Active Directory 상태 확인

Question 1

예전에 다니던 작은 회사에서이것. PASS/FAILS를 비교하는 스크립트로, 시도해 볼만한 나쁜 도구는 아닙니다. 다른 사람들이 무엇을 사용했는지 알고 싶습니다.

Answer

예전에 다니던 작은 회사에서이것. PASS/FAILS를 비교하는 스크립트로, 시도해 볼만한 나쁜 도구는 아닙니다. 다른 사람들이 무엇을 사용했는지 알고 싶습니다.

Question 2

테스트할 수 있는 항목에 대한 몇 가지 아이디어를 제공하기 위해 매일 수행하는 자동화된 검사 중 일부는 다음과 같습니다.

핑 테스트
LDAP/포트 389 인증 바인딩
GC/포트 3268 인증 바인딩
DNS/포트 53 테스트. 여기에는 하나의 주소만 반환되는지 확인하기 위해 DC에서 DC DNS 호스트 이름을 조회하는 작업이 포함됩니다. 여러 IP 주소가 있는 DC의 경우 "PublishAddresses" 레지스트리 값이 HKLM\System\CurrentControlSet\Services\DNS\Parameters에 정의되어 있고 예상 IP 주소와 일치하는지 확인합니다.
Sysvol/FRS 테스트. 여기에는 최신 GPO gpt.ini 파일의 버전 확인 및 PDC 에뮬레이터와의 비교가 포함됩니다.
여유 디스크 공간 확인(WMI).
시간 동기화. WMI를 사용하면 DC 현지 시간을 가져와 테스트를 실행하는 서버와 비교하고 차이가 임계값(4분 50초)에 가까워지면 플래그를 지정할 수 있습니다.
타임 서버 광고. 'nltest /server:serverName /dsgetdc:domainName.company.com' 명령의 출력을 확인하고 TIMESERV 플래그가 있는지 확인합니다.
타임 서버 테스트.
1. 유효한 NTP 응답을 위해 UDP/123의 서버를 쿼리합니다.
2. w32tm.exe /query /computer:dcname /status /verboseDC 마지막 성공한 동기화 시간을 확인하고 DC 시간이 동기화되어 있는지 확인하는 데 사용됩니다 .
3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameDC가 실제로 시간 서버로 광고하고 있는지 확인하는 데 사용됩니다 . 광고는 Netlogon 서비스를 통해 수행됩니다.
GC 광고. DC가 실제로 글로벌 카탈로그로 광고하고 있는지 확인하는 한 가지 방법은 repadmin /showreps. 파티션이 아직 완전히 복제되지 않은 경우 '경고: 글로벌 카탈로그로 광고하지 않음'이 표시됩니다. NLTest 플래그는 dc가 GC로 구성되었음을 나타낼 수 있습니다. 이 '구성'은 '광고'와 다릅니다. DC가 GC 테스트를 통과하는 지점까지 모든 파티션을 점진적으로 복제하는 데 며칠 또는 몇 주가 걸릴 수 있으므로 이는 도메인이 많은 대규모 분산 환경에서 특히 중요합니다.
복제 테스트. 각 도메인에는 "태그" 객체가 있으며, 속성 중 하나는 날짜/시간 값을 저장하는 데 사용됩니다. 이러한 개체에 대해 모든 DC가 쿼리되고, 임계값을 초과하는 값이 있는 DC에는 복제 문제에 대한 플래그가 지정됩니다.
엄격한 복제 일관성기재환경확인하다. 엄격한 복제는 새로운 Windows 2008 이상 도메인의 기본값이지만 이전에 확립된 AD 환경에서는 이것이 기본값이 아니었고 해당 설정이 그대로 유지되었습니다. 도메인과 DC가 많은 대규모 환경에서는 느린 개체를 식별하고 해결하기가 훨씬 더 어려워집니다.
보류 중인 복제 수입니다. 이는 WMI 또는 .NET을 통해 얻을 수 있습니다. 이는 를 수행하는 것과 동일합니다 repadmin /queue. 보류 중인 복제 수가 많은 DC에서는 어떤 이유로 복제가 종료되었을 수 있습니다. 예를 들면 다음과 같습니다.엄격한 복제 일관성활성화된 경우 유효하지 않거나 삭제된 개체가 인바운드 복제를 시도하는 경우 복제가 확실히 종료됩니다. 특정 인접 항목에 대해 마지막으로 성공한 복제의 가장 최근 날짜/시간을 얻는 것도 가능하며, 임계값을 초과하는 경우 플래그가 지정될 수 있습니다.

Answer

테스트할 수 있는 항목에 대한 몇 가지 아이디어를 제공하기 위해 매일 수행하는 자동화된 검사 중 일부는 다음과 같습니다.

