Computer >> Máy Tính >  >> Hệ thống >> máy chủ Windows

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Active Directory là một dịch vụ đáng tin cậy, nhưng phức tạp và quan trọng, và khả năng hoạt động của toàn bộ mạng doanh nghiệp phụ thuộc vào nó. Quản trị viên hệ thống nên liên tục kiểm tra xem Active Directory có hoạt động chính xác hay không. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn các phương pháp chính về cách kiểm tra và chẩn đoán tình trạng của Active Directory miền, bộ điều khiển miền và sao chép.

Nội dung:

  • Cách Kiểm tra Tình trạng Bộ điều khiển Miền AD bằng Dcdiag?
  • Kiểm tra lỗi sao chép Active Directory giữa các DC

Cách Kiểm tra Tình trạng Bộ điều khiển Miền AD bằng Dcdiag?

Dcdiag là một công cụ tích hợp cơ bản để kiểm tra tình trạng bộ điều khiển miền Active Directory. Để nhanh chóng kiểm tra trạng thái của bộ điều khiển miền AD, hãy sử dụng lệnh bên dưới:

dcdiag /s:DC01

Lệnh chạy các bài kiểm tra khác nhau đối với bộ điều khiển miền được chỉ định và trả về trạng thái cho mỗi bài kiểm tra ( Đạt / Không thành công ).

Các thử nghiệm điển hình:

  • Kết nối - kiểm tra xem DC có được đăng ký trong DNS hay không, thiết lập các kết nối LDAP và RPC thử nghiệm;
  • Quảng cáo - kiểm tra các vai trò và dịch vụ được xuất bản trên DC;
  • FRSEvent - kiểm tra xem có bất kỳ lỗi nào của dịch vụ sao chép tệp hay không (lỗi sao chép SYSVOL);
  • Kiểm tra FSMOC - kiểm tra xem DC có thể kết nối với KDC, PDC và máy chủ Global Catalog hay không;
  • MachineAccount - kiểm tra xem tài khoản DC có được đăng ký chính xác trong AD hay không và mối quan hệ tin cậy miền có chính xác không;
  • NetLogons - kiểm tra các đặc quyền đăng nhập để cho phép tiến hành sao chép;
  • Các bản sao - kiểm tra trạng thái sao chép giữa các bộ điều khiển miền và nếu có bất kỳ lỗi nào;
  • KnowsOfRoleHolders - kiểm tra tính khả dụng của bộ điều khiển miền có vai trò FSMO;
  • Dịch vụ - kiểm tra xem các dịch vụ trên bộ điều khiển miền có đang chạy hay không;
  • Nhật ký hệ thống - kiểm tra xem có bất kỳ lỗi nào trong nhật ký DC không;
  • Vv.

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Bạn có thể tìm thấy mô tả đầy đủ về tất cả các bài kiểm tra dcdiag có sẵn tại đây.

Bên cạnh các kiểm tra mặc định, bạn có thể chạy kiểm tra bộ điều khiển miền bổ sung:

  • Cấu trúc liên kết - kiểm tra xem KCC có tạo cấu trúc liên kết đầy đủ cho tất cả các DC không
  • CheckSecurityError
  • CutoffServers - tìm một DC không được sao chép vì đối tác của nó không có sẵn
  • DNS - Có sẵn 6 kiểm tra DNS (/DnsBasic , /DnsForwarders , /DnsDelegation , /DnsDymanicUpdate , /DnsRecordRegistration , /DnsResolveExtName )
  • OutboundSecureChannels
  • VerifyReplicas - kiểm tra xem các phân vùng ứng dụng có được sao chép chính xác không
  • VerifyEnterpriseRefferences

Ví dụ:để kiểm tra xem DNS có hoạt động chính xác trên tất cả các bộ điều khiển miền hay không, hãy sử dụng lệnh sau:

dcdiag.exe /s:DC01 /test:dns /e /v

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Nó sẽ dẫn đến một bảng tóm tắt hiển thị kết quả kiểm tra về cách DNS phân giải tên trên tất cả các DC (nếu đồng ý, bạn sẽ thấy Đạt trong mọi ô). Nếu bạn thấy Không thành công , bạn cần chạy thử nghiệm này với DC được chỉ định:

dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v

Để có thêm thông tin từ kết quả kiểm tra bộ điều khiển miền và lưu nó vào tệp văn bản, hãy sử dụng lệnh sau:

dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Lệnh PowerShell sau chỉ hiển thị thông tin tóm tắt về các bài kiểm tra dcdiag đã thực hiện:

