सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

सक्रिय निर्देशिका एक विश्वसनीय, लेकिन जटिल और महत्वपूर्ण सेवा है, और पूरे उद्यम नेटवर्क की संचालन क्षमता इस पर निर्भर करती है। एक सिस्टम व्यवस्थापक को लगातार जाँच करनी चाहिए कि सक्रिय निर्देशिका ठीक से काम करती है या नहीं। इस लेख में, हम अपनी सक्रिय निर्देशिका के स्वास्थ्य की जांच और निदान कैसे करें के मुख्य तरीकों पर चर्चा करेंगे। डोमेन, डोमेन नियंत्रक और प्रतिकृति।

सामग्री:

Dcdiag का उपयोग करके AD डोमेन नियंत्रक स्वास्थ्य की जाँच कैसे करें?
DC के बीच सक्रिय निर्देशिका प्रतिकृति त्रुटियों की जाँच करना

Dcdiag का उपयोग करके AD डोमेन नियंत्रक स्वास्थ्य की जांच कैसे करें?

डीसीडियाग सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य की जाँच करने के लिए एक बुनियादी अंतर्निहित उपकरण है। किसी AD डोमेन नियंत्रक की स्थिति को शीघ्रता से जाँचने के लिए, नीचे दिए गए आदेश का उपयोग करें:

dcdiag /s:DC01

आदेश निर्दिष्ट डोमेन नियंत्रक के विरुद्ध विभिन्न परीक्षण चलाता है और प्रत्येक परीक्षण के लिए एक स्थिति देता है (उत्तीर्ण /विफल )।

विशिष्ट परीक्षण:

कनेक्टिविटी - जांचता है कि डीसी डीएनएस में पंजीकृत है या नहीं, परीक्षण एलडीएपी और आरपीसी कनेक्शन स्थापित करता है;
विज्ञापन - DC पर प्रकाशित भूमिकाओं और सेवाओं की जाँच करता है;
FRSइवेंट - जाँचता है कि क्या फ़ाइल प्रतिकृति सेवा में कोई त्रुटि है (SYSVOL प्रतिकृति त्रुटियाँ);
FSMOजांच - जांचता है कि डीसी केडीसी, पीडीसी, और ग्लोबल कैटलॉग सर्वर से जुड़ सकता है या नहीं;
मशीनखाता — जांचता है कि क्या DC खाता AD में सही तरीके से पंजीकृत है और यदि डोमेन विश्वास संबंध सही है;
नेट लॉगऑन - प्रतिकृति को आगे बढ़ने की अनुमति देने के लिए लॉगऑन विशेषाधिकारों की जांच करता है;
प्रतिकृति - डोमेन नियंत्रकों के बीच प्रतिकृति की स्थिति की जांच करता है और यदि कोई त्रुटि है;
KnowsOfRoleHolders - FSMO भूमिकाओं वाले डोमेन नियंत्रकों की उपलब्धता की जाँच करता है;
सेवाएं - जांचता है कि डोमेन नियंत्रकों पर सेवाएं चल रही हैं या नहीं;
सिस्टम लॉग - जांचता है कि क्या डीसी लॉग में कोई त्रुटि है;
आदि

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

आप सभी उपलब्ध dcdiag परीक्षणों का पूरा विवरण यहाँ पा सकते हैं।

डिफ़ॉल्ट परीक्षणों के अलावा, आप अतिरिक्त डोमेन नियंत्रक जाँच चला सकते हैं:

टोपोलॉजी - जांचता है कि क्या केसीसी ने सभी डीसी के लिए पूर्ण टोपोलॉजी तैयार की है
सुरक्षा त्रुटि की जांच करें
कटऑफ सर्वर - एक ऐसा डीसी ढूंढता है जिसे दोहराया नहीं गया है क्योंकि उसका साथी अनुपलब्ध है
डीएनएस - 6 डीएनएस जांच उपलब्ध हैं (/DnsBasic , /DnsForwarders , /DnsDelegation , /DnsDymanicUpdate , /DnsRecordRegistration , /DnsResolveExtName )
आउटबाउंड सिक्योर चैनल
प्रतिकृति सत्यापित करें - जाँचता है कि क्या अनुप्रयोग विभाजन सही ढंग से दोहराए गए हैं
EnterpriseReferences सत्यापित करें

उदाहरण के लिए, यह जांचने के लिए कि DNS सभी डोमेन नियंत्रकों पर ठीक से काम कर रहा है या नहीं, निम्न कमांड का उपयोग करें:

dcdiag.exe /s:DC01 /test:dns /e /v

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

इसका परिणाम एक सारांश तालिका में होगा जो परीक्षण के परिणाम दिखाएगा कि DNS सभी डीसी पर नामों का समाधान कैसे करता है (यदि यह ठीक है, तो आप पास देखेंगे। हर सेल में)। अगर आपको विफल दिखाई देता है , आपको इस परीक्षण को निर्दिष्ट डीसी के विरुद्ध चलाने की आवश्यकता है:

dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v

डोमेन नियंत्रक परीक्षण परिणामों से अधिक जानकारी प्राप्त करने और इसे टेक्स्ट फ़ाइल में सहेजने के लिए, इस आदेश का उपयोग करें:

dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

निम्न पावरशेल कमांड निष्पादित dcdiag परीक्षणों पर केवल एक सारांश जानकारी प्रदर्शित करता है:

Dcdiag /s:DC01 | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

सभी डोमेन नियंत्रकों की स्थिति प्राप्त करने के लिए, उपयोग करें:

dcdiag.exe /s:woshub.com /a

यदि आप केवल उन त्रुटियों को प्रदर्शित करना चाहते हैं जो आपको मिली हैं, तो /q . का उपयोग करें विकल्प:

dcdiag.exe /s:dc01 /q

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

मेरे उदाहरण में, टूल ने कुछ प्रतिकृति त्रुटियों का पता लगाया है:

There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
......................... DC01 failed test DFSREvent

dcdiag को DC खाते के लिए सेवा प्रधान नाम त्रुटियों को स्वचालित रूप से ठीक करने के लिए, /fix का उपयोग करें विकल्प:

dcdiag.exe /s:dc01 /fix

DC के बीच सक्रिय निर्देशिका प्रतिकृति त्रुटियों की जाँच करना

अंतर्निहित repadmin उपकरण का उपयोग सक्रिय निर्देशिका डोमेन में प्रतिकृति की जाँच के लिए किया जाता है।

यहाँ AD प्रतिकृति की जाँच करने के लिए मूल आदेश दिया गया है:

repadmin /replsum

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

उपकरण ने सभी DC के बीच वर्तमान प्रतिकृति स्थिति लौटा दी है। आदर्श रूप से, सबसे बड़ा डेल्टा मान 1 घंटे से कम होना चाहिए (एडी टोपोलॉजी और इंटरसाइट प्रतिकृति आवृत्ति सेटिंग्स पर निर्भर करता है), और त्रुटियों की संख्या =0। मेरे उदाहरण में, आप देख सकते हैं कि नवीनतम प्रतिकृति में से एक में 14 दिन लगे, लेकिन अब यह ठीक है ।

डोमेन में सभी डीसी के लिए प्रतिकृति की जांच करने के लिए:

repadmin /replsum *

इंटरसाइट प्रतिकृति का परीक्षण करने के लिए:

repadmin /showism

प्रतिकृति टोपोलॉजी और त्रुटियों (यदि कोई हो) को देखने के लिए, यह कमांड चलाएँ:

repadmin /showrepl

कमांड डीसी की जांच करेगा और प्रत्येक निर्देशिका विभाजन के लिए अंतिम सफल प्रतिकृति का समय और तारीख लौटाएगा (last attempt xxxx was successful )।

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

अतिरिक्त प्रतिकृति जानकारी प्रदर्शित करने के लिए, इस आदेश का उपयोग करें:

repadmin /showrepl *

लिखने योग्य डोमेन नियंत्रक से केवल-पढ़ने के लिए डोमेन नियंत्रक (आरओडीसी) में पासवर्ड प्रतिकृति चलाने के लिए, /rodcpwdrepl विकल्प का उपयोग किया जाता है।

/प्रतिकृति विकल्प निर्दिष्ट निर्देशिका विभाजन की प्रतिकृति को एक विशिष्ट डीसी में तुरंत शुरू करता है।

एक निर्दिष्ट डीसी को उसके सभी प्रतिकृति भागीदारों के साथ सिंक्रनाइज़ करने के लिए, नीचे दिए गए आदेश का उपयोग करें:

replmon /syncall <nameDC>

प्रतिकृति कतार देखने के लिए:

repadmin /queue

आदर्श रूप से, प्रतिकृति कतार खाली होनी चाहिए।

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

जांचें कि वर्तमान डोमेन नियंत्रक का नवीनतम बैकअप कब बनाया गया था:

Repadmin /showbackup *

आप PowerShell का उपयोग करके प्रतिकृति स्थिति की जांच भी कर सकते हैं। उदाहरण के लिए, निम्न आदेश आउट-ग्रिड व्यू तालिका में मिलने वाली सभी प्रतिकृति त्रुटियों को प्रदर्शित करेगा:

Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

मैंने एक पावरशेल स्क्रिप्ट अपलोड की है जिसका उपयोग मैं अक्सर अपने गिटहब भंडार में एडी में प्रतिकृति स्थिति की जांच के लिए करता हूं। स्क्रिप्ट एक HTML फ़ाइल उत्पन्न करती है और इसे Send-MailMessage cmdlet का उपयोग करके ईमेल द्वारा भेज सकती है।

https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

आप Get-Service cmdlet का उपयोग करके डोमेन नियंत्रक पर ADDS मूलभूत सेवाओं की स्थिति भी देख सकते हैं:

सक्रिय निर्देशिका डोमेन सेवाएं (ntds )
सक्रिय निर्देशिका वेब सेवाएँ (adws ) - AD PowerShell मॉड्यूल के सभी cmdlets इस सेवा से जुड़ते हैं
डीएनएस (dnscache और dns )
केर्बरोस कुंजी वितरण केंद्र (kdc )
Windows Time Service (w32time )
नेटलॉगन (netlogon )

Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc01

सक्रिय निर्देशिका डोमेन नियंत्रक स्वास्थ्य और प्रतिकृति की जाँच करना

इसलिए, इस लेख में, हमने बुनियादी टूल, कमांड और पावरशेल स्क्रिप्ट दिखाए हैं जिनका उपयोग आप अपने सक्रिय निर्देशिका डोमेन के स्वास्थ्य का निदान करने के लिए कर सकते हैं। आप सर्वर कोर मोड में चल रहे डोमेन नियंत्रकों सहित सभी समर्थित विंडोज सर्वर संस्करणों में उनका उपयोग कर सकते हैं।