Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье подробно рассматривается обновленный центр администрирования Active Directory с корзиной Active Directory, подробными политиками паролей и средством просмотра журнала Windows PowerShell, включая архитектуру, примеры распространенных задач и сведения об устранении неполадок. Вводные сведения см. в разделе Introduction to Active Directory Administrative Center Enhancements (Level 100).
Архитектура Центра администрирования Active Directory
Исполняемые файлы и библиотеки DLL Центра администрирования Active Directory
Модуль и базовая архитектура Центра администрирования Active Directory не изменились в связи с корзиной, детализированными политиками паролей и возможностями просмотра истории.
- Microsoft.ActiveDirectory.Management.UI.dll
- Microsoft.ActiveDirectory.Management.UI.resources.dll
- Microsoft.ActiveDirectory.Management.dll
- Microsoft.ActiveDirectory.Management.resources.dll
- ActiveDirectoryPowerShellResources.dll
Ниже приведены базовые операции Windows PowerShell и уровень операций для функциональных возможностей корзины:
Включение и управление корзиной Active Directory с помощью Центра администрирования Active Directory
Capabilities
- Центр администрирования Active Directory сервера Windows версии 2012 или более поздней позволяет настроить корзину Active Directory и управлять ею для любого раздела домена в Лесу. Больше не требуется использовать Windows PowerShell или Ldp.exe для включения корзины Active Directory или восстановления объектов в разделах домена.
- В Центре администрирования Active Directory есть расширенные условия фильтрации, упрощающие адресное восстановление в крупных средах с большим количеством удаленных объектов.
Limitations
Так как Центр администрирования Active Directory может управлять только секциями домена, он не может восстановить удаленные объекты из секций конфигурации, DNS домена или леса DNS. (Невозможно удалить объекты из раздела схемы.) Чтобы восстановить объекты из секций, не относящихся к домену, используйте Restore-ADObject.
Центр администрирования Active Directory не может восстановить поддерев объектов в одном действии. Например, если удалить организационную единицу с вложенными подразделениями, пользователями, группами и компьютерами, восстановление основного подразделения не восстанавливает дочерние объекты.
Note
Операция пакетного восстановления в Центре администрирования Active Directory осуществляет попытку упорядочивания удаленных объектов только для выбранных объектов, чтобы родительские объекты располагались перед дочерними объектами в списке восстановления. В простых тестовых случаях поддеревья объектов можно восстановить за один раз. Но особые случаи, такие как выборка, содержащая частичные деревья (деревья с частично удалёнными родительскими узлами), или случаи ошибок, например, когда дочерние объекты пропускаются при сбое восстановления родительских узлов, могут не работать должным образом. По этой причине всегда следует восстанавливать поддеревья объектов в качестве отдельного действия после восстановления родительских объектов.
Для корзины Active Directory требуется функциональный уровень леса Windows Server 2008 R2, и вы должны быть членом группы администраторов предприятия. После включения корзины Active Directory её нельзя отключить. Корзина Active Directory увеличивает размер базы данных Active Directory (NTDS). DIT) на каждом контроллере домена в лесу. По мере того как корзина сохраняет объекты и все их данные атрибутов, занимаемое ею место на диске с течением времени продолжает увеличиваться.
Включение корзины восстановлений Active Directory с помощью Центра администрирования Active Directory
Чтобы включить корзину для восстановления Active Directory, откройте Центр администрирования Active Directory и выберите имя леса в области навигации. В области "Задачи " выберите "Включить корзину".
В Центре администрирования Active Directory откроется диалоговое окно Подтверждение включения корзины . Это диалоговое окно предупреждает вас о том, что включение корзины необратимо. Нажмите кнопку "ОК ", чтобы включить корзину Active Directory. Центр администрирования Active Directory отображает другое диалоговое окно, чтобы напомнить вам, что корзина Active Directory не является полностью функциональной, пока все контроллеры домена не реплицируют изменение конфигурации.
Important
Параметр включения корзины Active Directory недоступен, если:
- Уровень функциональности леса ниже уровня чем Windows Server 2008 R2.
- Он уже включен.
