exe находится в папке %SystemRoot%\System32.

Для запуска NTDSUtil откройте окно командной строки и введите следующую команду:

ntdsutil

Для просмотра имеющихся опций вы можете ввести help в командной строке:

ntdsutil: help
?                                      - Show this help information
Authoritative restore                  - Authoritatively restore the DIT database
Configurable Settings                  - Manage configurable settings
Domain management                      - Prepare for new domain creation
Files                                  - Manage NTDS database files
Help                                   - Show this help information
LDAP policies                          - Manage LDAP protocol policies
Metadata cleanup                       - Clean up objects of decommissioned servers
Popups %s                              - (en/dis)able popups with "on" or "off"
Quit                                   - Quit the utility
Roles                                  - Manage NTDS role owner tokens
Security account management            - Manage Security Account Database - Duplicate SID
Cleanup
Semantic database analysis             - Semantic Checker
Set DSRM Password                      - Reset directory service restore mode administrator
account password
ntdsutil:

Каждая из этих опций направляет вас по соответствующему пути администрирования. Некоторые опции недоступны, если вы выполнили нормальный вход в операционную систему. Например, опция Authoritative restore ("Авторитарное" восстановление) доступна, только если у вас выполнен вход в систему с помощью режима Directory Services Restore Mode (Режим восстановления служб каталога).

Описание каждого аспекта NTDSUtil выходит за рамки изложения этой лекции. Для получения более подробной информации по NTDSUtil выполните поиск в Microsoft Knowledge Base.

DCDiag

DCDiag - это утилита командной строки для мониторинга Active Directory. Вы можете установить DCDiag, выполнив установку Support Tools с установочного CD Windows Server 2003 из папки <cdroot>\Support\Tools. После установки Support Tools вы можете затем запустить DCDiag. Запустив DCDiag, вы получите несколько диагностических записей по Active Directory:

C:\Documents and Settings\Administrator>
dcdiag Domain Controller Diagnosis Performing initial setup: Done gathering initial info.
Doing initial required tests Testing server: Default-First-Site-Name\SERVER2003 Starting test: Connectivity
......................... SERVER2003 passed test Connectivity
Doing primary tests Testing server: Default-First-Site-Name\SERVER2003 Starting test: Replications
......................... SERVER2003 passed test Replications
Starting test: NCSecDesc
......................... SERVER2003 passed test NCSecDesc
Starting test: NetLogons
......................... SERVER2003 passed test NetLogons
Starting test: Advertising
......................... SERVER2003 passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERVER2003 passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERVER2003 passed test RidManager
Starting test: MachineAccount
......................... SERVER2003 passed test MachineAccount
Starting test: Services
......................... SERVER2003 passed test Services
Starting test: ObjectsReplicated
......................... SERVER2003 passed test ObjectsReplicated
Starting test: frssysvol
......................... SERVER2003 passed test frssysvol
Starting test: frsevent
......................... SERVER2003 passed test frsevent
Starting test: kccevent
......................... SERVER2003 passed test kccevent
Starting test: systemlog
......................... SERVER2003 passed test systemlog
Starting test: VerifyReferences
......................... SERVER2003 passed test VerifyReferences
Running partition tests on : ForestDnsZones Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Running partition tests on : DomainDnsZones Starting test: CrossRefValidation 
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom 
......................... DomainDnsZones passed test CheckSDRefDom
Running partition tests on : Schema Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation      
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Running partition tests on : Configuration Starting test: CrossRefValidation 
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom 
......................... Configuration passed test CheckSDRefDom
Running partition tests on : company Starting test: CrossRefValidation
......................... company passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... company passed test CheckSDRefDom
Running enterprise tests on : company.dom Starting test: Intersite
......................... company.dom passed test Intersite
Starting test: FsmoCheck
......................... company.dom passed test FsmoCheck

Как можно видеть из этих результатов выполнения DCDiag, все элементы домена работают должным образом. Если возникнет какая-либо проблема с Active Directory, DCDiag выведет сообщение об ошибке. Если вызвать состояние ошибки, отключив DNS на данном сервере, то DCDiag возвратит следующую ошибку.

Doing initial required tests Testing server: Default-First-Site-Name\SERVER2003 Starting test: Connectivity The host 65fc42b7-0020-4c4e-9ba5-d241450ee25c._msdcs.company.dom could not be resolved to an IP address. Check the DNS server, DHCP, server name, etc Although the Guid DNS name 65fc42b7-0020-4c4e-9ba5-d241450ee25c._msdcs.company.dom) couldn't be resolved, the server name (server2003.company.dom) resolved to the IP address (192.168.65.129) and was pingable. Check that the IP address is registered correctly with the DNS server. ......................... SERVER2003 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER2003 Skipping all tests, because server SERVER2003 is not responding to directory service requests

Как видите, DCDiag - это превосходное средство, с которого нужно начинать при поиске и устранении ошибок, связанных с Active Directory.