Active Directory-Integritätsprüfungen

Ich hatte in letzter Zeit einige Probleme mit Active Directory. Ich habe mich gefragt, welche Überprüfungen ich regelmäßig durchführen kann, um sicherzustellen, dass alles optimal funktioniert.

In einem kleineren Unternehmen, für das ich in der Vergangenheit gearbeitet habe, haben wir dies verwendet . Es ist ein Skript, das PASS / FAILS vergleicht, sicherlich kein schlechtes Tool zum Ausprobieren. Interessiert zu sehen, was andere benutzt haben.

Um Ihnen einige Ideen zu geben, was getestet werden kann, finden Sie hier einige der automatisierten Prüfungen, die wir täglich durchführen.

• Ping-Test
• LDAP / Port 389-authentifizierte Bindung
• GC / Port 3268-authentifizierte Bindung
• DNS / Port 53 Test. Dies beinhaltet das Durchführen einer Suche nach dem DNS-Hostnamen des Domänencontrollers, um zu bestätigen, dass nur eine Adresse zurückgegeben wird. Für Domänencontroller mit mehreren IP-Adressen bestätigen wir, dass der Registrierungswert "PublishAddresses" unter HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters definiert ist und mit der erwarteten IP-Adresse übereinstimmt.
• Sysvol / FRS-Test. Dies umfasst das Überprüfen der Version in der neuesten GPO-Datei gpt.ini und den Vergleich mit dem PDC-Emulator.
• Überprüfung des freien Speicherplatzes (WMI).
• Zeitsynchronization. WMI kann verwendet werden, um die DC-Ortszeit zu ermitteln und mit dem Server zu vergleichen, auf dem der Test ausgeführt wird, und um zu kennzeichnen, ob sich die Differenz dem Schwellenwert nähert (4 m 50 s).
• Time Server Werbung. Ausgabe des Befehls: 'nltest / server: serverName /dsgetdc:domainName.company.com', und überprüfen Sie, ob das TIMESERV-Flag vorhanden ist.
• Zeitserver-Test.
  1. Fragen Sie den Server unter UDP / 123 nach einer gültigen NTP-Antwort ab.
  2. Verwenden Sie w32tm.exe /query /computer:dcname /status /verbosediese Option , um die DC-Zeit für die letzte erfolgreiche Synchronisierung zu bestimmen und um festzustellen, ob die DC-Zeit synchron ist.
  3. Verwenden Sie nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamediese Option, um festzustellen, ob der Domänencontroller tatsächlich als Zeitserver kündigt. Die Werbung erfolgt über den Netlogon-Dienst.
• GC-Werbung. Eine Möglichkeit zu bestimmen, ob ein DC tatsächlich als globaler Katalog wirbt, ist die Verwendung repadmin /showreps. Wenn eine Partition (noch) nicht vollständig repliziert wurde, wird "WARNUNG: Keine Werbung als globaler Katalog" angezeigt. Beachten Sie, dass NLTest-Flags möglicherweise darauf hinweisen, dass der DC als GC konfiguriert ist. Diese "Konfiguration" unterscheidet sich von "Werbung". Dies ist von besonderem Interesse in großen verteilten Umgebungen mit vielen Domänen, da es Tage oder Wochen dauern kann, bis ein DC alle Partitionen nach und nach bis zu dem Punkt repliziert, an dem der GC-Test bestanden wurde.
• Replikationstest. Jede Domäne verfügt über ein "Tag" -Objekt, und eines der Attribute wird zum Speichern eines Datum / Uhrzeit-Werts verwendet. Alle Domänencontroller werden nach diesen Objekten abgefragt, und Domänencontroller mit Werten, die den Schwellenwert überschreiten, werden für Replikationsprobleme gekennzeichnet.
• Strict Replication Consistency Registrierungseinstellung überprüfen. Strikte Replikation ist die Standardeinstellung für neue Windows 2008- und spätere Domänen. In älteren AD-Umgebungen war dies jedoch nicht die Standardeinstellung, und diese Einstellung wurde übernommen. Verweilende Objekte sind in größeren Umgebungen mit vielen Domänen und Domänencontrollern viel schwieriger zu identifizieren und aufzulösen.
• Anzahl ausstehender Replikationen. Dies kann über WMI oder .NET bezogen werden. Dies ist dasselbe wie das Ausführen von a repadmin /queue. Bei Domänencontrollern mit einer hohen Anzahl ausstehender Replikationen wurde die Replikation möglicherweise aus irgendeinem Grund heruntergefahren. Ein Beispiel wäre, wenn die strikte Replikationskonsistenz aktiviert wäre, dies würde die Replikation definitiv beenden, wenn ein ungültiges oder gelöschtes Objekt versucht würde, eingehende Daten zu replizieren. Es ist auch möglich, die letzte Datumszeit der letzten erfolgreichen Replikation für einen bestimmten Nachbarn abzurufen, die markiert werden kann, wenn ein Schwellenwert überschritten wird.

Active Directory ist stark von DNS abhängig. Beginnen Sie also mit einigen DNS-Überprüfungen.

NSLOOKUP- Hostname Mit diesem Test kann DNS einen Hostnamen in eine IP-Adresse auflösen

DCDIAG / TEST: DNS Hiermit wird überprüft, ob DNS und Active Directory ordnungsgemäß funktionieren.

NETDIAG / TEST: DNS Weitere DNS-Tests

Sobald Sie sich davon überzeugt haben, dass DNS korrekt ausgeführt wird, folgen weitere Tests

REPADMIN / SHOWREPS Hier wird angezeigt, wann die letzte Replikation mit den Replikationspartnern stattgefunden hat

REPADMIN / REPLSUM / ERRORSONLY Hiermit werden alle Replikationsfehler zwischen Domänencontrollern angezeigt.

DCDIAG / Q Der König der AD-Diagnosetools. Testet und meldet alle AD-Komponenten.

NETDIAG testet alle

Kürzlich stellte Microsoft ein interessantes neues Replikationsstatus-Tool vor, das ziemlich ordentlich zu sein scheint. Eher eine Überprüfung des GUI-Multi-Server-Replikationsstatus. Dies wäre sicherlich ein Schritt in jeder AD-Gesundheitsprüfung:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx