[Перевод – recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

в 9:42, , рубрики: active directory, microsoft, бесплатные инструменты, Блог компании NetWrix, мониторинг здоровья AD, системное администрирование

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active DirectoryГари Олсен, MVP в Directory Services и архитектор решений в HP, опубликовал недавно обзор 5 бесплатных инструментов Microsoft, которые можно использовать для оценки здоровья Active Directory. Этот обзор показался нам достаточно полезным, поэтому мы решили привести здесь его перевод.
Заинтересованных приглашаем под кат.

Оценка здоровья AD уже сама по себе является проблемой, особенно для малых и средних компаний, которые не могут позволить себе приобрести дорогостоящие сторонние решения или же нанять на работу администратора, который бы занимался только администрированием AD.
Первым проявлением “больной” Active Directory является нарастающий поток обращений в службу поддержки, что свидетельствует о назревающем кризисе. К счастью, Active Directory может сама “восстановиться” и даже не будучи на 100% здоровой, она все продолжает работать. Однако именно из-за этого возникшие проблемы могут игнорироваться, и IT-служба переключается на решение более важных задач.
Я вспоминаю как пару лет назад, как один из сотрудников сказал мне, что контроллер домена не хочет реплицироваться. После анализа логов, выяснилось, что этот КД не реплицировался почти три года.
Поэтому я решил собрать здесь 5 базовых инструментов, которые помогают мне в проведении базовой оценки здоровья Active Directory. Все они бесплатны и относительно просты в использовании.

1. Active Directory Best Practices Analyzer

Выпустив утилиту Active Directory Best Practices Analyzer (ADBPA), которая присутствует в Windows Server 2008 R2, Microsoft открыла доступ к обширной информации о здоровье Active Directory. Многим администраторам известна утилита Exchange Best Practices Analyzer (ExBPA). Я ожидал от ADBPA такого же уровня детальности отчетов и глубокого анализа лучших практик AD, как от ExBPA, в части решения возникающих проблем. ADBPА, конечно, предоставляет полезную информацию, но хотелось бы чтобы ее все же было больше. ADBPA доступна под ролью Active Directory Domain Services в Server Manager, как показано на рисунке 1.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

Обратите внимание, что Вы можете получить описание каждой записи, просто кликнув на нее. В данном примере показано, что все контроллеры домена, отмеченные зеленым, соответствуют списку лучших практик AD. Также показываются ошибки и предупреждения. Что проверяется: все липервичные контроллеры домена сконфигурированы к валидному источнику времени (? – valid time source), все домены имеют два функционирующих КД, все OU защищены от случайного удаления, когда были сделаны последние бекапы; правильно ли настроен DNS, работают ли репликации Group Policy и FRS.
ADBPA подходит для первичного обзора здоровья AD, но все же хотелось бы получать больше информации. Например, она не показывает информацию о репликации Active Directory или имеются ли КД, которые не реплицировались в течение определенного периода времени (например, в течение времени жизни tombstone-объектов). Утилита показывает, работает ли DNS таким образом, что позволяет клиентам подключаться, ничего не свидетельствует о том, что DNS сервер может быть некорректно настроен.

2. MPS Reports

В стародавние времена Windows 2000, Microsoft выпустила Microsoft Product Support (MPS) Reports — скрипт для диагностики AD. Сначала он был выпущен для партнеров Microsoft, а затем для всех желающих. Для меня эта утилита является ключевым инструментом оценки здоровья AD или разрешения возникающих проблем. Утилиту можно скачать здесь. Необходимо выбрать либо x86, либо x64 версию установщика. При запуске MPSReports.exe появляется диалоговое окно, показанное на рисунке 2. Обратите внимание, что MPS Reports требует прав администратора, чтобы собирать корректную информацию, и требует, чтобы были установлены следующие компоненты: Microsoft .NET Framework 2, Windows PowerShell 1.0, Windows Installer 3.1 и Microsoft Core XML Services 6.0.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

На рисунке 3 показано запущенное меню диагностики. Раньше существовало несколько версий MPS Reports для Networking, SQL, Exchange, Active Directory и других компонентов. Сейчас все включено в один пакет и Вы просто выбираете то, что Вам необходимо. Для решения проблем с AD, отметьте General, Internet and Networking, Business Networks, Server Components и Exchange Servers.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

Выберите «Link to more info» и Вы увидите те файлы, в которые утилита собирает информацию. Нажмите “Next”, чтобы начать сбор данных для диагностики – она займет какое-то время.
Полезность MPS Reports заключается в том, что утилита запускает ряд инструментов и процедур командной строки и выдает результаты в виде простого файла, в котором просто найти информацию. Например, журналы событий могут собираться в txt, ectx и cvs форматы. Мне больше всего нравится cvs формат. Вы можете в открыть его в Excel и легко что-либо найти или отсортировать, например, по тексту ошибки, ID события и т.п. Наряду с txt версией, cvs отображает описание события для приложений – так что когда Вы читаете их на Вашем компьютере, Вы можете видеть описание событий без загрузки приложения (например, Exchange и SQL).
MPS Reports позволяют сохранять CAB файл к любое место, или Вы можете открыть его сразу же (рис. 4). В CAB файле будет один или несколько XML файлов (рис. 5), которые показывают различные отчеты, так что Вам не нужно будет запускать микро-отчеты один за другим.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

3. Repadmin и Replsum

Repadmin — мощный инструмент командной строки для решения проблем с Active Directory. Опция Replication Summary, или команда Replsum, позволяет получить информацию о статусе репликации всех контроллеров доменов во всех доменах в лесе. Оценивая здоровья Active Directory, крайне важно знать, все ли контроллеры домена реплицируются – а для тех, которые нет, Вы несомненно заходите узнать последнее время, когда осуществлялась репликация и почему она стала неудачной.
Repadmin позволяет быстро получить ответы на эти вопросы. К его помощью можно сэкономить кучу времени, в противоположность широко используемому Repadmin/showrepl, который показывает все контроллеры домена в виде длинного списка. Опция Replsum анализирует все контроллеры доменов во всех доменах в лесе и помещает информацию о них в таблицу, легкую для чтения. Используйте следующую команду:
Repadmin /bysrc /bydest sort:Delta >repadmin.txt
Также существуют другие варианты и форматы для этой команды, но я использую лишь эту и она работает замечательно. В таблице 1 показан пример того, что мы получаем на выходе.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory
Обратите внимание, что список Исходный контроллер домена (Source DC) показывает исходящую репликацию (outbound replication) и Destination DC – показывает входящую репликацию. Например, вверху списка, WTEC-DC2 является исходным контроллером домена и он не реплицировался более чем пять дней. Это исходящая репликация, потому что WTEC-DC2 является источником, когда мы получаем сообщение об ошибке. Также WTEC-DC1 не осуществил входящую репликацию в нижнем списке, так как он является конечным контроллером домена. (Destination DC). Причина этого обозначена event id 1722: RPC сервер недоступен. Эта ошибка обычно обозначает, что наличествует ошибка связи на физическом уровне в этом контроллере домена.
Вот мой совет: если репликация не произошла в течение срока жизни tomstone, запись значения “the largest delta” будет отображена >60 дней. Это обозначает, что контроллер домена не должен быть возвращен онлайн, потому что он может ввести активные объекты (introduce lingering objects). Необходимо вручную понизить, а затем снова повысить контроллер домена.

4. DCDiag /Test:DNS

Помимо репликации, другой наиболее частой причиной проблем с AD является DNS. DNS часто является причиной неудачной репликации. Проблема заключается в том, что в большом количестве сред DNS серверы устанавливаются на всех контроллеры доменов AD, а это ведет к тому, что повышается вероятность того, что DNS может упасть. Исследование каждого из них может отнимать очень много времени. В Windows Server 2003 была добавлена /Test:DNS к команде DC diag. Выполните следующую команду:

DCDiag /Test:DNS /e /v >DcdiagDNS.txt

Эта команда проанализирует каждый DNS сервер в сети и протестирует аутентификацию DNS сервера, базовое подключение, конфигурацию отправителей, делегирование, динамическую регистрацию и регистрацию записи ресурсов (resource record registration). Для последнего обозначенного, DCDiag создает тестовую Запись ресурса (resource record) и пытается ее зарегистрировать. Если этого не удается сделать, новые записи не могут быть зарегистрированы (что приведет к другим проблемам).
Команда выводит три потенциальных результата: Pass (Пропуск), Fail (Неудача) и Warn (Предупреждение). Предупреждение еще не является проблемой, а скорее поводом провести дополнительный анализ. Например, Warn в колонке Dynamic Registration (DYN) означает, что защищенные динамические обновления не активированы. Это не свидетельствует о неудаче (fail), но Вы должны быть на 100% уверены, что хотите, чтобы все осталось так как есть.
В таблице 2 показаны типичные результаты команды.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

