Active Directory 健康检查

Question 1

在我以前工作过的一家小公司里，我们这。这是一个比较 PASS/FAILS 的脚本，绝对是一个值得尝试的好工具。有兴趣看看其他人用过什么。

Answer

在我以前工作过的一家小公司里，我们这。这是一个比较 PASS/FAILS 的脚本，绝对是一个值得尝试的好工具。有兴趣看看其他人用过什么。

Question 2

为了让您对可以测试的内容有一些了解，以下是我们每天执行的一些自动检查。

Ping 测试
LDAP/端口 389 验证绑定
GC/端口 3268 已验证绑定
DNS/端口 53 测试。这包括针对 DC 执行 DC DNS 主机名的查找，以确认只返回一个地址。对于具有多个 IP 地址的 DC，我们确认“PublishAddresses”注册表值在 HKLM\System\CurrentControlSet\Services\DNS\Parameters 中定义，并且与预期的 IP 地址相匹配。
Sysvol/FRS 测试。这包括检查最新 GPO gpt.ini 文件中的版本，并与 PDC 模拟器进行比较。
可用磁盘空间检查（WMI）。
时间同步。WMI 可用于获取 DC 本地时间，并与运行测试的服务器进行比较，并标记差异是否接近阈值（4 分 50 秒）。
时间服务器广告。命令的输出：“nltest /server：serverName /dsgetdc：domainName.company.com”，并验证 TIMESERV 标志是否存在。
时间服务器测试。
1. 在 UDP/123 上查询服务器以获得有效的 NTP 响应。
2. 用于w32tm.exe /query /computer:dcname /status /verbose确定 DC 上次成功同步时间，以及 DC 时间是否同步。
3. 用于nltest.exe /server:dcname /dsgetdc:dcDomainDnsName确定 DC 是否确实在作为时间服务器进行广告宣传。广告通过 Netlogon 服务执行。
GC 广告。确定 dc 是否实际在作为全局目录进行广告的一种方法是使用repadmin /showreps。如果任何分区尚未完全复制，它将显示“警告：未作为全局目录进行广告”。请注意，NLTest 标志可能指示 dc 已配置为 GC；此“配置”与“广告”不同。这在具有许多域的大型分布式环境中尤其令人感兴趣，因为 dc 可能需要几天或几周的时间才能逐渐将所有分区复制到 GC 测试通过的程度。
复制测试。每个域都有一个“标签”对象，其中一个属性用于存储日期时间值。所有 DC 都会查询这些对象，并且值超过阈值的 DC 会被标记为复制问题。
严格复制一致性注册表环境检查。严格复制是新 Windows 2008 及更高版本域的默认设置，但在较旧的已建立 AD 环境中，这不是默认设置，并且该设置将被延续。在具有许多域和 DC 的大型环境中，延迟对象变得更加难以识别和解决。
待处理复制计数。这可以通过 WMI 或 .NET 获取。这与执行相同repadmin /queue。待处理复制数量较多的 DC 可能由于某种原因关闭了复制。例如，如果严格复制一致性已启用，如果尝试复制无效或已删除的对象，这肯定会关闭复制。还可以获取特定邻居的最后一次成功复制的最近日期时间，如果超过阈值，可以对其进行标记。

Answer

为了让您对可以测试的内容有一些了解，以下是我们每天执行的一些自动检查。

Ping 测试
LDAP/端口 389 验证绑定
GC/端口 3268 已验证绑定
DNS/端口 53 测试。这包括针对 DC 执行 DC DNS 主机名的查找，以确认只返回一个地址。对于具有多个 IP 地址的 DC，我们确认“PublishAddresses”注册表值在 HKLM\System\CurrentControlSet\Services\DNS\Parameters 中定义，并且与预期的 IP 地址相匹配。
Sysvol/FRS 测试。这包括检查最新 GPO gpt.ini 文件中的版本，并与 PDC 模拟器进行比较。
可用磁盘空间检查（WMI）。
时间同步。WMI 可用于获取 DC 本地时间，并与运行测试的服务器进行比较，并标记差异是否接近阈值（4 分 50 秒）。
时间服务器广告。命令的输出：“nltest /server：serverName /dsgetdc：domainName.company.com”，并验证 TIMESERV 标志是否存在。
时间服务器测试。
1. 在 UDP/123 上查询服务器以获得有效的 NTP 响应。
2. 用于w32tm.exe /query /computer:dcname /status /verbose确定 DC 上次成功同步时间，以及 DC 时间是否同步。
3. 用于nltest.exe /server:dcname /dsgetdc:dcDomainDnsName确定 DC 是否确实在作为时间服务器进行广告宣传。广告通过 Netlogon 服务执行。
GC 广告。确定 dc 是否实际在作为全局目录进行广告的一种方法是使用repadmin /showreps。如果任何分区尚未完全复制，它将显示“警告：未作为全局目录进行广告”。请注意，NLTest 标志可能指示 dc 已配置为 GC；此“配置”与“广告”不同。这在具有许多域的大型分布式环境中尤其令人感兴趣，因为 dc 可能需要几天或几周的时间才能逐渐将所有分区复制到 GC 测试通过的程度。
复制测试。每个域都有一个“标签”对象，其中一个属性用于存储日期时间值。所有 DC 都会查询这些对象，并且值超过阈值的 DC 会被标记为复制问题。
严格复制一致性注册表环境检查。严格复制是新 Windows 2008 及更高版本域的默认设置，但在较旧的已建立 AD 环境中，这不是默认设置，并且该设置将被延续。在具有许多域和 DC 的大型环境中，延迟对象变得更加难以识别和解决。
待处理复制计数。这可以通过 WMI 或 .NET 获取。这与执行相同repadmin /queue。待处理复制数量较多的 DC 可能由于某种原因关闭了复制。例如，如果严格复制一致性已启用，如果尝试复制无效或已删除的对象，这肯定会关闭复制。还可以获取特定邻居的最后一次成功复制的最近日期时间，如果超过阈值，可以对其进行标记。

Question 3

Active Directory 严重依赖 DNS，因此请从一些 DNS 检查开始。

查找主机名 此测试 DNS 是否能够将主机名解析为 IP 地址

DCDIAG /TEST:DNS 这将检查 DNS 和 Active Directory 是否正常工作。

NETDIAG /TEST:DNS 更多 DNS 测试

一旦你确信 DNS 运行正常，还可以进行其他一些测试

REPADMIN /SHOWREPS 这将显示上次与复制伙伴进行复制的时间

REPADMIN /REPLSUM /ERRORSONLY 这将显示域控制器之间的任何复制错误。

DCDIAG /Q AD 诊断工具之王。测试并报告所有 AD 组件。

NETDIAG 测试所有

Answer