Verificações de integridade do Active Directory

Question 1

Em uma empresa menor em que trabalhei no passado, usávamosesse. É um script que compara PASS/FAILS, certamente não é uma ferramenta ruim para experimentar. Interessado em ver o que outros usaram.

Answer

Em uma empresa menor em que trabalhei no passado, usávamosesse. É um script que compara PASS/FAILS, certamente não é uma ferramenta ruim para experimentar. Interessado em ver o que outros usaram.

Question 2

Para lhe dar algumas ideias sobre o que pode ser testado, aqui estão algumas das verificações automatizadas que realizamos diariamente.

Teste de ping
Ligação autenticada LDAP/Porta 389
Ligação autenticada GC/Porta 3268
Teste DNS/Porta 53. Isso inclui realizar uma pesquisa no controlador de domínio para obter o nome do host DNS do controlador de domínio, para confirmar se apenas um endereço é retornado. Para DCs que possuem vários endereços IP, confirmamos que o valor do registro "PublishAddresses" está definido em HKLM\System\CurrentControlSet\Services\DNS\Parameters e corresponde ao que deveria ser o endereço IP esperado.
Teste Sysvol/FRS. Isso inclui verificar a versão no arquivo GPO gpt.ini mais recente e comparar com o emulador PDC.
Verificação de espaço livre em disco (WMI).
Sincronização de horário. O WMI pode ser usado para obter a hora local DC e compará-la com o servidor que está executando o teste e sinalizar se a diferença estiver se aproximando do limite (4m 50s).
Publicidade no servidor de horário. saída do comando: 'nltest /server:serverName /dsgetdc:domainName.company.com' e verifique se o sinalizador TIMESERV está presente.
Teste de servidor de horário.
1. Consulte o servidor em UDP/123 para obter uma resposta NTP válida.
2. Use w32tm.exe /query /computer:dcname /status /verbosepara determinar o horário da última sincronização bem-sucedida do DC e se o horário do DC está sincronizado.
3. Use nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamepara determinar se o controlador de domínio está realmente anunciando como um servidor de horário. O anúncio é realizado através do serviço Netlogon.
Publicidade GC. Uma maneira de determinar se um DC está realmente anunciando como um Catálogo Global é usar repadmin /showreps. Se alguma partição (ainda) não tiver sido totalmente replicada, será exibido 'AVISO: Não anunciado como catálogo global'. Observe que os sinalizadores NLTest podem indicar que o dc está configurado como um GC; esta 'configuração' é distinta de 'publicidade'. Isto é de particular interesse em grandes ambientes distribuídos com muitos domínios, pois pode levar dias ou semanas para que um DC replique gradualmente todas as partições até o ponto em que o teste de GC passa.
Teste de replicação. Cada domínio possui um objeto "tag" e um dos atributos é usado para armazenar um valor de data e hora. Todos os controladores de domínio são consultados em busca desses objetos, e os controladores de domínio com valores que excedem o limite são sinalizados para problemas de replicação.
Consistência estrita de replicaçãoregistrocontextoverificar. A replicação estrita é o padrão para novos domínios do Windows 2008 e posteriores; no entanto, em ambientes AD estabelecidos mais antigos, esse não era o padrão e essa configuração teria sido transferida. Objetos persistentes tornam-se muito mais difíceis de identificar e resolver em ambientes maiores com muitos domínios e controladores de domínio.
Contagem de replicação pendente. Isso pode ser obtido via WMI ou .NET. Isso é o mesmo que executar um repadmin /queue. DCs com um grande número de replicações pendentes podem ter tido a replicação desligada por algum motivo. Um exemplo seria seConsistência estrita de replicaçãofossem ativados, isso encerraria definitivamente a replicação se um objeto inválido ou excluído fosse tentado replicar a entrada. Também é possível obter a data e hora mais recente da última replicação bem-sucedida para um determinado vizinho, que pode ser sinalizada se exceder um limite.

Answer

Para lhe dar algumas ideias sobre o que pode ser testado, aqui estão algumas das verificações automatizadas que realizamos diariamente.

Teste de ping
Ligação autenticada LDAP/Porta 389
Ligação autenticada GC/Porta 3268
Teste DNS/Porta 53. Isso inclui realizar uma pesquisa no controlador de domínio para obter o nome do host DNS do controlador de domínio, para confirmar se apenas um endereço é retornado. Para DCs que possuem vários endereços IP, confirmamos que o valor do registro "PublishAddresses" está definido em HKLM\System\CurrentControlSet\Services\DNS\Parameters e corresponde ao que deveria ser o endereço IP esperado.
Teste Sysvol/FRS. Isso inclui verificar a versão no arquivo GPO gpt.ini mais recente e comparar com o emulador PDC.
Verificação de espaço livre em disco (WMI).
Sincronização de horário. O WMI pode ser usado para obter a hora local DC e compará-la com o servidor que está executando o teste e sinalizar se a diferença estiver se aproximando do limite (4m 50s).
Publicidade no servidor de horário. saída do comando: 'nltest /server:serverName /dsgetdc:domainName.company.com' e verifique se o sinalizador TIMESERV está presente.
Teste de servidor de horário.
1. Consulte o servidor em UDP/123 para obter uma resposta NTP válida.
2. Use w32tm.exe /query /computer:dcname /status /verbosepara determinar o horário da última sincronização bem-sucedida do DC e se o horário do DC está sincronizado.
3. Use nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamepara determinar se o controlador de domínio está realmente anunciando como um servidor de horário. O anúncio é realizado através do serviço Netlogon.
Publicidade GC. Uma maneira de determinar se um DC está realmente anunciando como um Catálogo Global é usar repadmin /showreps. Se alguma partição (ainda) não tiver sido totalmente replicada, será exibido 'AVISO: Não anunciado como catálogo global'. Observe que os sinalizadores NLTest podem indicar que o dc está configurado como um GC; esta 'configuração' é distinta de 'publicidade'. Isto é de particular interesse em grandes ambientes distribuídos com muitos domínios, pois pode levar dias ou semanas para que um DC replique gradualmente todas as partições até o ponto em que o teste de GC passa.
Teste de replicação. Cada domínio possui um objeto "tag" e um dos atributos é usado para armazenar um valor de data e hora. Todos os controladores de domínio são consultados em busca desses objetos, e os controladores de domínio com valores que excedem o limite são sinalizados para problemas de replicação.
Consistência estrita de replicaçãoregistrocontextoverificar. A replicação estrita é o padrão para novos domínios do Windows 2008 e posteriores; no entanto, em ambientes AD estabelecidos mais antigos, esse não era o padrão e essa configuração teria sido transferida. Objetos persistentes tornam-se muito mais difíceis de identificar e resolver em ambientes maiores com muitos domínios e controladores de domínio.
Contagem de replicação pendente. Isso pode ser obtido via WMI ou .NET. Isso é o mesmo que executar um repadmin /queue. DCs com um grande número de replicações pendentes podem ter tido a replicação desligada por algum motivo. Um exemplo seria seConsistência estrita de replicaçãofossem ativados, isso encerraria definitivamente a replicação se um objeto inválido ou excluído fosse tentado replicar a entrada. Também é possível obter a data e hora mais recente da última replicação bem-sucedida para um determinado vizinho, que pode ser sinalizada se exceder um limite.

Question 3

O Active Directory depende muito do DNS, então comece com algumas verificações de DNS.

NSLOOKUPnome de anfitrião Este teste se o DNS é capaz de resolver um nome de host para um endereço IP

DCDIAG /TEST:DNS Isso verificará se o DNS e o Active Directory estão funcionando corretamente.

NETDIAG /TEST:DNS Mais testes de DNS

Quando você estiver satisfeito com o funcionamento correto do DNS, aqui estão mais alguns testes

REPADMIN /SHOWREPS Isto mostrará a última vez que ocorreu a replicação com os parceiros de replicação

REPADMIN /REPLSUM /ERRORSONLY Exibe quaisquer erros de replicação entre controladores de domínio.

DCDIAG /Q O rei das ferramentas de diagnóstico de AD. Testa e relata todos os componentes do AD.

NETDIAG testa tudo

Answer

O Active Directory depende muito do DNS, então comece com algumas verificações de DNS.

NSLOOKUPnome de anfitrião Este teste se o DNS é capaz de resolver um nome de host para um endereço IP

DCDIAG /TEST:DNS Isso verificará se o DNS e o Active Directory estão funcionando corretamente.

NETDIAG /TEST:DNS Mais testes de DNS

Quando você estiver satisfeito com o funcionamento correto do DNS, aqui estão mais alguns testes

REPADMIN /SHOWREPS Isto mostrará a última vez que ocorreu a replicação com os parceiros de replicação

REPADMIN /REPLSUM /ERRORSONLY Exibe quaisquer erros de replicação entre controladores de domínio.

DCDIAG /Q O rei das ferramentas de diagnóstico de AD. Testa e relata todos os componentes do AD.

NETDIAG testa tudo

Question 4

Vi recentemente que a Microsoft lançou uma nova ferramenta interessante de status de replicação que parece muito legal. Mais uma verificação de status de replicação do servidor gui mutli. Esta seria certamente uma etapa em qualquer verificação de integridade do AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Answer

Vi recentemente que a Microsoft lançou uma nova ferramenta interessante de status de replicação que parece muito legal. Mais uma verificação de status de replicação do servidor gui mutli. Esta seria certamente uma etapa em qualquer verificação de integridade do AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Verificações de integridade do Active Directory

Responder1

Responder2

Responder3

Responder4

informação relacionada