การตรวจสอบสถานะของ Active Directory


24

ฉันเคยมีปัญหาเกี่ยวกับ Active Directory บางอย่างเมื่อเร็ว ๆ นี้ฉันสงสัยว่าการตรวจสอบใดที่ฉันสามารถทำได้เป็นประจำที่ฉันสามารถทำได้เพื่อให้แน่ใจว่าทุกอย่างทำงานได้ดีที่สุด

คำตอบ:


14

ที่ บริษัท ขนาดเล็กผมทำงานในอดีตที่ผ่านมาเราใช้นี้ มันเป็นสคริปต์ที่เปรียบเทียบ PASS / FAILS ซึ่งไม่ใช่เครื่องมือที่ดีที่จะลองใช้ สนใจดูว่าคนอื่นใช้อะไร


18

เพื่อให้แนวคิดบางอย่างเกี่ยวกับสิ่งที่สามารถทดสอบได้นี่คือการตรวจสอบอัตโนมัติที่เราดำเนินการทุกวัน

  • ทดสอบปิง
  • LDAP / พอร์ต 389 ที่เชื่อมโยงการพิสูจน์ตัวตนแล้ว
  • GC / พอร์ต 3268 ที่ผ่านการตรวจสอบสิทธิ์แล้ว
  • การทดสอบ DNS / พอร์ต 53 ซึ่งรวมถึงการค้นหา DC กับชื่อโฮสต์ DC dns เพื่อยืนยันว่ามีการส่งคืนที่อยู่เดียวเท่านั้น สำหรับ DC ที่มีที่อยู่ IP หลายแห่งเรายืนยันว่ามีการกำหนดค่ารีจิสตรี "PublishAddresses" ที่ HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters และตรงกับที่อยู่ IP ที่คาดหวัง
  • การทดสอบ Sysvol / FRS ซึ่งรวมถึงการตรวจสอบเวอร์ชันในไฟล์ GPO gpt.ini ล่าสุดและเปรียบเทียบกับ PDC emulator
  • ตรวจสอบพื้นที่ว่างในดิสก์ (WMI)
  • การประสานเวลา WMI สามารถใช้เพื่อรับเวลาท้องถิ่น DC และเปรียบเทียบกับเซิร์ฟเวอร์ที่รันการทดสอบและตั้งค่าสถานะหากความแตกต่างใกล้ถึงขีด จำกัด (4m 50s)
  • โฆษณาเซิร์ฟเวอร์เวลา เอาต์พุตของคำสั่ง: 'nltest / server: serverName /dsgetdc:domainName.company.com' และตรวจสอบว่ามีการตั้งค่าสถานะ TIMESERV
  • การทดสอบเซิร์ฟเวอร์เวลา
    1. สอบถามเซิร์ฟเวอร์บน UDP / 123 สำหรับการตอบสนอง NTP ที่ถูกต้อง
    2. ใช้w32tm.exe /query /computer:dcname /status /verboseเพื่อกำหนดเวลาการซิงค์ที่สำเร็จครั้งล่าสุดของ DC และหากเวลา DC กำลังซิงค์
    3. ใช้nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameเพื่อตรวจสอบว่า DC โฆษณาเป็นเซิร์ฟเวอร์เวลาจริงหรือไม่ โฆษณาดำเนินการผ่านบริการ Netlogon
  • โฆษณา GC วิธีหนึ่งในการตรวจสอบว่าเป็นจริง dc repadmin /showrepsโฆษณาเป็นแคตตาล็อกทั่วโลกคือการใช้งาน หากพาร์ติชันใด ๆ ที่ยังไม่ได้ถูกทำซ้ำอย่างสมบูรณ์มันจะแสดง 'คำเตือน: ไม่โฆษณาเป็นแคตตาล็อกส่วนกลาง' โปรดทราบว่าการตั้งค่าสถานะ NLTest อาจระบุว่า dc มีการกำหนดค่าเป็น GC; 'การกำหนดค่า' นี้แตกต่างจาก 'การโฆษณา' นี่เป็นเรื่องที่น่าสนใจเป็นพิเศษในสภาพแวดล้อมแบบกระจายขนาดใหญ่ที่มีหลายโดเมนเนื่องจากอาจใช้เวลาหลายวันหรือหลายสัปดาห์ในการที่ dc จะค่อยๆทำซ้ำพาร์ติชันทั้งหมดไปยังจุดที่การทดสอบ GC ผ่าน
  • การทดสอบการจำลองแบบ แต่ละโดเมนมีวัตถุ "แท็ก" และหนึ่งในแอตทริบิวต์ที่ใช้ในการเก็บค่าวันที่และเวลา DC ทั้งหมดถูกสอบถามสำหรับวัตถุเหล่านี้และ DC ที่มีค่าเกินขีด จำกัด จะถูกตั้งค่าสถานะสำหรับปัญหาการจำลองแบบ
  • ตรวจสอบการตั้งค่ารีจิสทรีความสอดคล้องที่เข้มงวดในการจำลองแบบ การจำลองแบบที่เข้มงวดเป็นค่าเริ่มต้นสำหรับโดเมน Windows 2008 ใหม่และใหม่กว่าอย่างไรก็ตามสภาพแวดล้อมของโฆษณาที่เก่ากว่านี้ไม่ใช่ค่าเริ่มต้นและการตั้งค่านั้นจะถูกนำไปใช้ วัตถุที่มีการเรียงซ้อนกลายเป็นเรื่องยากที่จะระบุและแก้ไขในสภาพแวดล้อมขนาดใหญ่ที่มีหลายโดเมนและ DC
  • การจำลองแบบที่รอดำเนินการนับ สามารถรับได้ผ่าน WMI หรือ. NET repadmin /queueนี้เป็นเช่นเดียวกับการดำเนินการ DC ที่มีการจำลองซ้ำที่ค้างอยู่จำนวนมากอาจปิดการทำสำเนาด้วยเหตุผลบางประการ ตัวอย่างจะเป็นถ้าเปิดใช้งานความสอดคล้องการจำลองแบบเข้มงวดนี้แน่นอนจะปิดการจำลองแบบถ้ามีวัตถุที่ไม่ถูกต้องหรือถูกลบพยายามทำซ้ำขาเข้า นอกจากนี้ยังเป็นไปได้ที่จะได้รับ datetime ล่าสุดของการจำลองแบบที่ประสบความสำเร็จครั้งล่าสุดสำหรับเพื่อนบ้านที่เฉพาะเจาะจงซึ่งสามารถตั้งค่าสถานะถ้ามันเกินเกณฑ์

