活動目錄健康檢查

Question 1

在我過去工作過的小公司，我們使用這。這是一個比較通過/失敗的腳本，當然也是一個不錯的工具來嘗試。有興趣看看別人用過什麼。

Answer

在我過去工作過的小公司，我們使用這。這是一個比較通過/失敗的腳本，當然也是一個不錯的工具來嘗試。有興趣看看別人用過什麼。

Question 2

為了讓您了解可以測試的內容，以下是我們每天執行的一些自動檢查。

Ping 測試
LDAP/連接埠 389 驗證綁定
GC/連接埠 3268 驗證綁定
DNS/連接埠 53 測試。這包括針對 DC 的 dns 主機名稱執行查找，以確認僅傳回一個位址。對於具有多個 IP 位址的 DC，我們確認「PublishAddresses」登錄值在 HKLM\System\CurrentControlSet\Services\DNS\Parameters 中定義，並且與預期的 IP 位址相符。
Sysvol/FRS 測試。這包括檢查最新 GPO gpt.ini 檔案中的版本，並與 PDC 模擬器進行比較。
可用磁碟空間檢查 (WMI)。
時間同步。 WMI 可用於取得 DC 本地時間，並與執行測試的伺服器進行比較，並在差異接近閾值（4m 50s）時進行標記。
時間伺服器廣告。指令的輸出：“nltest /server:serverName /dsgetdc:domainName.company.com”，並驗證 TIMESERV 標誌是否存在。
時間伺服器測試。
1. 在 UDP/123 上查詢伺服器以獲得有效的 NTP 回應。
2. 用於w32tm.exe /query /computer:dcname /status /verbose確定 DC 上次成功同步時間以及 DC 時間是否同步。
3. 用於nltest.exe /server:dcname /dsgetdc:dcDomainDnsName確定 DC 是否確實作為時間伺服器進行廣告。該廣告是透過 Netlogon 服務執行的。
GC廣告。確定 dc 是否確實作為全域目錄進行廣告的一種方法是使用repadmin /showreps。如果任何分區尚未完全複製，它將顯示「警告：未作為全域編錄進行廣告」。請注意，NLTest 標誌可能表明 dc 被配置為 GC；這種「配置」與「廣告」不同。這在具有許多領域的大型分散式環境中特別重要，因為 DC 可能需要幾天或幾週的時間才能逐漸將所有分區複製到 GC 測試通過的點。
複製測試。每個網域都有一個「標籤」對象，其中一個屬性用於儲存日期時間值。查詢所有 DC 中是否有這些對象，且值超過閾值的 DC 會被標記為存在複製問題。
嚴格的複製一致性註冊表環境查看。嚴格複製是新的 Windows 2008 及更高版本域的默認設置，但在較早建立的 AD 環境中，這不是默認設置，並且該設置將被保留。在具有許多域和 DC 的較大環境中，延遲物件變得更加難以識別和解析。
待處理的複製計數。這可以透過 WMI 或 .NET 取得。這與執行repadmin /queue.具有大量待處理複製的 DC 可能因某種原因關閉了複製。一個例子是如果嚴格的複製一致性如果啟用了，如果嘗試複製無效或已刪除的對象，這肯定會關閉複製。還可以獲得特定鄰居上次成功複製的最新日期時間，如果超過閾值，則可以對其進行標記。

Answer

為了讓您了解可以測試的內容，以下是我們每天執行的一些自動檢查。

Ping 測試
LDAP/連接埠 389 驗證綁定
GC/連接埠 3268 驗證綁定
DNS/連接埠 53 測試。這包括針對 DC 的 dns 主機名稱執行查找，以確認僅傳回一個位址。對於具有多個 IP 位址的 DC，我們確認「PublishAddresses」登錄值在 HKLM\System\CurrentControlSet\Services\DNS\Parameters 中定義，並且與預期的 IP 位址相符。
Sysvol/FRS 測試。這包括檢查最新 GPO gpt.ini 檔案中的版本，並與 PDC 模擬器進行比較。
可用磁碟空間檢查 (WMI)。
時間同步。 WMI 可用於取得 DC 本地時間，並與執行測試的伺服器進行比較，並在差異接近閾值（4m 50s）時進行標記。
時間伺服器廣告。指令的輸出：“nltest /server:serverName /dsgetdc:domainName.company.com”，並驗證 TIMESERV 標誌是否存在。
時間伺服器測試。
1. 在 UDP/123 上查詢伺服器以獲得有效的 NTP 回應。
2. 用於w32tm.exe /query /computer:dcname /status /verbose確定 DC 上次成功同步時間以及 DC 時間是否同步。
3. 用於nltest.exe /server:dcname /dsgetdc:dcDomainDnsName確定 DC 是否確實作為時間伺服器進行廣告。該廣告是透過 Netlogon 服務執行的。
GC廣告。確定 dc 是否確實作為全域目錄進行廣告的一種方法是使用repadmin /showreps。如果任何分區尚未完全複製，它將顯示「警告：未作為全域編錄進行廣告」。請注意，NLTest 標誌可能表明 dc 被配置為 GC；這種「配置」與「廣告」不同。這在具有許多領域的大型分散式環境中特別重要，因為 DC 可能需要幾天或幾週的時間才能逐漸將所有分區複製到 GC 測試通過的點。
複製測試。每個網域都有一個「標籤」對象，其中一個屬性用於儲存日期時間值。查詢所有 DC 中是否有這些對象，且值超過閾值的 DC 會被標記為存在複製問題。
嚴格的複製一致性註冊表環境查看。嚴格複製是新的 Windows 2008 及更高版本域的默認設置，但在較早建立的 AD 環境中，這不是默認設置，並且該設置將被保留。在具有許多域和 DC 的較大環境中，延遲物件變得更加難以識別和解析。
待處理的複製計數。這可以透過 WMI 或 .NET 取得。這與執行repadmin /queue.具有大量待處理複製的 DC 可能因某種原因關閉了複製。一個例子是如果嚴格的複製一致性如果啟用了，如果嘗試複製無效或已刪除的對象，這肯定會關閉複製。還可以獲得特定鄰居上次成功複製的最新日期時間，如果超過閾值，則可以對其進行標記。

Question 3

Active Directory 嚴重依賴 DNS，因此從一些 DNS 檢查開始。

查詢主機名稱 此測試 DNS 是否能夠將主機名稱解析為 IP 位址

DCDIAG /TEST:DNS 這將檢查 DNS 和 Active Directory 是否正常運作。

NETDIAG /TEST:DNS 更多 DNS 測試

一旦您對 DNS 正確運作感到滿意，就可以進行更多測試

REPADMIN /SHOWREPS 這將顯示上次與複製夥伴進行複製的時間

REPADMIN /REPLSUM /ERRORSONLY 這顯示網域控制站之間的任何複製錯誤。

DCDIAG /Q AD診斷工具之王。測試並報告所有 AD 組件。

NETDIAG 測試所有

Answer