सक्रिय निर्देशिका स्वास्थ्य जाँच

24

मेरे पास कुछ सक्रिय निर्देशिका मुसीबतें हैं, हाल ही में सोच रहा था कि मैं नियमित रूप से जो कुछ भी कर सकता हूं वह यह सुनिश्चित करने के लिए कि मैं सब कुछ आशा से काम कर रहा हूं क्या कर सकता हूं?

windows-server-2008 windows-server-2003 active-directory

— जेक
स्रोत

14

एक छोटी सी कंपनी में मैंने पूर्व में इसके लिए काम किया था । यह एक स्क्रिप्ट है जो PASS / F Colors की तुलना करती है, निश्चित रूप से इसे आज़माने के लिए एक बुरा उपकरण नहीं है। यह देखने का इच्छुक है कि दूसरों ने क्या उपयोग किया है।

— JMeterX
स्रोत

18

आपको परीक्षण के बारे में कुछ विचार देने के लिए, यहाँ कुछ स्वचालित जाँचें हैं जो हम रोज़ाना करते हैं।

पिंग परीक्षण
LDAP / पोर्ट 389 प्रमाणित बाइंड
जीसी / पोर्ट 3268 प्रमाणित बाइंड
डीएनएस / पोर्ट 53 परीक्षण। इसमें DC dns होस्ट नाम के लिए DC के विरूद्ध लुकअप करना शामिल है, यह पुष्टि करने के लिए कि केवल एक पता लौटाया गया है। DC के जिनके कई IP पते हैं, हम पुष्टि करते हैं कि "PublishAddresses" रजिस्ट्री मान HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters में परिभाषित किया गया है, और अपेक्षित IP पता होना चाहिए।
Sysvol / FRS परीक्षण। इसमें सबसे हाल ही में GPO gpt.ini फ़ाइल में संस्करण की जाँच करना और PDC एमुलेटर के साथ तुलना करना शामिल है।
फ्री डिस्क स्पेस चेक (WMI)।
समय तुल्यकालन। WMI का उपयोग DC स्थानीय समय प्राप्त करने के लिए किया जा सकता है, और परीक्षण चलाने वाले सर्वर से तुलना की जा सकती है, और यदि अंतर थ्रेशोल्ड (4m 50s) आ रहा है तो इसे ध्वजांकित किया जाएगा।
समय सर्वर विज्ञापन। कमांड का आउटपुट: 'nltest / सर्वर: serverName /dsgetdc:domainName.company.com', और सत्यापित करें कि TIMESERV ध्वज मौजूद है।
समय सर्वर परीक्षण।
1. मान्य NTP प्रतिक्रिया के लिए UDP / 123 पर सर्वर को क्वेरी करें।
2. w32tm.exe /query /computer:dcname /status /verboseडीसी अंतिम सफल सिंक समय निर्धारित करने के लिए उपयोग करें , और यदि डीसी समय सिंक में है।
3. nltest.exe /server:dcname /dsgetdc:dcDomainDnsNameयह निर्धारित करने के लिए उपयोग करें कि क्या डीसी वास्तव में एक समय सर्वर के रूप में विज्ञापन कर रहा है। विज्ञापन के माध्यम से किया जाता है के माध्यम से सेवा।
जीसी विज्ञापन। यह निर्धारित करने का एक तरीका है कि क्या वास्तव में एक ग्लोबल कैटलॉग के रूप में विज्ञापन का उपयोग करना है repadmin /showreps। यदि किसी भी विभाजन को पूरी तरह से दोहराया नहीं गया है, तो वह 'चेतावनी: एक वैश्विक सूची के रूप में विज्ञापन नहीं' प्रदर्शित करेगा। ध्यान दें कि NLTest झंडे संकेत कर सकते हैं कि dc एक GC के रूप में कॉन्फ़िगर किया गया है; यह 'कॉन्फ़िगरेशन' 'विज्ञापन' से अलग है। कई डोमेन के साथ बड़े वितरित वातावरणों में यह विशेष रूप से रुचि रखता है, क्योंकि धीरे-धीरे डीसी के लिए दिन या सप्ताह लग सकते हैं, धीरे-धीरे सभी विभाजनों को उस बिंदु पर दोहराते हैं जहां जीसी परीक्षण गुजरता है।
प्रतिकृति परीक्षण। प्रत्येक डोमेन में एक "टैग" ऑब्जेक्ट होता है, और एक विशेषता का उपयोग एक डेटाइम मूल्य को संग्रहीत करने के लिए किया जाता है। डीसी के सभी इन ऑब्जेक्ट्स के लिए क्वियर होते हैं, और डीसी के मानों के साथ जो थ्रेशोल्ड से अधिक होते हैं, प्रतिकृति मुद्दों के लिए ध्वजांकित होते हैं।
सख्त प्रतिकृति संगतता रजिस्ट्री सेटिंग की जाँच करें। नए Windows 2008 और बाद के डोमेन के लिए सख्त प्रतिकृति डिफ़ॉल्ट है, हालांकि पुराने स्थापित AD वातावरण यह डिफ़ॉल्ट नहीं था और यह सेटिंग को ले जाया गया होगा। कई डोमेन और DC के साथ बड़े परिवेश में पहचान करने और हल करने के लिए लेयरिंग ऑब्जेक्ट्स अधिक कठिन हो जाते हैं।
लंबित प्रतिकृति गिनती। इसे WMI या .NET के माध्यम से प्राप्त किया जा सकता है। यह एक प्रदर्शन के रूप में ही है repadmin /queue। DC की लंबित प्रतिकृति के कारण किसी कारण से प्रतिकृति बंद हो सकती है। एक उदाहरण यह होगा कि यदि सख्त प्रतिकृति संगति को सक्षम किया गया था, तो यह निश्चित रूप से प्रतिकृति को बंद कर देगा यदि किसी अमान्य या हटाए गए ऑब्जेक्ट को इनबाउंड दोहराने का प्रयास किया गया था। किसी विशेष पड़ोसी के लिए अंतिम सफल प्रतिकृति का सबसे हालिया डेटाटाइम प्राप्त करना भी संभव है, जिसे यदि सीमा से अधिक हो तो झंडी दिखाई जा सकती है।

— ग्रेग अस्का
स्रोत

पूरी तरह से, धन्यवाद! तथापि; किसी भी मौका आप "समय सर्वर परीक्षण" पर विस्तृत कर सकते हैं? आप न्यूनतम प्रयास के साथ इसे मैन्युअल रूप से (या स्क्रिप्ट में, कहते हैं?) कैसे करते हैं? :)

— एशले

1

मैंने UDP / 123 पर DC के साथ टाइम सिंक करने के लिए एक NTPClient का निर्माण किया। विंडोज 2008 के लिए, जानकारी का एक धन का उपयोग करके प्राप्त किया जा सकता है: w32tm.exe / query / computer: dcname / status / veroseose। यह सभी जानकारी प्रदान करता है जो एक NTPClient सिंक, प्लस लास्ट सक्सेसफुल सिंक टाइम, और अगर DC सिंक में है, तो प्राप्त किया जा सकता है। यह विंडोज 2003 से एक बड़ा अंतर है। यह निर्धारित करने के लिए कि क्या डीसी वास्तव में एक समय सर्वर के रूप में विज्ञापन कर रहा है, आपको उपयोग करने की आवश्यकता है: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName।

— ग्रेग सेकेव

यह सिर्फ वाह है! क्या आप इन के लिए चल रही स्क्रिप्ट को साझा करना चाहेंगे। मैं इन्हें पॉवरशेल का इस्तेमाल करके चलाने की कोशिश करूंगा।

— व्हिज्कीड

1

@whizkid: मेरे पास एक पॉवरशेल स्क्रिप्ट नहीं है, लेकिन मैंने हाल ही में एक C # एप्लिकेशन विकसित किया है जो यह सब करता है, और इसे एक या एक सप्ताह में CodePlex.com पर प्रकाशित किया जाएगा।

— ग्रेग आस्क्यू

8

सक्रिय निर्देशिका DNS पर बहुत निर्भर करती है, इसलिए कुछ DNS चेक से प्रारंभ करें।

NSLOOKUP होस्टनाम यह परीक्षण कि DNS एक आईपी पते के लिए एक होस्ट नाम को हल करने में सक्षम है

DCDIAG / परीक्षण: DNS यह जाँच करेगा कि DNS और सक्रिय निर्देशिका ठीक से काम कर रहे हैं।

NETDIAG / परीक्षण: DNS अधिक DNS परीक्षण

एक बार जब आप संतुष्ट हो जाते हैं कि DNS सही ढंग से चल रहे हैं तो अधिक परीक्षण किए गए हैं

REPADMIN / SHOWREPS यह आखिरी बार आपको दिखाई देगा कि प्रतिकृति प्रतिकृति भागीदारों के साथ हुई

REPADMIN / REPLSUM / ERRORSONLY यह डोमेन नियंत्रकों के बीच किसी भी प्रतिकृति त्रुटियों को प्रदर्शित करता है।

DCDIAG / Q ई। नैदानिक उपकरण का राजा। परीक्षण और सभी विज्ञापन घटकों की रिपोर्ट।

NETDIAG टेस्ट सभी

— जेक
स्रोत

1

हाल ही में देखा गया है कि माइक्रोसॉफ्ट ने एक दिलचस्प नए प्रतिकृति स्थिति उपकरण जारी किया है जो बहुत साफ-सुथरा लगता है। एक gui mutli सर्वर प्रतिकृति स्थिति की जाँच के अधिक। यह निश्चित रूप से किसी भी एडी स्वास्थ्य जांच में एक कदम होगा:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

— फ्लोयड
स्रोत