活动目录工具

　　1、ADFind
　　最好的活动目录查询工具之一，就像Win2003的Dsquery一样让人兴奋，由Joe Richards开发，可从其网站http://www.joeware.net上下载其所开发的其他工具集。

　　具体使用方法可运行“Adfind /？”命令。
　　如查找Workstation组织单元中，名字以rallen开头的计算机对象，并且显示每个查找到的对象的name和whenCreated属性：
Adfind –b “ou=workstation,dc=rallencorp,dc=com” \
-f “(&(objectcategory=computer)(name=rallen*))” \
name whenCreated

　　可以使用-h选项来指定特定的域控制器，使用-gc选项来查找全局编录，使用-u和-up指定用户名和密码。

　　可以使用-root、-default、-config和-schema选项来把基准分辨名称(base distinguished name)分别设置成根域的默认命名上下文、默认域的默认命名上下文、配置命名上下文和构架命名上下文，如果使用了上述任一个，就不用再使用-b选项。

　　如在森林根域树下所有名字以“HR”开头的组中查找全局编录：
　　Adfind –gc –root –f “(&(objectcategory=computer)(name=HR*))” name另外，还可以使用-sort、-rsort选项对输出做基于属性值的排序或逆排序，可以使用-showdel选项来显示已被删除的选项，可以使用-elapsed选项来显示查询完成所花费的时间，可以使用-tdc选项来解码基于时间的大整数属性值。

　　2、AdMod
　　AdMod类似于微软的Dsmod、Dsmove和Dsrm命令行工具，可以使用Admod来修改(默认动作)、移动(-move选项)、重命名(-rename)、删除(-del和-treedelete)和反删除(-undel)对象，反删除仅在Win2003 AD中有效。

　　修改单个对象，需要用-b选项来指定基准分辨率名称，在命令的结尾处，需要用如下格式来指定属性动作：
“Attribute:Operation:Value(s)”
Attribute是需要修改的属性名。
Operation代表在该属性上所执行的动作，一共有5个可能的动作：
q 指定-字符，用来对某单值属性添加值；
q 包括-字符，用来清除某个单值或多值属性；
q 指定++字符，用来对某多值属性添加多个值；
q 包括--字符，用来删除某多值属性的一个或多个值；
q 不包括任何字符，用来更新某个单值或多值属性值。
Value(s)表示所想更新、添加或删除的字串值。
q 对于默认情况和+*作，只需指定一个值；
q 对于++和--*作，要用一个分号分隔的列表来指定多个值；
q 对于-*作，不需指定任何值。
譬如，如下命令把rallen用户帐号的scriptpath属性更新为login.vbs：
admod -b cn=rallen,cn=users,dc=rallencorp,dc=com “scriptpath::login.vbs”
下面是如何清除同一用户的scriptpath属性值：
admod -b cn=rallen,cn=users,dc=rallencorp,dc=com “scriptpath:-:”
下面的例子可以一次修改一批对象，从而清除默认域中所有用户的scriptpath属性值：
adfind –default –f “(&(objectcategory=person)(scriptpath=*))” –dsq | admod –unsafe “scriptpath:-:”
-dsq选项只返回匹配对象的可分辨名称，并且把它们各自在单独的行上排开，默认情况下，admod一次只能修改10个对象，可以指定-safety选项和所修改对象的数目，如果不想受任何限制，可以使用-unsafe选项。

　　3、OldCmp
　　使用OldCmp命令可以搜索、禁用或删除非活动计算机帐号。一个计算机对象的pwdLastSet属性存储着该计算机密码的老化日期，然后，pwdLastSet属性是一个大整数类型值，需要特别的计算才能得到正确的值。

　　OldCmp默认认为密码存在超过90天，就认为该计算机处于非活动状态，可以使用-age选项指定老化日期。

　　当使用OldCmp来执行一个搜索的时候，必须指定以下三种可能选项中的至少一种：
q -report，生成一张列有非活动计算机帐号的HTML报告列表；
q -delete，删除非活动计算机帐号；
q -disable，禁用非活动帐号。
OldCmp生成的HTML文件会被放到该工具的运行目录下，除非使用-file选项指定了一个替换位置；如果指定-sh选项，OldCmp会在生成HTML文件后自动打开它。

　　由于上述三个命令为同一人所写，所以都有类似的选项。
　　-safety选项用来限制所能删除或禁用的帐户数量，-forreal用来真正删除或者禁用帐户。
Oldcmp -report -file cinactive.html
oldcmp -delete -onlydisabled -safety 100 -forreal -append -file cdeleted_comps.html
oldcmp -disable -age 180 -safety 100 -forreal -append -file cdisabled_comps.html

　　4、Dsrevoke
　　活动目录可以很容易对特定帐号进行委派访问设置，但撤销委派访问却比较麻烦，微软提供的Dsrevoke工具可用来迭代组织单元的内容和删除一个特定安全主体所包含的所有访问控制条目，可在微软网站下载。

　　可以用Dsrevoke来搜索(/report选项)或者删除(/remove选项)包含有特定主体的访问控制列表，另外还需要使用/root选项指定一个开始搜索或删除的根。在命令行结尾还要写上想搜索或删除的安全主体的名称。

　　譬如，搜索workstations组织单元上所有包含Data Admins安全主体的访问控制条目：
dsrevoke /report /rootu=workstations,dc=rallencorp,dc=com “rallencorp\data admins”
遗憾的是，Dsresovke只能用在组织单元和域上，而不能作用于诸如默认的“计算机”(cn=computer)或“用户”(cn=users)之类的容器。

　　5、AdResore
　　当活动目录中的对象被删除的时候，并不是彻底地消失了，此时的对象只是成为一个“墓碑记录”，60(默认的墓碑记录生存周期)天后，墓碑记录才会被永久删除。

　　在Win2003发布之前，没有办法使墓碑记录复活。不过，可以使用Sysinternals的AdRestore工具部分恢复被删除的对象。

　　如果不加参数，AdRestore命令列举出当前域中所有被删除的对象。

　　6、ADMT
　　微软免费工具，用来在两个域之间迁移活动目录对象，避免了因为升级AD所带来的DC必须离线、升级失败后的不可恢复、升级时间有限等问题，而且ADMT还支持密码的迁移和SIDHistory。

　　7、NetDom
　　重置DC与其复制伙伴之间的安全通道，要重置安全通道，请在不能浏览或映射网络驱动器的DC上将“kerberos key密钥分发中心”服务设置为手动，并停止，以后视需要可再启动，然后，键入如下命令：
netdom resetpwd /server:复制伙伴服务器名 /userd:域名\管理员ID /password:*
复制伙伴服务器名：所在DC的FQDN或NetBIOS名；
域名\管理员ID ：NetBIOS域名和管理员ID；
然后重起DC。

[ Last edited by 北狼 on 2005-9-24 at 10:31 ]

　　ADMT
　　详细使用方法：
　　http://support.microsoft.com/default.aspx?scid=kb;zh-cn;326480

[ Last edited by 北狼 on 2005-9-24 at 10:26 ]

　　ADMT

　　恢复被删除对象的好工具adrestore

　　Dsrevoke

　　使用 Netdom.exe 重置 Windows 2000 域控制器的机器帐户密码

　　＂AdFind、AdMod、OldCmp＂这三个工具，不知是这个＂http://www.joeware.net＂网站被关闭了，还是被禁止访问了，没有找到。希望有此程序的会员共享出来，谢谢！

　　微软近日发布了LimitLogin 1.0，功能包括：

　　域登陆安全方案:微软LimitLogin

　　微软为了增强当前Active Directory（活动目录）域交互式用户登陆的限制，发布了LimitLogin v1.0。这个软件同样可以记录Active Directory域内的所有登陆信息。

　　事实上，在一个分布环境限制当前登陆是相当困难的。虽然LimitLogin不是这方面的全能解决方案，但仍然在银行，ISP，图书馆等领域受到众多用户的青睐。

　　LimitLogin具体功能：
　　- 限制域内各台计算机每个用户的登陆次数，包括终端服务器会话。
　　- 按照明确的规则（如一个特殊客户端或域控制器的所有登陆会话，或所有计算机中某个正在登陆的用户），显示域内每个用户的登陆信息
　　- 整合Active Directory MMC（Microsoft Management Console，微软管理控制台）snap-ins（嵌入式管理单元），方便管理和设置
　　- 删除和注销来自Active Directory Users和Computers MMC snap-in的远程用户会话
　　- 依照CSV (Excel)XML格式产生登陆报表

