Contrôles d'intégrité Active Directory

J'ai eu des problèmes avec Active Directory ces derniers temps, je me demandais quelles vérifications je pouvais faire régulièrement pour m'assurer que tout fonctionnait de manière optimale?

Lors d' une petite entreprise , je travaillais dans le passé , nous avons utilisé ce . C'est un script qui compare PASS / FAILS, certainement pas un mauvais outil à essayer. Intéressé de voir ce que les autres ont utilisé.

Pour vous donner quelques idées sur ce qui peut être testé, voici quelques-uns des contrôles automatisés que nous effectuons quotidiennement.

• Test Ping
• Liaison authentifiée LDAP / Port 389
• Liaison authentifiée GC / Port 3268
• Test DNS / Port 53. Cela inclut l'exécution d'une recherche par rapport au contrôleur de domaine pour le nom d'hôte DNS du contrôleur de domaine, pour confirmer qu'une seule adresse est retournée. Pour les contrôleurs de domaine qui ont plusieurs adresses IP, nous confirmons que la valeur de Registre «PublishAddresses» est définie dans HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters et correspond à ce qui devrait être l'adresse IP attendue.
• Test Sysvol / FRS. Cela inclut la vérification de la version dans le fichier GPO gpt.ini le plus récent et la comparaison avec l'émulateur PDC.
• Vérification de l'espace disque libre (WMI).
• Synchronisation horaire. WMI peut être utilisé pour obtenir l'heure locale DC, comparer avec le serveur exécutant le test, et signalé si la différence approche du seuil (4m 50s).
• Publicité Time Server. sortie de la commande: 'nltest / server: serverName /dsgetdc:domainName.company.com', et vérifiez que l'indicateur TIMESERV est présent.
• Test du serveur de temps.
  1. Recherchez le serveur sur UDP / 123 pour une réponse NTP valide.
  2. Utilisez w32tm.exe /query /computer:dcname /status /verbosepour déterminer l'heure de la dernière synchronisation réussie DC et si l'heure DC est synchronisée.
  3. Permet nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamede déterminer si le contrôleur de domaine fait réellement de la publicité en tant que serveur de temps. La publicité est effectuée via le service Netlogon.
• Publicité GC. Une façon de déterminer si un dc fait réellement de la publicité en tant que catalogue global est d'utiliser repadmin /showreps. Si une partition n'a pas (encore) été entièrement répliquée, elle affichera «AVERTISSEMENT: pas de publicité en tant que catalogue global». Notez que les indicateurs NLTest peuvent indiquer que le DC est configuré en tant que GC; cette «configuration» est distincte de la «publicité». Ceci est particulièrement intéressant dans les grands environnements distribués avec de nombreux domaines, car il peut prendre des jours ou des semaines pour qu'un dc réplique progressivement toutes les partitions au point où le test GC passe.
• Test de réplication. Chaque domaine a un objet "tag" et l'un des attributs est utilisé pour stocker une valeur datetime. Tous les contrôleurs de domaine sont interrogés pour ces objets, et les contrôleurs de domaine dont les valeurs dépassent le seuil sont signalés pour des problèmes de réplication.
• Vérification des paramètres de registre de cohérence de la réplication stricte . La réplication stricte est la valeur par défaut pour les nouveaux domaines Windows 2008 et versions ultérieures, mais dans les environnements AD plus anciens, ce n'était pas la valeur par défaut et ce paramètre aurait été reporté. Les objets persistants deviennent beaucoup plus difficiles à identifier et à résoudre dans des environnements plus vastes avec de nombreux domaines et contrôleurs de domaine.
• Nombre de réplications en attente. Cela peut être obtenu via WMI ou .NET. Cela revient à effectuer un repadmin /queue. Les contrôleurs de domaine avec un nombre élevé de réplications en attente peuvent avoir eu la réplication arrêtée pour une raison quelconque. Un exemple serait si la cohérence de la réplication stricte était activée, cela arrêterait définitivement la réplication si un objet invalide ou supprimé était tenté de répliquer en entrée. Il est également possible d'obtenir l'heure de date la plus récente de la dernière réplication réussie pour un voisin particulier, qui peut être signalée si elle dépasse un seuil.

Active Directory repose fortement sur DNS, alors commencez par quelques vérifications DNS.

NSLOOKUP hostname Ce test que DNS est capable de résoudre un nom d'hôte en une adresse IP

DCDIAG / TEST: DNS Ceci vérifiera que DNS et Active Directory fonctionnent correctement.

NETDIAG / TEST: DNS Plus de tests DNS

Une fois que vous êtes convaincu que DNS fonctionne correctement, voici quelques tests supplémentaires

REPADMIN / SHOWREPS Cela vous montrera la dernière fois que la réplication s'est produite avec les partenaires de réplication

REPADMIN / REPLSUM / ERRORSONLY Ceci affiche toutes les erreurs de réplication entre les contrôleurs de domaine.

DCDIAG / Q Le roi des outils de diagnostic AD. Teste et rapporte tous les composants AD.

NETDIAG Teste tout

Récemment, Microsoft a publié un nouvel outil intéressant sur l'état de la réplication qui semble assez soigné. Plus d'une vérification de l'état de réplication du serveur gui mutli. Ce serait certainement une étape dans tout bilan de santé de la MA:

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx