【AD】桌面云AD域控问题排查思路

agree [复制链接]
发表于 : 2017-9-8 09:08:59 最新回复:2017-09-19 11:47:03
5884 9
MrPioneer    

目录

局方AD问题排查思路... 2

1       登录异常... 2

1.1            检查AD服务是否正常... 2

1.2            检查网络是否正常... 3

1.3            检查时间是否同步... 4

1.4            检查AD复制是否正常... 4

1.5            检查AD域策略... 6

2       发放异常... 7

2.1            检查是否存在重名... 7

2.2            检查域账号权限... 7

2.3            检查账号状态... 9

2.4            检查AD域策略... 10

3       配置异常... 10

3.1            配置AD域信息失败... 11

3.2            配置时间同步失败... 11

4       相关日志收集... 11

4.1            云桌面域策略收集... 11

4.2            AD服务器日志收集... 11

 


 

局方AD问题排查思路

       AD作为桌面云环境基础组件之一,提供用户认证登录、访问局域网资源、部署组策略,有很重要的作用。本文档主要讨论桌面云对接客户AD遇到问题的排查思路,针对登录、发放和配置这三方面进行介绍。

 

1     登录异常

用户连接登录虚拟机的过程包括:虚拟机向HDC注册、用户登录WIAD上校验用户,WIHDC获取用户虚拟机列表、用户选择虚拟机、虚拟机预登录、建立Socket的连接、协议协商交互、虚拟机自动登录、重定向服务启动等多个阶段,这里主要讨论AD异常的情况。常见错误情况如下:

l  登录WI,提示用户名密码错误

l  登录WI之后,看不到链接克隆等动态池虚拟机

l  选择虚拟机登录后,界面提示失去信任关系

1.1  检查AD服务是否正常

1、 登录主AD服务器,在运行框输入services.msc,打开服务管理界面。

20170908090528849001.png

2、 检查如下服务是否为启动状态:

Active Directory Domain Services

Active Directory Web Services

Kerberos Key Distribution Center

20170908090529086002.jpg

20170908090530733003.jpg

1.2  检查网络是否正常

1、 登录WI服务器,使用nslookup工具查询ADIP记录,如下图:

20170908090531388004.jpg

(normal)

20170908090532218005.jpg

(abnormal)

2、 查询AD上服务端口是否正常。

端口/协议

服务

备注

389/TCP/UDP

LDAP

轻型目录访问协议

3268/TCP

LDAP GC

LDAP 全局编录服务器

9389/TCP

ADWS

Active Directory Web Services

53/TCP/UDP

DNS

域名解析服务

88/TCP/UDP

Kerberos

网络认证协议

20170908090533132006.png

(normal)

20170908090534001007.jpg

(abnormal)

1.3  检查时间是否同步

1、 检查主备AD之间时间是否同步。

20170908090535041008.png

2、 检查ADWI/HDC/DB/ITA/LIC等基础组件服务器的时间是否同步。

20170908090536853009.jpg

1.4  检查AD复制是否正常

1、分别登录主备AD,打开cmd窗口,输入repadmin /showrepl,查看复制是否正常。如下图提示,AD主备复制正常。20170908090537124010.png

2、在cmd窗口,输入repadmin /replsum /bysrc /bydest /sort:delta,查询主备AD复制统计信息。如下图提示,AD主备复制无失败记录。

20170908090538024011.png

1.5  检查AD域策略

1、登录主AD服务器,在运行框输入gpmc.msc,打开组策略管理界面。

20170908090539305012.png

1、 检查AD上是否开启LDAP协议通信。(R6版本)

20170908090540309013.png

2、 检查账户锁定策略。

20170908090541268014.jpg

2     发放异常

虚拟机的发放包含如下阶段:创建虚拟机和查询虚拟机状态、重命名虚拟机、加入域、将用户加入虚拟机权限组、为虚拟机注册表写入信息、分配时重命名虚拟机和重启虚拟机、创建计算机账号、检查虚拟机上的HWPrep服务是否正常等多个阶段,这里主要讨论AD异常的情况。常见错误情况如下:

l  创建计算机账号失败

l  重命名虚拟机失败

l  虚拟机加域失败

2.1  检查是否存在重名

登录主AD服务器,查看发放虚拟机所在OU是否存在相同的计算机名或用户名。同一个OU下,不能有相同的名字(计算机名或用户名)。

2.2  检查域账号权限

名称

内容(举例)