　　注意：LimitLogin类似于软件包或支持工具，微软不对它给予支持。

　　引用
　　•限制域中的用户登录数（包括终端服务器）
　　•分类别的显示域中任何用户的登录信息（如：某Domain Controller的登录进程，某确定的用户登录的所有机器）
　　•通过集成到Active Directory MMC（Microsoft Management Console）简单管理配置
　　•能从Active Directory Users and Computers MMC远程删除，注销用户进程
　　•生成CSV和XML格式的登录信息

　　早期还是Beta时，微软Beta Team的声明：
　　•引用 The Microsoft LimitLogin TeamLimitLogin adds the ability to limit concurrent user logins in an Active Directory domain. This tool will be released as a resourcekit tool for Windows 2003, it requires IIS 6 and is not supported (as all resource kit tools).

　　目前尚未有官方关于Limitlogin的Web页面，提供一个下载链接：
http://download.microsoft.com/downl.../limitlogin.exe

[ Last edited by 北狼 on 2005-9-24 at 11:27 ]

　　活动目录的配置与变更管理工具

　　Windows Server 2003和Windows 2000可以让你很方便地在相关的服务器上执行活动目录的基本审核。例如，你可以获知有谁登录过活动目录，谁在服务器上*作过一个文件。你甚至可以确定某人是在什么时候建立了新的组策略对象（GPO）或把活动目录的特权授予给了某一个新用户。

　　然而，活动目录这种开箱即用的审核功能有很多不足。在一些敏感区域，如Default Domain Policy和Default Domain Controllers Policy组策略对象，在应用时必须非常小心。如果有人利用了这些组策略对象中的任一个，那么整个域的环境都将处于危险之中。确定是谁进行的修改，修改了什么，什么时候修改的，这些信息对于把域环境恢复到正常的功能状态是极其重要。

　　有时，这些开箱即用的功能不能带来所有的答案，你需要更为高级的功能。这里，再举一个组策略对象的例子，活动目录审核可以告诉你在什么时候这个组策略对象被修改，却无法指明组策略对象的哪个部分发生了改变。

　　确定活动目录的修改是何时发生的，更重要的是，知道是谁对它们做了修改可以帮助你在必要时快速、简单地修复系统。于是，活动目录的变更与配置管理（Change and Configuration Management，CCM）产品就应运而生了。

　　活动目录的CCM产品活动目录的CCM产品不仅仅是简单地审核活动目录。这些工具还提供错误修改定位的功能，并且可以在域的环境中实现审批更改的功能。

　　因为活动目录集成了如此多的功能，每个供应商以及他们的每款产品，对于活动目录CCM的目的和界面的实现都会稍有不同。如果你的主要目的是希望通过组策略全面管理域环境，并且希望防止无意中对活动目录的修改，你可以考虑使用工具以签入/签出模式来分阶段实施组策略的配置。这种工具的思路很简单：首先，某人创建一个提议的组策略对象，准备在域中或某个组织单元上使用。接下来，这个人可以很简单地把这个组策略对象签入到尚未发布的组策略对象库中。然后，在经过公司的批准过程后（理想的方式是通过一些集中的授权），组策略对象才可以正式实施。另外，还有一些组策略对象管理工具可以帮助你确定谁可以更改组策略对象，以及精确到哪个人修改了哪一处——这是一个非常有价值的功能，尤其是当有用户绕过了审批过程时。

　　活动目录负责管理用户账号并委派安全设置。许多公司都有自己的信息处理标准以保证用户和组的命名标准，组织单元的结构和命名标准，和安全权利的委派等等。但是活动目录这种开箱即用的工具集并不能保证对象或属性确实都符合你们的标准设置或命名标准。如果你想确保活动目录内的实施是一致的，可以寻找这样的工具，它可以帮助你筛选出哪些对象或安全权利不符合公司的命名与配置标准。如果你打算走的更远些，考虑使用那些可以强制进行统一的配置和命名标准的工具，并把那些不符合的对象重置以符合公司的标准。

　　当你在评估关于活动目录的CCM工具时，应该寻找那些既可以帮助你确定目前活动目录的状态也能分辨被做过的更改的工具。通过活动目录部署和日常的维护，可以和你手头工作结合的工具就是最好的工具。把所做的所有修改都打包成可恢复的，这样，你的工作才有意义。

　　管理活动目录委派控制的几个工具

　　要实现活动目录的委派控制是一项比较令人困惑和费解的工作，下面我们要介绍几个相关有用的工具。

　　使用微软管理控制台（Microsoft Management Console）中的Active Directory 用户和计算机管理单元。在这个管理单元中除了可以管理标准的用户、组和计算机账号，你还可以管理活动目录的安全。在默认情况下，活动目录的安全选项是隐藏的，你可以通过MMC中选择“查看”*“高级功能”。在进入高级功能视图后，你会发现每一个对象的属性中都增加了一个可以设置权限的“安全”的选项卡。你可以使用“控制委派向导”来配置基本的委派控制功能。右键点击需要委派控制的组织单位，选择“委派控制”然后按照“控制委派向导”的提示来完成配置过程。在使用“控制委派向导”的过程中，她并不能显示组织单位当前的权限清单，也不能删除以前设置的权限，所以在日复一日的系统管理的过程中，你会发现前面提到的设置权限的“安全”的选项卡会变得十分有用。

　　使用微软管理控制台（Microsoft Management Console）中的ADSI Edit管理单元。这个工具包含在Windows 安装光盘的Windows 2000支持工具中。通过使用这个管理单元你可以访问所有对象的属性值。同样，ADSI Edit管理单元可以显示设置权限的“安全”的选项，如图1。这个与Active Directory 用户和计算机工具不同的是，默认设置下，Active Directory 用户和计算机的安全设置是隐藏的，而ADSI Edit则可以显示所有的安全属性值。

　　图1 显示设置权限的“安全”的选项

　　Dsacls。这个命令行工具也是随着Windows 2000支持工具一起安装的。就像可以使用Cacls 这个命令行工具对文件系统进行权限设置一样，你可以使用Dsacls 对目录进行权限设置。Dsacls 的一个好处就是，她可以显示所有曾经设置过的权限。从这个角度说，使用 Dsacls 工具就要比使用“Active Directory 用户和计算机”里的“安全”的选项卡的工作效率要高很多。

　　Acldiag。这个命令行工具与Dsacls很相似，同时她也是Windows 2000支持工具之一，她也可以查看和设置活动目录的权限，如图2。

　　另外这个工具还有一个很少人注意的功能，她可以显示某个委派任务是通过哪一次的“控制委派向导”完成的。这个特点显得尤其有用，特别是在“控制委派向导”无法提供曾经委派的工作的时候。还有在某些情况下，使用Acldiag还可以纠正与任务模板不符的访问控制列表(Access Control Entries)。

　　第三方工具。另外还有一些第三方提供的委派控制的工具值得一试，比如Aelita公司的 Enterprise Directory Manager、BindView提供的 bv-Admin for Windows 2000、Quest Software公司的 FastLane ActiveRoles以及网络管理专家NetIQ提供的Directory Security Administrator 都在这个领域提供了优秀的产品。

　　图2 查看和设置活动目录的权限

　　对活动目录的批量导入和导出的逐步指南

　　Active Directory 管理分步指南

　　排除AD复制故障的6个基本工具

　　一、复制

　　Active Directory（AD）复制是如何工作的？当它不能正常运行的时候我们应该做些什么？

　　在这之前，你的公司已经部署了Windows 2000及Active Directory，所有的事情已经很完美地工作了一段时间，但现在你开始感觉到Windows 2000并没有完全像Microsoft所承诺的那样完美。许多管理员并没有对排除正常的目录服务逐渐变坏所产生的故障做好准备。不幸的是，AD的复制是Windows 2000中一个很少去理解的功能，现在是逐步展开理解复制的内部工作原理并发现可用的故障排除工具的时候了。

