Active Directory 상태 확인

24

최근에 Active Directory 문제가 발생하여 모든 것이 최적으로 작동하도록하기 위해 정기적으로 수행 할 수있는 점검이 무엇인지 궁금했습니다.

windows-server-2008 windows-server-2003 active-directory

— 제이크
소스

14

과거에 근무했던 작은 회사에서 우리는 이것을 사용 했습니다 . PASS / FAILS를 비교하는 스크립트입니다. 다른 사람들이 무엇을 사용했는지 알고 싶습니다.

— JMeterX
소스

18

테스트 할 수있는 것에 대한 아이디어를 제공하기 위해 매일 수행하는 자동 검사 중 일부는 다음과 같습니다.

핑 테스트
LDAP / 포트 389 인증 된 바인드
GC / Port 3268 인증 된 바인드
DNS / 포트 53 테스트. 여기에는 하나의 주소 만 반환되는지 확인하기 위해 DC dns 호스트 이름에 대해 DC를 조회하는 작업이 포함됩니다. IP 주소가 여러 개인 DC의 경우 "PublishAddresses"레지스트리 값이 HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters에 정의되어 있고 예상 IP 주소와 일치하는지 확인합니다.
Sysvol / FRS 테스트 여기에는 최신 GPO gpt.ini 파일의 버전 확인 및 PDC 에뮬레이터와의 비교가 포함됩니다.
디스크 여유 공간 확인 (WMI)
시간 동기화. WMI를 사용하여 DC 로컬 시간을 가져오고 테스트를 실행하는 서버와 비교할 수 있으며 차이가 임계 값 (4m 50s)에 도달하면 플래그가 지정됩니다.
타임 서버 광고. 'nltest / server : serverName /dsgetdc:domainName.company.com'명령을 출력하고 TIMESERV 플래그가 있는지 확인하십시오.
타임 서버 테스트.
1. 유효한 NTP 응답을 위해 UDP / 123에서 서버를 조회하십시오.
2. w32tm.exe /query /computer:dcname /status /verboseDC 마지막으로 성공한 동기화 시간 및 DC 시간이 동기화되어 있는지 확인하는 데 사용 합니다.
3. 사용 nltest.exe /server:dcname /dsgetdc:dcDomainDnsName직류 실제로 시간 서버로 광고되어 있는지 확인 할 수 있습니다. 광고는 Netlogon 서비스를 통해 수행됩니다.
GC 광고. dc가 실제로 글로벌 카탈로그로 광고하고 있는지 확인하는 한 가지 방법은을 사용하는 것 repadmin /showreps입니다. 파티션이 아직 완전히 복제되지 않은 경우 '경고 : 글로벌 카탈로그로 광고하지 않음'이 표시됩니다. NLTest 플래그는 dc가 GC로 구성되었음을 나타낼 수 있습니다. 이 '구성'은 '광고'와는 다릅니다. dc가 GC 테스트가 통과하는 지점까지 모든 파티션을 점진적으로 복제하는 데 며칠 또는 몇 주가 걸릴 수 있으므로 도메인이 많은 대규모 분산 환경에서 특히 중요합니다.
복제 테스트. 각 도메인에는 "태그"개체가 있으며 특성 중 하나는 날짜 시간 값을 저장하는 데 사용됩니다. 이러한 개체에 대해 모든 DC가 쿼리되고 임계 값을 초과하는 값을 가진 DC에는 복제 문제가 표시됩니다.
엄격한 복제 일관성 레지스트리 설정 확인 엄격한 복제는 새 Windows 2008 이상의 도메인에 대한 기본값이지만 이전에 설정된 AD 환경은 이것이 기본값이 아니 었으며 해당 설정이 그대로 적용되었습니다. 많은 도메인과 DC가있는 대규모 환경에서는 유지중인 개체를 식별하고 해결하기가 훨씬 어려워집니다.
보류중인 복제 수 이것은 WMI 또는 .NET을 통해 얻을 수 있습니다. 이는을 수행하는 것과 같습니다 repadmin /queue. 보류중인 복제 수가 많은 DC는 어떤 이유로 복제가 종료되었을 수 있습니다. Strict Replication Consistency 가 활성화 된 경우 예를 들어 , 유효하지 않거나 삭제 된 객체가 인바운드 복제를 시도하면 복제가 종료됩니다. 또한 특정 인접 항목에 대한 마지막 복제 성공의 최신 날짜 시간을 얻을 수 있으며 임계 값을 초과하면 플래그 될 수 있습니다.

— 그렉 비 스케
소스

감사합니다! 하나; "시간 서버 테스트"에 대해 자세히 설명해 주시겠습니까? 최소한의 노력으로 어떻게 수동으로 (또는 스크립트로) 말합니까? :)

— Ashley

1

UDP / 123에서 DC와 시간 동기화를 수행하기 위해 NTPClient를 만들었습니다. Windows 2008의 경우 w32tm.exe / query / computer : dcname / status / verbose를 사용하여 풍부한 정보를 얻을 수 있습니다. NTPClient 동기화와 마지막으로 성공한 동기화 시간 및 DC가 동기화 된 경우 얻을 수있는 모든 정보를 제공합니다. 이것은 Windows 2003과의 큰 차이점입니다. DC가 실제로 시간 서버로 광고되는지 확인하려면 nltest.exe / server : dcname / dsgetdc : dcDomainDnsName을 사용해야합니다.

— Greg Askew

이것은 단지 와우입니다! 이것들을 위해 실행중인 스크립트를 공유 하시겠습니까? 나는 powershell을 사용하여 이것을 실행하려고 시도 할 것이다.

— whizkid

1

@ whizkid : powershell 스크립트는 없지만 최근 에이 모든 작업을 수행하는 C # 응용 프로그램을 개발했으며 일주일 정도에 CodePlex.com에 게시 할 예정입니다.

— Greg Askew

8

Active Directory는 DNS에 크게 의존하므로 일부 DNS 검사부터 시작하십시오.

NSLOOKUP 호스트 이름 이 테스트는 DNS가 호스트 이름을 IP 주소로 확인할 수 있는지 테스트합니다.

DCDIAG / TEST : DNS DNS와 Active Directory가 제대로 작동하는지 확인합니다.

NETDIAG / TEST : DNS 더 많은 DNS 테스트

DNS가 올바르게 실행되고 있다고 확신하면 더 많은 테스트를 수행하십시오.

REPADMIN / SHOWREPS 복제 파트너에서 복제가 마지막으로 발생한 시간을 표시합니다

REPADMIN / REPLSUM / ERRORSONLY 도메인 컨트롤러 간의 복제 오류를 표시합니다.

DCDIAG / Q AD 진단 도구의 왕. 모든 AD 구성 요소를 테스트하고보고합니다.

NETDIAG는 모두 테스트

— 제이크
소스

1

최근에 마이크로 소프트가 흥미로운 새 복제 상태 도구를 출시 한 것을 보았습니다. 더 많은 GUI 다중 서버 복제 상태 확인. 이것은 모든 AD 상태 검사에서 한 단계 일 것입니다.

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

— 플로이드
소스