Verificaciones de estado de Active Directory

Respuestas:

14

En una empresa más pequeña para la que trabajé en el pasado, usamos esto . Es un script que compara PASS / FAILS, ciertamente no es una mala herramienta para probar. Interesado en ver lo que otros han usado.

JMeterX
fuente
18

Para darle algunas ideas sobre lo que se puede probar, estas son algunas de las comprobaciones automáticas que realizamos a diario.

  • Prueba de ping
  • Enlace autenticado LDAP / Puerto 389
  • Enlace autenticado GC / Port 3268
  • Prueba de DNS / Puerto 53. Esto incluye realizar una búsqueda en DC para el nombre de host DC dns, para confirmar que solo se devuelve una dirección. Para los DC que tienen múltiples direcciones IP, confirmamos que el valor de registro "PublishAddresses" está definido en HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters, y coincide con la que debería ser la dirección IP esperada.
  • Prueba de Sysvol / FRS. Esto incluye verificar la versión en el archivo gpt.ini más reciente de GPO y compararlo con el emulador PDC.
  • Comprobación de espacio libre en disco (WMI).
  • Sincronización horaria. El WMI se puede usar para obtener la hora local de DC y compararlo con el servidor que ejecuta la prueba, y se puede marcar si la diferencia se acerca al umbral (4m 50s).
  • Servidor de tiempo publicitario. salida del comando: 'nltest / server: serverName /dsgetdc:domainName.company.com', y verifique que el indicador TIMESERV esté presente.
  • Prueba del servidor horario.
    1. Consulte al servidor en UDP / 123 para obtener una respuesta NTP válida.
    2. Utilícelo w32tm.exe /query /computer:dcname /status /verbosepara determinar la última hora de sincronización exitosa de DC y si la hora de DC está sincronizada.
    3. Utilícelo nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamepara determinar si el DC está realmente publicitándose como un servidor horario. El anuncio se realiza a través del servicio Netlogon.
  • Publicidad de GC. Una forma de determinar si un DC está realmente publicitándose como un Catálogo Global es usarlo repadmin /showreps. Si alguna partición (todavía) no se ha replicado completamente, mostrará 'ADVERTENCIA: No se anuncia como un catálogo global'. Tenga en cuenta que los indicadores NLTest pueden indicar que la CC está configurada como un GC; esta 'configuración' es distinta de 'publicidad'. Esto es de particular interés en entornos distribuidos grandes con muchos dominios, ya que puede tomar días o semanas para que un DC repita gradualmente todas las particiones hasta el punto donde pasa la prueba de GC.
  • Prueba de replicación. Cada dominio tiene un objeto "etiqueta", y uno de los atributos se utiliza para almacenar un valor de fecha y hora. Todos los DC se consultan para estos objetos, y los DC con valores que exceden el umbral se marcan por problemas de replicación.
  • Comprobación de configuración de registro de coherencia de replicación estricta La replicación estricta es la predeterminada para los nuevos dominios de Windows 2008 y posteriores, sin embargo, los entornos de AD establecidos más antiguos no eran los predeterminados y esa configuración se habría llevado a cabo. Los objetos persistentes se vuelven mucho más difíciles de identificar y resolver en entornos más grandes con muchos dominios y DC.
  • Cuenta de replicación pendiente. Esto se puede obtener a través de WMI o .NET. Esto es lo mismo que realizar a repadmin /queue. Los DC con una gran cantidad de réplicas pendientes pueden haber tenido la réplica cerrada por alguna razón. Un ejemplo sería si la coherencia de replicación estricta estuviera habilitada, esto definitivamente cerraría la replicación si se intentara replicar una entrada entrante a un objeto no válido o eliminado. También es posible obtener la fecha y hora más reciente de la última replicación exitosa para un vecino en particular, que puede marcarse si excede un umbral.
Greg Askew
fuente
Completo, gracias! Sin embargo; ¿Hay alguna posibilidad de que pueda elaborar una "prueba de servidor de tiempo"? ¿Cómo se hace esto manualmente (o en un script, por ejemplo) con un mínimo esfuerzo? :)
Ashley
1
Creé un NTPClient para realizar una sincronización de tiempo con DC en UDP / 123. Para Windows 2008, se puede obtener una gran cantidad de información utilizando: w32tm.exe / query / computer: dcname / status / verbose. Proporciona toda la información que se puede obtener mediante una sincronización de cliente NTP, más el último tiempo de sincronización exitoso, y si el DC está sincronizado. Esta es una gran diferencia con respecto a Windows 2003. Para determinar si el DC realmente se anuncia como un servidor de tiempo, debe usar: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.
Greg Askew
esto es simplemente wow! ¿Le importaría compartir los scripts que se ejecutan para estos? Intentaré ejecutar estos usando powershell.
whizkid
1
@ whizkid: no tengo un script de PowerShell, pero recientemente desarrollé una aplicación C # que hace todo esto y la publicaré en CodePlex.com dentro de una semana más o menos.
Greg Askew
8

Active Directory depende en gran medida de DNS, así que comience con algunas comprobaciones de DNS.

Nombre de host NSLOOKUP Esta prueba de que DNS puede resolver un nombre de host a una dirección IP

DCDIAG / TEST: DNS Esto verificará que DNS y Active Directory estén funcionando correctamente.

NETDIAG / TEST: DNS Más pruebas de DNS

Una vez que esté satisfecho de que DNS se está ejecutando correctamente, aquí hay más pruebas

REPADMIN / SHOWREPS Esto le mostrará la última vez que ocurrió la replicación con los socios de replicación

REPADMIN / REPLSUM / ERRORSONLY Esto muestra cualquier error de replicación entre controladores de dominio.

DCDIAG / Q El rey de las herramientas de diagnóstico de AD. Prueba e informa todos los componentes de AD.

NETDIAG prueba todo

Jake
fuente