Tw-city.info

IT Новости
7 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Диагностика контроллера домена

Information Security Squad

stay tune stay secure

Инструмент Repadminl: проверка состояния репликации Active Directory

Чтобы поддерживать домен Active Directory в исправном состоянии, следует периодически проверять репликацию между контроллерами домена с помощью инструментов repadmin и dcdiag (мы рассмотрели использование утилиты dcdiag в предыдущем руководстве.

Репликация Active Directory полностью автоматизирована и правильно планирует конфигурацию архитектуры AD, сайтов и расписания репликации практически не требует ручного управления системным администратором.

Действительно, в небольших доменах AD с несколькими контроллерами домена (2-5) проблем с репликацией обычно почти нет, но в больших инфраструктурах из десятков и сотен контроллеров домена администратору домена часто приходится вмешиваться в процесс репликации и исправлять ошибки.

Средство командной строки repadmin можно использовать для мониторинга репликации, отслеживания сбоев репликации между контроллерами домена и принудительной репликации данных.

Утилита repadmin в Windows Server 2003 была включена в пакет средств поддержки, который необходимо было загрузить и установить вручную.

В Windows Server 2008 R2 и более поздних версиях средство repadmin автоматически устанавливается на контроллере домена при установке роли ADDS (доменные службы Active Directory).

Вы можете установить repadmin на настольные версии Windows (Wndows 10 / 8.1 / 7).

Для этого установите RSAT и включите опцию AD DS и AD LDS Tools.

Чтобы использовать repadmin, откройте командную строку от имени администратора.

Вы можете перечислить полный синтаксис команды, набрав:

Как видите, команда имеет довольно много опций.

Давайте попробуем изучить некоторые полезные примеры использования repadmin.

Чтобы быстро проверить работоспособность репликации между контроллерами домена, обычно используется следующая команда:

Как видите, в домене AD есть только 2 контроллера домена, между которыми в настоящее время нет ошибок репликации.

Каждый сервер действует как исходный DSA и целевой DSA.

Чтобы проверить оставшееся количество объектов каталога AD в очереди репликации, выполните:

Используя команду Repadmin / Showrepl, вы можете отобразить состояние репликации для текущего DC.

Она отображает время последней попытки репликации разделов Active Directory.

Если вы считаете, что какой-то контроллер домена не получает обновления репликации, выполните для него эту команду.

Совет. Для отображения подробной информации в любой команде используйте параметр /verbose.

Базовую доступность каталога LDAP на конкретном контроллере домена можно проверить с помощью команды:

Вы можете принудительно выполнить репликацию указанного контроллера домена со всеми партнерами по репликации DC, используя команду:

Не рекомендуется выполнять эту команду в больших доменах Active Directory, так как это может вызвать большую нагрузку на сеть.

Чтобы начать репликацию всех разделов Active Directory по всему лесу, выполните команду:

При использовании этой команды также возможна высокая нагрузка на каналы связи.

Команда Repadmin / kcc указывает KCC (Knowledge Consistency Checker) на указанном контроллере домена немедленно пересчитать топологию входящей репликации (она запускается автоматически каждые 15 минут).

Команда Repadmin / replicate позволяет вам реплицировать определенный раздел каталога с исходного DC на целевой. Например:

Персональный IT-блог

В любой непонятной ситуации — открывай консоль

Windows Server 2012 R2 — Утилита DcDiag (тестирование DNS)

Утилита DcDiag изначально была частью набора инструментов для поддержки администрирования (которые нужно было устанавливать отдельно) в ранних верси­ях Windows Server, но теперь она по умолчанию является частью установки Windows Server 2012 R2. Это инструмент, который нужно применять первым для быстрой проверки работоспособности структуры DNS. Поскольку утилита DcDiag прово­дит диагностику контроллеров домена, она должна проверить корректность работы DNS. После выполнения стандартного набора тестов вы можете заметить ошибки при попытках подключения к контроллерам домена. После этого можно запустить дополнительные тесты DcDiag, ориентированные специально на DNS. В следующем примере осуществляется проверка, может ли контроллер домена выполнять DDNS для регистрации записей SRV:

Ниже показан вывод этой команды:

Утилита DcDiag выполняет множество тестов, относящихся к контроллеру доме­на, включая несколько тестов DNS. Выше был упомянут один из таких тестов — RegisterlnDNS. Эти тесты в первую очередь сосредоточены на интеграции между DNS-серверами внутри среды Active Directory. Тесты могут быть выполнены в отно­шении делегирования, серверов пересылки, обновлений и преобразовании внешних имен DNS.

