Ich hatte in letzter Zeit einige Probleme mit Active Directory. Ich habe mich gefragt, welche Überprüfungen ich regelmäßig durchführen kann, um sicherzustellen, dass alles optimal funktioniert.
24
Ich hatte in letzter Zeit einige Probleme mit Active Directory. Ich habe mich gefragt, welche Überprüfungen ich regelmäßig durchführen kann, um sicherzustellen, dass alles optimal funktioniert.
In einem kleineren Unternehmen, für das ich in der Vergangenheit gearbeitet habe, haben wir dies verwendet . Es ist ein Skript, das PASS / FAILS vergleicht, sicherlich kein schlechtes Tool zum Ausprobieren. Interessiert zu sehen, was andere benutzt haben.
Um Ihnen einige Ideen zu geben, was getestet werden kann, finden Sie hier einige der automatisierten Prüfungen, die wir täglich durchführen.
w32tm.exe /query /computer:dcname /status /verbose
diese Option , um die DC-Zeit für die letzte erfolgreiche Synchronisierung zu bestimmen und um festzustellen, ob die DC-Zeit synchron ist.nltest.exe /server:dcname /dsgetdc:dcDomainDnsName
diese Option, um festzustellen, ob der Domänencontroller tatsächlich als Zeitserver kündigt. Die Werbung erfolgt über den Netlogon-Dienst. repadmin /showreps
. Wenn eine Partition (noch) nicht vollständig repliziert wurde, wird "WARNUNG: Keine Werbung als globaler Katalog" angezeigt. Beachten Sie, dass NLTest-Flags möglicherweise darauf hinweisen, dass der DC als GC konfiguriert ist. Diese "Konfiguration" unterscheidet sich von "Werbung". Dies ist von besonderem Interesse in großen verteilten Umgebungen mit vielen Domänen, da es Tage oder Wochen dauern kann, bis ein DC alle Partitionen nach und nach bis zu dem Punkt repliziert, an dem der GC-Test bestanden wurde.repadmin /queue
. Bei Domänencontrollern mit einer hohen Anzahl ausstehender Replikationen wurde die Replikation möglicherweise aus irgendeinem Grund heruntergefahren. Ein Beispiel wäre, wenn die strikte Replikationskonsistenz aktiviert wäre, dies würde die Replikation definitiv beenden, wenn ein ungültiges oder gelöschtes Objekt versucht würde, eingehende Daten zu replizieren. Es ist auch möglich, die letzte Datumszeit der letzten erfolgreichen Replikation für einen bestimmten Nachbarn abzurufen, die markiert werden kann, wenn ein Schwellenwert überschritten wird.
Active Directory ist stark von DNS abhängig. Beginnen Sie also mit einigen DNS-Überprüfungen.
NSLOOKUP- Hostname Mit diesem Test kann DNS einen Hostnamen in eine IP-Adresse auflösen
DCDIAG / TEST: DNS Hiermit wird überprüft, ob DNS und Active Directory ordnungsgemäß funktionieren.
NETDIAG / TEST: DNS Weitere DNS-Tests
Sobald Sie sich davon überzeugt haben, dass DNS korrekt ausgeführt wird, folgen weitere Tests
REPADMIN / SHOWREPS Hier wird angezeigt, wann die letzte Replikation mit den Replikationspartnern stattgefunden hat
REPADMIN / REPLSUM / ERRORSONLY Hiermit werden alle Replikationsfehler zwischen Domänencontrollern angezeigt.
DCDIAG / Q Der König der AD-Diagnosetools. Testet und meldet alle AD-Komponenten.
NETDIAG testet alle
quelle
Kürzlich stellte Microsoft ein interessantes neues Replikationsstatus-Tool vor, das ziemlich ordentlich zu sein scheint. Eher eine Überprüfung des GUI-Multi-Server-Replikationsstatus. Dies wäre sicherlich ein Schritt in jeder AD-Gesundheitsprüfung:
http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx
quelle