Эквивалентный командлет Active Directory Windows PowerShell это:
Enable-ADOptionalFeature
Дополнительные сведения об использовании Windows PowerShell для включения корзины Active Directory см. в пошаговом руководстве по корзине Active Directory.
Управление корзиной Active Directory с помощью Центра администрирования Active Directory
В этом разделе используется пример существующего домена с именем corp.contoso.com. Этот домен упорядочивает пользователей в родительском подразделении с именем UserAccounts. Подразделение UserAccounts содержит три дочерних подразделения с именем отдела. Каждая из этих дочерних организационных единиц содержит дополнительные организационные единицы, а также пользователей и группы.
Хранение и фильтрация
Корзина Active Directory сохраняет все объекты, удаленные в лесу. Он сохраняет эти объекты в соответствии с атрибутом msDS-deletedObjectLifetime , который по умолчанию соответствует атрибуту tombstoneLifetime леса. В любом лесу, созданном с помощью Windows Server 2003 с пакетом обновления 1 (SP1) или более поздней версии, значение tombstoneLifetime по умолчанию равно 180 дней. В любом лесу, обновленном с Windows 2000 или установленном с Windows Server 2003 (без пакета обновления), атрибут tombstoneLifetime по умолчанию не задан, поэтому Windows использует внутреннее значение по умолчанию 60 дней. Все это можно настроить. Центр администрирования Active Directory можно использовать для восстановления любого объекта, удаленного из доменных разделов леса. Для восстановления удаленных объектов из других разделов, таких как Конфигурация, необходимо продолжать использовать командлет Restore-ADObject. Включение корзины Active Directory делает контейнер удаленных объектов видимым в каждом разделе домена в Центре администрирования Active Directory.
Контейнер "Удаленные объекты" отображает все восстанавливаемые объекты в этом разделе домена. Удаленные объекты старше msDS-deletedObjectLifetimeназываются переработанными объектами. Центр администрирования Active Directory не отображает переработанные объекты и не может восстановить эти объекты с помощью Центра администрирования Active Directory.
Более подробное описание архитектуры корзины и правил обработки см. в разделе "Корзина Active Directory: общие сведения, реализация, рекомендации и устранение неполадок".
Центр администрирования Active Directory искусственно ограничивает количество отображаемых в контейнере объектов до 20 000 штук. Это ограничение можно увеличить до 100 000 объектов, выбрав меню "Управление " и выбрав "Параметры списка управления".
Restoration
Filtering
Центр администрирования Active Directory предлагает мощные критерии и параметры фильтрации, которые необходимо изучить задолго до того, как они понадобятся вам в процессе восстановительной операции. Домены намеренно удаляют многие объекты за их время существования. Так как время существования удаленного объекта, вероятно, составляет 180 дней, вы не можете восстановить все объекты при возникновении аварии.
Вместо написания сложных фильтров LDAP и преобразования значений UTC в даты и время используйте базовое и расширенное меню фильтра для перечисления только соответствующих объектов. Если вы знаете дату удаления, названия объектов или другие ключевые данные, используйте их в качестве фильтра. Переключите параметры расширенного фильтра, выбрав шеврон справа от поля поиска.
Операция восстановления поддерживает все стандартные параметры фильтрации точно так же, как и другие поисковые службы. Из встроенных фильтров для восстановления объектов обычно используются следующие:
- ANR (неоднозначное разрешение имен — не указано в меню, но оно используется при вводе в поле фильтра )
- Последнее изменение между заданными датами
- Объект — пользователь, InetOrgPerson, компьютер, группа или организационное подразделение
- Name
- При удалении
- Последний известный родитель
- Type
- Description
- City
- Country/region
- Department
- Идентификатор сотрудника
- Имя
- Название задания
- Фамилия
- Имя учетной записи SAM
- State/Province
- Номер телефона
- UPN
- Почтовый индекс
Можно добавить несколько критериев. Например, можно найти все учетные записи пользователей, удаленные 24 сентября 2012 года, из Чикаго, штат Иллинойс, с должностью Менеджера.
Вы также можете добавить, изменить или переупорядочить заголовки столбцов, чтобы получить больше данных для выбора объектов к восстановлению.
Дополнительные сведения об ANR см. в разделе "Атрибуты ANR".
Один объект
Восстановление удаленных объектов всегда выполнялось в одно действие. Центр администрирования Active Directory упрощает эту операцию. Чтобы восстановить удаленный объект, например отдельного пользователя, выполните указанные ниже действия.
- Выберите доменное имя в области навигации Центра администрирования Active Directory.
- Дважды щелкните удаленные объекты в списке управления.
- Щелкните правой кнопкой мыши объект, а затем выберите " Восстановить" или выберите "Восстановить " в области "Задачи ".
Объект вернется в свое исходное расположение.
Выберите "Восстановить", чтобы изменить расположение восстановления. Этот параметр полезен, если родительский контейнер удаленного объекта также был удален, но вы не хотите восстановить родительский контейнер.
Несколько одноранговых объектов
Вы можете восстановить несколько объектов одного уровня, например всех пользователей в OU. Удерживайте клавишу CTRL и выберите один или несколько удаленных объектов, которые требуется восстановить. Выберите "Восстановить" в области "Задачи". Вы также можете выбрать все отображаемые объекты, удерживая клавиши CTRL и A, или диапазон объектов с помощью SHIFT и щелчка.
Несколько родительских и дочерних объектов
Важно понимать процесс многородительского восстановления, так как Центр администрирования Active Directory не может восстановить вложенное дерево удаленных объектов одним действием.
- Восстановите верхний удаленный объект в дереве.
- Восстановите непосредственные дочерние элементы этого родительского объекта.
- Восстановите непосредственные дочерние элементы этих родительских объектов.
- Повторяйте процедуру, пока не будут восстановлены все объекты.
Не удается восстановить дочерний объект перед восстановлением родительского объекта. При попытке восстановления возникает следующая ошибка:
The operation could not be performed because the object's parent is either uninstantiated or deleted.
Родительские отношения каждого объекта обозначаются атрибутом Последний известный родительский объект . При обновлении Центра администрирования Active Directory после восстановления родительского объекта атрибут Последний известный родительский объект переносится из удаленного в восстановленное расположение. Поэтому можно восстановить дочерний объект, если расположение родительского объекта больше не отображает различающееся имя контейнера удаленного объекта.
Предположим, что администратор случайно удалил организационное подразделение Sales, содержащее дочерние подразделения и пользователей.
Сначала обратите внимание на значение атрибута Last Known Parent для всех удаленных пользователей и то, как оно отражает OU=Sales\0ADEL:<guid+удаленного объекта> отличающееся имя контейнера:
Отфильтруйте неоднозначное имя Sales. Вы получите список удаленных подразделений, которые затем нужно будет восстановить:
Обновите Центр администрирования Active Directory, чтобы посмотреть как атрибут 'Последний Известный Родитель' удаленного объекта пользователя изменился на имя восстановленного подразделения Sales.
Отфильтруйте всех пользователей подразделения Sales. Удерживайте клавишу CTRL +A , чтобы выбрать всех удаленных пользователей Sales. Выберите "Восстановить" , чтобы переместить объекты из контейнера удаленных объектов в подразделение Sales с их членством в группах и атрибутами без изменений.
Если подразделение продаж содержало собственные дочерние подразделения, необходимо сначала восстановить дочерние подразделения перед восстановлением своих детей и т. д.
Порядок восстановления всех вложенных удаленных объектов путем указания удаленного родительского контейнера см. в Приложении Б. Восстановление сразу нескольких удаленных объектов Active Directory (образец сценария).
Командлет Active Directory в Windows PowerShell, предназначенный для восстановления удаленных объектов, выглядит следующим образом:
Restore-ADObject
Функции Restore-ADObject командлета не изменились между Windows Server 2008 R2 и Windows Server 2012.
