Microsoft – Technopoche

 

Active Directory Troubleshooting


 


Les outils utilisés 3

Pour les tests hardware. 3

L’observateur d’événements (Event Viewer) 3

Les outils inclus à l'OS. 4

Les "Supported tools" 4

Network Connectivity tester : NetDiag. 4

Les Informations générales 4

DCDIAG : Permet de tester les fonctions d'un DC. 5

Autres outils supportés 5

Network Monitor 5

Séquence de troubleshooting. 5

Tests généraux 5

Test Hardware. 6

Vérification de la configuration IP. 7

IPCONFIG /ALL 7

Tests d'accessibilité. 7

Le réseau fonctionne-t-il ? 7

Test des bindings 7

Test de la couche NDIS. 7

Test de la couche NDIS. 7

Test de la configuration des modems pour les liaisons RAS. 8

Test de l'interface socket 8

Affichage des informations de netstat 8

Vérification de la configuration du redirecteur 9

Tracer les échanges avec Network Monitor 9

La résolution de nom fonctionne-t-elle ? 9

Test des noms netbios 9

Test des noms DNS. 10

Tests des noms DNS – Spécificités des DC. 12

Recherche du PDC Emulator : 13

Tests des noms DNS – Vérification du serveur DNS. 13

LDAP fonctionne-t-il ? 14

Test de LDAP avec LDP. 14

Test de binding. 14

Test d'interrogation. 14

Test de LDAP avec ADSIEDIT. 15

Test de LDAP avec NetDiag. 16

Visualisation des échanges LDAP avec Network Monitor 16

Le DC fontionne-t-il ? 17

Test des fonctions du DC avec DCDiag. 17

Les tests généraux à l'ensemble des DC : 19

L’authentification fonctionne-t-elle ? 19

Vérification des permissions sur les comptes 19

Vérification des secure chanel 19

Reset du secure Chanel 20


Les outils utilisés

Pour les tests hardware

Le gestionnaire de périphériques (Device manager) et l’assistant matériel (Hadware Wizard) accessibles par l'applet System du control Panel

L’observateur d’événements (Event Viewer)

Il y les 3 journaux de logs "classiques" :
Le journal système, le journal sécurité et le journal système

Et trois nouveaux journaux pour Windows 2000 :
Le service d’annuaire (Directory services), le serveur DNS (DNS server ) et le service de réplication de fichiers (File Replication Service)

Les messages d'erreur indiquent parfois le code retour de la fonction en cause dans la partie des Data.

Dans ce cas:

Convertir le code retour d'Hexa en décimal (en inversant les deux digits). Par exemple, on traduit un code retour de 0xB405 par 0x05B4, qui donne en décimal 1460

 

Pour connaître son interprétation, taper :
net helpmsg <n°>
Par exemple : net helpmsg 1460 retourne :
"This operation returned because the timeout period expired"

 

Les outils inclus à l'OS

Par exemple : ipconfig, ping, route print, nslookup, nbtstat

Les "Supported tools"

Ce sont des outils similaires à ceux du Resource Kit, mais supportés :
(Leur kit est situé dans le répertoire \support\tools du premier CD du kit de Windows2000).

Network Connectivity tester : NetDiag

On le lance par c:\>netdiag / <option>

Il possède trois modes d'affichage :
          /q :       Quiet mode : n'affiche que les erreurs
          /v :       Verbose mode
          /debug : Hyper verbose mode

Il est possible de rediriger son affichage dans le fichier netdiag.log avec le paramètre : /l

Netdiag génère trois groupes d'informations :

Les Informations générales

Computer Name: DELLDID1

DNS Host Name: delldid1.domdid2000.microsoft.com

System info : Windows 2000 Server (Build 2195)

Processor : x86 Family 6 Model 5 Stepping 2, GenuineIntel

List of installed hotfixes :

Q147222

Informations sur chaque interface réseau

Netcard queries test . . . . . . . : Passed

   Per interface results:

       Adapter : Publique

           Netcard queries test . . . : Passed

           Host Name. . . . . . . . . : delldid1

           IP Address . . . . . . . . : 1.5.146.49

           Subnet Mask. . . . . . . . : 255.255.252.0

           Default Gateway. . . . . . : 1.5.146.1

           Dns Servers. . . . . . . . : 1.5.146.48

                                        1.5.128.15

                                        1.5.1.20

        AutoConfiguration results. . . . . . : Passed

        Default gateway test . . . : Passed

        NetBT name test. . . . . . : Passed

        WINS service test. . . . . : Passed

Les résultats des tests passés :

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed

    List of NetBt transports currently configured:

        NetBT_Tcpip_{B1CC9D5E-620D-4B43-BE22-F2281A2F2018}

        NetBT_Tcpip_{1F90283A-242F-4DEB-AAA3-47F36EBCFFAC}

    2 NetBt transports currently configured.

 

Autonet address test .: Passed

IP loopback ping test.: Passed

Default gateway test .: Passed

NetBT name test.......: Passed

Winsock test .........: Passed

DNS test ............                                                                                                                                                                                                                                                                                                                                                                                                                                          .: Passed

Redir and Browser test: Passed

DC discovery test.....: Passed

DC list test .........: Passed

 

Trust relationship test.: Skipped

Kerberos test...........: Passed

LDAP test...............: Passed

Bindings test...........: Passed

WAN configuration test .: Skipped

Modem diagnostics test .: Passed

IP Security test .......: Passed

Par défaut, DCDIAG passe tous les tests et affiche les trois groupes d'informations documentées précédemment

Il est possible de ne lui faire exécuter qu'un test particulier par le paramètre /test:<nom_du_test> (généralement utilisé avec le paramètre /debug pour avoir plus d'informations)

Il est possible de ne pas exécuter un test particulier par le paramètre /skip:<nom_test>

En mode "Debug", il affiche d'abord des infos sur la phase de tests avant d'afficher les trois types d'informations :

Gathering IPX configuration information...Passed

Querying status of the Netcard drivers... Passed

Testing Domain membership... Passed

Gathering NetBT configuration information.

