Active Directoryのヘルスチェック

回答:

14

私が過去に働いていた小さな会社でこれを使いました。合格/不合格を比較するスクリプトであり、試してみるのに悪いツールではありません。他の人が何を使ったか見てみたい。

JMeterX
ソース
18

テストできるものについてのアイデアを提供するために、ここで毎日実行する自動チェックの一部を紹介します。

  • pingテスト
  • LDAP /ポート389認証済みバインド
  • GC /ポート3268認証済みバインド
  • DNS /ポート53テスト。これには、DC DNSホスト名のDCに対してルックアップを実行して、1つのアドレスのみが返されることを確認することが含まれます。複数のIPアドレスを持つDCの場合、「PublishAddresses」レジストリ値がHKLM \ System \ CurrentControlSet \ Services \ DNS \ Parametersで定義され、予想されるIPアドレスと一致することを確認します。
  • Sysvol / FRSテスト。これには、最新のGPO gpt.iniファイルのバージョンの確認、およびPDCエミュレーターとの比較が含まれます。
  • 空きディスク容量チェック(WMI)。
  • 時刻同期。WMIを使用してDCローカル時間を取得し、テストを実行しているサーバーと比較して、差がしきい値(4分50秒)に近づいている場合にフラグを立てることができます。
  • タイムサーバー広告。コマンドの出力:「nltest / server:serverName /dsgetdc:domainName.company.com」、およびTIMESERVフラグが存在することを確認します。
  • タイムサーバーテスト。
    1. 有効なNTP応答についてUDP / 123上のサーバーを照会します。
    2. w32tm.exe /query /computer:dcname /status /verboseDCの最後の正常な同期時間、およびDC時間が同期しているかどうかを判別するために使用します。
    3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameDCが実際にタイムサーバーとしてアドバタイズしているかどうかを判断するために使用します。広告は、Netlogonサービスを介して実行されます。
  • GC広告。DCが実際にグローバルカタログとして広告を出しているかどうかを判断する1つの方法は、を使用することrepadmin /showrepsです。(まだ)完全に複製されていないパーティションがある場合、「警告:グローバルカタログとして広告していません」と表示されます。NLTestフラグは、dcがGCとして構成されていることを示す場合があることに注意してください。この「構成」は「広告」とは異なります。これは、DCがすべてのパーティションをGCテストに合格するまで徐々に複製するのに数日または数週間かかる場合があるため、多くのドメインを持つ大規模な分散環境では特に重要です。
  • 複製テスト。各ドメインには「タグ」オブジェクトがあり、属性の1つは日時値を格納するために使用されます。これらのオブジェクトに対してすべてのDCが照会され、しきい値を超える値を持つDCには複製の問題のフラグが立てられます。
  • 厳密なレプリケーション整合性レジストリ設定チェック。厳密なレプリケーションは、新しいWindows 2008以降のドメインのデフォルトですが、古い確立されたAD環境はデフォルトではなく、その設定が引き継がれていました。多くのドメインとDCがある大規模な環境では、残留オブジェクトの特定と解決がはるかに困難になります。
  • 保留中の複製カウント。これは、WMIまたは.NETを介して取得できます。これはを実行するのと同じrepadmin /queueです。保留中のレプリケーションの数が多いDCでは、何らかの理由でレプリケーションがシャットダウンされた可能性があります。たとえば、厳密な複製一貫性が有効になっている場合、無効または削除されたオブジェクトがインバウンドを複製しようとすると、複製が完全にシャットダウンされます。特定のネイバーの最後に成功したレプリケーションの最新の日時を取得することもできます。これは、しきい値を超えた場合にフラグを立てることができます。
グレッグ・アスキュー
ソース
徹底的、ありがとう!しかしながら; 「タイムサーバーテスト」について詳しく説明できますか?最小限の労力でこれを手動で(またはスクリプトで言うと)どうすればよいですか?:)
アシュリー
1
UDP / 123上のDCとの時刻同期を実行するNTPClientを構築しました。Windows 2008の場合、w32tm.exe / query / computer:dcname / status / verboseを使用して豊富な情報を取得できます。NTPClientの同期で取得できるすべての情報に加えて、最後に成功した同期時間、およびDCが同期している場合に提供されます。これはWindows 2003との大きな違いです。DCが実際にタイムサーバーとしてアドバタイズしているかどうかを判断するには、nltest.exe / server:dcname / dsgetdc:dcDomainDnsNameを使用する必要があります。
グレッグアスキュー
これはすごい!これらで実行されるスクリプトを共有してもらえますか?私はpowershellを使用してこれらを実行しようとしています。
ウィズキッド
1
@whizkid:PowerShellスクリプトはありませんが、最近これらすべてを実行するC#アプリケーションを開発し、1週間ほどでCodePlex.comに公開する予定です。
グレッグアスキュー
8

Active DirectoryはDNSに大きく依存しているため、いくつかのDNSチェックから始めます。

NSLOOKUP ホスト名 DNSがホスト名をIPアドレスに解決できることをテストします

DCDIAG / TEST:DNSこれにより、DNSとActive Directoryが正常に機能していることが確認されます。

NETDIAG / TEST:DNSその他のDNSテスト

DNSが正常に実行されていることに満足したら、ここでさらにテストを行います

REPADMIN / SHOWREPSこれにより、レプリケーションパートナーとのレプリケーションが最後に行われた時間が表示されます。

REPADMIN / REPLSUM / ERRORSONLYこれは、ドメインコントローラー間のレプリケーションエラーを表示します。

DCDIAG / Q AD診断ツールの王。すべてのADコンポーネントをテストおよびレポートします。

NETDIAGはすべてをテストします

ジェイク
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.