Active Directory-Integritätsprüfungen

Question 1

In einer kleineren Firma, für die ich früher gearbeitet habe, haben wirDas. Es handelt sich um ein Skript, das PASS/FAILS vergleicht, sicherlich kein schlechtes Tool zum Ausprobieren. Bin gespannt, was andere verwendet haben.

Answer

In einer kleineren Firma, für die ich früher gearbeitet habe, haben wirDas. Es handelt sich um ein Skript, das PASS/FAILS vergleicht, sicherlich kein schlechtes Tool zum Ausprobieren. Bin gespannt, was andere verwendet haben.

Question 2

Um Ihnen eine Vorstellung davon zu geben, was getestet werden kann, sind hier einige der automatisierten Prüfungen, die wir täglich durchführen.

Ping-Test
LDAP/Port 389 authentifizierte Bindung
GC/Port 3268 authentifizierte Bindung
DNS/Port 53-Test. Dazu gehört eine Suche nach dem DC-DNS-Hostnamen, um zu bestätigen, dass nur eine Adresse zurückgegeben wird. Bei DCs mit mehreren IP-Adressen bestätigen wir, dass der Registrierungswert „PublishAddresses“ unter HKLM\System\CurrentControlSet\Services\DNS\Parameters definiert ist und mit der erwarteten IP-Adresse übereinstimmt.
Sysvol/FRS-Test. Dazu gehört das Überprüfen der Version in der aktuellsten GPO-Datei gpt.ini und der Vergleich mit dem PDC-Emulator.
Überprüfung des freien Speicherplatzes (WMI).
Zeitsynchronisierung. WMI kann verwendet werden, um die lokale Uhrzeit des DC abzurufen und mit dem Server zu vergleichen, auf dem der Test ausgeführt wird. Es wird eine Markierung ausgegeben, wenn sich die Differenz dem Schwellenwert (4 Min. 50 Sek.) nähert.
Zeitserver-Werbung. Ausgabe des Befehls: „nltest /server:serverName /dsgetdc:domainName.company.com“. Überprüfen Sie, ob das Flag TIMESERV vorhanden ist.
Zeitservertest.
1. Fragen Sie den Server über UDP/123 nach einer gültigen NTP-Antwort ab.
2. Wird verwendet w32tm.exe /query /computer:dcname /status /verbose, um den Zeitpunkt der letzten erfolgreichen DC-Synchronisierung zu bestimmen und festzustellen, ob die DC-Zeit synchronisiert ist.
3. Wird verwendet nltest.exe /server:dcname /dsgetdc:dcDomainDnsName, um zu bestimmen, ob der DC tatsächlich als Zeitserver bekannt gegeben wird. Die Bekanntgabe erfolgt über den Netlogon-Dienst.
GC-Werbung. Eine Möglichkeit, um festzustellen, ob ein DC tatsächlich als globaler Katalog beworben wird, ist die Verwendung von repadmin /showreps. Wenn eine Partition (noch) nicht vollständig repliziert wurde, wird „WARNUNG: Keine Werbung als globaler Katalog“ angezeigt. Beachten Sie, dass NLTest-Flags darauf hinweisen können, dass der DC als GC konfiguriert ist; diese „Konfiguration“ unterscheidet sich von „Werbung“. Dies ist insbesondere in großen verteilten Umgebungen mit vielen Domänen von Interesse, da es Tage oder Wochen dauern kann, bis ein DC alle Partitionen schrittweise repliziert hat, bis der GC-Test erfolgreich ist.
Replikationstest. Jede Domäne hat ein „Tag“-Objekt und eines der Attribute wird zum Speichern eines Datums-/Uhrzeitwerts verwendet. Alle Domänencontroller werden nach diesen Objekten abgefragt und Domänencontroller mit Werten, die den Schwellenwert überschreiten, werden wegen Replikationsproblemen markiert.
Strikte ReplikationskonsistenzRegistrierungEinstellungprüfen. Die strikte Replikation ist die Standardeinstellung für neue Domänen ab Windows 2008. In älteren, etablierten AD-Umgebungen war dies jedoch nicht die Standardeinstellung und diese Einstellung wurde übernommen. In größeren Umgebungen mit vielen Domänen und Domänencontrollern wird es viel schwieriger, verbleibende Objekte zu identifizieren und aufzulösen.
Anzahl ausstehender Replikationen. Diese kann über WMI oder .NET abgerufen werden. Dies ist dasselbe wie die Ausführung einer repadmin /queue. Bei DCs mit einer hohen Anzahl ausstehender Replikationen kann die Replikation aus irgendeinem Grund beendet worden sein. Ein Beispiel wäre, wennStrikte Replikationskonsistenzaktiviert wäre, würde dies die Replikation definitiv beenden, wenn versucht würde, ein ungültiges oder gelöschtes Objekt eingehend zu replizieren. Es ist auch möglich, das aktuellste Datum und die aktuellste Uhrzeit der letzten erfolgreichen Replikation für einen bestimmten Nachbarn abzurufen, die markiert werden kann, wenn sie einen Schwellenwert überschreitet.

