Назад | Перейти на главную страницу

Проверки работоспособности Active Directory

В последнее время у меня были проблемы с Active Directory. Мне было интересно, какие проверки я мог бы делать на регулярной основе, чтобы убедиться, что все работает оптимально?

Чтобы дать вам несколько идей о том, что можно протестировать, вот несколько автоматических проверок, которые мы выполняем ежедневно.

  • Пинг-тест
  • Связь с аутентификацией LDAP / порт 389
  • Привязка с проверкой подлинности GC / Port 3268
  • DNS / Порт 53 тест. Это включает в себя поиск в контроллере домена имени хоста dns контроллера домена, чтобы убедиться, что возвращается только один адрес. Для контроллеров домена, имеющих несколько IP-адресов, мы подтверждаем, что значение реестра «PublishAddresses» определено в HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters и соответствует ожидаемому IP-адресу.
  • Тест Sysvol / FRS. Это включает проверку версии в самом последнем файле GPO gpt.ini и сравнение с эмулятором PDC.
  • Проверка свободного места на диске (WMI).
  • Синхронизация времени. WMI можно использовать для получения местного времени DC и сравнения с сервером, на котором выполняется тест, и пометить, если разница приближается к пороговому значению (4 мин 50 с).
  • Реклама сервера времени. вывод команды: 'nltest / server: serverName /dsgetdc:domainName.company.com' и убедитесь, что присутствует флаг TIMESERV.
  • Тест сервера времени.
    1. Запросите у сервера по UDP / 123 действительный ответ NTP.
    2. Использовать w32tm.exe /query /computer:dcname /status /verbose для определения времени последней успешной синхронизации постоянного тока и синхронизируется ли время постоянного тока.
    3. Использовать nltest.exe /server:dcname /dsgetdc:dcDomainDnsName чтобы определить, действительно ли DC рекламируется как сервер времени. Реклама осуществляется через службу Netlogon.
  • GC Advertising. Один из способов определить, действительно ли DC рекламируется как глобальный каталог, - это использовать repadmin /showreps. Если какой-либо раздел не был (еще) полностью реплицирован, отобразится «ПРЕДУПРЕЖДЕНИЕ: не рекламируется как глобальный каталог». Обратите внимание, что флаги NLTest могут указывать на то, что постоянный ток настроен как GC; эта «конфигурация» отличается от «рекламы». Это представляет особый интерес в больших распределенных средах с множеством доменов, так как DC может занять несколько дней или недель, чтобы постепенно реплицировать все разделы до точки, где проходит тест GC.
  • Тест репликации. У каждого домена есть объект «тег», и один из атрибутов используется для хранения значения даты и времени. Все контроллеры домена запрашиваются для этих объектов, а контроллеры домена со значениями, превышающими пороговое значение, помечаются на наличие проблем репликации.
  • Строгая согласованность репликации реестр установка чек. Строгая репликация - это значение по умолчанию для новых доменов Windows 2008 и более поздних версий, однако в более старых установленных средах AD это не было значением по умолчанию, и этот параметр должен был быть перенесен. Устаревшие объекты становится намного труднее идентифицировать и разрешать в более крупных средах с множеством доменов и контроллеров домена.
  • Счетчик ожидающих репликаций. Его можно получить через WMI или .NET. Это то же самое, что и выполнение repadmin /queue. На контроллерах домена с большим количеством ожидающих репликаций репликация могла быть отключена по какой-то причине. Примером может быть, если Строгая согласованность репликации были включены, это определенно остановит репликацию, если недопустимый или удаленный объект будет пытаться реплицировать входящий. Также возможно получить самую последнюю дату и время последней успешной репликации для конкретного соседа, которая может быть помечена, если она превышает пороговое значение.

В меньшей компании, в которой я работал раньше, мы использовали этот. Это скрипт, который сравнивает ПРОЙДЕН / СБОЙ, конечно, неплохой инструмент, который стоит попробовать. Интересно посмотреть, что использовали другие.

Active Directory в значительной степени полагается на DNS, поэтому начните с некоторых проверок DNS.

NSLOOKUP имя хоста Этот тест показывает, что DNS может преобразовать имя хоста в IP-адрес.

DCDIAG / TEST: DNS Это позволит проверить правильность работы DNS и Active Directory.

NETDIAG / TEST: DNS Больше тестирования DNS

Как только вы убедитесь, что DNS работает правильно, вот еще несколько тестов.

REPADMIN / SHOWREPS Это покажет вам, когда в последний раз выполнялась репликация с партнерами по репликации.

REPADMIN / REPLSUM / ERRORSONLY Отображает любые ошибки репликации между контроллерами домена.

DCDIAG / Q Король диагностических инструментов AD. Тестирует и сообщает обо всех компонентах AD.

NETDIAG тестирует все

Недавно увидел, что Microsoft выпустила новый интересный инструмент статуса репликации, который кажется довольно удобным. Больше проверки статуса репликации сервера gui mutli. Это, безусловно, будет одним из этапов любой проверки работоспособности AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx