Active Directory : guide de dépannage
Sur cette page
.gif){kind=icon}
Active Directory : guide de dépannage
Les outils utilisés
Pour les tests hardware
L'observateur d'événements (Event Viewer)
Les outils inclus à l'OS
Les "Supported tools"
Network Connectivity tester : NetDiag
Les Informations générales
DCDIAG : Permet de tester les fonctions d'un DC
Autres outils supportés
Network Monitor
Séquence de troubleshooting
Tests généraux
Test Hardware
Vérification de la configuration IP
IPCONFIG /ALL
Tests d'accessibilité
Le réseau fonctionne-t-il ?
Test des bindings
Test de la couche NDIS
Test de la couche NDIS
Test de la configuration des modems pour les liaisons RAS
Test de l'interface socket
Affichage des informations de netstat
Vérification de la configuration du redirecteur
Tracer les échanges avec Network Monitor
La résolution de nom fonctionne-t-elle ?
Test des noms netbios
Test des noms DNS
Tests des noms DNS – Spécificités des DC
Recherche du PDC Emulator :
Tests des noms DNS – Vérification du serveur DNS
LDAP fonctionne-t-il ?
Test de LDAP avec LDP
Test de binding
Test d'interrogation
Test de LDAP avec ADSIEDIT
Test de LDAP avec NetDiag
Visualisation des échanges LDAP avec Network Monitor
Le DC fontionne-t-il ?
Test des fonctions du DC avec DCDiag
Les tests généraux à l'ensemble des DC :
L'authentification fonctionne-t-elle ?
Vérification des permissions sur les comptes
Vérification des secure chanel
Reset du secure Chanel
Active Directory : guide de dépannage
Ce document présente les éléments essentiels pour éviter les pièges et pour configurer parfaitement son réseau avec Windows 2000.
Les outils utilisés
Pour les tests hardware
Le gestionnaire de périphériques (Device manager) et l'assistant matériel (Hadware Wizard) accessibles par l'applet System du control Panel
L'observateur d'événements (Event Viewer)
Il y les 3 journaux de logs "classiques" :
Le journal système, le journal sécurité et le journal système
Et trois nouveaux journaux pour Windows 2000 :
Le service d'annuaire (Directory services), le serveur DNS (DNS server ) et le service de réplication de fichiers (File Replication Service)
Les messages d'erreur indiquent parfois le code retour de la fonction en cause dans la partie des Data.
Dans ce cas:
.gif)
Convertir le code retour d'Hexa en décimal (en inversant les deux digits). Par exemple, on traduit un code retour de 0xB405 par 0x05B4, qui donne en décimal 1460
Pour connaître son interprétation, taper :
net helpmsg <n°>
Par exemple : net helpmsg 1460 retourne :
"This operation returned because the timeout period expired"
Les outils inclus à l'OS
Par exemple : ipconfig, ping, route print, nslookup, nbtstat
Les "Supported tools"
Ce sont des outils similaires à ceux du Resource Kit, mais supportés :
(Leur kit est situé dans le répertoire \support\tools du premier CD du kit de Windows2000).
Network Connectivity tester : NetDiag
On le lance par c:\>netdiag / <option>
Il possède trois modes d'affichage :
/q : Quiet mode : n'affiche que les erreurs
/v : Verbose mode
/debug : Hyper verbose mode
Il est possible de rediriger son affichage dans le fichier netdiag.log avec le paramètre : /l
Netdiag génère trois groupes d'informations :
Les Informations générales
Computer Name: DELLDID1
DNS Host Name: delldid1.domdid2000.microsoft.com
System info : Windows 2000 Server (Build 2195)
Processor : x86 Family 6 Model 5 Stepping 2, GenuineIntel
List of installed hotfixes :
Q147222
Informations sur chaque interface réseau
Netcard queries test . . . . . . . : Passed
Per interface results: Adapter : Publique Netcard queries test . . . : Passed Host Name. . . . . . . . . : delldid1 IP Address . . . . . . . . : 1.5.146.49 Subnet Mask. . . . . . . . : 255.255.252.0 Default Gateway. . . . . . : 1.5.146.1 Dns Servers. . . . . . . . : 1.5.146.48 1.5.128.15 1.5.1.20 AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Passed NetBT name test. . . . . . : Passed WINS service test. . . . . : Passed
Les résultats des tests passés :
Global results:
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{B1CC9D5E-620D-4B43-BE22-F2281A2F2018}
NetBT_Tcpip_{1F90283A-242F-4DEB-AAA3-47F36EBCFFAC}
2
NetBt transports currently configured.
