Перевірка контролерів охорони здоров'я домену Active Directory та реплікація

Active Directory - це надійний, але в той же час надзвичайно складний і критичний сервіс, робота всієї мережі залежить від продуктивності. Системний адміністратор повинен постійно контролювати правильність Active Directory. У цій статті ми розглянемо основні методи, які дозволяють швидко перевірити та діагностувати стан вашого домену Active Directory, контролери домену та реплікації.

Зміст:

• Перевірка стану контролерів домену за допомогою DCDIAG
• Перевірка помилок реплікації між контролерами домену Active Directory

Перевірка стану контролерів домену за допомогою DCDIAG

Основна побудована утиліта для перевірки стану контролерів домену - Dcdiag.

Щоб швидко перевірити умову певного домену домену, використовуйте команду:

DCDIAG /S: DC01

Ця команда виконує різні тести заданого контролера домену і повертає статус для кожного тесту (Пропущений| Провалився).

Типові тести:

• Зв'язок - Перевіряє реєстрацію постійного струму в DNS, виконує тест -з'єднання LDAP та RPC;
• Реклама - перевіряє ролі та послуги, опубліковані в DC;
  Фресент - перевіряє наявність помилок у службі реплікації файлів (помилки реплікації Sysvol);
• Fsmocheck - Перевіряє, що постійний струм може підключитися до KDC, PDC, глобального сервера каталогу;
• Машина - Перевіряє правильність реєстрації облікового запису постійного струму в AD, правильність довіри до домену;
• Сітлогони - Перевірка наявності прав на реплікацію;
• Реплікації - перевірка стану реплікації між контролерами домену та наявністю помилок;
• Знає власники - перевіряє наявність контролерів домену з ролями FSMO;
• Послуги - перевіряє, чи були запущені необхідні послуги на контролері домену;
• SystemLog - перевіряє наявність помилок у журналах DC;
• І т.D.

Повний опис усіх доступних тестів тут.

На додаток до стандартних тестів, які виконуються захистом, ви можете виконати додаткові перевірки контролера домену:

• Топологія - перевіряє, що KCC створювала повну топологію для всіх постійного струму;
• Контрольна техніка
• Обрізання - знаходить DC, який не отримує реплікації через те, що партнер недоступний;
• DNS - Доступні 6 перевірки послуг DNS ( /Dnsbasic, /dnsforwarders, /Dnsdelegtion, /Dnsdymanicupdate, /DNSRecordRegistration, /DnsResolVextName)
• ВІДПОВІДНІ СЕКУРЕХАННИ
• Перевірка - перевіряє правильність програми розділів програми
• Перевірка підприємств

Наприклад, щоб перевірити правильність роботи DNS на всіх контролера домену, використовуйте команду:

Dcdiag.EXE /S: DC01 /TEST: DNS /E /V

Як результат, підсумкова таблиця повинна з’явитися на перевірці роздільної здатності імені DNS на всіх контролерів (якщо все в порядку, має бути скрізь Проходити). Якщо Fail десь вказується, вам потрібно перевірити цей тест на вказаному постійному струмі:

Dcdiag.Exe /s: dc01 /test: dns /dnsforwarders /v

Щоб отримати розширену інформацію на основі результатів тестів контролера домену та збережіть її у текстовому файлі, використовуйте команду:

Dcdiag /s: dc01 /v >> c: \ ps \ dc01_dcdiag_test.журнал

Наступна команда PowerShell дозволяє відображати лише інформацію про виконані тести:

DCDIAG /S: DC01 | Виберіть -String -Pattern '\. (.*) \ b (пропущено | Не вдалося) \ b тест (.*) '

Щоб отримати стан усіх контролерів домену, використовуйте:

Dcdiag.EXE /S: WinitPro.ru /a

Якщо вам потрібно відобразити знайдені лише помилки, використовуйте параметр /Q:

Dcdiag.EXE /S: DC01 /Q

У моєму прикладі утиліта виявила помилки реплікації:

Протягом останніх 24 годин після того. Невдача проблем з реплікацією SYSVOL може спричинити проблеми з груповою політикою ... DC01 Невдалий тест DFSREVENT

Для того, щоб утиліта DCDIAG автоматично виправила помилки в основних іменах обслуговування для цього облікового запису постійного струму, використовуйте параметр /Виправити:

Dcdiag.EXE /S: DC01 /Виправлення

Перевірка помилок реплікації між контролерами домену Active Directory

Для перевірки реплікації в домені використовується вбудована утиліта Відрегулювати.

Основна команда перевірки реплікації:

Repadmin /resplsum

Утиліта повернула поточний статус реплікації між усіма постійними струмами. В ідеальному випадку значення Найбільша дельта не повинен перевищувати 1 годину (залежно від топології та налаштувань частоти міжсвітних реплік) та кількості помилок = 0. Мій приклад показує, що одна з останніх реплік зайняла 14 днів, але тепер все в порядку.

Виконати чек на всі постійні струми в домені:

Repadmin /replsum *

Перевірка міжсвітньої реплікації може бути виконана так:

Repadmin /showerism

Щоб переглянути топологію реплікації та виявлені помилки, дотримуйтесь:

Repadmin /showrepl

Ця команда перевірить постійний струм та поверне час останньої успішної реплікації для кожного розділу каталогу (Остання спроба XXXX була успішною).

Для відображення розширеної інформації використовуйте:

Repadmin /showrepl *

Щоб почати реплікувати паролі від звичайного контролера домену до контролера домену для читання (RODC), ключ використовується /Rodcpwdrepl.

Параметр /репліка дозволяє запустити негайну реплікацію зазначеного розділу каталогу для певного постійного струму.

Для запуску синхронізації зазначеного постійного струму з усіма партнерами з реплікації використовуйте команду

Повернути /синхронізувати

Для перегляду повороту реплікації:

Repadmin /черга

В ідеальному випадку лінія повинна бути порожньою:

Перевірте час створення останньої резервної копії поточного контролера домену:

Repadmin /showbackup *

Ви також можете перевірити стан реплікації за допомогою PowerShell. Наприклад, наступна команда відобразить усі виявлені помилки реплікації в місті:

Get -DreplicationPartNerMetadata -Target * -Партіція * | Виберіть -Object Server, розділ, партнер, consecutiverecationFailures, Lastreplicationsuches, LastrepicationResult | Поза містом

У своєму сховищі на Github я налив сценарій PowerShell, який я часто використовую для перевірки стану реплікації в AD. Сценарій генерує файл HTML і може надіслати його на вказану електронну пошту за допомогою командування Send-MailMessage.

https: // github.Com/winadm/posh/blob/master/activedirectory/checkadhealth.PS1

Ви можете додатково використовувати Get-Service, щоб перевірити умову стандартних служб на контролері домену:

• Служби домену Active Directory (NTDS)
• Веб -сервіси Active Directory (ADWS) - Саме до цієї послуги всі команди з модуля AD PowerShell підключені
• DNS (Dnscache та DNS)
• Центр розподілу ключів Kerberos (KDC)
• Service Windows Time (W32Time)
• Netlogon (Netlogon)

Get -Service -Name NTDS, ADWS, DNS, DNSCACHE, KDC, W32TIME, NetLogon -ComputErname DC03

Отже, у цій статті ми вивчили основні команди та сценарії, які можна використовувати для діагностики стану вашого доменного активного каталогу. Ви можете використовувати їх у всій підтримуваній версії Windows Server, включаючи контролери домену в режимі серверного ядра.