Answer

Um Ihnen eine Vorstellung davon zu geben, was getestet werden kann, sind hier einige der automatisierten Prüfungen, die wir täglich durchführen.

Ping-Test
LDAP/Port 389 authentifizierte Bindung
GC/Port 3268 authentifizierte Bindung
DNS/Port 53-Test. Dazu gehört eine Suche nach dem DC-DNS-Hostnamen, um zu bestätigen, dass nur eine Adresse zurückgegeben wird. Bei DCs mit mehreren IP-Adressen bestätigen wir, dass der Registrierungswert „PublishAddresses“ unter HKLM\System\CurrentControlSet\Services\DNS\Parameters definiert ist und mit der erwarteten IP-Adresse übereinstimmt.
Sysvol/FRS-Test. Dazu gehört das Überprüfen der Version in der aktuellsten GPO-Datei gpt.ini und der Vergleich mit dem PDC-Emulator.
Überprüfung des freien Speicherplatzes (WMI).
Zeitsynchronisierung. WMI kann verwendet werden, um die lokale Uhrzeit des DC abzurufen und mit dem Server zu vergleichen, auf dem der Test ausgeführt wird. Es wird eine Markierung ausgegeben, wenn sich die Differenz dem Schwellenwert (4 Min. 50 Sek.) nähert.
Zeitserver-Werbung. Ausgabe des Befehls: „nltest /server:serverName /dsgetdc:domainName.company.com“. Überprüfen Sie, ob das Flag TIMESERV vorhanden ist.
Zeitservertest.
1. Fragen Sie den Server über UDP/123 nach einer gültigen NTP-Antwort ab.
2. Wird verwendet w32tm.exe /query /computer:dcname /status /verbose, um den Zeitpunkt der letzten erfolgreichen DC-Synchronisierung zu bestimmen und festzustellen, ob die DC-Zeit synchronisiert ist.
3. Wird verwendet nltest.exe /server:dcname /dsgetdc:dcDomainDnsName, um zu bestimmen, ob der DC tatsächlich als Zeitserver bekannt gegeben wird. Die Bekanntgabe erfolgt über den Netlogon-Dienst.
GC-Werbung. Eine Möglichkeit, um festzustellen, ob ein DC tatsächlich als globaler Katalog beworben wird, ist die Verwendung von repadmin /showreps. Wenn eine Partition (noch) nicht vollständig repliziert wurde, wird „WARNUNG: Keine Werbung als globaler Katalog“ angezeigt. Beachten Sie, dass NLTest-Flags darauf hinweisen können, dass der DC als GC konfiguriert ist; diese „Konfiguration“ unterscheidet sich von „Werbung“. Dies ist insbesondere in großen verteilten Umgebungen mit vielen Domänen von Interesse, da es Tage oder Wochen dauern kann, bis ein DC alle Partitionen schrittweise repliziert hat, bis der GC-Test erfolgreich ist.
Replikationstest. Jede Domäne hat ein „Tag“-Objekt und eines der Attribute wird zum Speichern eines Datums-/Uhrzeitwerts verwendet. Alle Domänencontroller werden nach diesen Objekten abgefragt und Domänencontroller mit Werten, die den Schwellenwert überschreiten, werden wegen Replikationsproblemen markiert.
Strikte ReplikationskonsistenzRegistrierungEinstellungprüfen. Die strikte Replikation ist die Standardeinstellung für neue Domänen ab Windows 2008. In älteren, etablierten AD-Umgebungen war dies jedoch nicht die Standardeinstellung und diese Einstellung wurde übernommen. In größeren Umgebungen mit vielen Domänen und Domänencontrollern wird es viel schwieriger, verbleibende Objekte zu identifizieren und aufzulösen.
Anzahl ausstehender Replikationen. Diese kann über WMI oder .NET abgerufen werden. Dies ist dasselbe wie die Ausführung einer repadmin /queue. Bei DCs mit einer hohen Anzahl ausstehender Replikationen kann die Replikation aus irgendeinem Grund beendet worden sein. Ein Beispiel wäre, wennStrikte Replikationskonsistenzaktiviert wäre, würde dies die Replikation definitiv beenden, wenn versucht würde, ein ungültiges oder gelöschtes Objekt eingehend zu replizieren. Es ist auch möglich, das aktuellste Datum und die aktuellste Uhrzeit der letzten erfolgreichen Replikation für einen bestimmten Nachbarn abzurufen, die markiert werden kann, wenn sie einen Schwellenwert überschreitet.