Dcdiag /s:DC01 | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Để có được trạng thái của tất cả các bộ điều khiển miền, hãy sử dụng:

dcdiag.exe /s:woshub.com /a

Nếu bạn chỉ muốn hiển thị các lỗi bạn đã tìm thấy, hãy sử dụng / q tùy chọn:

dcdiag.exe /s:dc01 /q

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Trong ví dụ của tôi, công cụ đã phát hiện một số lỗi sao chép:

There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
......................... DC01 failed test DFSREvent

Để tạo dcdiag tự động sửa lỗi Tên chính của dịch vụ cho tài khoản DC, hãy sử dụng / fix tùy chọn:

dcdiag.exe /s:dc01 /fix

Kiểm tra Lỗi sao chép Active Directory giữa các DC

repadmin tích hợp sẵn công cụ được sử dụng để kiểm tra sao chép trong miền Active Directory.

Đây là lệnh cơ bản để kiểm tra sao chép AD:

repadmin /replsum

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Công cụ đã trả về trạng thái sao chép hiện tại giữa tất cả các DC. Lý tưởng nhất là đồng bằng lớn nhất giá trị phải nhỏ hơn 1 giờ (phụ thuộc vào cấu trúc liên kết quảng cáo và cài đặt tần suất sao chép trang web) và số lỗi =0. Trong ví dụ của tôi, bạn có thể thấy rằng một trong những lần sao chép gần đây nhất mất 14 ngày, nhưng bây giờ đã ổn .

Để kiểm tra bản sao cho tất cả DC trong miền:

repadmin /replsum *

Để kiểm tra sao chép trang web xen kẽ:

repadmin /showism

Để xem cấu trúc liên kết sao chép và các lỗi (nếu có), hãy chạy lệnh sau:

repadmin /showrepl

Lệnh sẽ kiểm tra các DC và trả về ngày và giờ của lần sao chép thành công cuối cùng cho mỗi phân vùng thư mục (last attempt xxxx was successful ).

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Để hiển thị thông tin sao chép bổ sung, hãy sử dụng lệnh sau:

repadmin /showrepl *

Để chạy sao chép mật khẩu từ bộ điều khiển miền có thể ghi sang bộ điều khiển miền chỉ đọc (RODC), / rodcpwdrepl tùy chọn được sử dụng.

/ bản sao tùy chọn bắt đầu sao chép phân vùng thư mục được chỉ định sang một DC cụ thể ngay lập tức.

Để đồng bộ hóa một DC được chỉ định với tất cả các đối tác sao chép của nó, hãy sử dụng lệnh bên dưới:

replmon /syncall <nameDC>

Để xem hàng đợi sao chép:

repadmin /queue

Tốt nhất, hàng đợi sao chép phải trống.

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Kiểm tra thời điểm tạo bản sao lưu mới nhất của bộ điều khiển miền hiện tại:

Repadmin /showbackup *

Bạn cũng có thể kiểm tra trạng thái sao chép bằng PowerShell. Ví dụ:lệnh sau sẽ hiển thị tất cả các lỗi sao chép mà nó tìm thấy trong bảng Out-GridView:

Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Tôi đã tải lên tập lệnh PowerShell mà tôi thường sử dụng để kiểm tra trạng thái sao chép trong AD vào kho lưu trữ GitHub của mình. Tập lệnh tạo một tệp HTML và có thể gửi nó qua email bằng lệnh ghép ngắn Send-MailMessage.

https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Bạn cũng có thể kiểm tra trạng thái của các dịch vụ cơ bản ADDS trên bộ điều khiển miền bằng cách sử dụng lệnh ghép ngắn Get-Service:

  • Dịch vụ miền Active Directory (ntds )
  • Dịch vụ Web Active Directory (adws ) - tất cả các lệnh ghép ngắn từ mô-đun AD PowerShell đều kết nối với dịch vụ này
  • DNS (dnscachedns )
  • Trung tâm Phân phối Khoá Kerberos (kdc )
  • Dịch vụ thời gian của Windows (w32time )
  • NetLogon (netlogon )

Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc01

Kiểm tra tình trạng và sao chép của bộ điều khiển miền Active Directory

Vì vậy, trong bài viết này, chúng tôi đã trình bày các công cụ, lệnh và tập lệnh PowerShell cơ bản mà bạn có thể sử dụng để chẩn đoán tình trạng của miền Active Directory của mình. Bạn có thể sử dụng chúng trong tất cả các phiên bản Windows Server được hỗ trợ, bao gồm cả bộ điều khiển miền chạy ở chế độ Server Core.