В таблице 2 демонстрируется полный и точный отчет по всем DNS серверам во всех доменах в сети. Таким образом, мы можем проверить здоровье DNS. Эта таблица появляется в конце вывода DCDiag. Детали этих тестов для каждого сервера включаются в отчет DCDiag до вывода конечной итоговой таблицы. Если пользователь, который запустил команду, не обладает правами в этом домене, тесты будут неудачными.
В приведенном случае, тесты домена EMEA оказались неудачными, так как пользователь, который запустил DCDiag, не обладал необходимыми правами. “N/A” появляется, когда предыдущие тесты оказались неудачными, поэтому и оставшиеся тесты будут зависеть от этой “неудачи”. Например, в домене EMEA-DC03, неудачными оказались тесты Auth и Basc. Оставшиеся тексты показаны как N/A. DCDiag не осуществляет дальнейшие тесты, а лишь помещает N/A в каждый столбец. Столбец Ext – пятый тест для проверки внешнего подключения. DCDiag /Test:DNS по умолчанию не проверяет его.
Поэтому совет: Список доменов и КД в таблице – удобной отображение всех доменов в лесе и всех КД (которые являются DNS серверами) в каждом домене. Таким образом, мы получаем карту структуры доменов и КД. В большинстве сред все КД являются DNS серверами, поэтому это удобный способ увидеть структуры домена и КД.

5. Инструмент командной строки DNSCMD

Если Вы работаете на удаленной системе в среде, с которой Вы не знакомы, или если Вы просто хотите получить информацию о DNS среде, с которой Вы работаете – команда DNSCMD даст Вам всю необходимую информацию. Обратите внимание, что мне необходим этот уровень детальности, потому что я диагностирую проблемы без доступа к среде, и поэтому я завишу от отчетов, которые могли бы дать мне полную картину. Те команды, которые я использую, представлены в таблице 3. Я бы рекомендовал использовать их даже в том случае, если Вы можете получить доступ к DNS серверу — ведь иногда гораздо проще посмотреть необходимую информацию в отчете, нежели “бродить” по интерфейсу DNS. Также эти отчеты периодически сохраняются в файлы, поэтому можно провести анализ изменений – особенно если кто-то изменил config, и Вы хотите знать, какие параметры были до этого. И, конечно, эти команды можно представить в виде таблицы.

[Перевод   recovery mode ] 5 бесплатных утилит от Microsoft для мониторинга здоровья Active Directory

Есть и другие инструменты, например Group Policy Management Console (GPMC), которая замечательно подходит для анализа групповых политик. GPMC также позволяет сохранять отчет об объектах групповых в виде HTML, чтобы впоследствии отправить его в службу поддержки для анализа. GPMC не включена в MPS Reports.

Staying healthy!

Вышеперечисленные инструменты позволяют быстро формировать отчеты о здоровье Active Directory, и указывают на наличие проблем. Конечно, администратор должен приложить некоторые усилия, чтобы запускать их, но сам процесс прост – особенно, если Вы используете MPS Reports. В заключение, мои советы:
1. Используйте ADPBA в качестве инструмента самого широкого взгляда на здоровье AD
2. Скачайте и запустите MPS Reports, чтобы глубже покопаться в решении проблемы
3. Запустите DCDiag /Test:DNS, Repadmin и Replsum как было описано выше, чтобы получить быстрый и простой для понимания снимок (snapshot) репликации и конфигурации DNS для всего здоровья Active Directory и выделить проблемные места.
4. Используйте DNSCMD, чтобы получить детальную информацию о конфигурации DNS для оффлайн-анализа и сравнения с предыдущими конфигурации.
Никто не говорит, что управление Active Directory – простое дело. Но применение описанных рекомендаций должно дать лучший мониторинг и управление Active Directory, обеспечивая более защищенную среду для администрирования.

Источник: redmondmag.com/Articles/2012/07/01/5-Free-Microsoft-Tools-for-Top-Active-Directory-Health.aspx?Page=1

P.S. Хотите также быть в курсе изменений Active Directory? Наша программа NetWrix AD Change Reporter позволяет получать уведомления и отчеты об любых изменениях в AD. Узнайте больше о возможностях программы, скачав 20-дневную пробную версию или зарегистрировавшись на регулярный вебинар.

Автор: NetWrixRU

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js