Проверки работоспособности Active Directory

Question 1

В небольшой компании, где я работал раньше, мы использовалиэтот. Это скрипт, который сравнивает PASS/FAILS, определенно неплохой инструмент, чтобы попробовать. Интересно посмотреть, что использовали другие.

Answer

В небольшой компании, где я работал раньше, мы использовалиэтот. Это скрипт, который сравнивает PASS/FAILS, определенно неплохой инструмент, чтобы попробовать. Интересно посмотреть, что использовали другие.

Question 2

Чтобы дать вам представление о том, что можно тестировать, вот несколько автоматизированных проверок, которые мы проводим ежедневно.

Пинг-тест
Аутентифицированная привязка LDAP/Port 389
Аутентифицированная привязка GC/Port 3268
Тест DNS/Port 53. Это включает в себя выполнение поиска по DC для имени хоста DC dns, чтобы подтвердить, что возвращается только один адрес. Для DC, имеющих несколько IP-адресов, мы подтверждаем, что значение реестра "PublishAddresses" определено в HKLM\System\CurrentControlSet\Services\DNS\Parameters и соответствует ожидаемому IP-адресу.
Тест Sysvol/FRS. Включает проверку версии в последнем файле GPO gpt.ini и сравнение с эмулятором PDC.
Проверка свободного места на диске (WMI).
Синхронизация времени. WMI можно использовать для получения локального времени DC и сравнения с сервером, на котором выполняется тест, а также для уведомления, если разница приближается к пороговому значению (4 мин 50 с).
Реклама сервера времени. Вывод команды: 'nltest /server:serverName /dsgetdc:domainName.company.com' и проверьте наличие флага TIMESERV.
Тест сервера времени.
1. Запросите у сервера по UDP/123 допустимый ответ NTP.
2. Используется w32tm.exe /query /computer:dcname /status /verboseдля определения времени последней успешной синхронизации DC и того, синхронизировано ли время DC.
3. Используйте nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameдля определения, действительно ли DC рекламируется как сервер времени. Реклама выполняется через службу Netlogon.
Реклама GC. Один из способов определить, действительно ли dc рекламирует себя как глобальный каталог, — использовать repadmin /showreps. Если какой-либо раздел (еще) не был полностью реплицирован, он отобразит «ВНИМАНИЕ: не рекламируется как глобальный каталог». Обратите внимание, что флаги NLTest могут указывать на то, что dc настроен как GC; эта «конфигурация» отличается от «рекламы». Это представляет особый интерес в больших распределенных средах со многими доменами, поскольку dc может потребоваться несколько дней или недель, чтобы постепенно реплицировать все разделы до точки, где тест GC будет пройден.
Тест репликации. Каждый домен имеет объект "тег", и один из атрибутов используется для хранения значения даты и времени. Все контроллеры домена опрашиваются на предмет этих объектов, а контроллеры домена со значениями, превышающими пороговое значение, помечаются как имеющие проблемы репликации.
Строгая последовательность репликацииреестрпараметрпроверьте. Строгая репликация является значением по умолчанию для новых доменов Windows 2008 и более поздних версий, однако в старых установленных средах AD это не было значением по умолчанию, и эта настройка была бы перенесена. Устаревшие объекты становится намного сложнее идентифицировать и разрешать в более крупных средах со многими доменами и контроллерами домена.
Количество ожидающих репликаций. Это можно получить через WMI или .NET. Это то же самое, что и выполнение repadmin /queue. DC с большим количеством ожидающих репликаций могли по какой-то причине отключить репликацию. Примером может служить случай, еслиСтрогая последовательность репликациибыли включены, это определенно остановило бы репликацию, если бы недействительный или удаленный объект был бы попытан реплицироваться входящим. Также возможно получить самую последнюю дату и время последней успешной репликации для конкретного соседа, который может быть помечен, если он превышает пороговое значение.

Answer

Чтобы дать вам представление о том, что можно тестировать, вот несколько автоматизированных проверок, которые мы проводим ежедневно.

Пинг-тест
Аутентифицированная привязка LDAP/Port 389
Аутентифицированная привязка GC/Port 3268
Тест DNS/Port 53. Это включает в себя выполнение поиска по DC для имени хоста DC dns, чтобы подтвердить, что возвращается только один адрес. Для DC, имеющих несколько IP-адресов, мы подтверждаем, что значение реестра "PublishAddresses" определено в HKLM\System\CurrentControlSet\Services\DNS\Parameters и соответствует ожидаемому IP-адресу.
Тест Sysvol/FRS. Включает проверку версии в последнем файле GPO gpt.ini и сравнение с эмулятором PDC.
Проверка свободного места на диске (WMI).
Синхронизация времени. WMI можно использовать для получения локального времени DC и сравнения с сервером, на котором выполняется тест, а также для уведомления, если разница приближается к пороговому значению (4 мин 50 с).
Реклама сервера времени. Вывод команды: 'nltest /server:serverName /dsgetdc:domainName.company.com' и проверьте наличие флага TIMESERV.
Тест сервера времени.
1. Запросите у сервера по UDP/123 допустимый ответ NTP.
2. Используется w32tm.exe /query /computer:dcname /status /verboseдля определения времени последней успешной синхронизации DC и того, синхронизировано ли время DC.
3. Используйте nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameдля определения, действительно ли DC рекламируется как сервер времени. Реклама выполняется через службу Netlogon.
Реклама GC. Один из способов определить, действительно ли dc рекламирует себя как глобальный каталог, — использовать repadmin /showreps. Если какой-либо раздел (еще) не был полностью реплицирован, он отобразит «ВНИМАНИЕ: не рекламируется как глобальный каталог». Обратите внимание, что флаги NLTest могут указывать на то, что dc настроен как GC; эта «конфигурация» отличается от «рекламы». Это представляет особый интерес в больших распределенных средах со многими доменами, поскольку dc может потребоваться несколько дней или недель, чтобы постепенно реплицировать все разделы до точки, где тест GC будет пройден.
Тест репликации. Каждый домен имеет объект "тег", и один из атрибутов используется для хранения значения даты и времени. Все контроллеры домена опрашиваются на предмет этих объектов, а контроллеры домена со значениями, превышающими пороговое значение, помечаются как имеющие проблемы репликации.
Строгая последовательность репликацииреестрпараметрпроверьте. Строгая репликация является значением по умолчанию для новых доменов Windows 2008 и более поздних версий, однако в старых установленных средах AD это не было значением по умолчанию, и эта настройка была бы перенесена. Устаревшие объекты становится намного сложнее идентифицировать и разрешать в более крупных средах со многими доменами и контроллерами домена.
Количество ожидающих репликаций. Это можно получить через WMI или .NET. Это то же самое, что и выполнение repadmin /queue. DC с большим количеством ожидающих репликаций могли по какой-то причине отключить репликацию. Примером может служить случай, еслиСтрогая последовательность репликациибыли включены, это определенно остановило бы репликацию, если бы недействительный или удаленный объект был бы попытан реплицироваться входящим. Также возможно получить самую последнюю дату и время последней успешной репликации для конкретного соседа, который может быть помечен, если он превышает пороговое значение.

Question 3

Active Directory во многом зависит от DNS, поэтому начните с проверки DNS.

NSLOOKUPимя хоста Этот тест показывает, что DNS может преобразовать имя хоста в IP-адрес.

DCDIAG /TEST:DNS Это позволит проверить правильность работы DNS и Active Directory.

NETDIAG /TEST:DNS Еще больше тестирования DNS

Как только вы убедитесь, что DNS работает правильно, вот еще несколько тестов

REPADMIN /SHOWREPS Это покажет вам последний раз, когда репликация выполнялась с партнерами по репликации.

REPADMIN /REPLSUM /ERRORSONLY Отображает все ошибки репликации между контроллерами домена.

DCDIAG /Q Король диагностических инструментов AD. Тестирует и составляет отчеты обо всех компонентах AD.

NETDIAG Тестирует все

Answer

Active Directory во многом зависит от DNS, поэтому начните с проверки DNS.

NSLOOKUPимя хоста Этот тест показывает, что DNS может преобразовать имя хоста в IP-адрес.

DCDIAG /TEST:DNS Это позволит проверить правильность работы DNS и Active Directory.

NETDIAG /TEST:DNS Еще больше тестирования DNS

Как только вы убедитесь, что DNS работает правильно, вот еще несколько тестов

REPADMIN /SHOWREPS Это покажет вам последний раз, когда репликация выполнялась с партнерами по репликации.

REPADMIN /REPLSUM /ERRORSONLY Отображает все ошибки репликации между контроллерами домена.

DCDIAG /Q Король диагностических инструментов AD. Тестирует и составляет отчеты обо всех компонентах AD.

NETDIAG Тестирует все

Question 4

Недавно увидел, что Microsoft выпустила интересный новый инструмент статуса репликации, который кажется довольно аккуратным. Больше похоже на проверку статуса репликации сервера gui multi. Это, безусловно, будет одним из шагов в любой проверке работоспособности AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Answer

Недавно увидел, что Microsoft выпустила интересный новый инструмент статуса репликации, который кажется довольно аккуратным. Больше похоже на проверку статуса репликации сервера gui multi. Это, безусловно, будет одним из шагов в любой проверке работоспособности AD:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Проверки работоспособности Active Directory

решение1

решение2

решение3

решение4

Связанный контент