핑 테스트
LDAP/포트 389 인증 바인딩
GC/포트 3268 인증 바인딩
DNS/포트 53 테스트. 여기에는 하나의 주소만 반환되는지 확인하기 위해 DC에서 DC DNS 호스트 이름을 조회하는 작업이 포함됩니다. 여러 IP 주소가 있는 DC의 경우 "PublishAddresses" 레지스트리 값이 HKLM\System\CurrentControlSet\Services\DNS\Parameters에 정의되어 있고 예상 IP 주소와 일치하는지 확인합니다.
Sysvol/FRS 테스트. 여기에는 최신 GPO gpt.ini 파일의 버전 확인 및 PDC 에뮬레이터와의 비교가 포함됩니다.
여유 디스크 공간 확인(WMI).
시간 동기화. WMI를 사용하면 DC 현지 시간을 가져와 테스트를 실행하는 서버와 비교하고 차이가 임계값(4분 50초)에 가까워지면 플래그를 지정할 수 있습니다.
타임 서버 광고. 'nltest /server:serverName /dsgetdc:domainName.company.com' 명령의 출력을 확인하고 TIMESERV 플래그가 있는지 확인합니다.
타임 서버 테스트.
1. 유효한 NTP 응답을 위해 UDP/123의 서버를 쿼리합니다.
2. w32tm.exe /query /computer:dcname /status /verboseDC 마지막 성공한 동기화 시간을 확인하고 DC 시간이 동기화되어 있는지 확인하는 데 사용됩니다 .
3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameDC가 실제로 시간 서버로 광고하고 있는지 확인하는 데 사용됩니다 . 광고는 Netlogon 서비스를 통해 수행됩니다.
GC 광고. DC가 실제로 글로벌 카탈로그로 광고하고 있는지 확인하는 한 가지 방법은 repadmin /showreps. 파티션이 아직 완전히 복제되지 않은 경우 '경고: 글로벌 카탈로그로 광고하지 않음'이 표시됩니다. NLTest 플래그는 dc가 GC로 구성되었음을 나타낼 수 있습니다. 이 '구성'은 '광고'와 다릅니다. DC가 GC 테스트를 통과하는 지점까지 모든 파티션을 점진적으로 복제하는 데 며칠 또는 몇 주가 걸릴 수 있으므로 이는 도메인이 많은 대규모 분산 환경에서 특히 중요합니다.
복제 테스트. 각 도메인에는 "태그" 객체가 있으며, 속성 중 하나는 날짜/시간 값을 저장하는 데 사용됩니다. 이러한 개체에 대해 모든 DC가 쿼리되고, 임계값을 초과하는 값이 있는 DC에는 복제 문제에 대한 플래그가 지정됩니다.
엄격한 복제 일관성기재환경확인하다. 엄격한 복제는 새로운 Windows 2008 이상 도메인의 기본값이지만 이전에 확립된 AD 환경에서는 이것이 기본값이 아니었고 해당 설정이 그대로 유지되었습니다. 도메인과 DC가 많은 대규모 환경에서는 느린 개체를 식별하고 해결하기가 훨씬 더 어려워집니다.
보류 중인 복제 수입니다. 이는 WMI 또는 .NET을 통해 얻을 수 있습니다. 이는 를 수행하는 것과 동일합니다 repadmin /queue. 보류 중인 복제 수가 많은 DC에서는 어떤 이유로 복제가 종료되었을 수 있습니다. 예를 들면 다음과 같습니다.엄격한 복제 일관성활성화된 경우 유효하지 않거나 삭제된 개체가 인바운드 복제를 시도하는 경우 복제가 확실히 종료됩니다. 특정 인접 항목에 대해 마지막으로 성공한 복제의 가장 최근 날짜/시간을 얻는 것도 가능하며, 임계값을 초과하는 경우 플래그가 지정될 수 있습니다.

Question 3

Active Directory는 DNS에 크게 의존하므로 몇 가지 DNS 검사부터 시작하세요.

NSLOOKUP호스트 이름 DNS가 호스트 이름을 IP 주소로 확인할 수 있는지 테스트합니다.

DCDIAG /TEST:DNS DNS와 Active Directory가 제대로 작동하는지 확인합니다.

NETDIAG /TEST:DNS 추가 DNS 테스트

DNS가 올바르게 실행되고 있다고 만족하면 여기에 더 많은 테스트가 있습니다.

REPADMIN /SHOWREPS 복제 파트너에서 마지막으로 복제가 발생한 시간을 표시합니다.

REPADMIN /REPLSUM /ERRORSONLY 도메인 컨트롤러 간의 복제 오류를 표시합니다.

DCDIAG /Q AD 진단 도구의 왕입니다. 모든 AD 구성 요소를 테스트하고 보고합니다.

NETDIAG는 모두 테스트합니다.

Answer