Active Directory는 신뢰할 수 있지만 복잡하고 중요한 서비스이며 전체 엔터프라이즈 네트워크의 운영 가능성은 Active Directory에 달려 있습니다. 시스템 관리자는 Active Directory가 올바르게 작동하는지 지속적으로 확인해야 합니다. 이 문서에서는 Active Directory의 상태를 확인하고 진단하는 방법의 주요 방법을 살펴보겠습니다. 도메인, 도메인 컨트롤러 및 복제.
내용:
- Dcdiag를 사용하여 AD 도메인 컨트롤러 상태를 확인하는 방법
- DC 간 Active Directory 복제 오류 확인
Dcdiag를 사용하여 AD 도메인 컨트롤러 상태를 확인하는 방법
Dcdiag Active Directory 도메인 컨트롤러 상태를 확인하는 기본 기본 제공 도구입니다. AD 도메인 컨트롤러의 상태를 빠르게 확인하려면 아래 명령어를 사용하세요.
dcdiag /s:DC01
이 명령은 지정된 도메인 컨트롤러에 대해 다른 테스트를 실행하고 각 테스트의 상태를 반환합니다(통과 /실패 ).
일반적인 테스트:
- 연결성 – DC가 DNS에 등록되었는지 확인하고 테스트 LDAP 및 RPC 연결을 설정합니다.
- 광고 – DC에 게시된 역할 및 서비스 확인
- FRS이벤트 – 파일 복제 서비스의 오류(SYSVOL 복제 오류)가 있는지 확인합니다.
- FSMOCheck – DC가 KDC, PDC 및 글로벌 카탈로그 서버에 연결할 수 있는지 확인합니다.
- 머신 계정 — DC 계정이 AD에 올바르게 등록되었는지 확인하고 도메인 신뢰 관계가 올바른지 확인합니다.
- NetLogons – 복제를 계속할 수 있도록 로그온 권한을 확인합니다.
- 복제 – 도메인 컨트롤러 간의 복제 상태와 오류가 있는지 확인합니다.
- KnowsOfRoleHolders – FSMO 역할이 있는 도메인 컨트롤러의 가용성을 확인합니다.
- 서비스 – 도메인 컨트롤러의 서비스가 실행 중인지 확인합니다.
- 시스템 로그 – DC 로그에 오류가 있는지 확인합니다.
- 기타
기본 테스트 외에도 추가 도메인 컨트롤러 검사를 실행할 수 있습니다.
- 토폴로지 – KCC가 모든 DC에 대해 전체 토폴로지를 생성했는지 확인합니다.
- CheckSecurityError
- 컷오프 서버 – 파트너를 사용할 수 없기 때문에 복제되지 않은 DC를 찾습니다.
- DNS – 6개의 DNS 검사를 사용할 수 있습니다(
/DnsBasic). ,/DnsForwarders,/DnsDelegation,/DnsDymanicUpdate,/DnsRecordRegistration,/DnsResolveExtName) - 아웃바운드 보안 채널
- 복제본 확인 – 애플리케이션 파티션이 올바르게 복제되었는지 확인합니다.
- EnterpriseReferences 확인
예를 들어, DNS가 모든 도메인 컨트롤러에서 올바르게 작동하는지 확인하려면 다음 명령을 사용하십시오.
dcdiag.exe /s:DC01 /test:dns /e /v
그러면 DNS가 모든 DC에서 이름을 확인하는 방법에 대한 테스트 결과를 보여주는 요약 테이블이 표시됩니다(정상인 경우 통과이 표시됨). 모든 셀에서). 실패가 표시되는 경우 , 지정된 DC에 대해 이 테스트를 실행해야 합니다.
dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v
도메인 컨트롤러 테스트 결과에서 자세한 정보를 얻고 텍스트 파일에 저장하려면 다음 명령을 사용하십시오.
dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log
Dcdiag /s:DC01 | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'
모든 도메인 컨트롤러의 상태를 얻으려면 다음을 사용하십시오.
dcdiag.exe /s:woshub.com /a
발견한 오류만 표시하려면 /q 옵션:
dcdiag.exe /s:dc01 /q
내 예에서 도구는 일부 복제 오류를 감지했습니다.
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... DC01 failed test DFSREvent
dcdiag가 DC 계정에 대한 서비스 사용자 이름 오류를 자동으로 수정하도록 하려면 /fix를 사용하세요. 옵션:
dcdiag.exe /s:dc01 /fix
DC 간 Active Directory 복제 오류 확인
기본 제공 repadmin 이 도구는 Active Directory 도메인에서 복제를 확인하는 데 사용됩니다.
다음은 AD 복제를 확인하는 기본 명령어입니다.
repadmin /replsum
도구가 모든 DC 간의 현재 복제 상태를 반환했습니다. 이상적으로는 최대 델타 값은 1시간 미만이어야 합니다(AD 토폴로지 및 사이트 간 복제 빈도 설정에 따라 다름), 오류 수 =0 .
도메인의 모든 DC에 대한 복제를 확인하려면:
repadmin /replsum *
사이트 간 복제를 테스트하려면:
repadmin /showism
복제 토폴로지 및 오류(있는 경우)를 보려면 다음 명령을 실행하십시오.
repadmin /showrepl
이 명령은 DC를 확인하고 각 디렉터리 파티션에 대해 마지막으로 성공한 복제 시간과 날짜를 반환합니다(last attempt xxxx was successful). ).
repadmin /showrepl *
쓰기 가능한 도메인 컨트롤러에서 RODC(읽기 전용 도메인 컨트롤러)로 암호 복제를 실행하려면 /rodcpwdrepl 옵션이 사용됩니다.
/복제 이 옵션은 지정된 디렉터리 파티션을 특정 DC로 즉시 복제하기 시작합니다.
지정된 DC를 모든 복제 파트너와 동기화하려면 아래 명령을 사용하십시오.
replmon /syncall <nameDC>
복제 대기열을 보려면:
repadmin /queue
이상적으로는 복제 대기열이 비어 있어야 합니다.
현재 도메인 컨트롤러의 최신 백업이 언제 생성되었는지 확인:
Repadmin /showbackup *
PowerShell을 사용하여 복제 상태를 확인할 수도 있습니다. 예를 들어 다음 명령은 Out-GridView 테이블에서 찾은 모든 복제 오류를 표시합니다.
Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView
https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1
Get-Service cmdlet을 사용하여 도메인 컨트롤러에서 ADDS 기본 서비스의 상태를 확인할 수도 있습니다.
- Active Directory 도메인 서비스(
ntds) - Active Directory 웹 서비스(
adws) – AD PowerShell 모듈의 모든 cmdlet이 이 서비스에 연결됩니다. - DNS(
dnscache및dns) - Kerberos 키 배포 센터(
kdc) - Windows 시간 서비스(
w32time) - NetLogon(
netlogon)
Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc01
따라서 이 기사에서는 Active Directory 도메인의 상태를 진단하는 데 사용할 수 있는 기본 도구, 명령 및 PowerShell 스크립트를 보여주었습니다. Server Core 모드에서 실행되는 도메인 컨트롤러를 포함하여 지원되는 모든 Windows Server 버전에서 사용할 수 있습니다.