Controlli sullo stato di Active Directory

Risposte:

14

In un'azienda più piccola per cui ho lavorato in passato abbiamo usato questo . È uno script che mette a confronto PASS / FAILS, certamente non è un brutto strumento da provare. Interessato a vedere cosa hanno usato gli altri.

JMeterX
fonte
18

Per darti alcune idee su ciò che può essere testato, ecco alcuni dei controlli automatici che eseguiamo quotidianamente.

  • Ping test
  • Bind autenticato LDAP / Port 389
  • Collegamento autenticato GC / Port 3268
  • Test DNS / Porta 53. Ciò include l'esecuzione di una ricerca sul controller di dominio per il nome host del controller di dominio DNS, per confermare che viene restituito un solo indirizzo. Per i controller di dominio che dispongono di più indirizzi IP, confermiamo che il valore del registro "PublishAddresses" è definito in HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters e corrisponde a quello che dovrebbe essere l'indirizzo IP previsto.
  • Test di Sysvol / FRS. Ciò include il controllo della versione nel file gpt.ini più recente dell'oggetto Criteri di gruppo e il confronto con l'emulatore PDC.
  • Controllo spazio libero su disco (WMI).
  • Sincronizzazione dell'ora. È possibile utilizzare WMI per ottenere l'ora locale DC, confrontarla con il server che esegue il test e contrassegnarla se la differenza si avvicina alla soglia (4 m 50 s).
  • Pubblicità Time Server. output del comando: 'nltest / server: serverName /dsgetdc:domainName.company.com' e verificare che sia presente il flag TIMESERV.
  • Test di Time Server.
    1. Eseguire una query sul server su UDP / 123 per una risposta NTP valida.
    2. Utilizzare w32tm.exe /query /computer:dcname /status /verboseper determinare l'ora dell'ultima sincronizzazione della DC riuscita e se l'ora della DC è sincronizzata.
    3. Utilizzare nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameper determinare se il controller di dominio sta effettivamente pubblicizzando come time server. La pubblicità viene eseguita tramite il servizio Netlogon.
  • Pubblicità GC. Un modo per determinare se un dc è effettivamente pubblicità come un catalogo globale è quello di utilizzare repadmin /showreps. Se una partizione non è stata (ancora) completamente replicata, verrà visualizzato "AVVISO: non fare pubblicità come catalogo globale". Notare che i flag NLTest possono indicare che il DC è configurato come GC; questa "configurazione" è distinta dalla "pubblicità". Ciò è di particolare interesse in ambienti distribuiti di grandi dimensioni con molti domini, in quanto potrebbero essere necessari giorni o settimane affinché un controller di dominio replichi gradualmente tutte le partizioni fino al punto in cui passa il test GC.
  • Test di replica. Ogni dominio ha un oggetto "tag" e uno degli attributi viene utilizzato per memorizzare un valore datetime. Tutti i controller di dominio vengono interrogati per questi oggetti e i controller di dominio con valori che superano la soglia vengono contrassegnati per problemi di replica.
  • Controllo delle impostazioni del registro di coerenza della replica rigorosa . La replica rigorosa è l'impostazione predefinita per i nuovi domini Windows 2008 e successivi, tuttavia ambienti AD consolidati precedenti non era l'impostazione predefinita e tale impostazione sarebbe stata trasferita. Gli oggetti persistenti diventano molto più difficili da identificare e risolvere in ambienti più grandi con molti domini e controller di dominio.
  • Conteggio delle repliche in sospeso. Questo può essere ottenuto tramite WMI o .NET. Questo equivale a eseguire un repadmin /queue. I controller di dominio con un numero elevato di repliche in sospeso potrebbero aver arrestato la replica per qualche motivo. Un esempio sarebbe se la Coerenza di replica rigorosa fosse abilitata, ciò arresterebbe definitivamente la replica se un oggetto non valido o cancellato fosse tentato di replicare in entrata. È anche possibile ottenere il datetime più recente dell'ultima replica riuscita per un particolare vicino, che può essere contrassegnato se supera una soglia.
Greg Askew
fonte
Grazie, grazie! Tuttavia; qualche possibilità che puoi elaborare sul "test del time server"? Come si fa manualmente (o in uno script, per esempio?) Con il minimo sforzo? :)
Ashley,
1
Ho creato un client NTP per eseguire una sincronizzazione temporale con il controller di dominio su UDP / 123. Per Windows 2008, è possibile ottenere una grande quantità di informazioni utilizzando: w32tm.exe / query / computer: dcname / status / verbose. Fornisce tutte le informazioni che possono essere ottenute da una sincronizzazione NTPClient, oltre all'ultimo tempo di sincronizzazione riuscito e se il controller di dominio è sincronizzato. Questa è un'enorme differenza rispetto a Windows 2003. Per determinare se il controller di dominio è effettivamente pubblicità come time server, è necessario utilizzare: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.
Greg Askew,
questo è solo wow! ti dispiacerebbe condividere gli script in esecuzione per questi. Proverò a eseguirli usando PowerShell.
Whizkid,
1
@whizkid: Non ho uno script PowerShell, ma di recente ho sviluppato un'applicazione C # che fa tutto questo e lo pubblicherò su CodePlex.com tra circa una settimana.
Greg Askew,
8

Active Directory si basa fortemente su DNS, quindi inizia con alcuni controlli DNS.

Nome host NSLOOKUP Questo test dimostra che DNS è in grado di risolvere un nome host in un indirizzo IP

DCDIAG / TEST: DNS Questo verificherà che DNS e Active Directory funzionino correttamente.

NETDIAG / TEST: DNS Più test DNS

Una volta verificato che il DNS funziona correttamente, ecco altri test

REPADMIN / SHOWREPS Questo mostra l'ultima volta che si è verificata la replica con i partner di replica

REPADMIN / REPLSUM / ERRORSONLY Visualizza eventuali errori di replica tra i controller di dominio.

DCDIAG / Q Il re degli strumenti diagnostici AD. Verifica e segnala tutti i componenti AD.

NETDIAG Verifica tutti

Jake
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.