Активні перевірки здоров’я Active Directory

24

У мене були проблеми з Active Directory останнім часом, мені було цікаво, які перевірки я можу робити регулярно, щоб забезпечити, щоб все працювало оптимально?

windows-server-2008 windows-server-2003 active-directory

— Джейк
джерело

14

У меншій компанії, в якій я працював раніше, ми використовували це . Це сценарій, який порівнює PASS / FAILS, безумовно, не поганий інструмент для випробування. Цікаво подивитися, чим користувалися інші.

— JMeterX
джерело

18

Щоб дати вам кілька ідей щодо того, що можна перевірити, ось кілька автоматизованих перевірок, які ми виконуємо щодня.

Тест пінг
Автентифікована прив'язка LDAP / Port 389
GC / Port 3268 аутентифіковано прив'язують
Тест DNS / порт 53 Сюди входить здійснення пошуку проти постійного струму для імені хоста DC dns, щоб підтвердити повернення лише однієї адреси. Для DC, які мають кілька IP-адрес, ми підтверджуємо, що значення реєстру "PublishAddresses" визначено в HKLM \ System \ CurrentControlSet \ Services \ DNS \ Параметри та відповідає тому, що має бути очікуваною IP-адресою.
Тест Sysvol / FRS. Це включає перевірку версії в останньому файлі GPO gpt.ini та порівняння з емулятором PDC.
Вільна перевірка місця на диску (WMI).
Синхронізація часу. WMI можна використовувати для отримання локального часу постійного струму та порівняння з сервером, на якому виконується тест, і позначено позначенням, якщо різниця наближається до порогу (4m 50s).
Реклама на сервері часу. висновок команди: 'nltest / server: serverName /dsgetdc:domainName.company.com' та перевірте, чи є прапор TIMESERV.
Тест сервера часу.
1. Запросіть сервер на UDP / 123 щодо дійсної відповіді NTP.
2. Використовуйте w32tm.exe /query /computer:dcname /status /verboseдля визначення часу останнього успішного синхронізації постійного струму та якщо синхронізований час постійного струму синхронізується.
3. Використовуйте nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameдля визначення, чи дійсно DC є рекламою як сервер часу. Реклама проводиться через сервіс Netlogon.
GC Advertising. Один із способів визначити, чи дійсно постійний ПК є рекламою як Глобальний каталог, - це використовувати repadmin /showreps. Якщо будь-який розділ ще не був повністю тиражований, він відображатиметься "ПОПЕРЕДЖЕННЯ: Не реклама як глобальний каталог". Зауважте, що прапори NLTest можуть вказувати на те, що постійний струм налаштовано як GC; ця "конфігурація" відрізняється від "реклами". Це викликає особливий інтерес у великих розповсюджених середовищах з багатьма доменами, оскільки може знадобитися кілька днів або тижнів для постійного копіювання постійного копіювання всіх розділів до того моменту, як проходить тест GC.
Тест на реплікацію. Кожен домен має об’єкт "тег", і один з атрибутів використовується для зберігання значення дати. Усі постійні токи запитуються на ці об'єкти, а DC із значеннями, що перевищують поріг, позначаються для проблем реплікації.
Перевірка налаштування реєстру суворої реплікації . Строга реплікація за замовчуванням для нових доменів Windows 2008 та пізніших доменів, однак для старих установлених середовищ AD це не було за замовчуванням, і це налаштування було б перенесено. Затяжні об’єкти стають набагато складнішими для ідентифікації та вирішення у більш великих середовищах із багатьма доменами та постійними тонами.
Облік реплікації в очікуванні Це можна отримати за допомогою WMI або .NET. Це те саме, що виконувати а repadmin /queue. ДК з великою кількістю відкладених реплікацій, можливо, чомусь було зупинено реплікацію. Прикладом може бути, якщо ввімкнено строгу послідовність реплікації , це безумовно вимкне реплікацію, якщо недійсний або видалений об'єкт намагався повторити вхідний. Можливо також отримати останній час дати останньої успішної реплікації для конкретного сусіда, який можна позначити, якщо він перевищує поріг.

— Грег Аскеу
джерело

Ретельно, дякую! Однак; якийсь шанс ви можете розробити на "тесті сервера часу"? Як ви робите це вручну (або за сценарієм, скажімо?) З мінімальними зусиллями? :)

— Ешлі

1

Я створив NTPClient для виконання синхронізації часу з постійним струмом на UDP / 123. Для Windows 2008 багато інформації можна отримати, використовуючи: w32tm.exe / query / computer: dcname / status / verbose. Він надає всю інформацію, яка може бути отримана синхронізацією NTPClient, плюс останній час успішної синхронізації та якщо синхросигнал синхронізований. Це величезна відмінність від Windows 2003. Щоб визначити, чи дійсно DC рекламує як сервер часу, вам потрібно використовувати: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.

— Грег Аскеу

це просто вау! Ви б не хотіли поділитися сценаріями, запущеними для цього. Я буду намагатися запустити їх, використовуючи посилання shell.

— whizkid

1

@whizkid: У мене немає скрипта повноважень, але я нещодавно розробив додаток C #, яке все це робить, і буде публікувати його на CodePlex.com через тиждень або близько того.

— Грег Аскеу

8

Active Directory значною мірою покладається на DNS, тому почніть з деяких перевірок DNS.

Ім'я хоста NSLOOKUP Цей тест, що DNS здатний вирішити ім'я хоста до IP-адреси

DCDIAG / TEST: DNS Це дозволить перевірити правильність роботи DNS та Active Directory.

NETDIAG / TEST: DNS Більше тестування DNS

Після того, як ви переконаєтесь, що DNS працює належним чином, пройдіть ще декілька тестів

REPADMIN / SHOWREPS Це покаже вам останній раз, коли реплікація сталася з партнерами реплікації

REPADMIN / REPLSUM / ERRORSONLY Тут відображаються помилки реплікації між контролерами домену.

DCDIAG / Q Король діагностичних інструментів AD. Тестує та звітує про всі компоненти AD.

NETDIAG Тестує всіх

— Джейк
джерело

1

Нещодавно побачив, що Microsoft випустила цікавий новий інструмент статусу реплікації, який здається досить акуратним. Більше перевірки стану реплікації сервера gui mutli. Це, безумовно, буде одним з кроків у будь-якій перевірці здоров'я AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

— флойд
джерело