备注

域管理员账号

vdsadmin

需要在AD上有创建/删除计算机的权限。

账号最低权限:创建/删除计算机账号

1、登录FusionAccess管理界面,依次进入系统管理 > 初始配置 > /OU”,检查配置的域管理员账号。

20170908090542144015.jpg

2、登录主AD服务器,在运行框输入dsa.msc,打开AD用户和计算机管理界面,依次点击查看 > 高级功能

20170908090543602016.png

20170908090543925017.png
       3、选择发放虚拟机所在OU,右键查看属性。

20170908090544065018.jpg

4、依次点击安全 > 高级,弹出高级权限管理界面,查看FusionAccess界面配置的域管理员是否有创建/删除计算机最低权限。

20170908090545139019.png

20170908090546180020.png

 

2.3  检查账号状态

名称

内容(举例)

备注

域管理员账号

vdsadmin

需要在AD上有创建/删除计算机的权限。

Tomcat域账号

ITAServiceUser

R5版本,链接克隆虚拟机,需要将该账号加入到本地administrators组。

模板本地账号

vdesktop_user

R5版本,需要将该账号加入到本地administrators组。

登录主AD服务器,查看域管理员账号属性,是否为锁定或过期状态。

20170908090547098021.png

2.4  检查AD域策略

名称

内容(举例)

备注

模板本地账号

vdesktop_user

R5版本,需要将该账号加入到本地administrators组。

检查AD上是否存在账号相关的组策略,将Tomcat账户从虚拟机内部移除,导致重启后获取机器名时报拒绝访问。(R5版本)

3     配置异常

ITA界面和AD相关的配置有:域/OU 、时间同步,本小节主要讨论AD异常的情况。

3.1 配置AD域信息失败

请参考1.1-1.4小节检查客户AD是否正常。

3.2 配置时间同步失败

当对接客户已存在的AD时,AD时间同步由客户自己保证,ITA上无需配置。

4     相关日志收集

4.1  云桌面域策略收集

登录到云桌面查看应用到该虚拟机的域策略。

1、登录FusionCompute管理界面,使用VNC登录云桌面虚拟机。

2、选择开始 > 运行,输入“cmd”后单击确定,输入gpresult /V > c:\gpresult.txt ,将域策略保存到C:\gpresult.txt文件中。

20170908090548575022.jpg

4.2  AD服务器日志收集

l  Windows事件日志

1、 登录主AD服务器,在运行框输入eventvwr.msc,打开事件查看器。

20170908090549339023.png

2、 保存应用程序安全系统事件日志。

20170908090550518024.png

 


本帖最后由 MrPioneer 于 2017-09-08 09:12 编辑

评分

参与人数 2E币 +60 威望 +1 收起 理由
孙文峰 + 10 赞一个
wangxm + 1
wangxm + 50

查看全部评分

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
建赟  专家   发表于 2017-9-8 10:09:21 已赞(0) 赞(0)

学习一下
  • x
  • 常规:

点评 回复

漂移的河蟹     发表于 2017-9-8 17:06:30 已赞(0) 赞(0)

万分感谢。。。。
  • x
  • 常规:

点评 回复

痞子的寂寞     发表于 2017-9-13 21:05:13 已赞(0) 赞(0)

总结的全面,感谢!
  • x
  • 常规:

点评 回复

痞子的寂寞     发表于 2017-9-13 21:05:24 已赞(0) 赞(0)

总结的全面,感谢!
  • x
  • 常规:

点评 回复

痞子的寂寞     发表于 2017-9-13 21:05:37 已赞(0) 赞(0)

总结的全面,感谢!
  • x
  • 常规:

点评 回复

jx142_liuz.w     发表于 2017-9-13 22:07:14 已赞(0) 赞(0)

感谢分享
  • x
  • 常规:

点评 回复

好好学习2     发表于 2017-9-16 15:01:09 已赞(0) 赞(0)

总结的全面,感谢!学习了
  • x
  • 常规:

点评 回复

共享IT实验平台QQ群 580734870
cymation  新锐   发表于 2017-9-19 11:37:02 已赞(0) 赞(0)

总结的全面,感谢!学习了
  • x
  • 常规:

点评 回复

不靠谱的华为     发表于 2017-9-19 11:47:03 已赞(1) 赞(1)

桌面云就是垃圾,吹的***得很,其实就一颗老鼠屎,根本就不成熟,坏华为名声。研发部还不作为,不处理问题,和技术部,市场部相互推委
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!

登录参与交流分享

登录
快速回复 返回顶部