Фильтрация на стороне сервера
Возможно, со временем контейнер удаленных объектов может накопить более 20 000 (или даже 100 000) объектов в средних и крупных предприятиях, что приведет к сложности отображения всех объектов. Так как механизм фильтрации в Центре администрирования Active Directory использует фильтрацию на стороне клиента, он не может отображать эти дополнительные объекты. Чтобы обойти это ограничение, выполните поиск на стороне сервера согласно приведенным ниже инструкциям.
- Щелкните правой кнопкой мыши контейнер удаленных объектов и выберите "Поиск" в этом узле.
- Выберите шеврон, чтобы открыть меню "+ Добавить условия", нажмите кнопку +Добавить и добавить последнее изменение между заданными датами. Время последнего изменения (атрибут WhenChanged ) — это близкое приближение времени удаления. В большинстве сред они идентичны. Этот запрос запускает поиск на стороне сервера.
- Найдите удаленные объекты для восстановления с помощью дальнейшего отображения фильтров, сортировки и т. д. в результатах, а затем восстановите их нормально.
Настройка и управление более точными политиками паролей с помощью Центра администрирования Active Directory
Настройка точных политик паролей
Центр администрирования Active Directory позволяет создавать объекты точной политики паролей (FGPP) и управлять ими. Windows Server 2008 представила функцию FGPP, но Windows Server 2012 имеет первый графический интерфейс управления. Вы применяете детализированные политики паролей на уровне домена и позволяет переопределить пароль одного домена, необходимый Windows Server 2003. При создании разных параметров FGPP отдельные пользователи или группы получают разные политики паролей в домене.
Сведения о более подробных политиках паролей см. в пошаговом руководстве по политике блокировки паролей и учетных записей AD DS Fine-Grained (Windows Server 2008 R2).
В области навигации выберите "Представление дерева", выберите домен, выберите "Система", а затем выберите контейнер параметров пароля. В области "Задачи " выберите "Создать" и выберите "Параметры пароля".
Управление детализированными политиками паролей
Создание нового FGPP или редактирование существующего файла открывает редактор параметров пароля . Здесь можно настроить все желаемые политики паролей как Windows Server 2008 или Windows Server 2008 R2, но только в специальном редакторе.
Заполните все обязательные (красные звездочки) поля и любые необязательные поля, а затем нажмите кнопку "Добавить ", чтобы задать пользователей или группы, получающие эту политику. FGPP перезаписывает параметры политики домена по умолчанию для выбранных субъектов безопасности. На предыдущем снимке экрана ограничивающая политика применяется только к встроенной учетной записи администратора, чтобы предотвратить компрометацию. Эта политика слишком сложна для ее соблюдения стандартными пользователями, но идеально подходит для учетной записи высокого риска, которой пользуются только специалисты.
Также необходимо указать очередность применения и выбрать пользователей и группы для применения политики в соответствующем домене.
Командлеты Windows PowerShell Active Directory для тонко настроенной политики паролей:
Add-ADFineGrainedPasswordPolicySubject
Get-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
New-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicy
Remove-ADFineGrainedPasswordPolicySubject
Set-ADFineGrainedPasswordPolicy
Функциональные возможности командлета детализированной политики паролей не изменились между Windows Server 2008 R2 и Windows Server 2012. На следующей схеме иллюстрируются связанные аргументы для командлетов.
Центр администрирования Active Directory также позволяет вам определить результирующий набор примененных тонко настроенных политик паролей для конкретного пользователя. Щелкните правой кнопкой мыши любого пользователя и выберите Просмотреть результирующие параметры пароля, чтобы открыть страницу Параметры пароля, которая применяется к пользователю через неявное или явное назначение:
При проверке свойств любого пользователя или группы отображаются параметры непосредственно связанных паролей, которые являются явно назначенными FGP:
Неявное назначение FGPP не выводится здесь на экран. Для этого необходимо использовать параметр "Просмотр результирующих параметров пароля ".
Использование средства просмотра журнала Windows PowerShell в Центре администрирования Active Directory
Будущее управления Windows связано с Windows PowerShell. Наложение графических средств на основе платформы автоматизации задач делает управление наиболее сложными распределенными системами согласованно и эффективно. Зная принципы работы Windows PowerShell, вы сможете полностью раскрыть свой потенциал и извлечь максимальную пользу из своих инвестиций в компьютерное оборудование.
Теперь Центр администрирования Active Directory позволяет просматривать историю выполнения всех командлетов Windows PowerShell, включая их аргументы и значения. При этом историю командлетов можно скопировать для дальнейшего изучения или изменения и повторного использования. Вы можете создавать заметки о задачах, чтобы изолировать результаты Windows PowerShell для команд Центра администрирования Active Directory. Также можно фильтровать историю на предмет интересных моментов.
Цель средства просмотра истории Windows PowerShell в Центре администрирования Active Directory заключается в том, чтобы вы могли учиться посредством практического опыта.
Щелкните стрелку, чтобы отобразить средство просмотра журнала Windows PowerShell.
Затем создайте пользователя или измените членство в группе. Просмотрщик истории постоянно обновляется — в нем отображается свернутое представление каждого командлета, выполненного Центром администрирования Active Directory, с указанными аргументами.
Разверните любую интересующую вас строку, чтобы увидеть значения всех аргументов командлета:
Выберите "Запустить задачу ", чтобы создать нотацию вручную, прежде чем использовать Центр администрирования Active Directory для создания, изменения или удаления объекта. Укажите свои действия. После изменения нажмите кнопку "Завершить задачу". Заметка о задаче группирует все выполненные действия в свертываемую заметку, которую можно использовать для лучшего понимания.
Например, чтобы просмотреть команды Windows PowerShell, используемые для изменения пароля пользователя и удаления пользователя из группы:
При выборе поля "Показать все " также отображаются командлеты Windows PowerShell с командлетами Get-*, которые извлекают только данные.
Средство просмотра журнала отображает литеральные команды, выполняемые Центром администрирования Active Directory. Возможно, некоторые командлеты выполняются ненужно. Например, создать нового пользователя можно с помощью команды:
New-ADUser
Проектирование Центра администрирования Active Directory требует минимального использования кода и модульности. Таким образом, вместо отдельных наборов функций для создания новых пользователей и изменения уже существующих он выполняет каждую задачу по минимуму, а затем соединяет их воедино с помощью командлетов. Помните об этом при обучении Active Directory Windows PowerShell. Эту особенность можно также использовать как способ изучения, показывающий, как просто выполнять отдельные задачи с помощью Windows PowerShell.
Управление различными доменами в Центре администрирования Active Directory
При открытии Центра администрирования Active Directory домен, к которому вы подключены на этом компьютере (локальный домен), отображается на левой панели области навигации Центра администрирования Active Directory. В зависимости от прав текущего набора учетных данных для входа можно просматривать или управлять объектами Active Directory в этом локальном домене.
Вы также можете использовать тот же набор учетных данных входа и тот же экземпляр Центра администрирования Active Directory для просмотра и управления объектами Active Directory в любом другом домене в пределах того же леса или в домене другого леса с установленной доверенной связью с локальным доменом. Поддерживаются односторонние и двусторонние доверительные отношения. Для выполнения этой процедуры не требуется минимальное членство в группах.
Note
Если существует односторонняя связь между доменом A и доменом B, с помощью которого пользователи домена A могут получить доступ к ресурсам в домене B, но пользователи домена B не могут получить доступ к ресурсам в домене A, если вы используете Центр администрирования Active Directory на компьютере, где домен A является локальным доменом, можно подключиться к домену B с текущим набором учетных данных входа и в том же экземпляре Центра администрирования Active Directory.
Но если вы используете Центр администрирования Active Directory на компьютере, где домен B является локальным доменом, вы не можете подключиться к домену A с тем же набором учетных данных в том же экземпляре Центра администрирования Active Directory.
Windows Server 2012: управление внешним доменом в выбранном экземпляре Центра администрирования Active Directory с помощью текущего набора учетных данных для входа
Чтобы открыть Центр администрирования Active Directory, в диспетчере серверов выберите "Сервис" и выберите Центр администрирования Active Directory.
Чтобы открыть узлы навигации, выберите "Управление" и выберите "Добавить узлы навигации".
В разделе "Добавление узлов навигации" выберите "Подключиться к другим доменам".