Autonet address test .: Passed
IP loopback ping test.: Passed
Default gateway test .: Passed
NetBT name test.......: Passed
Winsock test .........: Passed
DNS test .............: Passed
Redir and Browser test: Passed
DC discovery test.....: Passed
DC list test .........: Passed
Trust relationship test.: Skipped
Kerberos test...........: Passed
LDAP test...............: Passed
Bindings test...........: Passed
WAN configuration test .: Skipped
Modem diagnostics test .: Passed
IP Security test .......: Passed
Par défaut, DCDIAG passe tous les tests et affiche les trois groupes d'informations documentées précédemment
Il est possible de ne lui faire exécuter qu'un test particulier par le paramètre /test:<nom_du_test> (généralement utilisé avec le paramètre /debug pour avoir plus d'informations)
Il est possible de ne pas exécuter un test particulier par le paramètre /skip:<nom_test>
En mode "Debug", il affiche d'abord des infos sur la phase de tests avant d'afficher les trois types d'informations :
Gathering IPX configuration information...Passed Querying status of the Netcard drivers...Passed Testing Domain membership... Passed Gathering NetBT configuration information. Testing for autoconfiguration... Passed Testing IP loopback ping... Passed Testing default gateways... Passed Enumerating local and remote NetBT name cache... Passed Testing the WINS server . . . Gathering Netware information Gathering IP Security information Tests complete.
DCDIAG : Permet de tester les fonctions d'un DC
On le lance par : c:\>dcdiag /<paramètre>
Ses informations peuvent être affichées suivant trois formats :
En mode "Quiet" : N'affiche que les erreurs (Paramètre /q)
Par défaut, n'affiche que les informations minimales sur les tests qu'il réalise et leurs résultats
En mode "verbose", affiche plus d'informations (Paramètre /v)
Il est possible de rediriger son affichage dans un fichier par :le paramètre /f:<nom_fichier>
Autres outils supportés
NLTest : Permet de gérer les fonctions d'authentification des domaines (relations d'approbation, etc.)
DNSCmd : Administration des serveurs dns par ligne de commande.
LDP : Permet de passer des requêtes LDAP vers l'Active Directory.
Network Monitor
Cet outil permet de tracer les trames échangés sur le réseau.
Il en existe deux versions :
Une version inclue à l'OS limitée aux trames reçues ou émises par la machine sur laquelle elle est installée.
Une version livrée avec Systems Management Server 2.0 non limitée, permet de tout tracer sur le réseau (Il en existe en version limitée dans le temps qui peut être envoyée en clientèle pour résoudre des problèmes ponctuels.)
Il s'installe par l'option "Paramètres" du "Menu démarrer".
Sélectionner Panneau de configuration, Ajout/suppression de programmes, Ajouter/supprimer de composants Windows, Outils de gestion et d'analyse, Détails, Outils de surveillance du réseau
Séquence de troubleshooting
Tests généraux
Vérifier les évènements relatifs au démarrage dans le journal system de l'Event Log
Par exemple :
.gif)
Cet événement montre un doublon d'adresse IP
Test Hardware
Tester la connectique par les propriétés de "Favoris réseau" (My Network Place) ou par le "gestionnaire de périphériques" (Device Manager)
.gif)
Vérification de la configuration IP
IPCONFIG /ALL
Doit renvoyer l'adresse IP, la Default Gateway, le serveur DNS, la zone DNS, etc.
Indique si le câble n'est pas connecté
Tests d'accessibilité
ping 127.0.0.1
ping <adresse_ip_locale>
ping <adresse_ip_host_même_subnet>
ping <adresse_ip_default_gateway>
ping <adresse_ip_host_subnet_différent>
Vérifier les routes par route print (ou nbtstat -r)
Le réseau fonctionne-t-il ?
Test des bindings
netdiag /debug /test:bindings
Affiche les interfaces avec lequel le composant est lié.
Par exemple, pour le service serveur :
Component Name : File and Printer Sharing for Microsoft Networks Bind Name: LanmanServer Binding Paths: Owner of the binding path : File and Printer Sharing for Microsoft Networks Binding Enabled: Yes Interfaces of the binding path: -Interface Name: netbios_smb Upper Component: File and Printer Sharing for Microsoft Networks Lower Component: Message-oriented TCP/IP Protocol (SMB session)
Test de la couche NDIS
netdiag /debug /test:ndis
Affiche les compteurs au niveau NDIS.
Description: 3Com EtherLink XL 10/100 PCI NIC (3C905-TX)
Device: \DEVICE\{23342CA7-16FE-4A7A-9792-553150F26068}
Media State: Connected
Device State: Connected
Connect Time: 01:49:09
Media Speed: 10 Mbps
Packets Sent: 1508
Bytes Sent (Optional): 0
Packets Received: 669
Directed Pkts Recd (Optional): 581
Bytes Received (Optional): 0
Directed Bytes Recd (Optional): 0
-----------------------------------------------------------
[PASS] - At least one netcard is in the 'Connected' state.
Test de la couche NDIS
netdiag /debug /test:ipconfig
Affiche les compteurs au niveau NDIS (voir précédemment plus la configuration IP).
Per interface results:
Adapter : 3Com
Adapter ID . . . . . . . . : {23342CA7-16FE-4A7A-9792-553150F26068}
Netcard queries test . . . : Passed
Adapter type . . . . . . . : Ethernet
Host Name. . . . . . . . . : portadid2
Description. . . . . . . . : 3Com 3C90x Ethernet Adapter
Physical Address . . . . . : 00-C0-4F-EE-36-C1
Dhcp Enabled . . . . . . . : No
DHCP ClassID . . . . . . . :
Autoconfiguration Enabled. : Yes
IP Address . . . . . . . . : 1.5.146.48
Subnet Mask. . . . . . . . : 255.255.252.0
Default Gateway. . . . . . : 1.5.146.1
Dns Servers. . . . . . . . : 1.5.146.48
IpConfig . . . . . : Passed
Test de la configuration des modems pour les liaisons RAS
netdiag /debug /test:modem
Modem diagnostics test . . : Passed Name . . . . . . . . . . . : Xircom Cardbus Ethernet 100 + Modem 56 (Modem Interface) DeviceID . . . . . . . . . : 7 Port . . . . . . . . . . . : COM3 Negotiated Speed . . . . . : 9600 Compression. . . . . . . . : Off Error control. . . . . . . : Off Forced error control . . . : Off Cellular . . . . . . . . . : Off Flowcontrol hard . . . . . : Off Flowcontrol soft . . . . . : Off CCITT override . . . . . . : Off Speed adjust . . . . . . . : Off Tone dial. . . . . . . . . : Off Blind dial . . . . . . . . : Off V23 override . . . . . . . : Off
Test de l'interface socket
netdiag /debug /test: winsock
Winsock test . . . . . . . . . . . : Passed
The number of protocols which have been reported : 17
Description: MSAFD Irda [IrDA]
Provider Version :2
Max message size : Stream Oriented
Description: MSAFD Tcpip [TCP/IP]
Provider Version :2
Max message size : Stream Oriented
Description: MSAFD Tcpip [UDP/IP]
Provider Version :2
Description: RSVP UDP Service Provider
Provider Version :4
Description: RSVP TCP Service Provider
Provider Version :4
Max message size : Stream Oriented
Description: MSAFD NetBIOS [\Device\NetBT_Tcpip_
{23342CA7-16FE-4A7A-9792-53150F26068}] SEQPACKET 3
Provider Version :2
Affichage des informations de netstat
netdiag /debug /test: netstat
Regroupe les informations affichées par :
netstat –e : Compteurs sur les paquets émis et reçus
netstat –a : Liste des ports TCP et UDP
netstat –s : Compteurs par protocole
Plus des informations sur chaque interface.
Par exemple :
Interface index=16777219 Description=3Com 3C90x Ethernet Adapter Type=6 MTU=1500 Speed=10000000 Physical Address=00-C0-4F-EE-36-C1 Administrative Status=1 Operational Status=1 Last Changed=0 Output Queue Length=0
Vérification de la configuration du redirecteur
net config rdr
Computer name \\PORTADID2
Full Computer name portadid2.domdid2000.microsoft.com
User name didgau
Workstation active on
NetbiosSmb (000000000000)
NetBT_Tcpip_{23342CA7-16FE-4A7A-9792-553150F26068} (00C04FF1832A)
NetBT_Tcpip_{AB014D60-0A6B-44A7-850C-A85E99DE7711} (0010A4E0AD4D)
Software version Windows 2000
Workstation domain DOMDID2000
Workstation Domain DNS Name domdid2000.microsoft.com
Logon domain DOMDID2000
COM Open Timeout (sec) 0
COM Send Count (byte) 16
COM Send Timeout (msec) 250
Tracer les échanges avec Network Monitor
Utiliser la version inclue à l'OS pour tracer sur la machine locale
Utiliser la version de Systems Management Server ou celle fournie par le support pour tracer les échanges entre deux machines distantes
La résolution de nom fonctionne-t-elle ?
Test des noms netbios
Pour le client et le serveur WINS, vérifier le journal système de l'Event Viewer
Vérifier les noms déclarés et ceux du cache pour chaque interface avec la commande: netdiag /debug / test:nbtnm
Per interface results:
Adapter : 3Com
Adapter ID . . . . . . . . : {23342CA7-16FE-4A7A-9792-553150F26068}
Netcard queries test . . . : Passed
NetBT name test. . . . . . : Passed
NetBT_Tcpip_{23342CA7-16FE-4A7A-9792-553150F26068}
PORTADID2 <00> UNIQUE REGISTERED
DOMDID2000 <00> GROUP REGISTERED <-(doit être registered)
DOMDID2000 <1C> GROUP REGISTERED
. . .
NetBios Resolution : Enabled
Netbios Remote Cache Table
Name Type HostAddress Life [sec]
---------------------------------------------------------------
DELLDID1 <03> UNIQUE 1.5.146.49 -1
DELLDID1 <20> UNIQUE 1.5.146.49 -1
On peut aussi visualiser les noms netbios présents dans le cache (c'est à dire préchargés ou qui ont été résolus) par : nbtstat -c
3Com: Node IpAddress: [1.5.146.48] Scope Id: [] NetBIOS Remote Cache Name Table Name Type Host Address Life [sec] ------------------------------------------------------------ DELLDID1 <03> UNIQUE 1.5.146.49 -1 DELLDID1 <00> UNIQUE 1.5.146.49 -1 DELLDID1 <20> UNIQUE 1.5.146.49 -1 HOMEDOM <1C> GROUP 1.1.1.200 -1 DOMDID <1C> GROUP 1.5.146.49 -1 DOMDID <1B> UNIQUE 1.5.146.49 -1 HOMEDOM <1B> UNIQUE 1.1.1.200 -1 HOMESRV1 <03> UNIQUE 1.1.1.200 -1 HOMESRV1 <00> UNIQUE 1.1.1.200 -1 HOMESRV1 <20> UNIQUE 1.1.1.200 -1
On peut aussi visualiser les noms netbios déclarés sur la machine locale ou par un nœud distant par :
nbtstat –a <nom_serveur>
ou
nbtstat –A <address_IP_serveur>
Par exemple :
nbtstat -A 1.5.146.48 3Com: Node IpAddress: [1.5.146.48] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status ------------------------------------------- PORTADID2 <00> UNIQUE Registered DOMDID2000 <00> GROUP Registered DOMDID2000 <1C> GROUP Registered DOMDID2000 <1E> GROUP Registered PORTADID2 <03> UNIQUE Registered DIDGAU <03> UNIQUE Registered PORTADID2 <20> UNIQUE Registered DOMDID2000 <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered MAC Address=00-C0-4F-EE-36-C1
Plusieurs problèmes peuvent être détectés en visualisant les tables des noms netbios déclarés :
Leur statut doit être "Registered". S'il est à "Conflict", cela indique que le nom est de type unique et qu'il a déjà été déclaré par une autre machine.
