ActiveDirectoryドメインコントローラーの正常性とレプリケーションの確認
Active Directoryは信頼性がありますが、複雑で重要なサービスであり、エンタープライズネットワーク全体の操作性はActiveDirectoryに依存しています。システム管理者は、ActiveDirectoryが正しく機能するかどうかを常に確認する必要があります。この記事では、ActiveDirectoryの状態を確認および診断する方法の主な方法について説明します。 ドメイン、ドメインコントローラー、およびレプリケーション。
内容:
- Dcdiagを使用してADドメインコントローラーの状態を確認するにはどうすればよいですか?
- DC間のActiveDirectoryレプリケーションエラーの確認
Dcdiagを使用してADドメインコントローラーの状態を確認する方法
Dcdiag ActiveDirectoryドメインコントローラーの状態をチェックするための基本的な組み込みツールです。 ADドメインコントローラーの状態をすばやく確認するには、次のコマンドを使用します。
dcdiag /s:DC01
このコマンドは、指定されたドメインコントローラーに対してさまざまなテストを実行し、各テストの状態を返します(合格 /失敗 。
典型的なテスト:
- 接続性 – DCがDNSに登録されているかどうかを確認し、テストLDAPおよびRPC接続を確立します。
- 広告 –DCで公開されている役割とサービスを確認します。
- FRSEvent –ファイルレプリケーションサービスのエラー(SYSVOLレプリケーションエラー)があるかどうかを確認します。
- FSMOCheck – DCがKDC、PDC、およびグローバルカタログサーバーに接続できるかどうかを確認します。
- MachineAccount — DCアカウントがADに正しく登録されているかどうか、およびドメインの信頼関係が正しいかどうかを確認します。
- NetLogons –ログオン権限をチェックして、レプリケーションを続行できるようにします。
- 複製 –ドメインコントローラー間のレプリケーションの状態をチェックし、エラーがあるかどうかを確認します。
- KnowsOfRoleHolders –FSMOの役割を持つドメインコントローラーの可用性を確認します。
- サービス –ドメインコントローラー上のサービスが実行されているかどうかを確認します。
- システムログ –DCログにエラーがあるかどうかを確認します。
- その他
利用可能なすべてのdcdiagテストの完全な説明はここにあります。
デフォルトのテストに加えて、追加のドメインコントローラーチェックを実行できます:
- トポロジ –KCCがすべてのDCに対して完全なトポロジを生成したかどうかを確認します
- CheckSecurityError
- CutoffServers –パートナーが利用できないために複製されていないDCを検索します
- DNS – 6つのDNSチェックが利用可能です(
/DnsBasic
、/DnsForwarders
、/DnsDelegation
、/DnsDymanicUpdate
、/DnsRecordRegistration
、/DnsResolveExtName
) - OutboundSecureChannels
- VerifyReplicas –アプリケーションパーティションが正しく複製されているかどうかを確認します
- VerifyEnterpriseReferences
たとえば、DNSがすべてのドメインコントローラーで正しく機能しているかどうかを確認するには、次のコマンドを使用します。
dcdiag.exe /s:DC01 /test:dns /e /v
DNSがすべてのDCの名前を解決する方法に関するテスト結果を示す要約表が表示されます(問題がない場合は、合格が表示されます。 すべてのセルで)。 失敗が表示された場合 、指定されたDCに対してこのテストを実行する必要があります:
dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v
ドメインコントローラのテスト結果から詳細情報を取得してテキストファイルに保存するには、次のコマンドを使用します。
dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log
次のPowerShellコマンドは、実行されたdcdiagテストの概要情報のみを表示します。
Dcdiag /s:DC01 | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'
すべてのドメインコントローラーの状態を取得するには、次を使用します。
dcdiag.exe /s:woshub.com /a
見つかったエラーのみを表示する場合は、 / qを使用します オプション:
dcdiag.exe /s:dc01 /q
私の例では、ツールがいくつかのレプリケーションエラーを検出しました:
There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... DC01 failed test DFSREvent
dcdiagにDCアカウントのサービスプリンシパル名エラーを自動的に修正させるには、 / fixを使用します オプション:
dcdiag.exe /s:dc01 /fix
組み込みのrepadmin ツールは、ActiveDirectoryドメインでのレプリケーションを確認するために使用されます。
ADレプリケーションを確認するための基本的なコマンドは次のとおりです。
repadmin /replsum
ツールは、すべてのDC間の現在のレプリケーションステータスを返しました。理想的には、最大のデルタ 値は1時間未満(ADトポロジとサイト間レプリケーションの頻度設定によって異なります)で、エラーの数は0である必要があります。私の例では、最新のレプリケーションの1つに14日かかったことがわかりますが、現在は問題ありません。 。
ドメイン内のすべてのDCのレプリケーションを確認するには:
repadmin /replsum *
サイト間レプリケーションをテストするには:
repadmin /showism
レプリケーショントポロジとエラー(存在する場合)を表示するには、次のコマンドを実行します。
repadmin /showrepl
このコマンドはDCをチェックし、各ディレクトリパーティションの最後に成功したレプリケーションの日時を返します(last attempt xxxx was successful
。
追加のレプリケーション情報を表示するには、次のコマンドを使用します:
repadmin /showrepl *
書き込み可能なドメインコントローラーから読み取り専用ドメインコントローラー(RODC)へのパスワードレプリケーションを実行するには、 / rodcpwdrepl オプションが使用されます。
/複製 オプションは、指定されたディレクトリパーティションの特定のDCへのレプリケーションをすぐに開始します。
指定したDCをそのすべてのレプリケーションパートナーと同期するには、次のコマンドを使用します。
replmon /syncall <nameDC>
レプリケーションキューを表示するには:
repadmin /queue
理想的には、レプリケーションキューは空である必要があります。
現在のドメインコントローラーの最新のバックアップがいつ作成されたかを確認します。
Repadmin /showbackup *
PowerShellを使用してレプリケーションの状態を確認することもできます。たとえば、次のコマンドは、Out-GridViewテーブルで検出されたすべてのレプリケーションエラーを表示します。
Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView
ADのレプリケーション状態を確認するためによく使用するPowerShellスクリプトをGitHubリポジトリにアップロードしました。スクリプトはHTMLファイルを生成し、Send-MailMessageコマンドレットを使用して電子メールで送信できます。
https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1
Get-Serviceコマンドレットを使用して、ドメインコントローラー上のADDS基本サービスの状態を確認することもできます。
- Active Directoryドメインサービス(
ntds
) - Active Directory Webサービス(
adws
)–ADPowerShellモジュールのすべてのコマンドレットがこのサービスに接続します - DNS(
dnscache
およびdns
) - Kerberosキー配布センター(
kdc
) - Windowsタイムサービス(
w32time
) - NetLogon(
netlogon
)
Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc01
そのため、この記事では、Active Directoryドメインの状態を診断するために使用できる基本的なツール、コマンド、およびPowerShellスクリプトを示しました。サーバーコアモードで実行されているドメインコントローラーを含む、サポートされているすべてのWindowsServerバージョンで使用できます。
-
Active Directory ドメイン サービスが現在利用できない問題を修正する
一連の Active Directory ドメイン サービスによって、PC のコマンドと指示を承認し、有効にすることができます。管理者権限を必要とするプログラムやアプリケーションにアクセスしようとすると、パスワードが要求されます。このアクティビティは、Active Directory によって維持および管理されています .また、PC が次のような外部デバイスに接続するのにも役立ちます。 プリンターとルーター .この最新のテクノロジにより、ユーザーは、ワイヤレス プリンターや類似のデバイスを介して、快適な場所からドキュメントを収集できるようになりました。このモダン テクノの世界のすべての利点とは
-
FIX:Active Directory 2012 または 2016 への移行後にファイル レプリケーション サービス (FRS) が廃止される (解決済み)
このチュートリアルには、Active Directory 2003 を AD 2008、2012、または 2016 に移行した後に、ファイル レプリケーション サービスの次の警告イベントを解決する手順が含まれています。 、DFSRMIG コマンドを使用して DFS レプリケーションに移行する必要があります。このドメインで SYSVOL レプリケーションに FRS を引き続き使用すると、将来のバージョンの Windows Server を実行するドメイン コントローラーを追加できなくなる可能性があります。 「ファイル レプリケーション サービス (FRS) は非推奨です」というエラーが表示