Testing for autoconfiguration... Passed

Testing IP loopback ping... Passed

Testing default gateways... Passed

Enumerating local and remote NetBT name cache... Passed

Testing the WINS server

. . .

Gathering Netware information

Gathering IP Security information

 

Tests complete.

DCDIAG : Permet de tester les fonctions d'un DC

On le lance par : c:\>dcdiag /<paramètre>

Ses informations peuvent être affichées suivant trois formats :
En mode "Quiet" : N'affiche que les erreurs (Paramètre /q)
Par défaut, n'affiche que les informations minimales sur les tests qu'il réalise et leurs résultats
En mode "verbose", affiche plus d'informations (Paramètre /v)

Il est possible de rediriger son affichage dans un fichier par :le paramètre /f:<nom_fichier>

Autres outils supportés

NLTest : Permet de gérer les fonctions d'authentification des domaines (relations d'approbation, etc.)

DNSCmd : Administration des serveurs dns par ligne de commande.

LDP : Permet de passer des requêtes LDAP vers l'Active Directory.

Network Monitor

Cet outil permet de tracer les trames échangés sur le réseau.

Il en existe deux versions :
Une version inclue à l'OS limitée aux trames reçues ou émises par la machine sur laquelle elle est installée.
Une version livrée avec SMS (V2.0) non limitée, permet de tout tracer sur le réseau (Il en existe en version limitée dans le temps qui peut être envoyée en clientèle pour résoudre des problèmes ponctuels.)

Il s'installe par l'option "Paramètres" du "Menu démarrer".

Sélectionner Panneau de con figuration, Ajout/suppression de programmes, Ajouter/supprimer de composants Windows, Outils de gestion et d’analyse, Détails, Outils de surveillance du réseau

Séquence de troubleshooting

Tests généraux

Vérifier les évènements relatifs au démarrage dans le journal system de l'Event Log

Par exemple :

Cet événement montre un doublon d'adresse IP

Test Hardware

Tester la connectique par les propriétés de "Favoris réseau" (My Network Place) ou par le "gestionnaire de périphériques" (Device Manager)

Non connecté

 
 

Vérification de la configuration IP

IPCONFIG /ALL

Doit renvoyer l'adresse IP, la Default Gateway, le serveur DNS, la zone DNS, etc.
Indique si le câble n'est pas connecté

Tests d'accessibilité

ping 127.0.0.1
ping <adresse_ip_locale>
ping <adresse_ip_host_même_subnet>
ping <adresse_ip_default_gateway>
ping <adresse_ip_host_subnet_différent>

Vérifier les routes par route print (ou nbtstat -r)

Le réseau fonctionne-t-il ?

Test des bindings

netdiag /debug /test:bindings

Affiche les interfaces avec lequel le composant est lié.

Par exemple, pour le service serveur :

Component Name : File and Printer Sharing for Microsoft Networks

    Bind Name: LanmanServer

    Binding Paths:

        Owner of the binding path : File and Printer Sharing for Microsoft Networks

        Binding Enabled: Yes

    Interfaces of the binding path:

        -Interface Name: netbios_smb

            Upper Component: File and Printer Sharing for Microsoft Networks

            Lower Component: Message-oriented TCP/IP Protocol (SMB session)

Test de la couche NDIS

netdiag /debug /test:ndis

Affiche les compteurs au niveau NDIS.

Description: 3Com EtherLink XL 10/100 PCI NIC (3C905-TX)

   Device: \DEVICE\{23342CA7-16FE-4A7A-9792-553150F26068}

 

   Media State:                     Connected

 

   Device State:                    Connected

   Connect Time:                    01:49:09

   Media Speed:                     10 Mbps

 

   Packets Sent:                    1508

   Bytes Sent (Optional):           0

   Packets Received:                669

   Directed Pkts Recd (Optional):   581

   Bytes Received (Optional):       0

   Directed Bytes Recd (Optional):  0

   ---------------------------------------------------------------------------

   [PASS] - At least one netcard is in the 'Connected' state.

Test de la couche NDIS

netdiag /debug /test:ipconfig

Affiche les compteurs au niveau NDIS (voir précédemment plus la configuration IP).

Per interface results:

    Adapter : 3Com

        Adapter ID . . . . . . . . : {23342CA7-16FE-4A7A-9792-553150F26068}

 

        Netcard queries test . . . : Passed

 

        Adapter type . . . . . . . : Ethernet

        Host Name. . . . . . . . . : portadid2

        Description. . . . . . . . : 3Com 3C90x Ethernet Adapter

        Physical Address . . . . . : 00-C0-4F-EE-36-C1

        Dhcp Enabled . . . . . . . : No

        DHCP ClassID . . . . . . . :

        Autoconfiguration Enabled. : Yes

        IP Address . . . . . . . . : 1.5.146.48

        Subnet Mask. . . . . . . . : 255.255.252.0

        Default Gateway. . . . . . : 1.5.146.1

        Dns Servers. . . . . . . . : 1.5.146.48

        IpConfig . . . . . : Passed

Test de la configuration des modems pour les liaisons RAS

netdiag /debug /test:modem

Modem diagnostics test . . . . . . : Passed

 

    Name . . . . . . . . . . . . . : Xircom Cardbus Ethernet 100 + Modem 56 (Modem Interface)

        DeviceID . . . . . . . . . : 7

        Port . . . . . . . . . . . : COM3

        Negotiated Speed . . . . . : 9600

        Compression. . . . . . . . : Off

        Error control. . . . . . . : Off

        Forced error control . . . : Off

        Cellular . . . . . . . . . : Off

        Flowcontrol hard . . . . . : Off

        Flowcontrol soft . . . . . : Off

        CCITT override . . . . . . : Off

        Speed adjust . . . . . . . : Off

        Tone dial. . . . . . . . . : Off

        Blind dial . . . . . . . . : Off

        V23 override . . . . . . . : Off

Test de l'interface socket

netdiag /debug /test: winsock

Winsock test . . . . . . . . . . . : Passed

    The number of protocols which have been reported : 17

        Description: MSAFD Irda [IrDA]

            Provider Version   :2

            Max message size  : Stream Oriented

        Description: MSAFD Tcpip [TCP/IP]

            Provider Version   :2

            Max message size  : Stream Oriented

        Description: MSAFD Tcpip [UDP/IP]

            Provider Version   :2

        Description: RSVP UDP Service Provider

            Provider Version   :4

        Description: RSVP TCP Service Provider

            Provider Version   :4

            Max message size  : Stream Oriented

        Description: MSAFD NetBIOS [\Device\NetBT_Tcpip_{23342CA7-16FE-4A7A-9792-53150F26068}] SEQPACKET 3

            Provider Version   :2

 

Affichage des informations de netstat

netdiag /debug /test: netstat

Regroupe les informations affichées par :
netstat –e : Compteurs sur les paquets émis et reçus
netstat –a : Liste des ports TCP et UDP
netstat –s : Compteurs par protocole

Plus des informations sur chaque interface.
Par exemple :

Interface index         =  16777219

Description             =  3Com 3C90x Ethernet Adapter

Type                    =  6

MTU                     =  1500

Speed                   =  10000000

Physical Address        =  00-C0-4F-EE-36-C1

Administrative Status   =  1

Operational Status      =  1

Last Changed            =  0

Output Queue Length     =  0

Vérification de la configuration du redirecteur

net config rdr

Computer name                        \\PORTADID2

Full Computer name                   portadid2.domdid2000.microsoft.com

User name                            didgau

Workstation active on

       NetbiosSmb (000000000000)

       NetBT_Tcpip_{23342CA7-16FE-4A7A-9792-553150F26068} (00C04FF1832A)

       NetBT_Tcpip_{AB014D60-0A6B-44A7-850C-A85E99DE7711} (0010A4E0AD4D)

 

Software version                     Windows 2000

Workstation domain                   DOMDID2000

Workstation Domain DNS Name          domdid2000.microsoft.com

Logon domain                         DOMDID2000

COM Open Timeout (sec)               0

COM Send Count (byte)                16

COM Send Timeout (msec)              250

Tracer les échanges avec Network Monitor

Utiliser la version inclue à l'OS pour tracer sur la machine locale

Utiliser la version de SMS ou celle fournie par le support pour tracer les échanges entre deux machines distantes

La résolution de nom fonctionne-t-elle ?

Test des noms netbios

Pour le client et le serveur WINS, vérifier le journal système de l'Event Viewer

Vérifier les noms déclarés et ceux du cache pour chaque interface avec la commande: netdiag /debug / test:nbtnm

Per interface results:

    Adapter : 3Com

     Adapter ID . . . . . . . . : {23342CA7-16FE-4A7A-9792-553150F26068}

        Netcard queries test . . . : Passed

        NetBT name test. . . . . . : Passed

            NetBT_Tcpip_{23342CA7-16FE-4A7A-9792-553150F26068}

            PORTADID2      <00>  UNIQUE      REGISTERED

            DOMDID2000     <00>  GROUP       REGISTERED <-Etat du nom (doit être registered)

            DOMDID2000     <1C>  GROUP       REGISTERED

            . . .

 

   NetBios Resolution : Enabled

                Netbios Remote Cache Table

          Name           Type              HostAddress         Life [sec]

         ---------------------------------------------------------------

            DELLDID1       <03>  UNIQUE      1.5.146.49         -1

            DELLDID1       <20>  UNIQUE      1.5.146.49         -1

On peut aussi visualiser les noms netbios présents dans le cache (c'est à dire préchargés ou qui ont été résolus) par : nbtstat -c

3Com:

Node IpAddress: [1.5.146.48] Scope Id: []

                  NetBIOS Remote Cache Name Table

          Name                 Type         Host Address    Life [sec]