　　复制概述

　　AD是一个数据库，默认地，每个域控制器（DC）在它的“\winnt\ntds”文件夹中以ntds.dit文件形式存储这个数据库的一个副本。AD数据库从逻辑上划分为三个目录分区，又称为命名上下文（Naming Context，NC），它们分别是架构NC（Schema NC）、配置NC（Configuration NC）以及域NC（Domain NC）。森林中所有的DC都拥有同样的架构NC和配置NC，因为这些信息是在森林范围被定义的，而在一个AD域中的每个DC上拥有本域的域NC的同样的副本。如果DC被指派为全局编录（GC）服务器，那么这台DC同时包含森林中其他域的域NC的一部分副本，这部分副本包括所有来自个域中的对象，但仅仅是属性的一个子集。

　　复制是AD在域或森林中对拥有这些信息的所有DC之间的信息进行同步的一种机制。AD使用知识一致性检查器（Knowledge Consistency Checker ，KCC）、站点（Site）、站点链路(Site Link)和连接对象(Connection Object)来实现这个复制*作。

　　KCC是运行在所有DC上的一个内置进程，用来创建森林的复制拓扑。你可以使用站点来组织附近网络中被高速连接在一起的DC，你的网络与AD构架决定了一台DC是否属性高速连接，许多公司认为连接各DC的网络速度达到10M以上带宽就可称之为高速连接。站点的创建通常以子网为基础，如果多个子网高速连接在一起，你也可以把他们组织为一个站点。一个站点内DC之间的复制称为站内复制，为了建立一个站内复制拓扑，KCC自动在站点内的DC之间创建连接对象。连接对象同样也是跨站点连接DC的单向连接器。每个链路就像一条通道，表示一个从源DC到目的DC的入站链接。在站点内两台DC相互之间复制目录数据之前，你必须建立两个分离的连接对象。

　　如果有些DC之间没有高速连接，你就需要创建多个站点，分离的站点之间的复制称为站间复制。AD管理员使用Active Directory站点与管理控制台（MMC）管理单元来创建站点链路，它提供了站点之间进行数据复制的通道。在AD管理员建立这些通道之后，KCC在链接的站点之间创建连接对象。典型情况下，并不是所有的DC共享所有的信息（比如，各个域中的DC可能维护不同的数据）。因此，KCC可能需要建立多个连接对象来确保在整个企业中的每个NC被完全复制。在图1中显示了一个站间连接对象的例子，站点A与站点B通过一个手工创建的站点链路连接。在这个例子中，KCC已经创建了两个单向连接对象复制来自同一个域中二台DC之间的三个NC。

　　桥头服务器（bridgehead server）是复制拓扑中另一个组件，如果你使用过Microsoft Exchange服务器，你应该熟悉这个服务器的角色。为了增加复制的有效性，KCC不会对一个站点内所有的DC与另一个站点内所有的DC之间创建单个连接对象，相反，KCC在两台桥头服务器（每个站点中一台）之间使用存储并转发的信息复制机制。然后桥头服务器使用站内复制把信息复制到它所在站点的其余DC上。关于桥头服务器的更多信息，请参见附文《桥头服务器》。

　　复制得到了什么？

　　考虑AD对更改一个DC的目录对象的能力，AD需要一种有效的方法去判断哪一个对象已经被更改以及是否需要被复制到复制伙伴的其他DC中。AD使用更新顺序号（Update Sequence Number，USN）来跟踪什么时候目录发生变化，USN是由AD在本地每台DC指定的64位计数器。当AD、用户、管理员或者应用程序更新一个属性时，DC查看属性的当前USN值，把值增加，并且对更新的对象指定一个新的值作为它本地的USN。

　　在AD复制拓扑内部，复制伙伴以一种高水印（high-watermark）值的方式来保持他们对来自源DC最近更新的跟踪。当一个目的DC从源DC请求更新时，为返回更新，目的DC会把它的高水印值发送给源DC，源DC以这个高水印值作为一个基准，仅发送高水印值高于这一基准的目录对象到目的DC，因此减少了网络线路中不必要的复制数据流量。

　　最新矢量（Up-to-dateness Vector）与高水印值协同工作可以把复制数据量降到最小。二者的区别是高水印值考虑的是对象，最新矢量考虑的是属性。在一次复制数据交换期间，一台目的DC发送它的最新矢量到源DC，源DC使用这个值来判断目的DC对一个特定的属性是否有最新的值。如果值是最新的，源DC就会从它发送到请求数据的目的DC的数据中将这一属性过滤掉。