Question 3

Active Directory ist in hohem Maße auf DNS angewiesen. Beginnen Sie daher mit einigen DNS-Prüfungen.

NSLOOKUPHostname Dieser Test zeigt, ob DNS einen Hostnamen in eine IP-Adresse auflösen kann.

DCDIAG /TEST:DNS: Dadurch wird überprüft, ob DNS und Active Directory ordnungsgemäß funktionieren.

NETDIAG /TEST:DNS Weitere DNS-Tests

Sobald Sie zufrieden sind, dass DNS ordnungsgemäß funktioniert, sind hier einige weitere Tests

REPADMIN /SHOWREPS Dies zeigt Ihnen den Zeitpunkt der letzten Replikation mit den Replikationspartnern an.

REPADMIN /REPLSUM /ERRORSONLY: Dies zeigt alle Replikationsfehler zwischen Domänencontrollern an.

DCDIAG /Q Der König der AD-Diagnosetools. Testet und meldet alle AD-Komponenten.

NETDIAG Testet alle

Answer

Active Directory ist in hohem Maße auf DNS angewiesen. Beginnen Sie daher mit einigen DNS-Prüfungen.

NSLOOKUPHostname Dieser Test zeigt, ob DNS einen Hostnamen in eine IP-Adresse auflösen kann.

DCDIAG /TEST:DNS: Dadurch wird überprüft, ob DNS und Active Directory ordnungsgemäß funktionieren.

NETDIAG /TEST:DNS Weitere DNS-Tests

Sobald Sie zufrieden sind, dass DNS ordnungsgemäß funktioniert, sind hier einige weitere Tests

REPADMIN /SHOWREPS Dies zeigt Ihnen den Zeitpunkt der letzten Replikation mit den Replikationspartnern an.

REPADMIN /REPLSUM /ERRORSONLY: Dies zeigt alle Replikationsfehler zwischen Domänencontrollern an.

DCDIAG /Q Der König der AD-Diagnosetools. Testet und meldet alle AD-Komponenten.

NETDIAG Testet alle

Question 4

Ich habe kürzlich gesehen, dass Microsoft ein interessantes neues Replikationsstatus-Tool veröffentlicht hat, das ziemlich gut aussieht. Es ist eher eine GUI-Überprüfung des Replikationsstatus mehrerer Server. Dies wäre sicherlich ein Schritt bei jeder AD-Integritätsprüfung:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Answer

Ich habe kürzlich gesehen, dass Microsoft ein interessantes neues Replikationsstatus-Tool veröffentlicht hat, das ziemlich gut aussieht. Es ist eher eine GUI-Überprüfung des Replikationsstatus mehrerer Server. Dies wäre sicherlich ein Schritt bei jeder AD-Integritätsprüfung:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Active Directory-Integritätsprüfungen

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen