Pemeriksaan Kesehatan Direktori Aktif

24

Saya mempunyai beberapa masalah Direktori Aktif belakangan ini bertanya-tanya pemeriksaan apa yang bisa saya lakukan secara teratur yang bisa saya lakukan untuk memastikan semuanya bekerja secara optimal?

windows-server-2008 windows-server-2003 active-directory Jake
sumber

Jawaban:

14

Di perusahaan yang lebih kecil tempat saya bekerja dulu kami menggunakan ini . Ini adalah skrip yang membandingkan LULUS / GAGAL, ​​tentu bukan alat yang buruk untuk dicoba. Tertarik untuk melihat apa yang telah digunakan orang lain.

JMeterX
sumber
18

Untuk memberi Anda beberapa gagasan tentang apa yang dapat diuji, berikut adalah beberapa pemeriksaan otomatis yang kami lakukan setiap hari.

  • Tes ping
  • LDAP / Port 389 mengikat yang diautentikasi
  • GC / Port 3268 mengikat yang diautentikasi
  • Tes DNS / Port 53. Ini termasuk melakukan pencarian terhadap DC untuk nama host DC dns, untuk mengkonfirmasi bahwa hanya satu alamat yang dikembalikan. Untuk DC yang memiliki beberapa alamat IP, kami mengonfirmasi bahwa nilai registri "PublishAddresses" ditentukan di HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters, dan cocok dengan apa yang seharusnya menjadi alamat IP yang diharapkan.
  • Tes Sysvol / FRS. Ini termasuk memeriksa versi dalam file gpt.ini GPO terbaru, dan membandingkan dengan emulator PDC.
  • Pemeriksaan ruang disk bebas (WMI).
  • Sinkronisasi waktu. WMI dapat digunakan untuk mendapatkan waktu setempat DC, dan dibandingkan dengan server yang menjalankan tes, dan ditandai jika perbedaannya mendekati ambang (4m 50-an).
  • Periklanan Time Server. output dari perintah: 'nltest / server: serverName /dsgetdc:domainName.company.com', dan verifikasi bahwa flag TIMESERV hadir.
  • Tes Server Waktu.
    1. Permintaan server pada UDP / 123 untuk respons NTP yang valid.
    2. Gunakan w32tm.exe /query /computer:dcname /status /verboseuntuk menentukan Waktu Sinkronisasi Sukses DC Terakhir, dan jika waktu DC sinkron.
    3. Gunakan nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameuntuk menentukan apakah DC benar-benar beriklan sebagai server waktu. Iklan ini dilakukan melalui layanan Netlogon.
  • Periklanan GC. Salah satu cara untuk menentukan apakah dc benar-benar beriklan sebagai Katalog Global adalah dengan menggunakan repadmin /showreps. Jika ada partisi yang belum direplikasi sepenuhnya, ia akan menampilkan 'PERINGATAN: Tidak beriklan sebagai katalog global'. Perhatikan bahwa flag NLTest dapat mengindikasikan bahwa dc dikonfigurasikan sebagai GC; 'konfigurasi' ini berbeda dari 'iklan'. Ini sangat menarik di lingkungan terdistribusi besar dengan banyak domain, karena mungkin butuh berhari-hari atau berminggu-minggu bagi seorang dc untuk secara bertahap mereplikasi semua partisi ke titik di mana tes GC dilewati.
  • Tes replikasi. Setiap domain memiliki objek "tag", dan salah satu atribut digunakan untuk menyimpan nilai datetime. Semua DC dipertanyakan untuk objek ini, dan DC dengan nilai yang melebihi ambang ditandai untuk masalah replikasi.
  • Ketat Replikasi Konsistensi registri pengaturan cek. Replikasi Ketat adalah default untuk Windows 2008 baru dan domain yang lebih baru, namun lingkungan AD lama ini bukan default dan pengaturan yang akan dibawa. Objek yang melekat menjadi lebih sulit untuk diidentifikasi dan diselesaikan di lingkungan yang lebih besar dengan banyak domain dan domain DC.
  • Jumlah replikasi tertunda. Ini dapat diperoleh melalui WMI atau .NET. Ini sama dengan melakukan a repadmin /queue. DC dengan jumlah tinggi dari replikasi yang tertunda mungkin memiliki replikasi ditutup karena suatu alasan. Contohnya adalah jika Konsistensi Replikasi Ketat diaktifkan, ini pasti akan menutup replikasi jika objek yang tidak valid atau dihapus berusaha untuk mereplikasi masuk. Dimungkinkan juga untuk memperoleh datetime terbaru dari replikasi sukses terakhir untuk tetangga tertentu, yang dapat ditandai jika melebihi ambang batas.
Greg Askew
sumber
Teliti, terima kasih! Namun; ada kemungkinan Anda bisa menguraikan "tes server waktu"? Bagaimana Anda melakukan ini secara manual (atau dalam skrip, katakan?) Dengan usaha minimal? :)
Ashley
1
Saya membuat NTPClient untuk melakukan sinkronisasi waktu dengan DC pada UDP / 123. Untuk Windows 2008, banyak informasi dapat diperoleh dengan menggunakan: w32tm.exe / query / komputer: dcname / status / verbose. Ini memberikan semua informasi yang dapat diperoleh dengan sinkronisasi NTPClient, ditambah Waktu Sinkronisasi Sukses Terakhir, dan jika DC sinkron. Ini adalah perbedaan besar dari Windows 2003. Untuk menentukan apakah DC benar-benar beriklan sebagai server waktu, Anda perlu menggunakan: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.
Greg Askew
ini hanya wow! maukah Anda berbagi skrip yang berjalan untuk ini. Saya akan mencoba menjalankan ini menggunakan PowerShell.
whizkid
1
@ whizkid: Saya tidak memiliki skrip PowerShell, tetapi saya baru saja mengembangkan aplikasi C # yang melakukan semua ini, dan akan menerbitkannya di CodePlex.com dalam seminggu atau lebih.
Greg Askew
8

Direktori Aktif sangat bergantung pada DNS, Jadi Mulailah Dengan beberapa pemeriksaan DNS.

NSLOOKUP hostname Tes ini bahwa DNS dapat menyelesaikan nama host ke alamat IP

DCDIAG / TEST: DNS Ini akan memeriksa apakah DNS dan Active Directory berfungsi dengan baik.

NETDIAG / TEST: DNS Lebih banyak pengujian DNS

Setelah Anda puas bahwa DNS berjalan dengan benar di sini sime lebih banyak tes

REPADMIN / SHOWREPS Ini akan menunjukkan kepada Anda kapan terakhir kali replikasi terjadi dengan mitra replikasi

REPADMIN / REPLSUM / ERRORSONLY Ini menampilkan kesalahan replikasi antara pengontrol domain.

DCDIAG / Q Raja alat diagnostik AD. Menguji dan melaporkan semua komponen AD.

NETDIAG Menguji semua

Jake
sumber