Active Directory 健康檢查
我最近遇到了一些 Active Directory 問題,我想知道我可以定期進行哪些檢查以確保一切正常執行?
在我過去工作過的一家較小的公司中,我們使用了. 這是一個比較 PASS/FAILS 的腳本,當然不是一個不好的工具。有興趣看看別人用過什麼。
為了讓您對可以測試的內容有所了解,以下是我們每天執行的一些自動檢查。
Ping 測試
LDAP/埠 389 認證綁定
GC/Port 3268 認證綁定
DNS/埠 53 測試。這包括對 DC 執行查找 DC dns 主機名,以確認只返回一個地址。對於具有多個 IP 地址的 DC,我們確認“PublishAddresses”系統資料庫值是在 HKLM\System\CurrentControlSet\Services\DNS\Parameters 中定義的,並且與預期的 IP 地址相匹配。
Sysvol/FRS 測試。這包括檢查最新 GPO gpt.ini 文件中的版本,並與 PDC 仿真器進行比較。
可用磁碟空間檢查 (WMI)。
時間同步。WMI 可用於獲取 DC 本地時間,並與執行測試的伺服器進行比較,並標記差異是否接近門檻值(4m 50s)。
時間伺服器廣告。命令的輸出:’nltest /server:serverName /dsgetdc:domainName.company.com’,並驗證 TIMESERV 標誌是否存在。
時間伺服器測試。
- 在 UDP/123 上查詢伺服器以獲取有效的 NTP 響應。
- 用於
w32tm.exe /query /computer:dcname /status /verbose確定 DC 上次成功同步時間,以及 DC 時間是否同步。- 用於
nltest.exe /server:dcname /dsgetdc:dcDomainDnsName確定 DC 是否實際作為時間伺服器進行廣告。廣告是通過 Netlogon 服務執行的。GC廣告。確定 dc 是否實際上是作為全域目錄進行廣告的一種方法是使用
repadmin /showreps. 如果任何分區尚未(尚未)完全複製,它將顯示“警告:未作為全域目錄進行廣告”。請注意,NLTest 標誌可能表明 dc 被配置為 GC;這種“配置”不同於“廣告”。這在具有許多域的大型分佈式環境中尤其重要,因為 dc 可能需要幾天或幾週的時間才能逐漸複製所有分區到 GC 測試通過的點。複製測試。每個域都有一個“標籤”對象,其中一個屬性用於儲存日期時間值。針對這些對象查詢所有 DC,並且值超過門檻值的 DC 被標記為存在複製問題。
嚴格的複制一致性系統資料庫設置檢查。嚴格複製是新的 Windows 2008 和更高版本域的預設設置,但是舊的已建立的 AD 環境不是預設設置,並且該設置將被繼承。在具有許多域和 DC 的較大環境中,延遲對像變得更加難以辨識和解決。
掛起的複制計數。這可以通過 WMI 或 .NET 獲得。這與執行
repadmin /queue. 具有大量掛起複製的 DC 可能由於某種原因而關閉了複製。一個例子是,如果啟用了嚴格複製一致性,那麼如果嘗試複製入站無效或已刪除的對象,這肯定會關閉複製。還可以獲取特定鄰居的最後一次成功複製的最新日期時間,如果超過門檻值,則可以對其進行標記。