Active Directory ヘルスチェック

Question 1

私が以前勤めていた小さな会社ではこれこれは合否を比較するスクリプトですが、試してみるには悪くないツールです。他の人が何を使用したか興味があります。

Answer

私が以前勤めていた小さな会社ではこれこれは合否を比較するスクリプトですが、試してみるには悪くないツールです。他の人が何を使用したか興味があります。

Question 2

何をテストできるかについてのアイデアを提供するために、私たちが毎日実行している自動チェックの一部を紹介します。

Pingテスト
LDAP/ポート389認証バインド
GC/ポート 3268 認証バインド
DNS/ポート 53 テスト。これには、DC の DNS ホスト名の DC に対する検索の実行が含まれ、1 つのアドレスのみが返されることを確認します。複数の IP アドレスを持つ DC の場合、"PublishAddresses" レジストリ値が HKLM\System\CurrentControlSet\Services\DNS\Parameters で定義され、予想される IP アドレスと一致していることを確認します。
Sysvol/FRS テスト。これには、最新の GPO gpt.ini ファイルのバージョンの確認と、PDC エミュレータとの比較が含まれます。
空きディスク容量チェック (WMI)。
時刻同期。WMI を使用して DC のローカル時刻を取得し、テストを実行しているサーバーと比較し、差がしきい値 (4 分 50 秒) に近づいている場合はフラグを立てることができます。
タイムサーバーのアドバタイズ。コマンドの出力: 'nltest /server:serverName /dsgetdc:domainName.company.com'、TIMESERV フラグが存在することを確認します。
タイムサーバーテスト。
1. 有効な NTP 応答を UDP/123 でサーバーに照会します。
2. w32tm.exe /query /computer:dcname /status /verboseDC の最後の正常な同期時刻と、DC 時刻が同期されているかどうかを判断するために使用します。
3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameDC が実際にタイムサーバーとしてアドバタイズしているかどうかを判断するために使用します。アドバタイズは Netlogon サービスを介して実行されます。
GC アドバタイズ。DC が実際にグローバルカタログとしてアドバタイズしているかどうかを判断する 1 つの方法は、を使用することですrepadmin /showreps。パーティションが (まだ) 完全にレプリケートされていない場合は、「警告: グローバルカタログとしてアドバタイズされていません」と表示されます。NLTest フラグは、DC が GC として構成されていることを示している可能性があることに注意してください。この「構成」は「アドバタイズ」とは異なります。これは、多くのドメインがある大規模な分散環境では特に重要です。これは、DC がすべてのパーティションを徐々にレプリケートして GC テストに合格するまでに数日または数週間かかる場合があるためです。
レプリケーションテスト。各ドメインには「タグ」オブジェクトがあり、属性の 1 つは日時値を格納するために使用されます。すべての DC に対してこれらのオブジェクトが照会され、しきい値を超える値を持つ DC にはレプリケーションの問題のフラグが付けられます。
厳格なレプリケーション一貫性レジストリ設定チェックしてください。厳密なレプリケーションは、新しい Windows 2008 以降のドメインのデフォルトですが、以前に確立された AD 環境ではこれがデフォルトではなく、その設定が引き継がれていました。多くのドメインと DC がある大規模な環境では、残留オブジェクトを識別して解決することがはるかに困難になります。
保留中のレプリケーション数。これは、WMI または .NET 経由で取得できます。これは、を実行するのと同じですrepadmin /queue。保留中のレプリケーション数が多い DC では、何らかの理由でレプリケーションがシャットダウンされている可能性があります。例:厳格なレプリケーション一貫性有効にすると、無効または削除されたオブジェクトが受信レプリケーションを試行された場合、レプリケーションは確実にシャットダウンされます。また、特定のネイバーの最後の成功したレプリケーションの最新の日時を取得することもできます。これは、しきい値を超えた場合にフラグを立てることができます。