    ------------------------------------------------------------

        DELLDID1       <03>  UNIQUE          1.5.146.49       -1

        DELLDID1       <00>  UNIQUE          1.5.146.49       -1

        DELLDID1       <20>  UNIQUE          1.5.146.49       -1

        HOMEDOM        <1C>  GROUP           1.1.1.200        -1

        DOMDID         <1C>  GROUP           1.5.146.49       -1

        DOMDID         <1B>  UNIQUE          1.5.146.49       -1

        HOMEDOM        <1B>  UNIQUE          1.1.1.200        -1

        HOMESRV1       <03>  UNIQUE          1.1.1.200        -1

        HOMESRV1       <00>  UNIQUE          1.1.1.200        -1

        HOMESRV1       <20>  UNIQUE          1.1.1.200        -1

On peut aussi visualiser les noms netbios déclarés sur la machine locale ou par un nœud distant par :             nbtstat –a <nom_serveur>
            ou    nbtstat –A <address_IP_serveur>

Par exemple :

nbtstat -A 1.5.146.48

3Com:

Node IpAddress: [1.5.146.48] Scope Id: []

           NetBIOS Remote Machine Name Table

       Name               Type         Status

    ---------------------------------------------

    PORTADID2      <00>  UNIQUE      Registered

    DOMDID2000     <00>  GROUP       Registered

    DOMDID2000     <1C>  GROUP       Registered

    DOMDID2000     <1E>  GROUP       Registered

    PORTADID2      <03>  UNIQUE      Registered

    DIDGAU         <03>  UNIQUE      Registered

    PORTADID2      <20>  UNIQUE      Registered

    DOMDID2000     <1D>  UNIQUE      Registered

    ..__MSBROWSE__.<01>  GROUP       Registered

 

MAC Address = 00-C0-4F-EE-36-C1

Plusieurs problèmes peuvent être détectés en visualisant les tables des noms netbios déclarés :

Leur statut doit être "Registered". S'il est à "Conflict", cela indique que le nom est de type unique et qu'il a déjà été déclaré par une autre machine.

Si un nom n'est pas présent, vérifier si le service correspondant n'a pas démarré correctement (par exemple, le service "Server" pour le nom du serveur suivit de <20>)
Consulter, dans ce cas, le journal des événements pour en déterminer la cause.

Vérifier le serveur WINS par netdiag /debug /test:wins

Affiche, pour chaque interface :

Per interface results:

  Adapter : 3Com Adapter ID . . . . . . . . : {23342CA7-16FE-4A7A-9792-553150F26068}

     Netcard queries test . . . : Passed

 

     WINS service test. . . . . : Passed

         Sending name query to primary WINS server 1.5.146.48 - Passed

         There is no secondary WINS server defined for this adapter.

         The test was successful. At least one WINS server was found.

Test des noms DNS

Vérification du bon fonctionnement de DNS :

Pour le client, vérifier le journal système de l'Event Viewer
Pour le serveur, vérifier les journaux système et "DNS Server" de l'Event Viewer

Vérification de la présence du serveur DNS :

Utiliser NSLOOKUP :

Son lancement affiche le serveur DNS utilisé :

Lorsque le serveur DNS est accessible :

C:\>nslookup

Default Server:  portadid2.domdid2000.microsoft.com

Address:  1.5.146.48
>

Dans le cas ou le serveur DNS ne peut être accédé :

C:\>nslookup

*** Can't find server name for address 1.5.146.48: No response from server

Default Server:  server1.microsoft.com

Address:  1.5.128.15

>

Vérification de la résolution des noms:

Recherche d'un nom :

c:\>nslookup <nom>

Recherche d'un nom sur un serveur :

c:\>nslookup <nom> <nom_serveur>

Pour passer les commandes sur un serveur :

C:\>nslookup

>server <nom_serveur>

Visualisation des enregistrements pour une zone:

C:\>nslookup

>ls <nom_zone>  : Enregistrement de type A et NS

>ls –a <nom_zone>  : Enregistrement de type CN

>ls –t <type> <nom_zone>  : Enregistrement du type spécifié

Pour vérifier que l'adresse retournée par le serveur DNS au nom demandé est bien celle du serveur recherché :

nslookup <nom_serveur> -> Affiche l'adresse IP du serveur

nbtstat –A <adresse_ip_serveur> -> Affiche le nom du serveur (permet de vérifier si c'est le bon)

3Com:

Node IpAddress: [1.5.146.48] Scope Id: []

 

           NetBIOS Remote Machine Name Table

 

       Name               Type         Status

    ---------------------------------------------

    PORTADID2      <00>  UNIQUE      Registered

    DOMDID2000     <00>  GROUP       Registered

    DOMDID2000     <1C>  GROUP       Registered

    DOMDID2000     <1E>  GROUP       Registered

    PORTADID2      <03>  UNIQUE      Registered

    DIDGAU         <03>  UNIQUE      Registered

    PORTADID2      <20>  UNIQUE      Registered             <- Nom du serveur

    DOMDID2000     <1D>  UNIQUE      Registered

    ..__MSBROWSE__.<01>  GROUP       Registered

 

MAC Address = 00-C0-4F-EE-36-C1

Vérification de l'enregistrement de ses propres noms:

Utiliser netdiag /debug /test:dns

Affiche deux types d'information :

La configuration de chaque interface :

DNS test . . . . . . . . . . . . . : Passed

  Interface {23342CA7-16FE-4A7A-9792-553150F26068}

    DNS Domain:

    DNS Servers: 1.5.146.48

    IP Address: 1.5.146.48

    Expected registration with PDN (primary DNS domain name):

      Hostname: portadid2.domdid2000.microsoft.com.

      Authoritative zone: domdid2000.microsoft.com.