В поле Connect введите имя внешнего домена, которым требуется управлять (например,
contoso.com), а затем нажмите кнопку "ОК".Когда вы успешно подключены к внешнему домену, просмотрите столбцы в окне "Добавление узлов навигации", выберите контейнер или контейнеры для добавления в область навигации Центра администрирования Active Directory и нажмите кнопку "ОК".
Windows Server 2008 R2: управление внешним доменом в выбранном экземпляре Центра администрирования Active Directory с помощью текущего набора учетных данных для входа
Чтобы открыть Центр администрирования Active Directory, нажмите кнопку "Пуск", выберите "Администрирование" и выберите Центр администрирования Active Directory.
Tip
Другой способ открыть Центр администрирования Active Directory — выбрать "Пуск", выбрать "Запустить", а затем ввести dsac.exe.
Затем откройте вкладку "Добавить узлы навигации" в верхней части окна Центра администрирования Active Directory, выберите "Добавить узлы навигации".
Tip
Другой способ открыть узлы навигации — щелкнуть правой кнопкой мыши в любом месте пустого пространства в области навигации Центра администрирования Active Directory, а затем выбрать пункт "Добавить узлы навигации".
В разделе "Добавление узлов навигации" выберите "Подключиться к другим доменам".
В поле Connect введите имя внешнего домена, которым требуется управлять (например,
contoso.com), а затем нажмите кнопку "ОК".Когда вы успешно подключены к внешнему домену, просмотрите столбцы в окне "Добавление узлов навигации", выберите контейнер или контейнеры для добавления в область навигации Центра администрирования Active Directory и нажмите кнопку "ОК".
Управление доменом с помощью учетных данных входа, отличных от текущего набора учетных данных для входа.
Чтобы открыть Центр администрирования Active Directory в командной строке, введите следующую команду и нажмите клавишу ВВОД:
runas /user:<domain\user> dsac
<domain\user> — это набор учетных данных, с которыми вы хотите открыть Центр администрирования Active Directory и dsac имя исполняемого файла в Центре администрирования Active Directory.
Когда центр администрирования Active Directory открыт, просмотрите область навигации для просмотра домена Active Directory или управления им.
Устранение неполадок управления AD DS
Параметры устранения неполадок
Параметры ведения журнала
Центр администрирования Active Directory теперь содержит встроенное ведение журнала в составе файла конфигурации трассировки. Создайте или измените следующий файл, расположенный в той же папке, что и файл dsac.exe:
dsac.exe.config
Создайте следующее содержимое:
<appSettings>
<add key="DsacLogLevel" value="Verbose" />
</appSettings>
<system.diagnostics>
<trace autoflush="false" indentsize="4">
<listeners>
<add name="myListener"
type="System.Diagnostics.TextWriterTraceListener"
initializeData="dsac.trace.log" />
<remove name="Default" />
</listeners>
</trace>
</system.diagnostics>
Уровни детализации для DsacLogLevel — нет, ошибка, предупреждение, информация и подробные сведения. Имя выходного файла можно настроить, и он записывается в ту же папку, что и dsac.exe. В выходных данных можно узнать, как работает Центр администрирования Active Directory, к каким контроллерам домена он обращается, какие команды Windows PowerShell выполнялись, какие ответы были, а также дополнительные сведения.
Например, при использовании уровня сведений , который возвращает все результаты, кроме детализации на уровне трассировки:
DSAC.exe начинается.
Начинается ведение журнала.
Контроллер домена запрашивается для возврата исходных сведений о домене.
[12:42:49][TID 3][Info] Command Id, Action, Command, Time, Elapsed Time ms (output), Number objects (output) [12:42:49][TID 3][Info] 1, Invoke, Get-ADDomainController, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADDomainController-Discover:$null-DomainName:"CORP"-ForceDiscover:$null-Service:ADWS-Writable:$nullКонтроллер домена DC1 вернулся из домена Corp.
Виртуальный диск PS Active Directory загружен.
