Проверка работоспособности Active Directory

В последнее время у меня были некоторые проблемы с Active Directory. Мне было интересно, какие проверки я мог бы делать регулярно, чтобы убедиться, что все работает оптимально?

В небольшой компании, в которой я работал в прошлом, мы использовали это . Это скрипт, который сравнивает PASS / FAILS, конечно, не плохой инструмент для тестирования. Интересно посмотреть, что использовали другие.

Чтобы дать вам некоторые идеи о том, что можно тестировать, вот некоторые из автоматических проверок, которые мы выполняем ежедневно.

• Пинг тест
• LDAP / Port 389 аутентифицированная привязка
• GC / Порт 3268 аутентифицированной привязки
• Тест DNS / порта 53. Это включает в себя поиск в DC DC имени хоста DC dns, чтобы подтвердить, что возвращается только один адрес. Для контроллеров домена, имеющих несколько IP-адресов, мы подтверждаем, что значение реестра «PublishAddresses» определено в HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters и соответствует ожидаемому IP-адресу.
• Тест Sysvol / FRS. Это включает проверку версии в самом последнем файле GPO gpt.ini и сравнение с эмулятором PDC.
• Проверка свободного места на диске (WMI).
• Синхронизация времени. WMI может использоваться для получения местного времени DC, сравнения с сервером, на котором выполняется тестирование, и помечается, если разница приближается к пороговому значению (4 м 50 с).
• Сервер времени рекламы. Выведите команду: 'nltest / server: serverName /dsgetdc:domainName.company.com' и убедитесь, что присутствует флаг TIMESERV.
• Тест сервера времени.
  1. Запросите у сервера UDP / 123 правильный ответ NTP.
  2. Используется w32tm.exe /query /computer:dcname /status /verboseдля определения времени последней успешной синхронизации DC и времени синхронизации DC.
  3. Используйте, nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameчтобы определить, действительно ли DC рекламирует сервер времени. Реклама осуществляется через сервис Netlogon.
• GC Реклама. Один из способов определить, действительно ли DC рекламирует как глобальный каталог, - это использовать repadmin /showreps. Если какой-либо раздел (пока) не был полностью реплицирован, на нем будет отображено «ПРЕДУПРЕЖДЕНИЕ. Не реклама в качестве глобального каталога». Обратите внимание, что флаги NLTest могут указывать, что dc настроен как GC; эта «конфигурация» отличается от «рекламы». Это представляет особый интерес в больших распределенных средах со многими доменами, поскольку для постоянного тока может потребоваться несколько дней или недель для того, чтобы постепенно реплицировать все разделы до точки, где проходит тест GC.
• Тест репликации. Каждый домен имеет объект «тег», и один из атрибутов используется для хранения значения даты и времени. Все контроллеры домена запрашиваются для этих объектов, а контроллеры домена со значениями, которые превышают пороговое значение, помечаются для проблем репликации.
• Проверка параметров реестра согласованности строгой репликации . Строгая репликация используется по умолчанию для новых доменов Windows 2008 и более поздних, однако в более старых установленных средах AD это не было значением по умолчанию, и этот параметр был бы перенесен. Затягивающиеся объекты становятся гораздо труднее идентифицировать и разрешать в больших средах с множеством доменов и контроллеров домена.
• Число ожидающих репликации. Это можно получить через WMI или .NET. Это то же самое, что выполнить repadmin /queue. Возможно, по некоторым причинам для DC с большим количеством ожидающих репликаций репликация была отключена. Примером может служить включение строгой согласованности репликации, при котором репликация будет отключена, если недопустимый или удаленный объект будет пытаться реплицировать входящие. Также возможно получить самую последнюю дату и время последней успешной репликации для конкретного соседа, которая может быть помечена, если она превышает пороговое значение.

Active Directory сильно зависит от DNS, поэтому начнем с некоторых проверок DNS.

NSLOOKUP hostname Этот тест, который DNS-сервер может разрешить имя хоста в IP-адрес

DCDIAG / TEST: DNS Это проверит, что DNS и Active Directory работают правильно.

NETDIAG / TEST: DNS Еще тестирование DNS

Как только вы убедились, что DNS работает правильно, вот еще несколько тестов

REPADMIN / SHOWREPS Это покажет вам последний раз, когда репликация произошла с партнерами по репликации

REPADMIN / REPLSUM / ERRORSONLY Отображает любые ошибки репликации между контроллерами домена.

DCDIAG / Q Король инструментов диагностики AD. Проверяет и сообщает все компоненты AD.

NETDIAG Тестирует все

Недавно увидел, что Microsoft выпустила новый интересный инструмент статуса репликации, который выглядит довольно аккуратно. Больше о проверке состояния репликации сервера графического интерфейса пользователя. Это, безусловно, будет одним из этапов любой проверки работоспособности AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx