Active Directory运行状况检查

我最近在Active Directory中遇到了一些麻烦，想知道我可以定期执行哪些检查以确保一切工作正常？

在过去我工作的一家较小的公司中，我们使用了这个工具。它是一个比较PASS / FAILS（通过/失败）的脚本，肯定不是一个坏的尝试工具。有兴趣看看别人使用了什么。

为了让您对可以测试的内容有所了解，以下是我们每天执行的一些自动检查。

• 平测
• LDAP /端口389身份验证绑定
• GC /端口3268身份验证绑定
• DNS /端口53测试。这包括针对DC dns主机名针对DC执行查找，以确认仅返回了一个地址。对于具有多个IP地址的DC，我们确认已在HKLM \ System \ CurrentControlSet \ Services \ DNS \ Parameters中定义了“ PublishAddresses”注册表值，并且该值与期望的IP地址匹配。
• Sysvol / FRS测试。这包括检查最新的GPO gpt.ini文件中的版本，并与PDC模拟器进行比较。
• 可用磁盘空间检查（WMI）。
• 时间同步。WMI可用于获取DC本地时间，并与运行测试的服务器进行比较，并标记出差异是否接近阈值（4m 50s）。
• 时间服务器广告。命令的输出：'nltest / server：serverName /dsgetdc:domainName.company.com'，并验证TIMESERV标志是否存在。
• 时间服务器测试。
  1. 在UDP / 123上查询服务器以获取有效的NTP响应。
  2. 使用w32tm.exe /query /computer:dcname /status /verbose以确定DC最后一次成功同步的时间，如果该DC时间是同步的。
  3. 使用nltest.exe /server:dcname /dsgetdc:dcDomainDnsName以确定DC实际上是广告作为一个时间服务器。该广告通过Netlogon服务执行。
• GC广告。确定dc是否实际上作为全球目录广告的一种方法是使用repadmin /showreps。如果尚未完全复制任何分区，它将显示“警告：不作为全局编录发布”。请注意，NLTest标志可能指示该直流被配置为GC；这种“配置”不同于“广告”。在具有多个域的大型分布式环境中，这尤其有意义，因为DC可能需要几天或几周的时间才能逐渐将所有分区复制到GC测试通过的位置。
• 复制测试。每个域都有一个“标记”对象，并且其中一个属性用于存储日期时间值。将查询所有DC的这些对象，并且将标记值超过阈值的DC标记为复制问题。
• 严格的复制一致性注册表设置检查。对于新的Windows 2008和更高版本的域，默认设置为“严格复制”，但是，较早建立的AD环境不是默认设置，并且该设置将被保留。在具有多个域和DC的较大环境中，缠结的对象变得更加难以识别和解决。
• 待复制计数。可以通过WMI或.NET获得。这与执行相同repadmin /queue。挂起大量复制的DC可能由于某种原因关闭了复制。例如，如果启用了“ 严格复制一致性”，那么如果尝试使用无效或删除的对象来复制入站，则肯定会关闭复制。还可以获取特定邻居最近一次成功复制的最新日期时间，如果超过阈值，则可以将其标记出来。

Active Directory严重依赖DNS，因此从一些DNS检查开始。

NSLOOKUP 主机名 此测试表明DNS能够将主机名解析为IP地址

DCDIAG / TEST：DNS这将检查DNS和Active Directory是否正常工作。

NETDIAG / TEST：DNS更多DNS测试

一旦您对DNS能够正常运行感到满意，这里将进行更多测试

REPADMIN / SHOWREPS这将向您显示上一次与复制伙伴进行复制的时间

REPADMIN / REPLSUM / ERRORSONLY这将显示域控制器之间的所有复制错误。

DCDIAG / Q AD诊断工具之王。测试并报告所有AD组件。

NETDIAG测试所有

最近看到Microsoft发布了一个有趣的新复制状态工具，该工具看起来很整洁。更多gui mutli服务器复制状态检查。这肯定是任何广告运行状况检查的第一步：

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx