24 votos

Active Directory Controles De Salud

He tenido algunos de Active Directory problemas últimamente se preguntaba lo que comprueba que podía hacer sobre una base regular que podía hacer para asegurarse de que todo está funcionando de manera óptima?

18voto

Greg Askew Puntos 17236

Para darte algunas ideas sobre lo que puede ser probado, aquí están algunas de las comprobaciones automáticas se le realizan a diario.

  • Prueba de Ping
  • LDAP/Puerto 389 autenticado se unen
  • GC/Puerto 3268 autenticado se unen
  • DNS/Port 53 de la prueba. Esto incluye la realización de una búsqueda en contra de la DC para la DC nombre de host de dns, para confirmar que sólo uno se devuelve la dirección. Para DC que tiene varias direcciones IP, podemos confirmar que la "PublishAddresses" valor de registro se define en HKLM\System\CurrentControlSet\Services\DNS\Parameters, y coincide con lo que debe ser el esperado dirección IP.
  • Sysvol/FRS prueba. Esto incluye la comprobación de la versión más reciente dentro de la GPO gpt.archivo ini, y comparando con el emulador de PDC.
  • Espacio libre en disco de verificación (WMI).
  • La Sincronización De La Hora. WMI puede ser utilizado para obtener la DC, hora local, y comparar con el servidor que ejecuta la prueba, y se marca si la diferencia se aproxima al umbral (4m 50).
  • Servidor de tiempo de publicidad. la salida del comando: 'nltest /server:nombreservidor /dsgetdc:domainName.company.com" y compruebe que el TIMESERV bandera está presente.
  • Servidor De Tiempo De La Prueba.
    1. Consulta el servidor en UDP/123 para la validez de la NTP respuesta.
    2. Uso w32tm.exe /query /computer:dcname /status /verbose para determinar la DC Última Sincronización correcta en el Tiempo, y si el controlador de dominio de tiempo está en la sincronización.
    3. Uso nltest.exe /server:dcname /dsgetdc:dcDomainDnsName para determinar si el controlador de dominio es en realidad la publicidad como un servidor de tiempo. El anuncio se realizó a través de dicho servicio.
  • GC Publicidad. Una forma de determinar si un controlador de dominio es en realidad la publicidad como un Catálogo Global es el uso de repadmin /showreps. Si cualquier partición (aún) no ha sido completamente replicado, se mostrará "ADVERTENCIA: No publicidad como un catálogo global'. Tenga en cuenta que NLTest banderas puede indicar que la dc está configurado como un GC; este 'configuración' es diferente de 'publicidad'. Esto es de particular interés en los grandes entornos distribuidos con muchos dominios, como se puede tomar días o semanas para que la dc gradualmente replicar todas las particiones al punto donde la GC de la prueba pasa.
  • Prueba de replicación. Cada dominio tiene una "etiqueta" del objeto, y uno de los atributos se utiliza para almacenar un valor de datetime. Todos los de la DC se consultan para estos objetos, y DC con valores que superan el umbral se marcan para problemas de replicación.
  • Estricta Coherencia de Replicación del registro de configuración de verificación. Estricto de la Replicación es el predeterminado para los nuevos Windows 2008 y más tarde dominios, sin embargo mayores establecido AD entornos, este no era el valor predeterminado y que el ajuste habría sido prorrogados. Los objetos persistentes a ser mucho más difícil de identificar y resolver en grandes entornos con muchos dominios y DC.
  • Pendiente de replicación de contar. Este puede ser obtenido a través de WMI o .NET. Este es el mismo como la realización de un repadmin /queue. DC con un alto número de pendientes repeticiones puede haber tenido la replicación apaga por alguna razón. Un ejemplo sería si la Coherencia de Réplica Estricta habilitado, este sería, sin duda apagar la replicación, si no válida o eliminado el objeto se intentó replicar de entrada. También es posible obtener la más reciente datetime de la última replicación correcta para un determinado vecino, que se puede marcar si se supera un umbral.

14voto

JMeterX Puntos 3064

En una pequeña empresa en la que trabajé en el pasado hemos utilizado este. Es un script que se compara PASA/FALLA, ciertamente no es una mala herramienta para probar. Interesado en ver lo que otros han usado.

8voto

Jake Puntos 1048

Active Directory se basa en gran medida en el DNS, Así que empieza Con algunos controles de DNS.

NSLOOKUP nombre de host Esto prueba que el DNS es capaz de resolver un nombre de host a una dirección IP

DCDIAG /PRUEBA:DNS Se comprueba que el DNS y Active Directory están funcionando correctamente.

NETDIAG /PRUEBA:DNS Más pruebas DNS

Una vez que esté satisfecho de que el DNS está funcionando correctamente aquí se sime más pruebas

REPADMIN /SHOWREPS Esto le mostrará la última vez que la replicación se produjo con los asociados de replicación

REPADMIN /REPLSUM /ERRORSONLY Esto muestra los errores de replicación entre los controladores de dominio.

DCDIAG /P El rey de ANUNCIOS de herramientas de diagnóstico. Las pruebas e informes AD de todos los componentes.

NETDIAG Las pruebas de todos los

5voto

floyd Puntos 1005

Hace poco vi que Microsoft publicó un interesante nuevo estado de la replicación de la herramienta que parece bastante limpio. Más de una interfaz gráfica de usuario de mutli servidor de replicación de comprobación de estado. Este sin duda sería un paso en cualquier ANUNCIO de la salud de verificación:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: