Active Directory Sağlık Kontrolü

Yanıtlar:

14

Daha küçük bir şirkette ben Kullandığımız geçmişte çalışmış bu . Bu, denemek için kesinlikle kötü bir araç değil, PASS / FAILS'i karşılaştıran bir senaryo. Başkalarının ne kullandığını görmek isterim.

JMeterX
kaynak
18

Neyin test edilebileceği hakkında fikir vermek için, işte günlük yaptığımız otomatikleştirilmiş kontrollerden bazıları.

  • Ping testi
  • LDAP / Port 389 doğrulanmış ciltleme
  • GC / Port 3268 doğrulanmış bağlama
  • DNS / Bağlantı Noktası 53 testi. Bu, yalnızca bir adresin döndüğünü doğrulamak için DC dns ana bilgisayar adı için DC'ye karşı bir arama gerçekleştirmeyi içerir. Birden fazla IP adresi olan DC'ler için, "Yayınlama Adresleri" kayıt defteri değerinin HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters değerinde tanımlandığını ve beklenen IP adresinin ne olması gerektiği ile eşleştiğini onaylıyoruz.
  • Sysvol / FRS testi. Bu, en son GPO gpt.ini dosyasındaki sürümün kontrol edilmesini ve PDC emülatörüyle karşılaştırmayı içerir.
  • Boş disk alanı kontrolü (WMI).
  • Zaman Senkronizasyonu. WMI, DC yerel saatini elde etmek ve testi çalıştıran sunucuyla karşılaştırmak için kullanılabilir ve fark eşik değerine yaklaşıyorsa işaretlenir (4m 50s).
  • Zaman Sunucusu reklamcılığı. komutunun çıktısı: 'nltest / server: serverName /dsgetdc:domainName.company.com' ve TIMESERV bayrağının bulunduğunu doğrulayın.
  • Zaman Sunucusu Testi.
    1. Geçerli bir NTP yanıtı için sunucuyu UDP / 123'te sorgula.
    2. w32tm.exe /query /computer:dcname /status /verboseDC Son Başarılı Senkronizasyon Zamanını ve DC zamanının senkronize olup olmadığını belirlemek için kullanın .
    3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameDC'nin gerçekten bir zaman sunucusu olarak reklam verip vermediğini belirlemek için kullanın . Reklam Netlogon servisi üzerinden gerçekleştirilir.
  • GC Advertising. Bir dc'nin gerçekten bir Global Katalog olarak reklam verip vermediğini belirlemenin bir yolu kullanmaktır repadmin /showreps. Herhangi bir bölüm (henüz) tam olarak çoğaltılmadıysa, 'UYARI: Genel katalog olarak reklam yapmama' ifadesini gösterecektir. NLTest bayraklarının, DC'nin bir GC olarak yapılandırıldığını gösterebileceğini unutmayın; bu 'yapılandırma', 'reklamcılık'tan farklıdır. Bu, çok sayıda alana sahip büyük dağınık ortamlarda özellikle ilgi çekmektedir, çünkü bir DC'nin tüm bölümleri yavaş yavaş GC testinin geçtiği noktaya kadar çoğaltması günler veya haftalar sürebilir.
  • Çoğaltma testi Her alanın bir "tag" nesnesi vardır ve niteliklerden biri datetime değerini saklamak için kullanılır. Tüm DC'ler bu nesneler için sorgulanır ve eşiği aşan değerleri içeren DC'ler çoğaltma sorunları için işaretlenir.
  • Sıkı Çoğaltma Tutarlılığı kayıt defteri ayarı kontrolü. Sıkı Çoğaltma, yeni Windows 2008 ve sonraki etki alanları için varsayılandır, ancak eski kurulan AD ortamları bu varsayılan değildi ve bu ayar taşınırdı. Kalan nesnelerin tanımlanması ve çözülmesi, birçok alanda ve DC'de daha büyük ortamlarda çok daha zor hale gelir.
  • Bekleyen çoğaltma sayısı. Bu WMI veya .NET ile elde edilebilir. Bu a ile aynıdır repadmin /queue. Çok sayıda beklemede olan çoğaltmaya sahip olan DC'ler, bazı nedenlerden dolayı çoğaltmanın kapatılmış olabilir. Örneğin, Katı Çoğaltma Tutarlılığı etkinleştirilmişse, geçersiz veya silinmiş bir nesne gelen kopyalamayı denediğinde bu, çoğaltmayı kesinlikle kapatır. Belirli bir komşunun son başarılı replikasyonunun en son tarihini elde etmek de mümkündür, bu bir eşiği geçerse işaretlenebilir.
Greg Askew
kaynak
Kapsamlı, teşekkürler! Ancak; "zaman sunucusu testi" nde detaylandırılabilir mi? Bunu en az çabayla manuel olarak (veya bir komut dosyasında? :)
Ashley
1
UDP / 123'te DC ile zaman senkronizasyonu gerçekleştirmek için bir NTPClient oluşturdum. Windows 2008 için: w32tm.exe / query / computer: dcname / status / verbose kullanılarak bir çok bilgi edinilebilir. Bir NTPClient senkronizasyonu ile elde edilebilecek tüm bilgilerin yanı sıra, Son Başarılı Senkronizasyon Süresi ve DC senkronize ise. Bu, Windows 2003'ten büyük bir farktır. DC'nin aslında bir zaman sunucusu olarak reklam yapıp yapmadığını belirlemek için kullanmanız gereken: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.
Greg Askew
bu sadece vay! bunlar için çalışan senaryoları paylaşır mısın lütfen. Bunları powershell kullanarak çalıştırmaya çalışacağım.
whizkid
1
@whizkid: Bir powershell betiğim yok, ancak son zamanlarda tüm bunları yapan bir C # uygulaması geliştirdim ve bir hafta içinde CodePlex.com'da yayınlayacağım.
Greg Askew
8

Active Directory, büyük ölçüde DNS'e dayanır, bu nedenle bazı DNS kontrolleriyle başlayın.

NSLOOKUP ana bilgisayar adı Bu sınama, DNS'nin bir ana bilgisayar adını bir IP adresine çözebildiğini test eder.

DCDIAG / TEST: DNS Bu, DNS ve Active Directory'nin düzgün çalıştığını kontrol edecektir.

NETDIAG / TEST: DNS Daha fazla DNS testi

DNS'nin burada doğru bir şekilde çalıştığından memnun olduğunuzda, daha fazla test yapılır

REPADMIN / SHOWREPS Bu, çoğaltmanın çoğaltma ortakları ile gerçekleştiği son zamanı gösterir.

REPADMIN / REPLSUM / ERRORSONLY Bu, etki alanı denetleyicileri arasındaki çoğaltma hatalarını görüntüler.

DCDIAG / Q AD teşhis araçlarının kralı. Tüm AD bileşenlerini test eder ve raporlar.

NETDIAG Tüm Testleri

Jake
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.