Si un nom n'est pas présent, vérifier si le service correspondant n'a pas démarré correctement (par exemple, le service "Server" pour le nom du serveur suivit de <20>)
Consulter, dans ce cas, le journal des événements pour en déterminer la cause.
Vérifier le serveur WINS par netdiag /debug /test:wins
Affiche, pour chaque interface :
Per interface results:
Adapter : 3Com Adapter ID . . . . . . . . : {23342CA7-16FE-4A7A-9792-553150F26068}
Netcard queries test . . . : Passed
WINS service test. . . . . : Passed
Sending name query to primary WINS server 1.5.146.48 - Passed
There is no secondary WINS server defined for this adapter.
The test was successful. At least one WINS server was found.
Test des noms DNS
Vérification du bon fonctionnement de DNS :
Pour le client, vérifier le journal système de l'Event Viewer
Pour le serveur, vérifier les journaux système et "DNS Server" de l'Event Viewer
Vérification de la présence du serveur DNS :
Utiliser NSLOOKUP :
Son lancement affiche le serveur DNS utilisé :
Lorsque le serveur DNS est accessible :
C:\>nslookup Default Server: portadid2.domdid2000.microsoft.com Address: 1.5.146.48 >
Dans le cas ou le serveur DNS ne peut être accédé :
C:\>nslookup *** Can't find server name for address 1.5.146.48: No response from server Default Server: server1.microsoft.com Address: 1.5.128.15 >
Vérification de la résolution des noms:
Recherche d'un nom :
c:\>nslookup <nom>
Recherche d'un nom sur un serveur :
c:\>nslookup <nom> <nom_serveur>
Pour passer les commandes sur un serveur :
C:\>nslookup >server <nom_serveur>
Visualisation des enregistrements pour une zone:
C:\>nslookup >ls <nom_zone> : Enregistrement de type A et NS >ls –a <nom_zone> : Enregistrement de type CN >ls –t <type> <nom_zone> : Enregistrement du type spécifié
Pour vérifier que l'adresse retournée par le serveur DNS au nom demandé est bien celle du serveur recherché :
nslookup <nom_serveur> -> Affiche l'adresse IP du serveur
nbtstat –A <adresse_ip_serveur> -> Affiche le nom du serveur (permet de vérifier si c'est le bon)
3Com: Node IpAddress: [1.5.146.48] Scope Id: [] NetBIOS Remote Machine Name Table Name Type Status --------------------------------------------- PORTADID2 <00> UNIQUE Registered DOMDID2000 <00> GROUP Registered DOMDID2000 <1C> GROUP Registered DOMDID2000 <1E> GROUP Registered PORTADID2 <03> UNIQUE Registered DIDGAU <03> UNIQUE Registered PORTADID2 <20> UNIQUE Registered <- Nom du serveur DOMDID2000 <1D> UNIQUE Registered ..__MSBROWSE__.<01> GROUP Registered MAC Address=00-C0-4F-EE-36-C1
Vérification de l'enregistrement de ses propres noms:
Utiliser netdiag /debug /test:dns
Affiche deux types d'information :
La configuration de chaque interface :
DNS test . . . . . . . . . . . . . :Passed
Interface {23342CA7-16FE-4A7A-9792-553150F26068}
DNS Domain:
DNS Servers: 1.5.146.48
IP Address: 1.5.146.48
Expected registration with PDN (primary DNS domain name):
Hostname: portadid2.domdid2000.microsoft.com.
Authoritative zone: domdid2000.microsoft.com.
