Contrôles d'intégrité Active Directory


Réponses:


14

Lors d' une petite entreprise , je travaillais dans le passé , nous avons utilisé ce . C'est un script qui compare PASS / FAILS, certainement pas un mauvais outil à essayer. Intéressé de voir ce que les autres ont utilisé.


18

Pour vous donner quelques idées sur ce qui peut être testé, voici quelques-uns des contrôles automatisés que nous effectuons quotidiennement.

  • Test Ping
  • Liaison authentifiée LDAP / Port 389
  • Liaison authentifiée GC / Port 3268
  • Test DNS / Port 53. Cela inclut l'exécution d'une recherche par rapport au contrôleur de domaine pour le nom d'hôte DNS du contrôleur de domaine, pour confirmer qu'une seule adresse est retournée. Pour les contrôleurs de domaine qui ont plusieurs adresses IP, nous confirmons que la valeur de Registre «PublishAddresses» est définie dans HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters et correspond à ce qui devrait être l'adresse IP attendue.
  • Test Sysvol / FRS. Cela inclut la vérification de la version dans le fichier GPO gpt.ini le plus récent et la comparaison avec l'émulateur PDC.
  • Vérification de l'espace disque libre (WMI).
  • Synchronisation horaire. WMI peut être utilisé pour obtenir l'heure locale DC, comparer avec le serveur exécutant le test, et signalé si la différence approche du seuil (4m 50s).
  • Publicité Time Server. sortie de la commande: 'nltest / server: serverName /dsgetdc:domainName.company.com', et vérifiez que l'indicateur TIMESERV est présent.
  • Test du serveur de temps.
    1. Recherchez le serveur sur UDP / 123 pour une réponse NTP valide.
    2. Utilisez w32tm.exe /query /computer:dcname /status /verbosepour déterminer l'heure de la dernière synchronisation réussie DC et si l'heure DC est synchronisée.
    3. Permet nltest.exe /server:dcname /dsgetdc:dcDomainDnsNamede déterminer si le contrôleur de domaine fait réellement de la publicité en tant que serveur de temps. La publicité est effectuée via le service Netlogon.
  • Publicité GC. Une façon de déterminer si un dc fait réellement de la publicité en tant que catalogue global est d'utiliser repadmin /showreps. Si une partition n'a pas (encore) été entièrement répliquée, elle affichera «AVERTISSEMENT: pas de publicité en tant que catalogue global». Notez que les indicateurs NLTest peuvent indiquer que le DC est configuré en tant que GC; cette «configuration» est distincte de la «publicité». Ceci est particulièrement intéressant dans les grands environnements distribués avec de nombreux domaines, car il peut prendre des jours ou des semaines pour qu'un dc réplique progressivement toutes les partitions au point où le test GC passe.
  • Test de réplication. Chaque domaine a un objet "tag" et l'un des attributs est utilisé pour stocker une valeur datetime. Tous les contrôleurs de domaine sont interrogés pour ces objets, et les contrôleurs de domaine dont les valeurs dépassent le seuil sont signalés pour des problèmes de réplication.
  • Vérification des paramètres de registre de cohérence de la réplication stricte . La réplication stricte est la valeur par défaut pour les nouveaux domaines Windows 2008 et versions ultérieures, mais dans les environnements AD plus anciens, ce n'était pas la valeur par défaut et ce paramètre aurait été reporté. Les objets persistants deviennent beaucoup plus difficiles à identifier et à résoudre dans des environnements plus vastes avec de nombreux domaines et contrôleurs de domaine.
  • Nombre de réplications en attente. Cela peut être obtenu via WMI ou .NET. Cela revient à effectuer un repadmin /queue. Les contrôleurs de domaine avec un nombre élevé de réplications en attente peuvent avoir eu la réplication arrêtée pour une raison quelconque. Un exemple serait si la cohérence de la réplication stricte était activée, cela arrêterait définitivement la réplication si un objet invalide ou supprimé était tenté de répliquer en entrée. Il est également possible d'obtenir l'heure de date la plus récente de la dernière réplication réussie pour un voisin particulier, qui peut être signalée si elle dépasse un seuil.

Bien, merci! Toutefois; Y a-t-il une chance que vous puissiez développer un "test du serveur de temps"? Comment faites-vous cela manuellement (ou dans un script, par exemple?) Avec un effort minimal? :)
Ashley

1
J'ai construit un NTPClient pour effectuer une synchronisation horaire avec le DC sur UDP / 123. Pour Windows 2008, une mine d'informations peut être obtenue en utilisant: w32tm.exe / query / computer: dcname / status / verbose. Il fournit toutes les informations pouvant être obtenues par une synchronisation NTPClient, ainsi que la dernière heure de synchronisation réussie et si le contrôleur de domaine est synchronisé. Il s'agit d'une énorme différence par rapport à Windows 2003. Pour déterminer si le contrôleur de domaine fait de la publicité en tant que serveur de temps, vous devez utiliser: nltest.exe / server: dcname / dsgetdc: dcDomainDnsName.
Greg Askew

c'est juste wow! Pourriez-vous partager les scripts en cours d'exécution pour ceux-ci? J'essaierai de les exécuter à l'aide de PowerShell.
whizkid

1
@whizkid: Je n'ai pas de script PowerShell, mais j'ai récemment développé une application C # qui fait tout cela, et je la publierai sur CodePlex.com dans une semaine environ.
Greg Askew

8

Active Directory repose fortement sur DNS, alors commencez par quelques vérifications DNS.

NSLOOKUP hostname Ce test que DNS est capable de résoudre un nom d'hôte en une adresse IP

DCDIAG / TEST: DNS Ceci vérifiera que DNS et Active Directory fonctionnent correctement.

NETDIAG / TEST: DNS Plus de tests DNS

Une fois que vous êtes convaincu que DNS fonctionne correctement, voici quelques tests supplémentaires

REPADMIN / SHOWREPS Cela vous montrera la dernière fois que la réplication s'est produite avec les partenaires de réplication

REPADMIN / REPLSUM / ERRORSONLY Ceci affiche toutes les erreurs de réplication entre les contrôleurs de domaine.

DCDIAG / Q Le roi des outils de diagnostic AD. Teste et rapporte tous les composants AD.

NETDIAG Teste tout


En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.