前言
Active Directory是一项可靠但复杂且关键的服务,整个企业网络的可操作性依赖于它。系统管理员应不断检查Active Directory是否正常工作。在本文中,我将记录和分享如何检查和诊断Active Directory域控制器和复制的运行状况的主要方法。
dcdiag介绍
dcdiag是一个基本的内置工具,用于检查Active Directory域控制器的运行状况。要快速检查AD域控制器的状态,请使用以下命令
dcdiag /s:AD
该命令针对指定的域控制器运行不同的测试,并返回每个测试的状态(通过/失败)。
- Connectivity – 检查 DC 是否在 DNS 中注册,建立测试 LDAP 和 RPC 连接
- Advertising – 检查 DC 上发布的角色和服务
- FRSEvent – 检查文件复制服务是否有任何错误(SYSVOL复制错误)
- FSMOCheck – 检查 DC 是否可以连接到 KDC、PDC 和全局目录服务器
- MachineAccount — 检查 DC 帐户是否在 AD 中正确注册以及
域信任关系是否正确 - NetLogons – 检查登录权限以允许复制继续进行
- Replications – 检查域控制器之间的复制状态以及是否存在任何错误
- KnowsOfRoleHolders – 检查具有FSMO 角色的域控制器的可用性
- Services – 检查域控制器上的服务是否正在运行
- Systemlog – 检查DC日志中是否有错误
你可以点击此处 找到所有可用关于dcdiag测试的完整说明
除了默认测试之外,还可以运行其他域控制器检查
- Topology – 检查 KCC 是否已为所有 DC 生成完整拓扑
- CheckSecurityError – 检查安全错误
- CutoffServers – 查找由于其伙伴不可用而未复制的 DC
- DNS – 6 个 DNS 检查可用
/DnsBasic/DnsForwarders/DnsDelegation/DnsDymanicUpdate/DnsRecordRegistration/DnsResolveExtName
- OutboundSecureChannels – 出站安全通道
- VerifyReplicas – 检查应用程序分区是否已正确复制
- VerifyEnterpriseReferences – 验证企业参考
检查运行状况
例如,要检查 DNS 是否在所有域控制器上正常工作,请使用以下命令:
dcdiag.exe /s:AD /test:dns /e /v
它将生成一个汇总表,显示有关DNS如何解析所有DC上的名称的测试结果(如果正常,你将在每个单元格中看到“PASS” 如下图所示)。
如果看到Fail,则需要针对指定的DC运行此测试
dcdiag.exe /s:AD /test:dns /DnsForwarders /v要从域控制器测试结果获取更多信息并将其保存到文本文件,请使用以下命令
dcdiag /s:AD /v >> C:\AD_dcdiag_test.log要获取所有域控制器的状态,请使用
dcdiag.exe /s:woshub.com /a
如果只想显示发现的错误,请使用/q选项
dcdiag.exe /s:AD /q
要使dcdiag自动修复DC帐户的服务主体名称错误,请使用/fix选项:
dcdiag.exe /s:AD /fix
检查复制错误
内置的repadmin工具用于检查Active Directory域中的复制
repadmin /replsum
该工具已返回所有DC之间的当前复制状态。理想情况下,最大增量值应小于1小时(取决于AD拓扑和站点间复制频率设置),并且错误数 = 0。在我的演示环境中只有一台Active Directory 所有无法展现。
要检查域中所有 DC 的复制
repadmin /replsum *要测试站点间复制
repadmin /showism要查看复制拓扑和错误(如果有),请运行以下命令
repadmin /showrepl该命令将检查DC并返回每个目录分区 ( last attempt xxxx was successful) 上次成功复制的时间和日期。
要将指定的DC与其所有复制伙伴同步,请使用以下命令
replmon /syncall <nameDC>检查当前域控制器的最新备份何时创建
Repadmin /showbackup *
0