Primary DNS server: portadid2.domdid2000.microsoft.com 1.5.146.48
Authoritative NS:1.5.146.52 1.5.146.48 1.1.1.100
Affiche pour chaque nom déclaré :
_********* * ********** * ********** * ********** * ********** _ * CHECK NAME _kerberos._tcp.domdid2000.microsoft.com. on DNS server 1.5.146.48 _********* * ********** * ********** * ********** * ********** _ +------------------------------------------------------+ The record on your DC is: DNS NAME=_kerberos._tcp.domdid2000.microsoft.com. DNS DATA= SRV 0 100 88 portadid2.domdid2000.microsoft.com. The record on DNS server 1.5.146.48 is: DNS NAME=_kerberos._tcp.domdid2000.microsoft.com DNS DATA= SRV 0 100 88 domikou04.domdid2000.microsoft.com SRV 0 100 88 portadid2.domdid2000.microsoft.com SRV 0 100 88 delldid1.domdid2000.microsoft.com SRV 0 100 88 delldomi.domdid2000.microsoft.com +------------------------------------------------------+
Ré-enregistrement des noms auprès du serveur DNS :
ipconfig /registerdns
Refresh de la location DHCP et ré-enregistrement auprès du serveur DNS :
ipconfig /renew
Vérifier que la zone DNS à laquelle appartient le client est bien celle gérée par le serveur, et qu'elle correspond bien à l'espace de nommage de l'arborescence des domaines de la forêt.
Prendre en compte le fonctionnement du cache du client DNS :
Arrêt du service de cache dns :
net stop "dns client"
Reset du cache du client DNS :
ipconfig /flushdns
ou arrêter et redémarrer le service "dns client"
Affichage du contenu du cache DNS :
ipconfig /displaydns
Vérifier la durée de mise en cache par la valeur MaxCacheEntryTtlLimit (Reg_Dword) sous la clé HKLM\System\CCS\Services\DnsCache\Parameters
Par défaut 0x15180=86400s=1jour
Tests des noms DNS – Spécificités des DC
Les DC enregistrent des noms associés aux services qu'ils offrent.
Ils sont enregistrés dans le fichier netlogon.dns situé sous %windir%\system32\config
Ces enregistrements sont de type "SRV" (RFC2052)
Par exemple :
_ldap._tcp.dc._msdcs.<nom_domaine> : Pour rejoindre un domaine _ldap._tcp.dc._msdcs.<nom_domaine_père> : Pour rejoindre un arbre _ldap._tcp.dc._msdcs.<domaine_racine_forêt> : Pour créer un arbre dans une forêt
Chaque Enregistrement de type SRV donne le nom du host qui offre le service=> Un enregistrement de type A doit être présent pour le traduire en adresse.
Ils sont ré-enregistrés toutes les heures. Aussi en arrêtant et en redémarrant NETLOGON
Pour obtenir la liste des DC dans un domaine:
nltest /dclist:<nom_domaine>
Get list of DCs in domain 'domdid2000' from '\\PORTADID2'. delldid1.domdid2000.microsoft.com [PDC] [DS] Site: Default-First-Site-Name portadid2.domdid2000.microsoft.com [DS] Site: Default-First-Site-Name The command completed successfully
ou bien :
netdiag /debug /test:dclist
Gathering the list of Domain Controllers for domain 'DOMDID2000' DC list for domain DOMDID2000: delldid1.domdid2000.microsoft.com [PDC emulator] [DS] Site: Default-First-Site-Name portadid2.domdid2000.microsoft.com [DS] Site: Default-First-Site-Name
Pour obtenir plus d'informations sur les DC dans le domaine courrant
netdiag /debug /test:dsgetdc
Pour chaque DC, affiche les informations suivantes :
DC discovery test. . . . . . . . . : Passed
Find DC in domain 'DOMDID2000':
Found this DC in domain 'DOMDID2000':
DC. . . . . . . . . . . : \\portadid2.domdid2000.microsoft.com
Address . . . . . . . . : \\1.5.146.48
Domain Guid . . . . . . : {A0AA370E-EAB4-4415-8DF8-EF47F26585BC}
Domain Name . . . . . . : domdid2000.microsoft.com
Forest Name . . . . . . : domdid2000.microsoft.com
DC Site Name. . . . . . : Default-First-Site-Name
Our Site Name . . . . . : Default-First-Site-Name
Flags . . . . . . . . . : GC DS KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN
DNS_FOREST CLOSE_SITE 0x8
Recherche du PDC Emulator :
nltest / dsgetdc:<nom_domaine> /pdc
DC: \\DELLDID1 Address: \\1.5.146.49 Dom Guid: a0aa370e-eab4-4415-8df8-ef47f26585bc Dom Name: DOMDID2000 Forest Name: domdid2000.microsoft.com Dc Site Name: Default-First-Site-Name Our Site Name: Default-First-Site-Name Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE
Recherche d'un serveur de Global Catalog
nltest /dsgetdc:<nom_domaine> /gc
Recherche d'un KDC (Key Distribution Center)
nltest dsgetdc:<nom_domaine> /kdc
Utiliser le paramètre /force avec nltest pour ne pas utiliser les informations en cache
(ex : nltest /dsgetdc:domdid2000.microsoft.com /kdc /force)
Tests des noms DNS – Vérification du serveur DNS
Vérifier le niveau de sécurité configuré pour DNS par la valeur UpdateSecurityLevel située sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
256 : Secure dynamic update only
16 : Unsecure dynamic update only
0 : Secure update si Unsecure update refusée : defaut
Vérifier qu'il accepte le "Dynamic Update" par l'onglet "General" des propriétés de la zone du snap-in d'administration DNS
Vérifier les permissions positionnées sur la zone par l'onglet "Security" des propriétés de la zone de l'outil d'administration
Outils d'accès au serveur DNS :
Utiliser DNSCMD par : dnscmd <nom_serveur> <commande>
Liste des zones : dnscmd /EnumZones
Visualisation de la configuration : dnscmd /info
Visualisation des statistiques du serveur : dnscmd / statistics
Clear du cache : dnscmd /clearcache
Modification de la config : dnscmd /config <paramètre><valeur>
LDAP fonctionne-t-il ?
