Hur man kontrollerar tillståndet för din Active Directory

IT-administratörer bör ständigt övervaka tillståndet för deras Active Directory-miljö. Detta proaktiva steg är viktigt för att säkerställa att AD-prestandan optimeras och att IT-teamet inte översköljs av helpdesk-samtal.

I denna artikel beskrivs fyra sätt för IT-team att bedöma och kontrollera tillståndet för AD och vidta åtgärder om det behövs. Detta är inte en uttömmande lista.

• Se till att domänkontrollanterna är synkroniserade och att replikering pågår.

  Kommandot Repadmin /replsummary sammanfattar replikeringsstatusen av alla domänkontrollanter i alla skogens domäner. Du kommer även få reda på när en DC senast replikerades och varför den slutade replikeras.

  Här är ett exempel på utdata:
  
• Se till att alla beroende tjänster körs ordentligt.

  Det finns fyra systemkomponenter som är kritiska för att effektivt köra Active Directory Domain Services: 1) DFS-replikering, 2) DNS-server, 3) Meddelanden mellan webbplatser och 4) Kerberos Key Distribution Center (Se skärmbild nedan).

  

  Säkerställ att dessa komponenter körs ordentligt genom att köra det följande kommandot:

  $Services='DNS','DFS Replication','Intersite Messaging','Kerberos Key Distribution Center','NetLogon',’Active Directory Domain Services’ ForEach ($Service in $Services) {Get-Service $Service | Select-Object Name, Status}

  Ett exempel på utdata efter att detta kommando har körts visas nedan. Notera att vi även kontrollerar NetLogon-tjänstens tillstånd och helheten av Active Directory Domain Services (betecknad av NTDS). Exemplet på status här visar att alla tjänster körs.

  
• Använd verktyget Domain Controller Diagnostic (DCDiag) för att kontrollera olika aspekter av en domänkontrollant.

  DCDiag-verktyget kan användas av IT-administratörer för att testa flera aspekter av en domänkontrollant inklusive DNS. En av de flesta vanliga orsakerna till att AD inte fungerar som det ska är DNS. DNS-fel kan i sin tur leda till replikeringsfel. Att köra DCDiag för DNS kommer att göra det möjligt IT-administratörer att kontrollera tillståndet för DNS-vidarebefordrare, DNS-deligering och DNS-postregistrering.

  Här följer kommandot för att köra detta:

  DCDiag /Test:DNS /e /v

  Här är exemplet på utdata:
  
• Upptäck osäkra LDAP-bindningar.

  Det första steget mot att minska sårbarheten för osäkra LDAP-bindningar är att identifiera om du drabbats, vilket du kan göra genom att titta igenom händelse-ID 2887. Händelse 2887 loggas som standard i DC en gång var 24:e timme och den visar antalet osignerade och cleartext-bindningar till DC. Något nummer större än noll indikerar att din DC tillåter osäkra LDAP-bindningar.

  Därefter måste du upptäcka alla enheter och program som använder osäkra bindningar genom att titta igenom händelse-ID 2889. Händelse 2889 loggas i DC varje gång en klientdator försöker sig på en osignerad LDAP-bindning. Den visar IP-adressen för och kontonamnet på datorn som försökte att autentisera över en osignerad LDAP-bindning.

  PowerShell cmdlet för att få detta är enligt följande:

  Get-WinEvent -FilterHashtable @{ LogName = 'Security' ID = 2889 }

  Här är ett exempel på utdata.
  

  I detta exempel på utdata ser vi inte några osäkra bindningar.