Answer

何をテストできるかについてのアイデアを提供するために、私たちが毎日実行している自動チェックの一部を紹介します。

Pingテスト
LDAP/ポート389認証バインド
GC/ポート 3268 認証バインド
DNS/ポート 53 テスト。これには、DC の DNS ホスト名の DC に対する検索の実行が含まれ、1 つのアドレスのみが返されることを確認します。複数の IP アドレスを持つ DC の場合、"PublishAddresses" レジストリ値が HKLM\System\CurrentControlSet\Services\DNS\Parameters で定義され、予想される IP アドレスと一致していることを確認します。
Sysvol/FRS テスト。これには、最新の GPO gpt.ini ファイルのバージョンの確認と、PDC エミュレータとの比較が含まれます。
空きディスク容量チェック (WMI)。
時刻同期。WMI を使用して DC のローカル時刻を取得し、テストを実行しているサーバーと比較し、差がしきい値 (4 分 50 秒) に近づいている場合はフラグを立てることができます。
タイムサーバーのアドバタイズ。コマンドの出力: 'nltest /server:serverName /dsgetdc:domainName.company.com'、TIMESERV フラグが存在することを確認します。
タイムサーバーテスト。
1. 有効な NTP 応答を UDP/123 でサーバーに照会します。
2. w32tm.exe /query /computer:dcname /status /verboseDC の最後の正常な同期時刻と、DC 時刻が同期されているかどうかを判断するために使用します。
3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameDC が実際にタイムサーバーとしてアドバタイズしているかどうかを判断するために使用します。アドバタイズは Netlogon サービスを介して実行されます。
GC アドバタイズ。DC が実際にグローバルカタログとしてアドバタイズしているかどうかを判断する 1 つの方法は、を使用することですrepadmin /showreps。パーティションが (まだ) 完全にレプリケートされていない場合は、「警告: グローバルカタログとしてアドバタイズされていません」と表示されます。NLTest フラグは、DC が GC として構成されていることを示している可能性があることに注意してください。この「構成」は「アドバタイズ」とは異なります。これは、多くのドメインがある大規模な分散環境では特に重要です。これは、DC がすべてのパーティションを徐々にレプリケートして GC テストに合格するまでに数日または数週間かかる場合があるためです。
レプリケーションテスト。各ドメインには「タグ」オブジェクトがあり、属性の 1 つは日時値を格納するために使用されます。すべての DC に対してこれらのオブジェクトが照会され、しきい値を超える値を持つ DC にはレプリケーションの問題のフラグが付けられます。
厳格なレプリケーション一貫性レジストリ設定チェックしてください。厳密なレプリケーションは、新しい Windows 2008 以降のドメインのデフォルトですが、以前に確立された AD 環境ではこれがデフォルトではなく、その設定が引き継がれていました。多くのドメインと DC がある大規模な環境では、残留オブジェクトを識別して解決することがはるかに困難になります。
保留中のレプリケーション数。これは、WMI または .NET 経由で取得できます。これは、を実行するのと同じですrepadmin /queue。保留中のレプリケーション数が多い DC では、何らかの理由でレプリケーションがシャットダウンされている可能性があります。例:厳格なレプリケーション一貫性有効にすると、無効または削除されたオブジェクトが受信レプリケーションを試行された場合、レプリケーションは確実にシャットダウンされます。また、特定のネイバーの最後の成功したレプリケーションの最新の日時を取得することもできます。これは、しきい値を超えた場合にフラグを立てることができます。

Question 3

Active Directory は DNS に大きく依存しているので、まずは DNS チェックから始めてください。

NSLOOKUPホスト名これはDNSがホスト名をIPアドレスに解決できるかどうかをテストするものである

DCDIAG /TEST:DNS これにより、DNS と Active Directory が正常に動作しているかどうかがチェックされます。

NETDIAG /TEST:DNS さらなるDNSテスト

DNSが正しく動作していることに満足したら、さらにテストを行います。

REPADMIN /SHOWREPS レプリケーションパートナーとのレプリケーションが最後に行われた時刻を表示します。

REPADMIN /REPLSUM /ERRORSONLY ドメインコントローラー間のレプリケーションエラーを表示します。

DCDIAG /Q AD 診断ツールの王様。すべての AD コンポーネントをテストしてレポートします。

NETDIAGはすべてをテストします

Answer