Kontrole kondycji usługi Active Directory


Odpowiedzi:


14

W mniejszej firmie, w której pracowałem w przeszłości, korzystaliśmy z tego . Jest to skrypt, który porównuje PASS / FAILS, z pewnością niezłe narzędzie do wypróbowania. Chciałbym zobaczyć, czego używali inni.


18

Oto niektóre z automatycznych kontroli, które przeprowadzamy codziennie.

  • Test ping
  • Powiązanie uwierzytelnione LDAP / Port 389
  • Powiązanie uwierzytelnione GC / Port 3268
  • Test DNS / Port 53. Obejmuje to sprawdzenie nazwy DC hosta DC dns w celu potwierdzenia, że ​​zwracany jest tylko jeden adres. W przypadku kontrolerów domeny, które mają wiele adresów IP, potwierdzamy, że wartość rejestru „PublishAddresses” jest zdefiniowana w HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters i jest zgodna z oczekiwanym adresem IP.
  • Test Sysvol / FRS. Obejmuje to sprawdzenie wersji w najnowszym pliku gpt.ini GPO i porównanie z emulatorem PDC.
  • Kontrola wolnego miejsca na dysku (WMI).
  • Synchronizacja czasu. WMI można wykorzystać do uzyskania czasu lokalnego DC i porównania z serwerem uruchamiającym test i oznaczenia, jeśli różnica zbliża się do progu (4m 50s).
  • Reklama na serwerze czasu. dane wyjściowe polecenia: „nltest / server: serverName /dsgetdc:domainName.company.com” i sprawdź, czy flaga TIMESERV jest obecna.
  • Test serwera czasu.
    1. Zapytaj serwer na UDP / 123 o poprawną odpowiedź NTP.
    2. Służy w32tm.exe /query /computer:dcname /status /verbosedo określania czasu ostatniej pomyślnej synchronizacji kontrolera domeny oraz tego, czy czas synchronizacji jest synchronizowany.
    3. Służy nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamedo określania, czy kontroler domeny faktycznie reklamuje się jako serwer czasu. Reklama odbywa się za pośrednictwem usługi Netlogon.
  • Reklama GC. Jednym ze sposobów ustalenia, czy dc faktycznie reklamuje się jako wykaz globalny, jest użycie repadmin /showreps. Jeśli jakakolwiek partycja nie została (jeszcze) w pełni zreplikowana, wyświetli się „OSTRZEŻENIE: Brak reklam jako katalogu globalnego”. Zauważ, że flagi NLTest mogą wskazywać, że dc jest skonfigurowany jako GC; ta „konfiguracja” różni się od „reklamy”. Jest to szczególnie interesujące w dużych środowiskach rozproszonych z wieloma domenami, ponieważ może to potrwać kilka dni lub tygodni, aby dc stopniowo replikował wszystkie partycje do punktu, w którym test GC przechodzi.
  • Test replikacji. Każda domena ma obiekt „znacznika”, a jeden z atrybutów służy do przechowywania wartości daty i godziny. Wszystkie kontrolery domeny są pytane o te obiekty, a kontrolery domeny o wartościach przekraczających próg są oznaczane w przypadku problemów z replikacją.
  • Kontrola ustawień rejestru ścisłej spójności replikacji . Ścisła replikacja jest domyślna dla nowych domen systemu Windows 2008 i późniejszych, jednak starsze ustanowione środowiska AD nie były domyślnymi i to ustawienie zostałoby przeniesione. Przedłużające się obiekty stają się znacznie trudniejsze do zidentyfikowania i rozwiązania w większych środowiskach z wieloma domenami i kontrolerami domeny.
  • Liczba oczekujących replikacji. Można to uzyskać za pośrednictwem WMI lub .NET. Jest to to samo, co wykonywanie repadmin /queue. Kontrolery domeny z dużą liczbą oczekujących replikacji mogły z jakiegoś powodu zostać wyłączone. Przykładem może być włączenie ścisłej spójności replikacji , to zdecydowanie zamknęłoby replikację, jeśli próba replikacji przychodzącej byłaby niepoprawna lub usunięta. Możliwe jest również uzyskanie najnowszej daty / godziny ostatniej udanej replikacji dla konkretnego sąsiada, która może zostać oflagowana, jeśli przekroczy próg.

Dokładnie, dzięki! Jednak; czy jest jakaś szansa na opracowanie „testu serwera czasu”? Jak to zrobić ręcznie (powiedzmy w skrypcie?) Przy minimalnym wysiłku? :)
Ashley,

1
Zbudowałem NTPClient do synchronizacji czasu z DC na UDP / 123. W przypadku systemu Windows 2008 bogactwo informacji można uzyskać za pomocą: w32tm.exe / query / computer: dcname / status / verbose. Zapewnia wszystkie informacje, które można uzyskać przez synchronizację NTPClient, plus czas ostatniej udanej synchronizacji i jeśli kontroler domeny jest zsynchronizowany. Jest to ogromna różnica w stosunku do Windows 2003. Aby ustalić, czy kontroler domeny faktycznie reklamuje się jako serwer czasu, musisz użyć: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.
Greg Askew

to tylko łał! czy mógłbyś udostępnić skrypty dla nich uruchomione? Będę próbował uruchomić je za pomocą programu PowerShell.
whizkid

1
@whizkid: Nie mam skryptu PowerShell, ale niedawno opracowałem aplikację C #, która robi to wszystko i opublikuję ją na CodePlex.com za około tydzień.
Greg Askew

8

Active Directory w dużej mierze opiera się na DNS, więc zacznij od niektórych sprawdzeń DNS.

NSLOOKUP nazwa hosta Ten test polegający na tym, że DNS może rozpoznać nazwę hosta na adres IP

DCDIAG / TEST: DNS To sprawdzi, czy DNS i Active Directory działają poprawnie.

NETDIAG / TEST: DNS Więcej testów DNS

Gdy upewnisz się, że DNS działa poprawnie tutaj, wykonaj jeszcze więcej testów

REPADMIN / SHOWREPS Spowoduje to wyświetlenie ostatniego wystąpienia replikacji z partnerami replikacji

REPADMIN / REPLSUM / ERRORSONLY Wyświetla wszelkie błędy replikacji między kontrolerami domeny.

DCDIAG / Q Król narzędzi diagnostycznych AD. Testuje i raportuje wszystkie składniki AD.

NETDIAG Testuje wszystko


Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.