活动目录健康检查

Question

我最近遇到了一些 Active Directory 问题，想知道我可以定期做哪些检查以确保一切都以最佳方式运行？

Answer 1

为了让您了解可以测试的内容，以下是我们每天执行的一些自动检查。

• ping测试
• LDAP/端口 389 认证绑定
• GC/Port 3268 认证绑定
• DNS/端口 53 测试。这包括在 DC 中查找 DC dns 主机名，以确认只返回一个地址。对于具有多个 IP 地址的 DC，我们确认“PublishAddresses”注册表值在 HKLM\System\CurrentControlSet\Services\DNS\Parameters 中定义，并且与预期的 IP 地址相匹配。
• Sysvol/FRS 测试。这包括检查最新的 GPO gpt.ini 文件中的版本，并与 PDC 模拟器进行比较。
• 可用磁盘空间检查 (WMI)。
• 时间同步。WMI 可用于获取 DC 本地时间，并与运行测试的服务器进行比较，并标记差异是否接近阈值（4m 50s）。
• 时间服务器广告。命令的输出：'nltest /server:serverName /dsgetdc:domainName.company.com'，并验证 TIMESERV 标志是否存在。
• 时间服务器测试。
  1. 在 UDP/123 上查询服务器以获取有效的 NTP 响应。
  2. 使用w32tm.exe /query /computer:dcname /status /verbose以确定DC最后一次成功同步的时间，如果该DC时间是同步的。
  3. 使用nltest.exe /server:dcname /dsgetdc:dcDomainDnsName以确定DC实际上是广告作为一个时间服务器。广告是通过 Netlogon 服务执行的。
• GC广告。确定 dc 是否真正作为全局目录进行广告的一种方法是使用repadmin /showreps. 如果任何分区尚未（尚未）完全复制，它将显示“警告：未作为全局目录进行广告”。请注意，NLTest 标志可能表示 dc 配置为 GC；这种“配置”不同于“广告”。这在具有许多域的大型分布式环境中尤其重要，因为 DC 可能需要数天或数周才能逐渐复制所有分区到 GC 测试通过的点。
• 复制测试。每个域都有一个“标签”对象，其中一个属性用于存储日期时间值。为这些对象查询所有 DC，并且值超过阈值的 DC 被标记为存在复制问题。
• 严格的复制一致性注册表设置检查。严格复制是新的 Windows 2008 和更高版本域的默认设置，但是较旧的 AD 环境这不是默认设置，并且该设置将被保留。在具有许多域和 DC 的更大环境中，延迟对象变得更加难以识别和解决。
• 待定复制计数。这可以通过 WMI 或 .NET 获得。这与执行repadmin /queue. 具有大量挂起复制的 DC 可能由于某种原因已关闭复制。一个例子是，如果启用了严格复制一致性，如果尝试复制入站无效或已删除的对象，这肯定会关闭复制。还可以获取特定邻居上次成功复制的最新日期时间，如果超过阈值，则可以对其进行标记。

Answer 2

在我过去工作的一家较小的公司中，我们使用了这个。它是一个比较 PASS/FAILS 的脚本，当然是一个不错的尝试工具。有兴趣看看别人用过什么。

Answer 3

Active Directory 严重依赖于 DNS，所以从一些 DNS 检查开始。

NSLOOKUP主机名 此测试 DNS 是否能够将主机名解析为 IP 地址

DCDIAG /TEST:DNS 这将检查 DNS 和 Active Directory 是否正常工作。

NETDIAG /TEST:DNS 更多 DNS 测试

一旦您对 DNS 正常运行感到满意，这里还有更多测试

REPADMIN /SHOWREPS 这将显示上次与复制伙伴进行复制的时间

REPADMIN /REPLSUM /ERRORSONLY 这会显示域控制器之间的任何复制错误。

DCDIAG /Q AD 诊断工具之王。测试并报告所有 AD 组件。

NETDIAG 测试所有