服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Active Directory运行状况检查
Intereting Posts
从失败的布法罗NAS移动mdraid 自动发现服务似乎回复用户主要名称,而不是电子邮件地址 configurationIIS 8.5中的域外服务器的虚拟目录 转移cron工作 Apache 410没有使用mod_alias也没有mod_rewrite 具有encryption根文件系统的服务器可以合理高度可用吗? IIS8 Asp.net状态服务远程连接失败 sudoers文件中如何把sudo作为参数 指向外部子域名的CNAME不能parsing Apache2 mod_proxy最简单的configuration是什么? 将打印机发布到AD时,导致服务器名称格式错误的原因是什么? 在Windows应答文件中禁用公用文件夹(C:\\ Users \ Public)的创build 慢启动DHCP客户端服务 – HP瘦客户端 设置IIS7.5只允许特定的AD组看到我的testing网站 快速轻松的方式来删除过时的ActiveDirectory用户?

Active Directory运行状况检查

最近我有一些Active Directory麻烦,想知道我可以做什么检查,我可以做,以确保一切工作最佳?

    在过去我曾经工作过的一个小公司,我们使用了这个 。 这是一个比较通过/失败的脚本,当然不是一个不好的工具来尝试。 有兴趣看看别人用过的东西。

    为了给你一些什么可以testing的想法,这里是我们每天执行的一些自动检查。

    • Pingtesting
    • LDAP /端口389authentication绑定
    • GC /端口3268authentication绑定
    • DNS /端口53testing。 这包括对DC dns主机名执行DC查找,以确认只返回一个地址。 对于具有多个IP地址的DC,我们确认“PublishAddresses”registry值是在HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters中定义的,并且匹配应该是期望的IP地址。
    • Sysvol / FRStesting。 这包括检查最近的GPO gpt.ini文件中的版本,并与PDC模拟器进行比较。
    • 可用磁盘空间检查(WMI)。
    • 时间同步。 WMI可用于获取DC本地时间,并与运行testing的服务器进行比较,并标记差异是否接近阈值(4m 50s)。
    • 时间服务器广告。 输出命令:'nltest / server:serverName /dsgetdc:domainName.company.com',并validation是否存在TIMESERV标志。
    • 时间服务器testing。
      1. 在UDP / 123上查询服务器以获取有效的NTP响应。
      2. 使用w32tm.exe /query /computer:dcname /status /verbose来确定DC上次成功同步时间,以及DC时间是否同步。
      3. 使用nltest.exe /server:dcname /dsgetdc:dcDomainDnsName来确定DC是否实际上作为时间服务器进行广告宣传。 广告通过Netlogon服务执行。
    • GC广告。 确定dc是否实际上作为全局目录广告的一种方法是使用repadmin /showreps 。 如果任何分区尚未完全复制,则会显示“警告:不作为全局编录广告”。 请注意,NLTest标志可能表示直streamconfiguration为GC; 这个“configuration”不同于“广告”。 这在具有多个域的大型分布式环境中特别有用,因为dc可能需要几天或几周才能逐渐将所有分区复制到GCtesting通过的点。
    • 复制testing。 每个域都有一个“标签”对象,其中一个属性用于存储date时间值。 查询所有DC的这些对象,并且值超过阈值的DC被标记为复制问题。
    • 严格的复制一致性registry设置检查。 严格复制是新的Windows 2008及更高版本域的默认设置,但是较老的已build立的AD环境不是默认设置,并且该设置已被结转。 在具有多个领域和DC的较大环境中,滞留的对象变得难以识别和解决。
    • 等待复制计数。 这可以通过WMI或.NET获得。 这与执行repadmin /queue 。 具有大量待处理复制的DC可能由于某种原因closures了复制。 例如,如果启用了“ 严格复制一致性” ,那么如果尝试复制入站的无效或已删除的对象,则肯定会closures复制。 也可以获取特定邻居上次成功复制的最近date时间,如果超过阈值,可以将其标记。

    活动目录很大程度上依赖于DNS,所以开始进行一些DNS检查。

    NSLOOKUP hostname这个testing,DNS能够将主机名parsing为IP地址

    DCDIAG / TEST:DNS这将检查DNS和Active Directory是否正常工作。

    NETDIAG /testing:DNS更多的DNStesting

    一旦你满意DNS正在正确运行这里是更多的testing

    REPADMIN / SHOWREPS这将显示复制伙伴上次发生复制的时间

    REPADMIN / REPLSUM / ERRORSONLY这显示域控制器之间的任何复制错误。

    DCDIAG / Q AD诊断工具之王。 testing并报告所有AD组件。

    NETDIAGtesting所有

    最近看到,微软发布了一个有趣的新复制状态工具,看起来很整洁。 更多的gui mutli服务器复制状态检查。 这肯定是任何AD健康检查的一个步骤:

    http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx