web-dev-qa-db-ja.com

Active Directoryのヘルスチェック

最近、Active Directoryでいくつかの問題が発生しました。すべてが最適に機能していることを確認するために、定期的にどのようなチェックを行うことができるのか疑問に思いましたか?

windows-server-2008windows-server-2003active-directory
24
Jake

以前私が働いていた小さな会社で this を使用しました。これは、合格/不合格を比較するスクリプトであり、確かに試してみるのに悪いツールではありません。他のユーザーが使用しているものを確認したい。

14
JMeterX

テストできるものについていくつかのアイデアを提供するために、私たちが毎日実行する自動チェックの一部を次に示します。

  • Pingテスト
  • LDAP /ポート389認証済みバインド
  • GC /ポート3268認証済みバインド
  • DNS /ポート53テスト。これには、DC for DC dns Host nameに対してルックアップを実行して、1つのアドレスのみが返されることを確認することが含まれます。複数のIPアドレスを持つDCの場合、 "PublishAddresses"レジストリ値がHKLM\System\CurrentControlSet\Services\DNS\Parametersで定義されており、予想されるIPアドレスと一致することを確認します。
  • Sysvol/FRSテスト。これには、最新のGPO gpt.iniファイルでバージョンを確認し、PDCエミュレータと比較します。
  • 空きディスク容量チェック(WMI)。
  • 時間同期。 WMIを使用してDC現地時間を取得し、テストを実行しているサーバーと比較して、差がしきい値(4分50秒)に近づいている場合にフラグを立てることができます。
  • タイムサーバー広告。コマンドの出力: 'nltest/server:serverName /dsgetdc:domainName.company.com'、およびTIMESERVフラグが存在することを確認します。
  • タイムサーバーテスト。
    1. 有効なNTP応答があるかどうか、UDP/123上のサーバーに問い合わせます。
    2. w32tm.exe /query /computer:dcname /status /verboseを使用して、DC最後に成功した同期時刻、およびDC時刻が同期しているかどうかを確認します。
    3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameを使用して、DC=が実際にタイムサーバーとしてアドバタイズしているかどうかを判断します。アドバタイズはNetlogonサービスを介して実行されます。
  • GC Advertising。 DCが実際にグローバルカタログとしてアドバタイズしているかどうかを判断する1つの方法は、repadmin /showrepsを使用することです。 (まだ)完全に複製されていないパーティションがある場合は、「警告:グローバルカタログとして通知されていません」と表示されます。 NLTestフラグは、dcがGCとして構成されていることを示す場合があることに注意してください。この「構成」は「広告」とは異なります。これは、DCがすべてのパーティションをGCテストに合格するまで徐々に複製するのに数日または数週間かかる場合があるため、多くのドメインがある大規模な分散環境では特に重要です。
  • 複製テスト。各ドメインには「タグ」オブジェクトがあり、属性の1つは日時値を格納するために使用されます。これらのオブジェクトに対してすべてのDCが照会され、しきい値を超える値を持つDCにはレプリケーションの問題のフラグが立てられます。
  • 厳密なレプリケーションの一貫性 レジストリ 設定 チェック。 Strict Replicationは新しいWindows 2008以降のドメインのデフォルトですが、古い確立されたAD環境ではこれがデフォルトではなく、その設定が引き継がれていました。多くのドメインとDCが存在する大規模な環境では、残留オブジェクトを識別して解決することがはるかに困難になります。
  • 保留中のレプリケーション数。これは、WMIまたは.NETを介して取得できます。これは、repadmin /queueを実行するのと同じです。保留中の複製が多いDCは、何らかの理由で複製がシャットダウンされた可能性があります。たとえば、Strict Replication Consistencyが有効になっている場合、無効なオブジェクトまたは削除されたオブジェクトがインバウンドをレプリケートしようとした場合、これは確実にレプリケーションをシャットダウンします。特定のネイバーの最後に成功したレプリケーションの最新の日時を取得することもできます。これは、しきい値を超えた場合にフラグを立てることができます。
18
Greg Askew

Active DirectoryはDNSに大きく依存しているため、いくつかのDNSチェックから始めます。

NSLOOKUP hostnameこのテストは、DNSがホスト名をIPアドレスに解決できることをテストします

DCDIAG/TEST:DNSこれにより、DNSとActive Directoryが正しく動作していることが確認されます。

NETDIAG/TEST:DNSその他のDNSテスト

DNSが正しく実行されていることを確認したら、ここでさらに多くのテストを実行します

REPADMIN/SHOWREPSこれは、複製パートナーとの複製が最後に行われた時間を示します

REPADMIN/REPLSUM/ERRORSONLYこれは、ドメインコントローラ間のレプリケーションエラーを表示します。

DCDIAG/Q AD診断ツールの王様。すべてのADコンポーネントをテストして報告します。

NETDIAGテストすべて

8
Jake

最近、Microsoftが興味深い新しいレプリケーションステータスツールをリリースしたことがわかりました。 gui mutliサーバーのレプリケーションステータスチェックの詳細。これは確かに、ADヘルスチェックの1つのステップです。

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

1
floyd