[12:42:49][TID 3][Info] 1, Output, Get-ADDomainController, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] Found the domain controller 'DC1' in the domain 'CORP'. [12:42:49][TID 3][Info] 2, Invoke, New-PSDrive, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] New-PSDrive-Name:"ADDrive0"-PSProvider:"ActiveDirectory"-Root:""-Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 2, Output, New-PSDrive, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 3, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49Получение информации о корневом домене DSE.
[12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 3, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 4, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49Получите информацию о корзине Active Directory для домена.
[12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 4, Output, Get-ADOptionalFeature, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 5, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 5, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 6, Invoke, Get-ADRootDSE, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADRootDSE -Server:"dc1.corp.contoso.com" [12:42:49][TID 3][Info] 6, Output, Get-ADRootDSE, 2012-04-16T12:42:49, 1 [12:42:49][TID 3][Info] 7, Invoke, Get-ADOptionalFeature, 2012-04-16T12:42:49 [12:42:49][TID 3][Info] Get-ADOptionalFeature -LDAPFilter:"(msDS-OptionalFeatureFlags=1)" -Server:"dc1.corp.contoso.com" [12:42:50][TID 3][Info] 7, Output, Get-ADOptionalFeature, 2012-04-16T12:42:50, 1 [12:42:50][TID 3][Info] 8, Invoke, Get-ADForest, 2012-04-16T12:42:50Получить лес Active Directory.
[12:42:50][TID 3][Info] Get-ADForest -Identity:"corp.contoso.com" -Server:"dc1.corp.contoso.com" [12:42:50][TID 3][Info] 8, Output, Get-ADForest, 2012-04-16T12:42:50, 1 [12:42:50][TID 3][Info] 9, Invoke, Get-ADObject, 2012-04-16T12:42:50Получение сведений о схеме для поддерживаемых типов шифрования, FGPP и определенных сведений о пользователе.
[12:42:50][TID 3][Info] Get-ADObject -LDAPFilter:"(|(ldapdisplayname=msDS-PhoneticDisplayName)(ldapdisplayname=msDS-PhoneticCompanyName)(ldapdisplayname=msDS-PhoneticDepartment)(ldapdisplayname=msDS-PhoneticFirstName)(ldapdisplayname=msDS-PhoneticLastName)(ldapdisplayname=msDS-SupportedEncryptionTypes)(ldapdisplayname=msDS-PasswordSettingsPrecedence))" -Properties:lDAPDisplayName -ResultPageSize:"100" -ResultSetSize:$null -SearchBase:"CN=Schema,CN=Configuration,DC=corp,DC=contoso,DC=com" -SearchScope:"OneLevel" -Server:"dc1.corp.contoso.com" [12:42:50][TID 3][Info] 9, Output, Get-ADObject, 2012-04-16T12:42:50, 7 [12:42:50][TID 3][Info] 10, Invoke, Get-ADObject, 2012-04-16T12:42:50Извлекается вся информация об объекте доменного имени, которую необходимо отобразить администратору, который щелкнул по заголовку домена.
[12:42:50][TID 3][Info] Get-ADObject -IncludeDeletedObjects:$false -LDAPFilter:"(objectClass=*)" -Properties:allowedChildClassesEffective,allowedChildClasses,lastKnownParent,sAMAccountType,systemFlags,userAccountControl,displayName,description,whenChanged,location,managedBy,memberOf,primaryGroupID,objectSid,msDS-User-Account-Control-Computed,sAMAccountName,lastLogonTimestamp,lastLogoff,mail,accountExpires,msDS-PhoneticCompanyName,msDS-PhoneticDepartment,msDS-PhoneticDisplayName,msDS-PhoneticFirstName,msDS-PhoneticLastName,pwdLastSet,operatingSystem,operatingSystemServicePack,operatingSystemVersion,telephoneNumber,physicalDeliveryOfficeName,department,company,manager,dNSHostName,groupType,c,l,employeeID,givenName,sn,title,st,postalCode,managedBy,userPrincipalName,isDeleted,msDS-PasswordSettingsPrecedence -ResultPageSize:"100" -ResultSetSize:"20201" -SearchBase:"DC=corp,DC=contoso,DC=com" -SearchScope:"Base" -Server:"dc1.corp.contoso.com"
На уровне подробных сведений также показаны стеки .NET для каждой функции, но они не включают достаточно данных, чтобы быть полезными, за исключением случаев, когда вы устраняете неполадки после dsac.exe страдает нарушение доступа или сбой. Такая проблема может возникнуть по двум причинам:
- Веб-службы Active Directory не работают на контроллерах домена с доступом.
