- Утилиты для тестирования домена
- DcDiag
- DNSLint
- NetDiag
- Диагностика состояния контроллера домена и репликаций Active Directory
- Диагностика доменных служб Active Directory AD DS Troubleshooting
- Диагностика состояния контроллера домена под управлением Windows 2012R2
- Проверка здоровья контроллеров домена Active Directory и репликации
- Проверка состояния контроллеров домена с помощью Dcdiag
- Проверка ошибок репликации между контроллерами домена Active Directory
Утилиты для тестирования домена
DcDiag
Утилиту DcDiag из комплекта Support Tools при обнаружении проблем с DС необходимо запустить в первую очередь. При запуске утилиты без указания параметров запускается 27 тестов указанного DC (на пять больше, чем в Windows 2000).
Ключ /s — задается для целевого контроллера домена;
Можно применить ключ /a для тестирования всех контроллеров домена сайта.
С помощью ключа /e можно протестировать все DС в лесу. В большом лесу необходимо запускать утилиту с ключом /e в период наименьшей загрузки сети и контроллеров домена.
Ключ /dcpromo — новая полезная возможность, позволяющая протестировать настройки серверов домена на предмет готовности стать контроллером домена. Ключ dcpromo единственный, который не работает на контроллерах домена.
Ключ /dnsall — запускает дополнительно все тесты DNS (эти тесты пропускаются при запуске без указания типов тестов).
Ключ /fix разрешает утилите dcdiag исправлять тривиальные ошибки.
Примеры:
тестирование конкретного контроллера домена:
dcdiag /s dc1.domain.local
тестирование всех контроллеров домена сайта:
dcdiag /a
тестирование всех контроллеров домена в лесу:
dcdiag /e
тестирование всех контроллеров домена в лесу, тесты DNS:
dcdiag /e /dnsall
тестирование всех контроллеров домена в лесу, исправление тривиальных ошибок:
dcdiag /e /fix
DNSLint
Утилита DNSLint из набора утилит Support Tools — малоизвестный инструмент, позволяющий диагностировать наиболее общие DNS-проблемы, связанные с некорректным делегированием или некорректными или отсутствующими записями DNS для домена. Если запустить ее надлежащим образом, она проанализирует весь домен и все серверы DNS внутри него на предмет ошибок в структуре DNS. Как большинство утилит, описываемых в данной статье, DNSLint имеет собственные уникальные параметры и ключи. Во многих ситуациях нам требуется провести проверку (чаще внутреннего) домена с использованием указания ключа /s DNS server IP address, поскольку он исключает просмотр Internet-части домена. DSLint создает отчет в формате HTML в файле с именем dnslint.htm. Чтобы получить отчет в текстовом формате вместо HTML — формата по умолчанию (возможно, для того чтобы использовать сценарий для процесса вывода), можно задать параметры /t и /no_open.
DNSLint покажет всю свою мощь при использовании ключа /ad для запуска тестов AD DNS. Ключ /ad запускает серию опрашивающих Active Directory запросов о правильной регистрации GUID на контроллерах домена леса, регистрации записей типа Start of Authority (SOA), Name Server (NS) и о зарегистрированных SRV-записях. Во время использования этого параметра необходимо задать IP-адрес контроллера домена, который отвечает за корневой домен леса. Также можно задействовать ключ /s для исключения просмотра зоны InterNIC. Обычно применяется тот же IP-адрес сервера, который использовался для параметра /ad. Поэтому команда будет выглядеть так:
dnslint /ad 192.168.1.51 /s 192.168.1.51
Этот ключ проверяет записи DNS, которые представляют собой записи типа А в корневом домене. Эти записи содержат информацию о серверах DNS, ответственных за дочерние домены. Чтобы настроить DNSLint для выполнения конкретной задачи, указать DNS-серверы и запустить соответствующие тесты, можно использовать ключ /ql. Если добавить параметр autocreate после ключа /ql, то DNSLint создаст пример файла конфигурации с именем in-dnslint.txt. После этого можно будет задействовать этот файл для дальнейшей настройки.
Примеры:
dnslint /d /s
dnslint /d domain.local /s 192.168.1.1
dnslint /ad /s
dnslint /ad 192.168.1.51 /s 192.168.1.51
NetDiag
Средство диагностики сети NetDiag тоже может быть использовано для тестирования домена. Пример тестирования домена:
netdiag /d:
netdiag /d:domain.local
Ключ /fix используется для исправления тривиальных проблем:
netdiag /fix
Диагностика состояния контроллера домена и репликаций Active Directory
Диагностика состояния контроллера домена и репликаций Active Directory
Данная заметка является небольшой шпаргалкой, которая содержит в себе основные приемы диагностики состояния работы контроллера домена, а также репликации служб Active Directory.
Итак, для диагностики работы контроллера домена используется специализированная утилита – DCDIAG
Лучше всего выполнять проверку локально, т.е. на самом контроллере домена от учетной записи с правами администратора. Если же существует несколько DC, то на помощь придет команда автоматической проверки нескольких серверов (для удобства данные выводятся в текстовые файлы):
dcdiag /n:local /e /v /f:c:\logs\adtest.log /ferr:c:\logs\aderrors.log /u:local\user19 /p:Password
- /n:local – имя домена
- /e автоматическая проверка всех серверов с ролью DC
- /v расширенная проверка
- /f – записать лог файл
- /ferr – записать лог файл ошибок (актуально для WinSRV2003, в новых версиях – неактуально)
- /u имя домена и пользователя
Теперь перейдем к анализу и проверки репликаций Active Directory. Межсайтовая топология отслеживается так:
Данную информацию можно просмотреть и через графическую оснастку, открыв «Active Directory Sites and Services».
Отображение партнеров по репликации и времени последней репликации выполняется следующей командой:
Следующей командой можно проверить
repadmin /replsummary [nameDC|wildcard]
При этом ключ /replsummary используется для быстрой проверки репликации на конкретном сервере, а ключ wildcard – для всех серверов.
Проверка USN записей:
Синхронизация конкретного контроллера домена с участниками репликации:
Представленными выше командами можно выполнить диагностику работы контроллера дома, а также репликаций AD. Особенно актуальны такие операции при замене DC, описанных, например, в предыдущей статье – Правильное удаление вышедшего из строя контроллера домена из Active Directory.
Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter
Диагностика доменных служб Active Directory AD DS Troubleshooting
Область применения: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 Applies To: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
В этом разделе содержатся рекомендации по устранению неполадок и процедуры диагностики и устранения проблем, которые могут возникнуть во время репликации Active Directory. This section includes troubleshooting recommendations and procedures for diagnosing and fixing problems that may occur during Active Directory replication. Она посвящена тому, как реагировать на записи в журнале событий службы каталогов и как интерпретировать сообщения, которые такие средства, как Repadmin.exe и Dcdiag.exe, могут сообщать о них. It focuses on how to respond to Directory Service event log entries and how to interpret messages that tools such as Repadmin.exe and Dcdiag.exe might report.
Repadmin.exe и Dcdiag.exe доступны на всех контроллерах домена под управлением Windows Server 2012 R2 или более поздних версий. Repadmin.exe and Dcdiag.exe are available on all domain controllers that run Windows Server 2012 R2 or later versions. Дополнительные сведения об использовании этих средств для устранения неполадок см. в следующих статьях. For more information about how to use these tools to troubleshoot problems, see the following articles.
Еще одна полезная технология — трассировка событий Windows (ETW). Another useful technology is Event Tracing for Windows (ETW). ETW можно использовать для устранения неполадок подключений LDAP между контроллерами домена. You can use ETW to troubleshoot LDAP communications among the domain controllers. Дополнительные сведения см. в разделе Использование ETW для устранения неполадок подключений LDAP. For more information, see Using ETW to troubleshoot LDAP connections.
Средства удаленного администрирования сервера (RSAT) можно также установить на рядовом сервере под Windows 10. You can also install Remote Server Administration Tools (RSAT) on a member server that is running Windows 10. Дополнительные сведения об установке RSAT см. в разделе средства удаленного администрирования сервера. For information about how to install RSAT, see Remote Server Administration Tools.
Диагностика состояния контроллера домена под управлением Windows 2012R2
Для проведения диагностики работы контроллеров домена используется специальная встроенная в систему утилита — DCDIAG
Рекомендуется выполнять данную проверку локально, на самом контроллере домена с правами администратора. Но если у Вас нет локального доступа, и у Вас несколько контроллеров домена, то поможет команда автоматической проверки нескольких серверов (для удобства и дальнейшего использования, можно выводить отчет о диагностике в текстовый файл).
Для запуска диагностики запустите утилиту dcdiag, со следующими ключами и параметрами:
dcdiag /n:loc /e /v /f:c:\logs\adtest.log /u:local\User /p:Password
- /n:loc — имя домена
- /e — автоматическая проверка всех имеющихся DC
- /v — расширенная проверка
- /f — записать результаты в файл
- /u — авторизационные данные
Проверки репликаций Active Directory и межсайтовая топология диагностируется командой:
repadmin /showism
Данную информацию можно просмотреть и через графическую оснастку, открыв «Active Directory Sites and Services».
Отображение партнеров по репликации и времени последней репликации выполняется следующей командой:
repadmin /showrepl
Следующей командой можно проверить
repadmin /replsummary [nameDC|wildcard]
При этом ключ /replsummary используется для быстрой проверки репликации на конкретном сервере, а ключ wildcard — для всех серверов.
Проверка USN записей:
Синхронизация конкретного контроллера домена с участниками репликации:
Представленными выше командами можно выполнить диагностику работы контроллера дома, а также репликаций AD.
Проверка здоровья контроллеров домена Active Directory и репликации
Active Directory это надежный, но в то же время крайне сложный и критичный сервис, от работоспособности которого зависит работа всей вашей сети. Системный администратор должен постоянно мониторить корректность работы Active Directory. В этой статье мы рассмотрим основные методики, позволяющие вам быстро проверить и диагностировать состояние вашего домена Active Directory, контроллеров домена и репликации.