Ниже приведена часть справочной информации по утилите DcDiag. В ней при­сутствует список тестов, доступных для DNS. При тестировании преобразования внешних имен мы обычно полагаемся на NsLookup, поэтому никогда не пользуемся тестами /DnsForwarders и /DnsResolveExtName, но для полноты они здесь пока­заны.

Читать еще:  Локальные и доменные учетные записи

DNS

Этот тест проверяет работоспособность настроек DNS для целого предприятия. Подтесты могут запускаться по отдельности с применением перечисленных далее ключей. По умолчанию запускаются все тесты кроме тех, которые проверяют преобразование внешних имен.

/DnsBasic — базовые тесты, не могут быть пропущены

/DnsForwarders — тесты для серверов пересылки и корневьи подсказок

/DnsDelegation — тесты для делегирования

/DnsDynamicUpdate — тесты для динамических обновлений

/DnsRecordRegistration — тесты для регистрации записей

/DnsResolveExtName — тесты для преобразования внешних имен

/DnsAll — включает все перечисленные выше тесты

/DnslnternetName: — для теста /DnsResolveExtName (по умолчанию www.microsoft.com)

Количество SRV-записей, зарегистрированных контроллером домена, настолько велико, что определить на глаз, корректно ли они работают, достаточно трудно. В до­полнение к тесту /RegisterInDNS прогоняются тесты /DnsDynamicUpdate и /DnsRecordRegistration, проверяющие регистрацию записей SRV контроллерами доменов. В отличие от /RegisterInDNS, они не обязательно должны запускаться локально на контроллере домена. Представленная ниже команда будет верифици­ровать записи SRV для контроллера домена. Опция /v означает “verbose” (“подроб­но”). Вывод получается длинным, поскольку в нем перечислены все записи SRV для контроллера домена.

Диагностика контроллера домена

Active Directory Replication Status Tool: The AD Utility We … – Active Directory Replication Status Tool. Enter the ADRAP team. A part of the Premier Field Engineering team … There are over 70 replication error messages, and ADREPLSTATUS is designed to make this part of the replication error hunt much easier.

Download Active Directory Replication Status Tool from … – The Active Directory Replication Status Tool (ADREPLSTATUS) analyzes the replication status for domain controllers in an Active Directory domain or forest. Details. Version: 1.1. File Name: adreplstatusInstaller.zip. Date Published: 4/17/2014.

Ask the Directory Services Team – Site … – Hello again, this is guest author Herbert from Germany. If you worked an Active Directory performance issue, you might have noticed a number of AD ……

The Active Directory Replication Status Tool (ADREPLSTATUS) is now LIVE and available for download at the Microsoft Download Center. ADREPLSTATUS helps administrators identify, … The TechNet Article for AD Replication Error 1256 is shown below.

Why is needed Active Directory Sites Nowadays, most companies do business from multiple office locations, which might be spread across a single ……

Downloads Thread, Microsoft AD Replication Status Tool in Links, Downloads and Scripts; … LinkBack. LinkBack URL; About LinkBacks ; Bookmark & Share; … or by dragging one or more column headers to the filter bar. Use one or both options to arrange output by last replication error, …

Microsoft posted a new GUI tool for checking on AD replication just this morning. You can find out about it here: http:… | 7 replies | Active Directory & GPO … AD Replication Status Tool. by Sosipater on Aug 24, 2012 at 9:15 UTC.

DNA replication is the process of producing two identical replicas from one original DNA molecule. This biological process occurs in all living organisms ……

Download and print this document. Read and print without ads; Download to keep your version; Edit, email or read offline; Choose a format:…

I forgot to add, that I use the Replication Status tool, and I like it very much. I have one customer with 8 sites previously had numerous replication problems, mainly due to the BASL and admins manually creating zones left and right.

