Frage Active Directory-Systemdiagnose


Ich hatte in letzter Zeit einige Probleme mit Active Directory. Ich fragte mich, welche Prüfungen ich regelmäßig durchführen könnte, um sicherzustellen, dass alles optimal funktioniert.


24
2017-08-29 14:02


Ursprung




Antworten:


Bei einer kleineren Firma, für die ich gearbeitet habe, haben wir früher gearbeitet diese. Es ist ein Skript, das PASS / FAILS vergleicht, sicherlich kein schlechtes Werkzeug zum Ausprobieren. Interessiert zu sehen, was andere benutzt haben.


14
2017-08-29 14:10





Um Ihnen einige Ideen zu geben, was getestet werden kann, finden Sie hier einige der automatischen Prüfungen, die wir täglich durchführen.

  • Pingtest
  • LDAP / Port 389 authentifizierte Bindung
  • GC / Port 3268 authentifizierte Bindung
  • DNS / Port 53 Test. Dies beinhaltet das Durchführen einer Suche auf dem DC für den DNS-DNS-Hostnamen, um zu bestätigen, dass nur eine Adresse zurückgegeben wird. Bei DCs mit mehreren IP-Adressen bestätigen wir, dass der Registrierungswert "PublishAddresses" unter HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters definiert ist und der erwarteten IP-Adresse entspricht.
  • Sysvol / FRS-Test. Dazu gehört das Überprüfen der Version in der neuesten GPO-Datei "gpt.ini" und der Vergleich mit dem PDC-Emulator.
  • Freier Speicherplatz-Check (WMI).
  • Zeitsynchronization. WMI kann verwendet werden, um die lokale DC-Zeit zu ermitteln und mit dem Server zu vergleichen, auf dem der Test ausgeführt wird, und gekennzeichnet, wenn sich die Differenz dem Schwellenwert nähert (4 m 50 s).
  • Zeitserver-Werbung. Ausgabe des Befehls: 'nltest / server: serverName /dsgetdc:domainName.company.com' und vergewissern Sie sich, dass das TIMESERV-Flag vorhanden ist.
  • Zeitserver-Test
    1. Fragen Sie den Server auf UDP / 123 nach einer gültigen NTP-Antwort ab.
    2. Benutzen w32tm.exe /query /computer:dcname /status /verbose um die letzte DC Sync Sync Time zu bestimmen, und wenn die DC Zeit synchronisiert ist.
    3. Benutzen nltest.exe /server:dcname /dsgetdc:dcDomainDnsName um festzustellen, ob der DC tatsächlich als Zeitserver werben soll. Die Werbung wird über den Netlogon-Dienst ausgeführt.
  • GC-Werbung. Eine Möglichkeit zu bestimmen, ob ein DC tatsächlich als globaler Katalog werben soll, ist die Verwendung repadmin /showreps. Wenn eine Partition (noch) nicht vollständig repliziert wurde, wird "WARNUNG: Keine Werbung als globaler Katalog" angezeigt. Beachten Sie, dass NLTest-Flags anzeigen können, dass die DC als ein GC konfiguriert ist; Diese "Konfiguration" unterscheidet sich von "Werbung". Dies ist insbesondere in großen verteilten Umgebungen mit vielen Domänen von Interesse, da es Tage oder Wochen dauern kann, bis ein DC alle Partitionen schrittweise an den Punkt repliziert, an dem der GC-Test besteht.
  • Replikationstest Jede Domäne verfügt über ein "Tag" -Objekt, und eines der Attribute wird zum Speichern eines DateTime-Werts verwendet. Alle DCs werden für diese Objekte abgefragt, und DCs mit Werten, die den Schwellenwert überschreiten, werden für Replikationsprobleme gekennzeichnet.
  • Strikte Replikationskonsistenz Registrierung Rahmen prüfen. Strikte Replikation ist die Standardeinstellung für neue Windows 2008- und höhere Domänen. Bei älteren etablierten AD-Umgebungen war dies jedoch nicht der Standardwert und diese Einstellung wurde übernommen. Veraltete Objekte werden in größeren Umgebungen mit vielen Domänen und DCs schwieriger zu identifizieren und aufzulösen.
  • Ausstehende Replikationsanzahl Dies kann über WMI oder .NET erreicht werden. Dies ist das Gleiche wie das Ausführen von a repadmin /queue. Bei DCs mit einer hohen Anzahl ausstehender Replikationen wurde die Replikation aus irgendeinem Grund möglicherweise heruntergefahren. Ein Beispiel wäre, wenn Strikte Replikationskonsistenz Wenn diese Option aktiviert ist, wird die Replikation definitiv beendet, wenn versucht wird, ein ungültiges oder gelöschtes Objekt zu replizieren. Es ist auch möglich, die letzte Datetime der letzten erfolgreichen Replikation für einen bestimmten Nachbarn zu erhalten, die markiert werden kann, wenn sie einen Schwellenwert überschreitet.

18
2017-08-29 14:54



Gründlich, danke! Jedoch; Gibt es eine Chance, den "Time Server Test" näher zu erläutern? Wie machst du das manuell (oder in einem Skript, sagen?) Mit minimalem Aufwand? :) - Ashley Steel
Ich habe einen NTPClient erstellt, um eine Zeitsynchronisation mit dem DC auf UDP / 123 durchzuführen. Für Windows 2008 können Sie eine Fülle von Informationen erhalten, indem Sie Folgendes verwenden: w32tm.exe / query / computer: dcname / status / verbose. Es bietet alle Informationen, die durch eine NTPClient-Synchronisierung erhalten werden können, plus die letzte erfolgreiche Synchronisierungszeit und wenn der DC synchronisiert ist. Dies ist ein großer Unterschied zu Windows 2003. Um festzustellen, ob der DC tatsächlich als Zeitserver werben soll, müssen Sie Folgendes verwenden: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName. - Greg Askew
Das ist einfach wow! Würde es Ihnen etwas ausmachen, die Skripts zu teilen, die für diese laufen? Ich werde versuchen, diese mit Powershell auszuführen. - whizkid
@whizkid: Ich habe kein Powershell-Skript, aber ich habe kürzlich eine C # -Anwendung entwickelt, die all dies erledigt und sie in einer Woche auf CodePlex.com veröffentlichen wird. - Greg Askew


Active Directory ist stark auf DNS angewiesen. Beginnen Sie also mit einigen DNS-Prüfungen.

NSLOOKUP Hostname Dieser Test, dass DNS in der Lage ist, einen Hostnamen in eine IP-Adresse aufzulösen

DCDIAG / TEST: DNS Dies überprüft, ob DNS und Active Directory ordnungsgemäß funktionieren.

NETDIAG / TEST: DNS Mehr DNS-Tests

Sobald Sie sich vergewissert haben, dass DNS korrekt ausgeführt wird, gibt es weitere Tests

REPADMIN / SHOWREPS Dies zeigt Ihnen das letzte Mal, dass die Replikation mit den Replikationspartnern stattgefunden hat

REPADMIN / REPLSUM / ERRORSONLY Dies zeigt alle Replikationsfehler zwischen Domänencontrollern an.

DCDIAG / Q Der König der AD-Diagnosewerkzeuge. Testet und meldet alle AD-Komponenten.

NETDIAG Prüft alle


8
2017-08-29 14:19





Kürzlich hat Microsoft ein interessantes neues Replikationsstatus-Tool veröffentlicht, das recht ordentlich aussieht. Mehr von einer Server-Replikationsstatusüberprüfung. Dies wäre sicherlich ein Schritt in jedem AD-Gesundheitscheck:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx


1
2017-09-06 02:17