Проверка состояния контроллеров домена с помощью Dcdiag
Базовая встроенная утилита для проверки состояния контролеров домена – dcdiag.
Чтобы быстро проверить состояние конкретного контроллера домена AD воспользуйтесь командой:
Данная команда выполняет различные тесты указанного контроллера домена и возвращает статус по каждому тесту (Passed| Failed).
- Connectivity – проверяет регистрацию DC в DNS, выполняет тестовые LDAP и RPC подключения;
- Advertising – проверяет роли и сервисы, опубликованные на DC;
FRSEvent – проверяет наличие ошибок в службе репликации файлов (ошибки репликации SYSVOL); - FSMOCheck – проверяет, что DC может подключиться к KDC, PDC, серверу глобального каталога;
- MachineAccount — проверяет корректность регистрации учетной записи DC в AD, корректность доверительных отношения с доменом;
- NetLogons – проверка наличие прав на выполнение репликации;
- Replications – проверка статуса репликации между контроллерами домена и наличие ошибок;
- KnowsOfRoleHolders – проверяет доступность контроллеров домена с ролями FSMO;
- Services – проверяет, запущены ли на контроллере домена необходимые службы;
- Systemlog – проверяет наличие ошибок в журналах DC;
- И т.д.
Помимо стандартных тестов, которые выполняются по-умолчанию, можно выполнить дополнительные проверки контроллера домена:
- Topology – проверяет, что KCC сгенерировал полную топологию для всех DC;
- CheckSecurityError
- CutoffServers – находит DC, который не получает репликацию из-за того, что партнёр недоступен;
- DNS – доступны 6 проверок службы DNS (/DnsBasic, /DnsForwarders,/DnsDelegation,/DnsDymanicUpdate,/DnsRecordRegistration,/DnsResolveExtName)
- OutboundSecureChannels
- VerifyReplicas – проверяет корректность репликации разделов приложения
- VerifyEnterpriseReferences
Например, чтобы проверить корректность работы DNS на всех контроллерах домена, используйте команду:
dcdiag.exe /s:DC01 /test:dns /e /v
В результате должна появится сводная таблица по проверкам разрешения имен службой DNS на всех контроллерах (если все ОК, везде должно быть Pass). Если где-то будет указано Fail, нужно выполнить проверку этого теста на указанном DC:
dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v
Чтобы получить расширенную информацию по результатам тестов контроллера домена и сохранить ее в текстовый файл, используйте команду:
dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log
Dcdiag /s:DC01 | select-string -pattern ‘\. (.*) \b(passed|failed)\b test (.*)’
Чтобы получить состояние всех контроллеров домена, используйте:
dcdiag.exe /s:winitpro.ru /a
Если нужно вывести только найденные ошибки, используйте параметр /q:
dcdiag.exe /s:dc01 /q
В моем примере утилита обнаружила ошибки репликации:
Чтобы утилита dcdiag попробовала автоматически исправить ошибки в Service Principal Names для данной учетной записи DC, используйте параметр /fix:
dcdiag.exe /s:dc01 /fix
Проверка ошибок репликации между контроллерами домена Active Directory
Для проверки репликации в домене используется встроенная утилита repadmin.
Базовая команда проверки репликации:
Утилита вернула текущий статус репликации между всеми DC. В идеальном случае значение largest delta не должно превышать 1 час (зависит от топологии и настроек частоты межсайтовых репликаций), а количество ошибок = 0. В моем примере видно, что одна из последних репликаций заняла 14 дней, но сейчас все OK.
Чтобы выполнить проверку для всех DC в домене:
Проверку межсайтовой репликции можно выполнить так:
Для просмотра топологии репликации и найденных ошибках, выполните:
Данная команда проверит DC и вернет время последней успешной репликации для каждого раздела каталога (last attempt xxxx was successful).
Для запуска репликации паролей с обычного контроллера домена на контроллер домена на чтение (RODC) используется ключ /rodcpwdrepl.
Опция /replicate позволяет запустить немедленную репликацию указанного раздела каталога на определенный DC.
Для запуска синхронизации указанного DC со всеми партнерами по репликации, используйте команду
Для просмотра очереди репликации:
В идеальном случае очередь должна быть пуста:
Вы также можете проверить состояние репликации с помощью PowerShell. Например, следующая команда выведет все обнаруженные ошибки репликации в таблицу Out-GridView:
Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView
- Active Directory Domain Services (ntds)
- Active Directory Web Services (adws) – именно к этой службе подключаются все командлеты из модуля AD PowerShell
- DNS (dnscache и dns)
- Kerberos Key Distribution Center (kdc)
- Windows Time Service (w32time)
- NetLogon (netlogon)
Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc03
Итак, в этой статье мы рассмотрели базовые команды и скрипты, которые можно использовать для диагностики состояния вашего домена Active Directory. Вы можете использовать их во всех поддерживаемых версия Windows Server, в том числе на контроллерах домена в режиме Server Core.