LDAP (Lightweight Directory Access Protocol) est le protocole d'accès à l'AD (Active Directory).
Test de LDAP avec LDP
LDP est un outil des "Supported Tools" qui permet de passer des requêtes LDAP à l'AD.
Pour passer des requêtes LDAP avec LDP :
Lancer ldp
Sélectionner "Connect" du menu "Connexion"
Entrer le nom du DC et le port (389 par défaut pour LDAP)
Si la connexion s'effectue correctement, LDP doit afficher :
ld=ldap_open("portadid2", 389); <- API utilisée
Established connexion to portadid2. <- Connexion OK
Retrieving base DSA information… <- Lect. Infos de base
Result <0>: (null)
Matched DNs:
Getting 1 entries:
... Informations sur l'AD ...
Test de binding
Permet de vérifier l'authentification auprès du serveur. Sélectionner l'option "Bind" du menu "Connexion"
Si le bind s'effectue correctement, LDP doit afficher :
res=ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3 <- API
{NtAuthIdentity: User='didgau'; Pwd= <unavailable>; domain = 'domdid2000'.}
Authenticated as dn:'didgau'. <- Authentification OK
Test d'interrogation
Pour accéder aux objets de l'AD :
Sélectionner l'option "Tree" du menu "View".
Dans la zone "Base DN", entrer la désignation de l'objet à visualiser au format "Distinguished Name"
Par exemple :
dc=domdid2000,dc=microsoft,dc=com
Si la recherche aboutit, LDP affiche tous les objets trouvés dans la partir gauche de l'écran. La partie droite de l'écran affiche les attributs des objets trouvés
.gif)
En cas de problème, LDP peut afficher :
***Searching... ldap_search_s(ld, "ou=Domain Controllers,dc=domdid2000,dc=microsoft,dc=com", 1, "(objectclass=*)", attrList, 0, &msg) Result <0>: (null) Matched DNs: Getting 0 entries:
Vérifier alors que l'objet recherché existe bien, que sa dénomination au format DN est correcte et que le binding a bien été fait.
Le fait que les objets soient affichés montre que les requêtes LDAP en lecture fonctionnent correctement.
Pour tester les requêtes d'écriture, modifier la valeur d'un attribut d'un objet par l'option "Modify" du menu "Browse" :
.gif)
Test de LDAP avec ADSIEDIT
Comme LDP, ADSIEDIT est un outil des "supported tools" qui permet de passer des requêtes LDAP à l'AD Contrairement à LDP, il est implémenté sous forme de snap-in (ou composant logiciel enfichable).
Pour se connecter à l'AD avec ADSIEdit :
Charger le snap-in ADSIEdit dans une MMC (Microsoft Management Console).
Sélectionner le snap-in, puis l'option "Connect" du menu "Actions".
Entrer le nom qui sera affiché pour la connexion, le DN de l'objet auquel on désire accéder (on peut aussi sélectionner le "Naming Context" pour accéder à la racine).
Sélectionner enfin le nom du serveur auquel se connecter (le DC qui nous a validé par défaut).
Comme avec LDP, l'objet recherché est affiché dans la partie gauche de l'écran et il est possible de visualiser son contenu s'il possède lui-même des objets.
.gif)
Le fait que les objets soient affichés montre que les requêtes LDAP en lecture fonctionnent correctement
Pour tester les requêtes d'écriture, modifier la valeur d'un attribut d'un objet par l'option "Properties" du menu "Action".
.gif)
Test de LDAP avec NetDiag
Pour obtenir plus l'information sur les DC dans le domaine courrant:
netdiag /debug /test:dsgetdc
Les requêtes suivantes sont effectuées :
Connexion au serveur sans être authentifié
Connexion au serveur avec authentification et requête sur les services publiés.
Chaque requête affiche les mêmes informations que celles affichée lors de la connexion par LDP. Par exemple :
Do un-authenticated LDAP call to 'portadid2.domdid2000.microsoft.com'. Found 1 entries: Attr: currentTime Val: 17 20000427145444.0Z Attr: subschemaSubentry Val: 73 CN=Aggregate, CN=Schema, CN=Configuration, DC=domdid2000, DC=microsoft, DC=com . . . Informations sur le serveur . . .