      Primary DNS server: portadid2.domdid2000.microsoft.com 1.5.146.48

      Authoritative NS:1.5.146.52 1.5.146.48 1.1.1.100

Affiche pour chaque nom déclaré :

********** * ********** * ********** * ********** * ********** *

* CHECK NAME _kerberos._tcp.domdid2000.microsoft.com. on DNS server 1.5.146.48

********** * ********** * ********** * ********** * ********** *

+------------------------------------------------------+

The record on your DC is:

DNS NAME = _kerberos._tcp.domdid2000.microsoft.com.

DNS DATA =

            SRV 0 100 88 portadid2.domdid2000.microsoft.com.

 

The record on DNS server 1.5.146.48 is:

DNS NAME = _kerberos._tcp.domdid2000.microsoft.com

DNS DATA =

            SRV 0 100 88 domikou04.domdid2000.microsoft.com

            SRV 0 100 88 portadid2.domdid2000.microsoft.com

            SRV 0 100 88 delldid1.domdid2000.microsoft.com

            SRV 0 100 88 delldomi.domdid2000.microsoft.com

+------------------------------------------------------+

 

Ré-enregistrement des noms auprès du serveur DNS :

ipconfig /registerdns

Refresh de la location DHCP et ré-enregistrement auprès du serveur DNS :

ipconfig /renew

Vérifier que la zone DNS à laquelle appartient le client est bien celle gérée par le serveur, et qu'elle correspond bien à l'espace de nommage de l'arborescence des domaines de la forêt.

Prendre en compte le fonctionnement du cache du client DNS :

Arrêt du service de cache dns :

net stop "dns client"

Reset du cache du client DNS :

ipconfig /flushdns
ou arrêter et redémarrer le service "dns client"

Affichage du contenu du cache DNS :

ipconfig /displaydns

Vérifier la durée de mise en cache par la valeur MaxCacheEntryTtlLimit (Reg_Dword) sous la clé HKLM\System\CCS\Services\DnsCache\Parameters
Par défaut 0x15180=86400s=1jour

Tests des noms DNS – Spécificités des DC

Les DC enregistrent des noms associés aux services qu'ils offrent.

Ils sont enregistrés dans le fichier netlogon.dns situé sous %windir%\system32\config

Ces enregistrements sont de type "SRV" (RFC2052)
Par exemple :

_ldap._tcp.dc._msdcs.<nom_domaine> : Pour rejoindre un domaine

_ldap._tcp.dc._msdcs.<nom_domaine_père> : Pour rejoindre un arbre

_ldap._tcp.dc._msdcs.<domaine_racine_forêt> : Pour créer un arbre dans une forêt

Chaque Enregistrement de type SRV donne le nom du host qui offre le service => Un enregistrement de type A doit être présent pour le traduire en adresse.

Ils sont ré-enregistrés toutes les heures. Aussi en arrêtant et en redémarrant NETLOGON

Pour obtenir la liste des DC dans un domaine:

nltest /dclist:<nom_domaine>

Get list of DCs in domain 'domdid2000' from '\\PORTADID2'.

delldid1.domdid2000.microsoft.com [PDC] [DS] Site: Default-First-Site-Name

portadid2.domdid2000.microsoft.com      [DS] Site: Default-First-Site-Name

The command completed successfully

ou bien :

netdiag /debug /test:dclist

Gathering the list of Domain Controllers for domain 'DOMDID2000'

 DC list for domain DOMDID2000:

      delldid1.domdid2000.microsoft.com [PDC emulator] [DS]
                                 Site: Default-First-Site-Name

      portadid2.domdid2000.microsoft.com [DS]

                                 Site: Default-First-Site-Name

Pour obtenir plus l'information sur les DC dans le domaine courrant

netdiag /debug /test:dsgetdc

Pour chaque DC, affiche les informations suivantes :

DC discovery test. . . . . . . . . : Passed

 

    Find DC in domain 'DOMDID2000':

    Found this DC in domain 'DOMDID2000':

        DC. . . . . . . . . . . : \\portadid2.domdid2000.microsoft.com

        Address . . . . . . . . : \\1.5.146.48

        Domain Guid . . . . . . : {A0AA370E-EAB4-4415-8DF8-EF47F26585BC}

        Domain Name . . . . . . : domdid2000.microsoft.com

        Forest Name . . . . . . : domdid2000.microsoft.com

        DC Site Name. . . . . . : Default-First-Site-Name

        Our Site Name . . . . . : Default-First-Site-Name

        Flags . . . . . . . . . : GC DS KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE 0x8

Recherche du PDC Emulator :

nltest / dsgetdc:<nom_domaine> /pdc

   DC: \\DELLDID1

            Address: \\1.5.146.49

   Dom Guid: a0aa370e-eab4-4415-8df8-ef47f26585bc

   Dom Name: DOMDID2000

   Forest Name: domdid2000.microsoft.com

   Dc Site Name: Default-First-Site-Name

   Our Site Name: Default-First-Site-Name

   Flags: PDC GC DS LDAP KDC TIMESERV WRITABLE DNS_FOREST CLOSE_SITE

Recherche d'un serveur de Global Catalog 
nltest /dsgetdc:<nom_domaine> /gc

Recherche d'un KDC (Key Distribution Center) 
nltest  dsgetdc:<nom_domaine> /kdc

Utiliser le paramètre /force avec nltest pour ne pas utiliser les informations en cache
(ex : nltest /dsgetdc:domdid2000.microsoft.com /kdc /force)

Tests des noms DNS – Vérification du serveur DNS

Vérifier le niveau de sécurité configuré pour DNS par la valeur UpdateSecurityLevel située sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

256 : Secure dynamic update only
16 : Unsecure dynamic update only
0 : Secure update si Unsecure update refusée : defaut

Vérifier qu'il accepte le "Dynamic Update" par l'onglet "General" des propriétés de la zone du snap-in d'administration DNS

Vérifier les permissions positionnées sur la zone par l'onglet "Security" des propriétés de la zone de l'outil d'administration

Outils d'accès au serveur DNS :

Utiliser DNSCMD par : dnscmd <nom_serveur> <commande>

Liste des zones : dnscmd /EnumZones

Visualisation de la configuration : dnscmd /info

Visualisation des statistiques du serveur : dnscmd / statistics

Clear du cache : dnscmd /clearcache

Modification de la config : dnscmd /config <paramètre><valeur>

LDAP fonctionne-t-il ?

 

LDAP (Lightweight Directory Access Protocol) est le protocole d'accès à l'AD (Active Directory).

Test de LDAP avec LDP

LDP est un outil des "Supported Tools" qui permet de passer des requêtes LDAP à l'AD.

Pour passer des requêtes LDAP avec LDP :

Lancer ldp
Sélectionner "Connect" du menu "Connexion"
Entrer le nom du DC et le port (389 par défaut pour LDAP)

Si la connexion s'effectue correctement, LDP doit afficher :

ld = ldap_open("portadid2", 389);                             <- API utilisée

Established connection to portadid2.                          <- Connexion OK

Retrieving base DSA information…                       <- Lect. Infos de base

Result <0>: (null)

Matched DNs:

Getting 1 entries:

... Informations sur l'AD ...

Test de binding

Permet de vérifier l'authentification auprès du serveur. Sélectionner l'option "Bind" du menu "Connexion"

Si le bind s'effectue correctement, LDP doit afficher :

    res = ldap_bind_s(ld, NULL, &NtAuthIdentity, 1158); // v.3         <- API

{NtAuthIdentity: User='didgau'; Pwd= <unavailable>; domain =   'domdid2000'.}

Authenticated as dn:'didgau'.                          <- Authentification OK

Test d'interrogation

Pour accéder aux objets de l'AD :
Sélectionner l'option "Tree" du menu "View".

Dans la zone "Base DN", entrer la désignation de l'objet à visualiser au format "Distinguished Name"

Par exemple :

dc=domdid2000,dc=microsoft,dc=com

Si la recherche aboutit, LDP affiche tous les objets trouvés dans la partir gauche de l'écran. La partie droite de l'écran affiche les attributs des objets trouvés

 

En cas de problème, LDP peut afficher :

***Searching...

ldap_search_s(ld, "ou=Domain Controllers,dc=domdid2000,dc=microsoft,dc=com", 1, "(objectclass=*)", attrList,  0, &msg)

Result <0>: (null)

Matched DNs:

Getting 0 entries:

Vérifier alors que l'objet recherché existe bien, que sa dénomination au format DN est correcte et que le binding a bien été fait.

Le fait que les objets soient affichés montre que les requêtes LDAP en lecture fonctionnent correctement.

 

Pour tester les requêtes d'écriture, modifier la valeur d'un attribut d'un objet par l'option "Modify" du menu "Browse" :

Test de LDAP avec ADSIEDIT

Comme LDP, ADSIEDIT est un outil des "supported tools" qui permet de passer des requêtes LDAP à l'AD Contrairement à LDP, il est implémenté sous forme de snap-in (ou composant logiciel enfichable).

Pour se connecter à l'AD avec ADSIEdit :

Charger le snap-in ADSIEdit dans une MMC (Microsoft Management Console).
Sélectionner le snap-in, puis l'option "Connect" du menu "Actions".
Entrer le nom qui sera affiché pour la connexion, le DN de l'objet auquel on désire accéder (on peut aussi sélectionner le "Naming Context" pour accéder à la racine).
Sélectionner enfin le nom du serveur auquel se connecter (le DC qui nous a validé par défaut).
Comme avec LDP, l'objet recherché est affiché dans la partie gauche de l'écran et il est possible de visualiser son contenu s'il possède lui-même des objets.

Le fait que les objets soient affichés montre que les requêtes LDAP en lecture fonctionnent correctement

Pour tester les requêtes d'écriture, modifier la valeur d'un attribut d'un objet par l'option "Properties" du menu "Action".

 

Test de LDAP avec NetDiag

Pour obtenir plus l'information sur les DC dans le domaine courrant:
netdiag /debug /test:dsgetdc

Les requêtes suivantes sont effectuées :
Connexion au serveur sans être authentifié
Connexion au serveur avec authentification et requête sur les services publiés.

Chaque requête affiche les mêmes informations que celles affichée lors de la connexion par LDP. Par exemple :

Do un-authenticated LDAP call to 'portadid2.domdid2000.microsoft.com'.

   Found 1 entries:

   Attr: currentTime

      Val: 17 20000427145444.0Z

  Attr: subschemaSubentry

      Val: 73 CN=Aggregate, CN=Schema, CN=Configuration, DC=domdid2000, DC=microsoft, DC=com

. . . Informations sur le serveur . . .

Visualisation des échanges LDAP avec Network Monitor

Les échanges LDAP sont décodés par NetMon en tant que :

Pour les requêtes : "LDAP ProtocolOp : SearchRequest" elles contiennent :

LDAP: ProtocolOp: SearchRequest (3)

   LDAP: MessageID

   LDAP: ProtocolOp = SearchRequest

   LDAP: Base Object = ou=Domain controllers, dc=domdid2000, dc=microsoft, dc=com

   LDAP: Scope = Whole Subtree

   LDAP: Deref Aliases = Never Deref Aliases

   LDAP: Size Limit = No Limit

   LDAP: Time Limit = No Limit

   LDAP: Attrs Only = 0 (0x0

   LDAP: Filter Type = Present

Pour les réponses : "LDAP ProtocolOp : SearchResponse" elles contiennent la liste des objets renvoyés, classés par type :

LDAP: ProtocolOp: SearchResponse (4)

   LDAP: MessageID

   LDAP: ProtocolOp = SearchResponse

   LDAP: Object Name = OU=Domain Controllers, DC=domdid2000, DC=microsoft, DC=com

   + LDAP: Attribute Type = canonicalName

   + LDAP: Attribute Type = description

   + LDAP: Attribute Type = distinguishedName

   + LDAP: Attribute Type = objectClass

   + LDAP: Attribute Type = ou

   + LDAP: Attribute Type = name

LDAP: Object Name = OU=Domain Controllers,DC=domdid2000,DC=microsoft,DC=com

Si le message de la réponse ne tient pas dans une trame, on voit la suite transmise dans des segments TCP.

Le DC fontionne-t-il ?

Test des fonctions du DC avec DCDiag

DCdiag permet d'analyser l'état du DC (Domain Controler).

Par défaut, DCDiag effectue une série de tests regroupés en trois types :

Les tests initiaux obligatoires :
Vérification qu'il est exécuté sur un DC
Connexion à l'AD

Collecte des informations
Identification des serveurs.

Affiche en mode verbose :

DC Diagnosis

 

Performing initial setup:

   * Verifing that the local machine delldid1, is a DC.

   * Connecting to directory service on server delldid1.

   * Collecting site info.

   * Identifying all servers.

   * Found 4 DC(s). Testing 1 of them.

   Done gathering initial info.

 

Doing initial non skippeable tests

  

   Testing server: Default-First-Site-Name\DELLDID1

      Starting test: Connectivity

         * Active Directory LDAP Services Check

         * Active Directory RPC Services Check

         ......................... DELLDID1 passed test Connectivity

Les tests liés au DC

S'il est passé avec succès, chaque test affiche par défaut :

Starting test: <nom_du_test>

  ......................... <nom_serveur> passed test <nom_du_test>

S'il échoue, chaque test affiche par défaut :

Starting test: <nom_du_test>

  ......................... <nom_serveur> failed test <nom_du_test>

En mode "verbose", il affiche, en plus, des informations sur les données testées.

Par défaut les tests suivants sont effectués. Il est possible de les exécuter séparément par le paramètre /test:<nom_du_test> ou de les exclure par /skip:<nom_du_test>.

Réplication (/test:replication)

Affiche, un message pour chaque réplication qui n'a pas aboutit avec les DC du domaine

Par exemple :

[Replications Check,DELLDID1] A recent replication attempt failed:

 From PORTADID2 to DELLDID1

Naming Context: CN=Schema,CN=Configuration,DC=domdid2000,DC=microsoft,DC=com

The replication generated an error (1722):

Win32 Error 1722

The failure occurred at 2000-04-29 13:01.18.

The last success occurred at 2000-04-28 18:29.00.

74 failures have occurred since the last success.

[PORTADID2] DsBind() failed with error 1722,

Win32 Error 1722.

The source remains down. Please check the machine.

Vérification des permissions sur chaque "Naming Contexts" pour la réplication (/test:NCSecDesc)

Affiche, des informations du type :

 * Security Permissions Check for           CN=Schema,CN=Configuration,DC=domdid2000,DC=microsoft,DC=com

Vérification des privilèges nécessaires à la la réplication (/test:netlogon)

Vérification que le DC déclare correctement ses services (/test:advertising)

Starting test: Advertising

  The DC DELLDID1 is advertising itself as a DC and having a DS.

  The DC DELLDID1 is advertising as an LDAP server

  The DC DELLDID1 is advertising as having a writeable directory

  The DC DELLDID1 is advertising as a Key Distribution Center

  The DC DELLDID1 is advertising as a time server

  The DS DELLDID1 is advertising as a GC.

  ......................... DELLDID1 passed test Advertising

Vérification que le DC connaît les détenteurs des rôles FSMO et qu'il peut les atteindre (/test: KnowsOfRoleHolders)

Affiche, pour chaque rôle FSMO :

Role Schema Owner = CN=NTDS                  <-Ici pour le rôle Schema master

Settings,CN=DELLDID1, CN=Servers, CN=Default-First-Site-Name, CN=Sites, CN=Configuration, DC=domdid2000, DC=microsoft, DC=com

Vérification que le DC connaît le détenteur du rôle FSMO RidManager, qu'il peut l'atteindre et de son paramétrage (/test:Ridmanager)

Affiche :

* Available RID Pool for the Domain is 4614 to 1073741823

* delldid1.domdid2000.microsoft.com is the RID Master

* DsBind with RID Master was successful

* rIDAllocationPool is 2102 to 2601

* rIDNextRID: 2107

* rIDPreviousAllocationPool is 2102 to 2601

......................... DELLDID1 passed test RidManager

Vérification du compte machine pour le DC (/test:machineaccount)

Vérification des services sur lesquels repose le fonctionnement de l'AD (/test:services)

Affiche :

