Verificações de integridade do Active Directory

Navegue suas respostas
24

Eu tive alguns problemas do Active Directory ultimamente foi me perguntando o que eu poderia fazer verificações em uma base regular que eu poderia fazer para garantir que tudo está funcionando de forma otimizada?

    
por Jake 29.08.2012 / 16:02

4 respostas

14

Em uma empresa menor onde trabalhei no passado, usamos este . É um script que compara PASSA / FALHA, certamente não é uma má ferramenta para experimentar. Interessado em ver o que os outros usaram.

    
por 29.08.2012 / 16:10
18

Para dar algumas ideias sobre o que pode ser testado, veja algumas das verificações automáticas que realizamos diariamente.

  • Teste de ping
  • Ligação autenticada LDAP / Porta 389
  • Ligação autenticada do GC / Port 3268
  • Teste de DNS / Porta 53. Isso inclui a realização de uma pesquisa no DC para o nome do host dns do DC, para confirmar que somente um endereço é retornado. Para DCs que possuem vários endereços IP, confirmamos que o valor do Registro "PublishAddresses" está definido em HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters e corresponde ao que deve ser o endereço IP esperado.
    • teste de
  • Sysvol / FRS. Isso inclui a verificação da versão no arquivo gpt.ini do GPO mais recente e a comparação com o emulador PDC.
  • Verificar espaço livre em disco (WMI).
  • Sincronização de horário. O WMI pode ser usado para obter o horário local DC e comparar com o servidor que está executando o teste e sinalizado se a diferença estiver se aproximando do limite (4m 50s).
  • Publicidade no servidor de horário. saída do comando: 'nltest / server: serverName /dsgetdc:domainName.company.com' e verifique se o sinalizador TIMESERV está presente.
  • Teste do servidor de horas.
    1. Consulte o servidor no UDP / 123 para obter uma resposta NTP válida.
    2. Use w32tm.exe /query /computer:dcname /status /verbose para determinar o tempo de sincronização do DC com êxito final e se o horário do DC estiver sincronizado.
    3. Use nltest.exe /server:dcname /dsgetdc:dcDomainDnsName para determinar se o CD realmente está anunciando como um servidor de horário. O anúncio é realizado através do serviço Netlogon.
  • Publicidade do GC. Uma maneira de determinar se um dc está realmente anunciando como um Catálogo Global é usar repadmin /showreps . Se alguma partição ainda não tiver sido totalmente replicada, ela exibirá "AVISO: não anunciando como um catálogo global". Observe que os sinalizadores NLTest podem indicar que o dc está configurado como um GC; essa "configuração" é diferente de "publicidade". Isso é de particular interesse em grandes ambientes distribuídos com muitos domínios, pois pode levar dias ou semanas para um dc replicar gradualmente todas as partições até o ponto em que o teste de GC passa.
  • Teste de replicação. Cada domínio tem um objeto "tag" e um dos atributos é usado para armazenar um valor de data e hora. Todos os DCs são consultados para esses objetos e os DCs com valores que excedem o limite são sinalizados para problemas de replicação.
  • Registro consistente de replicação configuração marque. A replicação estrita é o padrão para novos domínios do Windows 2008 e posteriores, no entanto, os ambientes de AD estabelecidos mais antigos não eram o padrão e essa configuração teria sido transferida. Objetos remanescentes tornam-se muito mais difíceis de identificar e resolver em ambientes maiores com muitos domínios e DCs.
  • Contagem de replicação pendente. Isso pode ser obtido via WMI ou .NET. Isso é o mesmo que executar um repadmin /queue . DCs com um alto número de replicações pendentes podem ter a replicação desativada por algum motivo. Um exemplo seria se Consistência de replicação restrita estivesse habilitada, isso encerraria definitivamente a replicação se um objeto inválido ou excluído fosse tentado para replicar a entrada. Também é possível obter o datetime mais recente da última replicação bem-sucedida para um vizinho específico, que pode ser sinalizado se exceder um limite.
por 29.08.2012 / 16:54
8

O Active Directory depende muito do DNS, So Start Com algumas verificações de DNS.

NSLOOKUP nome do host Este teste que o DNS é capaz de resolver um nome de host para um endereço IP

DCDIAG / TEST: DNS Isso verificará se o DNS e o Active Directory estão funcionando corretamente.

NETDIAG / TEST: DNS Mais testes de DNS

Quando estiver satisfeito com o funcionamento correto do DNS, clique aqui para mais testes

REPADMIN / SHOWREPS Isso mostrará a última vez que a replicação ocorreu com os parceiros de replicação

REPADMIN / REPLSUM / ERRORSONLY Isso exibe qualquer erro de replicação entre os controladores de domínio.

DCDIAG / Q O rei das ferramentas de diagnóstico de AD. Testes e relatórios de todos os componentes do AD.

NETDIAG Testa tudo

    
por 29.08.2012 / 16:19
1

Recentemente vi que a Microsoft lançou uma nova e interessante ferramenta de status de replicação que parece bem legal. Mais de uma verificação de status de replicação de vários servidores gui. Isso certamente seria um passo em qualquer exame de integridade do AD:

link

    
por 06.09.2012 / 04:17

Tags

Postfix TLS sobre SMTP - RCPT TO solicita renegociação e depois 554 5.5.1 Erro: nenhum destinatário válido Copie a estrutura de diretórios intacta para o bucket do AWS S3