อย่างละเอียดขอบคุณ! อย่างไรก็ตาม; โอกาสใดที่คุณสามารถอธิบายรายละเอียดเกี่ยวกับ "การทดสอบเซิร์ฟเวอร์เวลา" คุณจะทำสิ่งนี้ด้วยตนเอง (หรือในสคริปต์พูดได้อย่างไร) ด้วยความพยายามน้อย :)
แอชลีย์

1
ฉันสร้าง NTPClient เพื่อทำการซิงค์เวลากับ DC ใน UDP / 123 สำหรับ Windows 2008 ข้อมูลจำนวนมากอาจได้รับโดยใช้: w32tm.exe / แบบสอบถาม / คอมพิวเตอร์: dcname / status / verbose ให้ข้อมูลทั้งหมดที่สามารถทำได้โดยการซิงค์ NTPClient รวมถึงเวลาซิงค์สำเร็จครั้งล่าสุดและ DC กำลังซิงค์ นี่เป็นข้อแตกต่างอย่างมากจาก Windows 2003 หากต้องการตรวจสอบว่า DC โฆษณาตามเวลาจริงหรือไม่คุณต้องใช้: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName
Greg Askew

นี่เป็นเพียงว้าว! คุณต้องการแบ่งปันสคริปต์ที่ใช้สำหรับสิ่งเหล่านี้ ฉันจะพยายามเรียกใช้สิ่งเหล่านี้โดยใช้ PowerShell
whizkid

1
@whizkid: ฉันไม่มีสคริปต์ PowerShell แต่เมื่อเร็ว ๆ นี้ฉันได้พัฒนาแอปพลิเคชัน C # ที่ทำสิ่งเหล่านี้ทั้งหมดและจะเผยแพร่ใน CodePlex.com ในเวลาประมาณหนึ่งสัปดาห์
เกร็ก Askew

8

Active Directory ขึ้นอยู่กับ DNS เป็นอย่างมากดังนั้นเริ่มต้นด้วยการตรวจสอบ DNS บางตัว

NSLOOKUP hostname การทดสอบนี้ว่า DNS สามารถแก้ไขชื่อโฮสต์ให้เป็นที่อยู่ IP

DCDIAG / TEST: DNS สิ่งนี้จะตรวจสอบว่า DNS และ Active Directory ทำงานอย่างถูกต้อง

NETDIAG / TEST: DNS การทดสอบ DNS เพิ่มเติม

เมื่อคุณพอใจว่า DNS ทำงานอย่างถูกต้องที่นี่คือการทดสอบเพิ่มเติมอีกเล็กน้อย

REPADMIN / SHOWREPS สิ่งนี้จะแสดงให้คุณเห็นครั้งสุดท้ายที่การจำลองแบบเกิดขึ้นกับพันธมิตรการจำลองแบบ

REPADMIN / REPLSUM / ERRORSONLY สิ่งนี้แสดงข้อผิดพลาดการจำลองแบบระหว่างตัวควบคุมโดเมน

DCDIAG / Q ราชาแห่งเครื่องมือวินิจฉัย AD ทดสอบและรายงานส่วนประกอบโฆษณาทั้งหมด

NETDIAG ทดสอบทั้งหมด


1

เมื่อเร็ว ๆ นี้เห็นว่า Microsoft เปิดตัวเครื่องมือสถานะการจำลองแบบใหม่ที่น่าสนใจซึ่งดูค่อนข้างเรียบร้อย การตรวจสอบสถานะการจำลองเซิร์ฟเวอร์ gui mutli เพิ่มเติม นี่จะเป็นขั้นตอนเดียวในการตรวจสุขภาพโฆษณา:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.