Active Directory (AD) is a directory service that Microsoft developed for Windows domain networks and is included in most Windows Server operating systems ……

To identify the AD replication problems, you can run the AD Replication Status Tool from your administration workstation in the forest’s root domain. … AD replication error 8606 and Directory Service event 1988 are good indicators of lingering objects.

Veeam Endpoint Backup FREE Beta. Register to get access to the BETA: free Windows backup for desktops and laptops. Register now…

Читать еще:  Служба доменных имен dns

If you encounter this error, please download the tool again … You can also post feature requests at http://social.technet.microsoft.com/wiki/contents/articles/12707.active-directory-replication-status-tool … Have you ever tried using Dynamic AD replication Checker Tool from …

Microsoft has released a new Active Directory replication diagnostics tool called ADREPLSTATUS. … Use one or both options to arrange output by last replication error, last replication success date, … Take a little time and check the AD replication status before you proceed .

… “access is denied” listed below WILL NOT resolve replication failures on computers are currently failing replication with error status 8453: … “Access Denied” Error Message When You Use the Active Directory Sites and Services Tool

How to reply to craigslist postings. 1. Click “Reply.” 2. A window with response options will appear. To use your default mail program, click the blue ……

Диагностика контроллера домена

1. репликация с ошибкой и на одном и на другом. Ссылается на проблему поиска DNS

DCDIAG 1 КД (ADREPLICA)

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = ADREPLICA
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-NameADREPLICA
Запуск проверки: Connectivity
Узел 60aee3c5-f6b8-4474-96b2-3f3e3a286d2f._msdcs.co1858.com не удается
разрешить в IP-адрес. Проверьте DNS-сервер, DHCP, имя сервера и т. д.
Получена ошибка при проверке подключения LDAP и RPC. Проверьте
параметры брандмауэра.
. ADREPLICA — не пройдена проверка
Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-NameADREPLICA
Пропуск всех проверок, поскольку сервер ADREPLICA не отвечает на запросы
службы каталога.

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: co1858
Запуск проверки: CheckSDRefDom
. co1858 — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. co1858 — пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: co1858.com
Запуск проверки: LocatorCheck
. co1858.com — пройдена проверка LocatorCheck
Запуск проверки: Intersite
. co1858.com — пройдена проверка Intersite

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = ADNACH
* Определен лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-NameADNACH
Запуск проверки: Connectivity
. ADNACH — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-NameADNACH
Запуск проверки: Advertising
. ADNACH — пройдена проверка Advertising
Запуск проверки: FrsEvent
. ADNACH — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
. ADNACH — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. ADNACH — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. ADNACH — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. ADNACH — пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
. ADNACH — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
. ADNACH — пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. ADNACH — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. ADNACH — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. ADNACH — пройдена проверка Replications
Запуск проверки: RidManager
. ADNACH — пройдена проверка RidManager
Запуск проверки: Services
. ADNACH — пройдена проверка Services
Запуск проверки: SystemLog
. ADNACH — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. ADNACH — пройдена проверка VerifyReferences

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: co1858
Запуск проверки: CheckSDRefDom
. co1858 — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. co1858 — пройдена проверка
CrossRefValidation

Читать еще:  Дополнительный контроллер домена 2020 r2

Выполнение проверок предприятия на: co1858.com
Запуск проверки: LocatorCheck
. co1858.com — пройдена проверка LocatorCheck
Запуск проверки: Intersite
. co1858.com — пройдена проверка Intersite

Active Directory: утилита DCDIAG

Утилита dcdiag позволяет выполнить до 20 тестов над инфраструктурой Active Directory. Некоторые из тестов предоставляют диагностическую информацию об определенном контроллере домена. Многие тесты предоставляют информацию о конфигурации репликации в пределах леса.

Конкретные тесты, выполняемые этой утилитой, рассматриваются далее.