* Checking Service: Dnscache

   * Checking Service: NtFrs

   * Checking Service: IsmServ

   * Checking Service: kdc

   * Checking Service: SamSs

   * Checking Service: LanmanServer

   * Checking Service: LanmanWorkstation

   * Checking Service: RpcSs

   * Checking Service: RPCLOCATOR

   * Checking Service: w32time

   * Checking Service: TrkWks

   * Checking Service: TrkSvr

   * Checking Service: NETLOGON

   * Checking Service: Dnscache

   * Checking Service: NtFrs

......................... DELLDID1 passed test Services

Vérification que le compte machine du DC et l'objet NTDS ont bien été répliqués sur tous les DC du domaine (/test:ObjetctsReplicated)

Affiche :

Starting test: ObjectsReplicated

DELLDID1 is in domain DC=domdid2000,DC=microsoft,DC=com

 

Checking for CN=DELLDID1, OU=Domain Controllers, DC=domdid2000, DC=microsoft, DC=com in domain DC=domdid2000, DC=microsoft, DC=com on 1 servers

Object is up-to-date on all servers.

 

Checking for CN=NTDS Settings, CN=DELLDID1, CN=Servers, CN=Default-First-Site-Name, CN=Sites, CN=Configuration, DC=domdid2000, DC=microsoft, DC=com in domain CN=Configuration, DC=domdid2000, DC=microsoft, DC=com on 1 servers

Object is up-to-date on all servers.

......................... DELLDID1 passed test ObjectsReplicated

Vérification de la réplication de SYSVOL (/test:frsysvol)

Vérification du "Knowledge Consistency Checker" (/test:kccevent)

Affiche les éventuels messages d'erreurs de l'event log relatifs au KCC.

Vérification qu'aucune erreur n'a été enregistrée dans le journal System de l'event log au cours des 60 dernières minutes(/test:systemlog).

Dans le cas contraire, ces erreurs sont affichées.

Les tests généraux à l'ensemble des DC :

Vérification que la réplication inter-sites fonctionne correctement (/test:intersite)

Vérification que le DC connaît les serveurs possédants des rôles globaux pour la forêt ou le domaine (/test:fsmocheck)

Affiche :

Starting test: FsmoCheck

         GC Name: \\delldid1.domdid2000.microsoft.com

         Locator Flags: 0xe00001fd

         PDC Name: \\delldid1.domdid2000.microsoft.com

         Locator Flags: 0xe00001fd

         Time Server Name: \\delldid1.domdid2000.microsoft.com

         Locator Flags: 0xe00001fd

         Preferred Time Server Name: \\delldid1.domdid2000.microsoft.com

         Locator Flags: 0xe00001fd

         KDC Name: \\delldid1.domdid2000.microsoft.com

         Locator Flags: 0xe00001fd

         ......................... domdid2000.microsoft.com passed test FsmoCheck

L’authentification fonctionne-t-elle ?

Vérification des permissions sur les comptes

Comme tout objet de l'Active Directory, les comptes utilisateurs possèdent des security descriptors.

Pour y accéder, utiliser le snap-in "Active Directory Users and Computers".

Sélectionner le compte et utiliser l'onglet "Security" pour visualiser les permissions.

 

Vérification des secure chanel

Vérifier dans le journal System de l'Event log la présence des évènements suivants en registrés par Netlogon :

Event id 3210 :

"Failed to authenticate with \\<nom_DC>, a Windows NT domain controler for domain <nom_domaine>

 

Event id 5722 :

"The session setup from the computer <nom_machine>  failed to authenticate. The name of the account referenced in the security Database is <nom_compte>.

Dans ce cas :
Tester le secure chanel
Le réinitialiser en cas de problème

Pour visualiser tous les domaines avec lesquels une relation d'approbation est établie :
nltest /domain_trusts

Par exemple :

C:\temp>nltest /domain_trusts

List of domain trusts:

    0: CLUDOM cludom.domdid2000.microsoft.com (NT 5) (Forest: 4) (Direct Outbound) (Direct Inbound)

    1: DOMTEST domtest.domdid2000.microsoft.com (NT 5) (Forest: 4) (Direct Outbound) (Direct Inbound)

    2: HOMEDOM (NT 4) (Direct Outbound) (Direct Inbound)

    3: DOMDID (NT 4) (Direct Outbound) (Direct Inbound)

    4: DOMDID2000 domdid2000.microsoft.com (NT 5) (Forest Tree Root) (Primary Domain) (Native)

Pour tester le secure chanel, utiliser :
nltest /sc_query:<nom_domaine>

Par exemple :

nltest /sc_query:domdid2000

Flags: 30 HAS_IP  HAS_TIMESERV

Trusted DC Name \\portadid2.domdid2000.microsoft.com

Trusted DC Connection Status Status = 0 0x0 NERR_Success

The command completed successfully

Pour vérifier par quel DC un login va être authentifié :

nltest /WhoWill:<nom_domaine> <nom_user>

Par exemple :

nltest /whowill:cludom administrator

 [11:50:37] Response 0: S:DELLDID2 D:CLUDOM A:administrator (Act found)

 [11:50:39] Mail message 0 sent successfully (\MAILSLOT\NET\GETDC131)

The command completed successfully

Reset du secure Chanel

nltest /sc_reset:<nom_domaine>

Reset du secure chanel vers un DC particulier

nltest /sc_reset:<nom_domaine>\<nom_dc>

Changement du password du computer account 

nltest /sc_change_pw:<nom_domaine>