- Сетевые коммуникации блокируются для веб-служб Active Directory с компьютера, на котором работает Центр администрирования Active Directory.
Important
Существует также внеполняя версия службы с именем шлюза управления Active Directory, которая работает в Windows Server 2008 с пакетом обновления 2 (SP2) и Windows Server 2003 с пакетом обновления 2 (SP2).
Следующие ошибки отображаются, если экземпляры веб-служб Active Directory недоступны:
| Error | Operation |
|---|---|
| "Не удается подключиться к какому-либо домену. Обновите страницу или попробуйте еще раз, когда подключение станет доступным. | Отображается при запуске приложения "Центр администрирования Active Directory". |
| "Не удается найти доступный сервер в <домене доменных имен> NetBIOS, на котором выполняется веб-служба Active Directory (ADWS)" | Отображается при попытке выбрать узел домена в приложении Центра администрирования Active Directory |
Для решения этой проблемы выполните указанные ниже действия.
Убедитесь, что веб-службы Active Directory запущены по крайней мере на одном контроллере домена в домене (и желательно на всех контроллерах домена в лесу). Убедитесь, что он автоматически запускается на всех контроллерах домена.
На компьютере под управлением Центра администрирования Active Directory проверьте, можно ли найти сервер под управлением веб-служб Active Directory, выполнив следующие команды NLTest.exe:
nltest /dsgetdc:<domain NetBIOS name> /ws /force nltest /dsgetdc:<domain fully qualified DNS name> /ws /forceЕсли эти тесты завершаются ошибкой, даже если веб-службы Active Directory запущены, проблема связана с разрешением имен или LDAP, а не веб-службами Active Directory или Центром администрирования Active Directory. Этот тест завершается ошибкой "1355 0x54B ERROR_NO_SUCH_DOMAIN", если веб-службы Active Directory не работают на каких-либо контроллерах домена, поэтому дважды проверьте это, прежде чем делать какие-либо выводы.
На контроллере домена, возвращённом командой Nltest, выведите перечень прослушиваемых портов с помощью этой команды:
Netstat -anob > ports.txtПроверьте файл ports.txt и убедитесь, что веб-служба Active Directory прослушивает порт 9389. Рассмотрим пример.
TCP 0.0.0.0:9389 0.0.0.0:0 LISTENING 1828 [Microsoft.ActiveDirectory.WebServices.exe] TCP [::]:9389 [::]:0 LISTENING 1828 [Microsoft.ActiveDirectory.WebServices.exe]Если служба прослушивает, проверьте правила брандмауэра Windows и убедитесь, что они разрешают входящий трафик TCP 9389. По умолчанию контроллеры домена включают правило брандмауэра "Веб-службы Active Directory (TCP-in)". Если служба не прослушивает, проверьте, что она запущена на этом сервере и перезапустите ее. Проверьте, не прослушивают ли порт 9389 какие-либо другие процессы.
Установите NetMon или другую программу записи сети на компьютере под управлением Центра администрирования Active Directory и на контроллере домена, возвращенном Nltest. Запустите одновременную запись сетевых данных на обоих компьютерах, начав с того, где вы запускаете Центр администрирования Active Directory, и замечаете ошибку перед остановкой записи. Убедитесь в том, что клиент способен отправлять и принимать данные с контроллера домена через порт TCP 9389. Если пакеты отправляются, но никогда не прибывают или они приходят, а контроллер домена отвечает, но они никогда не достигают клиента, скорее всего, брандмауэр между компьютерами в сети удаляет пакеты на этом порту. Этот брандмауэр может быть программным или аппаратным, и может быть частью программного обеспечения, отличного от Microsoft Endpoint Protection (антивирусная программа).