　　二、工具

　　6个基本工具

　　在你部署AD之后，你需要在你的工具百宝箱中装载解决任何存在的问题所必须的实用程序。Microsoft Windows 2000 Resource Kit中包含许多这样的工具，还可以在Windows 2000 Server CD-ROM的“\support\tools”文件夹（即Windows 2000 Server支持工具）中找到大约50个这样的程序。为了解决可能的复制问题，你有时需要同时使用这些工具中的其中几个。

　　事件查看器。Windows默认的事件查看器位于“开始”*“程序”*“管理工具”中，事件查看器一般在发生问题的第一时间内告诉你一些基本的情况。在一个AD部署过程中，DC有一个称为目录服务的新的日志类型。为即时跟踪最新复制相关的事件，你应该监视你DC上的目录服务日志。尽管你能够连接到其他DC来查看他们的日志，但事件查看器一次只能显示一个服务器的日志，为获得一份包括来自你所有DC上复制相关的事件项目的报告，我推荐你使用复制监视器程序。

　　复制监视器。Replmon.exe是一个GUI程序，它包含在Windows 2000 Server的支持工具中。你能够使用Replmon获得你企业中AD复制的一个概况，你可以从DC中收集这样的信息来判断复制是否已经发生。当复制发生时，DC之间的数据包就会相互传递，并且很多。

　　Replmon为收集所有来自你DC上复制相关的事件项目提供了一个来源。为了运行Replmon，单击“开始”*“运行”，并输入：Replmon

　　这个程序打开时没有与任何服务器连接，你需要手工添加希望监视的服务器。一个快速添加服务器的方法是创建一个包含服务器列表的.ini文件，每一行一个名称。然后，从Replmon菜单条上单击“File”*“Script”，并找到你创建的.ini文件，单击“open”，Replmon会显示你的DC及DC所拥有的NC。在图2所示的例子中，我添加了testdc01这台服务器，在testdc01项目下面，你能够看到这个DC所拥有的三个NC。为查看你能够使用Replmon所实施的任务，如图2所示那样，右击服务器名称。你应该熟悉这里的各个你需要排除NC复制问题时能够提供在事件中的任务及信息。

　　一个特别有用的Replmon特性是它具有快速收集与复制失败相关的目录服务项目的能力。为了从你收集的数据中打开一个分离的窗口，单击 Replmon菜单栏上的“Action”*“Domain”*“Search Domain Controllers for Replication Errors”，单击“Run Search”，Replmon提示你输入你希望进行搜索的域，输入DNS域名，然后单击“OK”，程序查询域的DC并且收集与复制失败相关的错误，显示这个产生错误事件的DC，受影响的目录分区或者NC，包括的复制伙伴及失败代码与原因。Replmon独立地查询每台DC而不是从一台DC上收集所有的目录信息。

　　域控制器诊断。Dcdiag.exe，你可以在Windows 2000 Server CD-ROM上发现这个命令行工具，它是一个强大的诊断工具，提供关于你运行这个程序的DC上的大量数据。Dcdiag可以诊断DC上的连接、复制、拓扑完整性、用户权限、定位器功能、站内健康状态、信任校验、文件复制服务（FRS）及关键服务器的状态。

　　如果你运行Dcdiag，会产生大量的信息供你进行详细审查。我推荐你使用这样的语法：dcdiag > <filename>.txt

　　把输出结果重定向到一个文本文件中，然后你能够在记事本或者Microsoft Word中打开这个文本文件并且可以非常容易地浏览信息。当你在排除一个问题时，就可以检查文件中任何失败记录或者注意那些可能提供关于问题本质的线索记录。

　　Repadmin。Repadmin.exe是一个你可以在Windows 2000 Server CD-ROM中发现的命令行工具，可能是你复制百宝箱中的一把锤子。这个工具能够揭示出复制的内部工作过程，并帮助你排除和修复问题。查看Repadmin命令行选项，输入下面的命令：Repadmin /?

　　Repadmin其中一个特别有用的就是显示一台DC的复制伙伴。输入下面的命令：Repadmin /showreps <server DNS name>

　　上图显示了在一台被称为testdc01的DC上运行这个命令的结果，你可以看到testdc01有来自testdc02的架构、配置和testdomain.com三个NC的入站连接对象，图3同时显示了最近在6月3日不同时间发生的复制各个NC的尝试且这些尝试都是成功的。屏幕的下半部分显示了testdc01在它有目录数据复制时将发送复制通知的出站复制邻居。你也可以使用Repadmin查看关于一个AD中特定对象的详细信息，如你希望查看一个对象的本地USN及最近更新对象属性的来源，可以使用repadmin来显示对象的元数据：

repadmin /showmeta <objectDN><server DNS name>

例如，为了显示testdomain.com中Administrator账号的元数据，你应该输入：

repadmin /showmeta “CN=administrator,OU=users,dc=testdomain,dc=com” testdc.testdomain.com

　　下图显示了这个查询的结果。在最右边栏目中，你可以看到构成Administrator用户的每个属性。在最左边栏目中，你可以看到每个属性的本地USN。注意nTSecurityDe和adminCount属性有一个比其他属性更高的本地USN，它表明这些属性值的更新比其他属性的时间更近。

　　组策略校验。Gpotool.exe是一个Resource Kit中的命令行程序，可以帮助你排除DC之间的组策略对象（GPO）复制问题。关于GPO复制的更多信息，请参阅附文《Windows 2000文件复制服务》。

　　目录服务代理统计。Dsastat .exe，是一个包含在Windows 2000 Server CD-ROM上的命令行工具，它在DC上比较并报告目录NC之间的差别。当复制看上去在运行正常但你在不同DC上却看到不同的目录数据时，这个工具将非常方便。上述情形可能意味着数据库已经被破坏，Dsastat通过比较两台DC之间诸如每服务器对象、每服务器的字节、每对象的字节的目录统计表提供高层次的数据一致性信息。

　　耐心是一种美德

　　即使在最小的环境中，AD仍然需要引起注意并需要专门技术。如果你能够花费较多时间来理解AD复制是如何工作的，当你需要解决AD问题时你会有非常大的优势。如果你在一个有多个站点的公司工作，我能够给你的最好的排错建议是：要有耐心。记住AD以多主方式运行，当你在一台DC上更改一次，这个变化可能需要花数小时才能传播到森林中的其他DC上。当你碰到问题时，尽量每次只做一个更改，记录这个变化，并给AD足够的时间来复制以响应这些变化。

　　Windows 2000文件复制服务

　　Windows 2000 Server使用文件复制服务（File Replication Service，FRS）在DC间复制存储在系统卷（\sysvol）目录中的信息，Windows 2000 Server也使用FRS同步分步式文件（DFS）系统数据。FRS代替了在Windows NT中使用的LMRepl服务，它对于Windows 2000中的Active Directory复制起着重要的作用。

　　首先，由于“\sysvol”共享中的数据需要复制到所有的DC中，因此同样需要一个复制拓扑。为简化拓扑建立*作，除DFS复制外（它可以通过微软管理控制台MMC配置），FRS使用了KCC创建的拓扑结构。在AD中，AD对象的复制与“\sysvol”的复制是分离的，它们最大的不同就是目录数据在站点间复制时是压缩的，而“\sysvol”中的数据在站点间复制时不会被压缩。

　　其次，对组策略来说，FRS同样非常重要。组策略对象（GPO）有两个重要的物理组件：组策略容器（Group Policy Container，GPC）和组策略模板（Group Policy Template,GPT）。GPC位于AD中，包含GPO定义的所有属性设置。GPT位于“\sysvol”文件夹下以该策略的GUID命名的文件夹中，如图A所示，这个文件夹中包含有安全设置数据、基于模板的管理策略数据、脚本文件和所有要通过组策略进行复制的应用程序。

　　如果组策略的GPC和GPT版本不同步，比如两者在不同的时间内被分别复制时出现问题，Windows 2000就不会应用这一策略，系统会在应用程序日志中记录ID为1000与1001的组策略扩展错误，这是因为GPO不能在“\sysvol”文件夹下发现策略的GPT部分。你可以使用组策略验证工具（Group Policy Verification Tool，Gpotool.exe）解决这一问题，Gpotool查询每一台DC，检查哪些组策略已经在DC上生效，这些生效的策略在目录数据库中的版本号和在“\sysvol”文件夹中的版本号，Gpotool会报告所有组策略版本号不匹配的问题。