健康检查

Question

最近我遇到了一些Active Directory问题，我想知道我可以定期做些什么检查，以确保所有的事情都能最优地工作呢？

Answer 1

在我过去工作过的一家较小的公司，我们使用了这。它是一个比较PASS/FAILS的脚本，当然也不是一个好的尝试工具。想看看别人用过什么。

Answer 2

为了给你一些关于什么可以被测试的想法，下面是一些我们每天进行的自动检查。

• 平试验
• LDAP/端口389认证绑定
• GC/端口3268认证绑定
• DNS/端口53测试。这包括对DC执行对DC dns主机名的查找，以确认只返回一个地址。对于具有多个IP地址的DC，我们确认在HKLM\System\CurrentControlSet\Services\DNS\Parameters，中定义了"PublishAddresses“注册表值，并匹配预期的IP地址。
• Sysvol/FRS试验这包括检查最新的GPO gpt.ini文件中的版本，并与PDC模拟器进行比较。
• 自由磁盘空间检查(WMI)。
• 时间同步WMI可用于获取DC本地时间，并与运行测试的服务器进行比较，并在差值接近阈值(4m50)时进行标记。
• 时间服务器广告。输出命令'nltest /server:serverName /dsgetdc:domainName.company.com'，并验证是否存在TIMESERV标志。
• 时间服务器测试。
  1. 查询UDP/123上的服务器以获得有效的NTP响应。
  2. 使用w32tm.exe /query /computer:dcname /status /verbose确定DC最后一次成功同步时间，以及DC时间是否同步。
  3. 使用nltest.exe /server:dcname /dsgetdc:dcDomainDnsName确定DC是否实际上是作为时间服务器进行广告宣传。广告通过Netlogon服务执行。

• GC广告。确定dc是否实际上是作为全局目录广告的一种方法是使用repadmin /showreps。如果任何分区尚未(尚未)完全复制，它将显示“警告:未将广告作为全局目录”。请注意，NLTest标志可能指示dc配置为GC；此“配置”与“广告”不同。这在具有许多域的大型分布式环境中尤为重要，因为dc可能需要数天或数周时间才能逐步复制所有分区，直到GC测试通过为止。
• 复制测试。每个域都有一个“标记”对象，其中一个属性用于存储日期时间值。所有DC都会查询这些对象，而值超过阈值的DC将被标记为复制问题。
• 严格复制一致性注册表设置检查。对于新的Windows 2008和以后的域来说，严格复制是默认的，但是旧的已建立的AD环境--这不是默认的--并且该设置将被继续执行。在具有许多域和DC的大环境中，挥之不去的对象变得更加难以识别和解析。
• 挂起复制计数。这可以通过WMI或.NET获得，这与执行repadmin /queue相同。有大量待处理副本的DC可能由于某种原因而关闭了复制。例如，如果启用了严格的复制一致性，如果试图复制入站的无效或删除对象，则肯定会关闭复制。还可以获得特定邻居上一次成功复制的最新日期时间，如果超过阈值，则可以对其进行标记。

Answer 3

Active Directory严重依赖DNS，因此从一些DNS检查开始。

NSLOOKUP主机名DNS能够将主机名解析为IP地址的测试

DCDIAG /TEST:DNS这将检查DNS和是否正常工作。

NETDIAG /TEST:DNS更多的DNS测试

当您满意DNS正确运行时，这里有更多的测试

REPADMIN /SHOWREPS --这将向您展示上次在复制伙伴中进行复制的情况。

REPADMIN /REPLSUM /ERRORSONLY这会显示域控制器之间的任何复制错误。

DCDIAG /Q，AD诊断工具之王。测试并报告所有AD组件。

NETDIAG测试全部