Тесты dcdiag

Проверяет, правильно ли контроллер домена сообщает о себе и о своей роли хозяина операций. Этот тест завершиться неудачно, если служба NetLogon не запущена

проверяет правильность доменов ссылок дескрипторов безопасности для каждого раздела каталогов программ

Проверяет регистрацию DNS для каждого контроллера домена, отправляет тестовый эхо-пакет на каждый контроллер домена и проверяет подключение по протоколам LDAP и RPC к каждому контроллеру домена

Проверяет правильность перекрестных ссылок для доменов

проверяет состояние готовности для FRS SYSVOL

Проверяет ошибки репликации в работе службы репликации файлов, что может означать наличие проблем в репликации SYSVOL и, таким образом, целостности копий объектов групповых политик

Не проверяет роли хозяев операций, а вместо этого запрашивает сервер глобального каталога, первичный контроллер домена, предпочтительный сервер времени, сервер времени и центр распространения ключей

Проверяет наличие ошибок, которые могут помешать нормальной репликации между сайтами. Компания Microsoft предупреждает, что иногда результаты этого теста могут оказаться неточными

Проверяет безошибочность создания объектов соединений для репликации между сайтами

Проверяет возможность подключения контроллеров домена ко всем пяти хозяевам операций

Проверяет правильность регистрации учетной записи целевого компьютера и правильность объявлений служб этого компьютера. Если обнаружена ошибка, ее можно исправить с помощью утилиты dcdiag, указав параметры /fixmachineaccount или /recreatemachineaccount

Проверяет правильность разрешений для репликации в дескрипторах безопасности для заголовков контекста именования

Проверяет правильность разрешений регистрации, позволяющих регистрацию, для каждого контроллера домена

Проверяет правильность репликации агента сервера каталогов и объектов учетных записей компьютеров

Проверяется наличие безопасных каналов между всеми контроллерами домена в интересующем домене

Проверяет возможность репликации между контроллерами домена и сообщает обо всех ошибках при репликации

Проверяет работоспособность и доступность хозяина относительных идентификаторов

Проверяет работоспособность всех служб, необходимых для работы контроллера домена, на указанном контроллере домена

Проверяет безошибочность работы системного журнала

Проверяет действительность системных ссылок службы репликации файлов для всех объектов на всех контроллерах домена в лесу

Проверяет действительность системных ссылок службы репликации файлов для всех объектов на указанном контроллере домена

Проверяет действительность всех разделов каталога приложения на всех серверах, принимающих участие в репликации

Вот синтаксис команды dcdiag:

Параметры этой команды рассматриваются в следующей таблице.

Параметры команды dcdiag

Используется для указания целевого контроллера домена

Используется для указания контекста именования. Можно указать контекст именования в форматах NetBIOS, DNS (FQDN) или DN

Позволяет запустить команду от имени учетной записи другого пользователя

Используется вместе с параметром /u для указания пароля учетной записи пользователя

Тестирует все серверы в указанном сайте

Тестирует все серверы в пределах всего леса (подразумевает /a)

Сокращенный вывод. Отображаются только сообщения об ошибках

Подробный вывод. Отображается дополнительная информация

Игнорируются некритические сообщения об ошибках

Перенаправляет вывод команды в указанный файл журнала

Собирает и перенаправляет вывод всех критических ошибок в указанный файл журнала

Выполняет всестороннее тестирование, запуская все тесты, кроме DCPromo и RegisterInDNS

При использовании параметра /c позволяет указать тест, который будет пропущен

Заставляет утилиту выполнить указанный тест

В процессе теста MachineAccount исправляются некорректные основные имена служб (Service Principal Name — SPN), хранящиеся в объекте учетной записи компьютера на контроллере домена

Чаще всего, утилита запускается с именем конкретного сервера в качестве параметра. Это приведет к выполнению быстрого тестирования Active Directory, которое завершается в течение нескольких секунд, если не обнаружены проблемы.

После этой строки выполняется еще несколько тестов, но и из приведенного фрагмента ясно, как просто с помощью утилиты dcdiag тестировать контроллеры домена и общее состояние Active Directory в пределах леса. Можно воспользоваться параметрами /f и /ferr для перенаправления вывода в файл журнала, что упростит чтение вывода.

Ссылка на основную публикацию
ВсеИнструменты 220 Вольт
Adblock
detector