Visualisation des échanges LDAP avec Network Monitor
Les échanges LDAP sont décodés par NetMon en tant que :
Pour les requêtes : "LDAP ProtocolOp : SearchRequest" elles contiennent :
LDAP: ProtocolOp: SearchRequest (3) LDAP: MessageID LDAP: ProtocolOp=SearchRequest LDAP: Base Object=ou=Domain controllers, dc=domdid2000, dc=microsoft, dc=com LDAP: Scope=Whole Subtree LDAP: Deref Aliases=Never Deref Aliases LDAP: Size Limit=No Limit LDAP: Time Limit=No Limit LDAP: Attrs Only=0 (0x0 LDAP: Filter Type=Present
Pour les réponses : "LDAP ProtocolOp : SearchResponse" elles contiennent la liste des objets renvoyés, classés par type :
LDAP: ProtocolOp: SearchResponse (4) LDAP: MessageID LDAP: ProtocolOp=SearchResponse LDAP: Object Name=OU=Domain Controllers, DC=domdid2000, DC=microsoft, DC=com + LDAP: Attribute Type=canonicalName + LDAP: Attribute Type=description + LDAP: Attribute Type=distinguishedName + LDAP: Attribute Type=objectClass + LDAP: Attribute Type=ou + LDAP: Attribute Type=name LDAP: Object Name=OU=Domain Controllers,DC=domdid2000,DC=microsoft,DC=com
Si le message de la réponse ne tient pas dans une trame, on voit la suite transmise dans des segments TCP.
Le DC fontionne-t-il ?
Test des fonctions du DC avec DCDiag
DCdiag permet d'analyser l'état du DC (Domain Controler).
Par défaut, DCDiag effectue une série de tests regroupés en trois types :
Les tests initiaux obligatoires :
Vérification qu'il est exécuté sur un DC
Connexion à l'AD
Collecte des informations
Identification des serveurs.
Affiche en mode verbose :
DC Diagnosis Performing initial setup: * Verifing that the local machine delldid1, is a DC. * Connecting to directory service on server delldid1. * Collecting site info. * Identifying all servers. * Found 4 DC(s). Testing 1 of them. Done gathering initial info. Doing initial non skippeable tests Testing server: Default-First-Site-Name\DELLDID1 Starting test: Connectivity * Active Directory LDAP Services Check * Active Directory RPC Services Check ......................... DELLDID1 passed test Connectivity
Les tests liés au DC
S'il est passé avec succès, chaque test affiche par défaut :
Starting test: <nom_du_test> ......................... <nom_serveur> passed test <nom_du_test>
S'il échoue, chaque test affiche par défaut :
Starting test: <nom_du_test> ......................... <nom_serveur> failed test <nom_du_test>
En mode "verbose", il affiche, en plus, des informations sur les données testées.
Par défaut les tests suivants sont effectués. Il est possible de les exécuter séparément par le paramètre /test:<nom_du_test> ou de les exclure par /skip:<nom_du_test>.
Réplication (/test:replication)
Affiche, un message pour chaque réplication qui n'a pas aboutit avec les DC du domaine
Par exemple :
[Replications Check,DELLDID1] A recent replication attempt failed: From PORTADID2 to DELLDID1 Naming Context: CN=Schema,CN=Configuration,DC=domdid2000,DC=microsoft,DC=com The replication generated an error (1722): Win32 Error 1722 The failure occurred at 2000-04-29 13:01.18. The last success occurred at 2000-04-28 18:29.00. 74 failures have occurred since the last success. [PORTADID2] DsBind() failed with error 1722, Win32 Error 1722. The source remains down. Please check the machine.
Vérification des permissions sur chaque "Naming Contexts" pour la réplication (/test:NCSecDesc)
Affiche, des informations du type :
* Security Permissions Check for CN=Schema,CN=Configuration,DC=domdid2000,DC=microsoft,DC=com
Vérification des privilèges nécessaires à la la réplication (/test:netlogon)
Vérification que le DC déclare correctement ses services (/test:advertising)
Starting test: Advertising The DC DELLDID1 is advertising itself as a DC and having a DS. The DC DELLDID1 is advertising as an LDAP server The DC DELLDID1 is advertising as having a writeable directory The DC DELLDID1 is advertising as a Key Distribution Center The DC DELLDID1 is advertising as a time server The DS DELLDID1 is advertising as a GC. ......................... DELLDID1 passed test Advertising
Vérification que le DC connaît les détenteurs des rôles FSMO et qu'il peut les atteindre (/test: KnowsOfRoleHolders)
Affiche, pour chaque rôle FSMO :
Role Schema Owner=CN=NTDS <-Ici pour le rôle Schema master Settings,CN=DELLDID1, CN=Servers, CN=Default-First-Site-Name, CN=Sites, CN=Configuration, DC=domdid2000, DC=microsoft, DC=com
Vérification que le DC connaît le détenteur du rôle FSMO RidManager, qu'il peut l'atteindre et de son paramétrage (/test:Ridmanager)
Affiche :
* Available RID Pool for the Domain is 4614 to 1073741823 * delldid1.domdid2000.microsoft.com is the RID Master * DsBind with RID Master was successful * rIDAllocationPool is 2102 to 2601 * rIDNextRID: 2107 * rIDPreviousAllocationPool is 2102 to 2601 ......................... DELLDID1 passed test RidManager
Vérification du compte machine pour le DC (/test:machineaccount)
Vérification des services sur lesquels repose le fonctionnement de l'AD (/test:services)
Affiche :
* Checking Service: Dnscache * Checking Service: NtFrs * Checking Service: IsmServ * Checking Service: kdc * Checking Service: SamSs * Checking Service: LanmanServer * Checking Service: LanmanWorkstation * Checking Service: RpcSs * Checking Service: RPCLOCATOR * Checking Service: w32time * Checking Service: TrkWks * Checking Service: TrkSvr * Checking Service: NETLOGON * Checking Service: Dnscache * Checking Service: NtFrs ......................... DELLDID1 passed test Services
Vérification que le compte machine du DC et l'objet NTDS ont bien été répliqués sur tous les DC du domaine (/test:ObjetctsReplicated)
Affiche :
Starting test: ObjectsReplicated DELLDID1 is in domain DC=domdid2000,DC=microsoft,DC=com Checking for CN=DELLDID1, OU=Domain Controllers, DC=domdid2000, DC=microsoft, DC=com in domain DC=domdid2000, DC=microsoft, DC=com on 1 servers Object is up-to-date on all servers. Checking for CN=NTDS Settings, CN=DELLDID1, CN=Servers, CN=Default-First-Site-Name, CN=Sites, CN=Configuration, DC=domdid2000, DC=microsoft, DC=com in domain CN=Configuration, DC=domdid2000, DC=microsoft, DC=com on 1 servers Object is up-to-date on all servers. ......................... DELLDID1 passed test ObjectsReplicated
Vérification de la réplication de SYSVOL (/test:frsysvol)
Vérification du "Knowledge Consistency Checker" (/test:kccevent)
Affiche les éventuels messages d'erreurs de l'event log relatifs au KCC.
Vérification qu'aucune erreur n'a été enregistrée dans le journal System de l'event log au cours des 60 dernières minutes(/test:systemlog).
Dans le cas contraire, ces erreurs sont affichées.
Les tests généraux à l'ensemble des DC :
Vérification que la réplication inter-sites fonctionne correctement (/test:intersite)
Vérification que le DC connaît les serveurs possédants des rôles globaux pour la forêt ou le domaine (/test:fsmocheck)
Affiche :
Starting test: FsmoCheck GC Name: \\delldid1.domdid2000.microsoft.com Locator Flags: 0xe00001fd PDC Name: \\delldid1.domdid2000.microsoft.com Locator Flags: 0xe00001fd Time Server Name: \\delldid1.domdid2000.microsoft.com Locator Flags: 0xe00001fd Preferred Time Server Name: \\delldid1.domdid2000.microsoft.com Locator Flags: 0xe00001fd KDC Name: \\delldid1.domdid2000.microsoft.com Locator Flags: 0xe00001fd ......................... domdid2000.microsoft.com passed test FsmoCheck
L'authentification fonctionne-t-elle ?
Vérification des permissions sur les comptes
.gif)
Comme tout objet de l'Active Directory, les comptes utilisateurs possèdent des security descriptors.
Pour y accéder, utiliser le snap-in "Active Directory Users and Computers".
Sélectionner le compte et utiliser l'onglet "Security" pour visualiser les permissions.
Vérification des secure chanel
Vérifier dans le journal System de l'Event log la présence des évènements suivants en registrés par Netlogon :
Event id 3210 : "Failed to authenticate with \\<nom_DC>, a Windows NT domain controler for domain <nom_domaine> Event id 5722 : "The session setup from the computer <nom_machine> failed to authenticate. The name of the account referenced in the security Database is <nom_compte>.
Dans ce cas :
Tester le secure chanel
Le réinitialiser en cas de problème
Pour visualiser tous les domaines avec lesquels une relation d'approbation est établie :
nltest /domain_trusts
Par exemple :
C:\temp>nltest /domain_trusts List of domain trusts: 0: CLUDOM cludom.domdid2000.microsoft.com (NT 5) (Forest: 4) (Direct Outbound) (Direct Inbound) 1: DOMTEST domtest.domdid2000.microsoft.com (NT 5) (Forest: 4) (Direct Outbound) (Direct Inbound) 2: HOMEDOM (NT 4) (Direct Outbound) (Direct Inbound) 3: DOMDID (NT 4) (Direct Outbound) (Direct Inbound) 4: DOMDID2000 domdid2000.microsoft.com (NT 5) (Forest Tree Root) (Primary Domain) (Native)
Pour tester le secure chanel, utiliser :
nltest /sc_query:<nom_domaine>
Par exemple :
nltest /sc_query:domdid2000
Flags: 30 HAS_IP HAS_TIMESERV Trusted DC Name \\portadid2.domdid2000.microsoft.com Trusted DC connexion Status Status=0 0x0 NERR_Success The command completed successfully
Pour vérifier par quel DC un login va être authentifié :
nltest /WhoWill:<nom_domaine> <nom_user>
Par exemple :
nltest /whowill:cludom administrator [11:50:37] Response 0: S:DELLDID2 D:CLUDOM A:administrator (Act found) [11:50:39] Mail message 0 sent successfully (\MAILSLOT\NET\GETDC131) The command completed successfully
Reset du secure Chanel
nltest /sc_reset:<nom_domaine>
Reset du secure chanel vers un DC particulier
nltest /sc_reset:<nom_domaine>\<nom_dc>
Changement du password du computer account
nltest /sc_change_pw:<nom_domaine>
Dernière mise à jour le lundi 2 avril 2001
Pour en savoir plus