Comprobaciones de estado de Active Directory

Question 1

En una empresa más pequeña para la que trabajé en el pasado usábamoseste. Es un script que compara PASA/FALLA, ciertamente no es una mala herramienta para probar. Interesado en ver qué han usado otros.

Answer

En una empresa más pequeña para la que trabajé en el pasado usábamoseste. Es un script que compara PASA/FALLA, ciertamente no es una mala herramienta para probar. Interesado en ver qué han usado otros.

Question 2

Para darle algunas ideas sobre lo que se puede probar, estas son algunas de las comprobaciones automatizadas que realizamos a diario.

prueba de ping
Enlace autenticado LDAP/Puerto 389
Enlace autenticado por GC/puerto 3268
Prueba DNS/Puerto 53. Esto incluye realizar una búsqueda en el DC para el nombre de host dns del DC, para confirmar que solo se devuelve una dirección. Para los controladores de dominio que tienen varias direcciones IP, confirmamos que el valor de registro "PublishAddresses" está definido en HKLM\System\CurrentControlSet\Services\DNS\Parameters y coincide con la dirección IP esperada.
Prueba Sysvol/FRS. Esto incluye verificar la versión en el archivo GPO gpt.ini más reciente y compararla con el emulador de PDC.
Comprobación de espacio libre en disco (WMI).
Sincronización horaria. WMI se puede utilizar para obtener la hora local de DC, compararla con el servidor que ejecuta la prueba y marcar si la diferencia se acerca al umbral (4m 50s).
Publicidad en el servidor horario. salida del comando: 'nltest /server:serverName /dsgetdc:domainName.company.com' y verifique que el indicador TIMESERV esté presente.
Prueba del servidor de hora.
1. Consulte el servidor en UDP/123 para obtener una respuesta NTP válida.
2. Úselo w32tm.exe /query /computer:dcname /status /verbosepara determinar la hora de la última sincronización exitosa de DC y si la hora de DC está sincronizada.
3. Úselo nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamepara determinar si el DC realmente se anuncia como un servidor de hora. La publicidad se realiza a través del servicio Netlogon.
Publicidad GC. Una forma de determinar si un DC realmente se anuncia como catálogo global es utilizar repadmin /showreps. Si alguna partición no se ha replicado (todavía) por completo, mostrará "ADVERTENCIA: No se anuncia como catálogo global". Tenga en cuenta que los indicadores NLTest pueden indicar que la CC está configurada como un GC; esta "configuración" es distinta de la "publicidad". Esto es de particular interés en entornos distribuidos grandes con muchos dominios, ya que un DC puede tardar días o semanas en replicar gradualmente todas las particiones hasta el punto en que pase la prueba de GC.
Prueba de replicación. Cada dominio tiene un objeto "etiqueta" y uno de los atributos se utiliza para almacenar un valor de fecha y hora. Se consulta a todos los DC para estos objetos y los DC con valores que superan el umbral se marcan por problemas de replicación.
Estricta coherencia en la replicaciónregistroconfiguracióncontrolar. La replicación estricta es la opción predeterminada para los dominios nuevos de Windows 2008 y posteriores; sin embargo, en entornos AD establecidos más antiguos, esta no era la opción predeterminada y esa configuración se habría mantenido. Los objetos persistentes se vuelven mucho más difíciles de identificar y resolver en entornos más grandes con muchos dominios y DC.
Recuento de replicaciones pendientes. Esto se puede obtener a través de WMI o .NET. Esto es lo mismo que realizar un repadmin /queue. Es posible que en los controladores de dominio con una gran cantidad de replicaciones pendientes se haya cerrado la replicación por algún motivo. Un ejemplo sería siEstricta coherencia en la replicaciónestuvieran habilitados, esto definitivamente cerraría la replicación si se intentara replicar el objeto entrante no válido o eliminado. También es posible obtener la fecha y hora más reciente de la última replicación exitosa para un vecino en particular, que se puede marcar si excede un umbral.

Answer

Para darle algunas ideas sobre lo que se puede probar, estas son algunas de las comprobaciones automatizadas que realizamos a diario.

prueba de ping
Enlace autenticado LDAP/Puerto 389
Enlace autenticado por GC/puerto 3268
Prueba DNS/Puerto 53. Esto incluye realizar una búsqueda en el DC para el nombre de host dns del DC, para confirmar que solo se devuelve una dirección. Para los controladores de dominio que tienen varias direcciones IP, confirmamos que el valor de registro "PublishAddresses" está definido en HKLM\System\CurrentControlSet\Services\DNS\Parameters y coincide con la dirección IP esperada.
Prueba Sysvol/FRS. Esto incluye verificar la versión en el archivo GPO gpt.ini más reciente y compararla con el emulador de PDC.
Comprobación de espacio libre en disco (WMI).
Sincronización horaria. WMI se puede utilizar para obtener la hora local de DC, compararla con el servidor que ejecuta la prueba y marcar si la diferencia se acerca al umbral (4m 50s).
Publicidad en el servidor horario. salida del comando: 'nltest /server:serverName /dsgetdc:domainName.company.com' y verifique que el indicador TIMESERV esté presente.
Prueba del servidor de hora.
1. Consulte el servidor en UDP/123 para obtener una respuesta NTP válida.
2. Úselo w32tm.exe /query /computer:dcname /status /verbosepara determinar la hora de la última sincronización exitosa de DC y si la hora de DC está sincronizada.
3. Úselo nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamepara determinar si el DC realmente se anuncia como un servidor de hora. La publicidad se realiza a través del servicio Netlogon.
Publicidad GC. Una forma de determinar si un DC realmente se anuncia como catálogo global es utilizar repadmin /showreps. Si alguna partición no se ha replicado (todavía) por completo, mostrará "ADVERTENCIA: No se anuncia como catálogo global". Tenga en cuenta que los indicadores NLTest pueden indicar que la CC está configurada como un GC; esta "configuración" es distinta de la "publicidad". Esto es de particular interés en entornos distribuidos grandes con muchos dominios, ya que un DC puede tardar días o semanas en replicar gradualmente todas las particiones hasta el punto en que pase la prueba de GC.
Prueba de replicación. Cada dominio tiene un objeto "etiqueta" y uno de los atributos se utiliza para almacenar un valor de fecha y hora. Se consulta a todos los DC para estos objetos y los DC con valores que superan el umbral se marcan por problemas de replicación.
Estricta coherencia en la replicaciónregistroconfiguracióncontrolar. La replicación estricta es la opción predeterminada para los dominios nuevos de Windows 2008 y posteriores; sin embargo, en entornos AD establecidos más antiguos, esta no era la opción predeterminada y esa configuración se habría mantenido. Los objetos persistentes se vuelven mucho más difíciles de identificar y resolver en entornos más grandes con muchos dominios y DC.
Recuento de replicaciones pendientes. Esto se puede obtener a través de WMI o .NET. Esto es lo mismo que realizar un repadmin /queue. Es posible que en los controladores de dominio con una gran cantidad de replicaciones pendientes se haya cerrado la replicación por algún motivo. Un ejemplo sería siEstricta coherencia en la replicaciónestuvieran habilitados, esto definitivamente cerraría la replicación si se intentara replicar el objeto entrante no válido o eliminado. También es posible obtener la fecha y hora más reciente de la última replicación exitosa para un vecino en particular, que se puede marcar si excede un umbral.

Question 3

Active Directory depende en gran medida de DNS, así que comience con algunas comprobaciones de DNS.

BUSCARNSnombre de host Esta prueba de que DNS puede resolver un nombre de host en una dirección IP

DCDIAG /TEST:DNS Esto verificará que DNS y Active Directory estén funcionando correctamente.

NETDIAG /TEST:DNS Más pruebas de DNS

Una vez que esté satisfecho de que DNS se está ejecutando correctamente, aquí hay algunas pruebas más.

REPADMIN /SHOWREPS Esto le mostrará la última vez que se produjo la replicación con los socios de replicación.

REPADMIN /REPLSUM /ERRORSONLY Esto muestra cualquier error de replicación entre controladores de dominio.

DCDIAG /Q El rey de las herramientas de diagnóstico de AD. Prueba e informa todos los componentes de AD.

NETDIAG prueba todo

Answer

Active Directory depende en gran medida de DNS, así que comience con algunas comprobaciones de DNS.

BUSCARNSnombre de host Esta prueba de que DNS puede resolver un nombre de host en una dirección IP

DCDIAG /TEST:DNS Esto verificará que DNS y Active Directory estén funcionando correctamente.

NETDIAG /TEST:DNS Más pruebas de DNS

Una vez que esté satisfecho de que DNS se está ejecutando correctamente, aquí hay algunas pruebas más.

REPADMIN /SHOWREPS Esto le mostrará la última vez que se produjo la replicación con los socios de replicación.

REPADMIN /REPLSUM /ERRORSONLY Esto muestra cualquier error de replicación entre controladores de dominio.

DCDIAG /Q El rey de las herramientas de diagnóstico de AD. Prueba e informa todos los componentes de AD.

NETDIAG prueba todo

Question 4

Recientemente vimos que Microsoft lanzó una nueva e interesante herramienta de estado de replicación que parece bastante interesante. Más bien una verificación del estado de replicación del servidor gui mutli. Sin duda, este sería un paso en cualquier control del estado de AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Answer

Recientemente vimos que Microsoft lanzó una nueva e interesante herramienta de estado de replicación que parece bastante interesante. Más bien una verificación del estado de replicación del servidor gui mutli. Sin duda, este sería un paso en cualquier control del estado de AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Comprobaciones de estado de Active Directory

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada