Vérifications de santé d'Active Directory

Windows Server & IT Pro Active Directory & Entra ID
1

J’ai eu quelques problèmes avec Active Directory récemment et je me demandais quelles vérifications je pourrais effectuer régulièrement pour m’assurer que tout fonctionne de manière optimale.

Source : Server Fault.)

2

Pour vous donner quelques idées sur ce qui peut être testé, voici quelques-unes des vérifications automatisées que nous effectuons quotidiennement.

  • Test de ping

  • Liaison authentifiée LDAP/Port 389

  • Liaison authentifiée GC/Port 3268

  • Test DNS/Port 53. Cela inclut l’exécution d’une résolution auprès du DC pour le nom d’hôte DNS du DC, afin de confirmer qu’une seule adresse est retournée. Pour les DC ayant plusieurs adresses IP, nous vérifions que la valeur de registre « PublishAddresses » est définie à HKLM\System\CurrentControlSet\Services\DNS\Parameters et correspond à l’adresse IP attendue.

  • Test Sysvol/FRS. Cela inclut la vérification de la version dans le fichier gpt.ini du GPO le plus récent et la comparaison avec l’émulateur PDC.

  • Vérification de l’espace disque libre (WMI).

  • Synchronisation horaire. WMI peut être utilisé pour obtenir l’heure locale du DC, la comparer à celle du serveur exécutant le test, et signaler si la différence approche le seuil (4 min 50 s).

  • Annonce du serveur de temps. Sortie de la commande : ‘nltest /server:nomServeur /dsgetdc:nomDomaine.entreprise.com’, et vérification que le drapeau TIMESERV est présent.

  • Test du serveur de temps.

  • Interrogation du serveur sur UDP/123 pour une réponse NTP valide.

  • Utilisation de w32tm.exe /query /computer:nomdc /status /verbose pour déterminer la dernière synchronisation réussie du DC et si l’heure du DC est synchronisée.

  • Utilisation de nltest.exe /server:nomdc /dsgetdc:nomDnsDomaineDC pour déterminer si le DC annonce réellement qu’il est un serveur de temps. L’annonce est effectuée via le service Netlogon.

  • Annonce du catalogue global. Un moyen de déterminer si un DC annonce réellement qu’il est un catalogue global est d’utiliser repadmin /showreps. Si une partition n’a pas (encore) été entièrement répliquée, il affichera « WARNING: Not advertising as a global catalog ». Notez que les drapeaux NLTest peuvent indiquer que le DC est configuré comme GC ; cette « configuration » est distincte de l’« annonce ». Ceci est particulièrement important dans les grands environnements distribués avec de nombreux domaines, car il peut falloir des jours ou des semaines pour qu’un DC réplique progressivement toutes les partitions au point où le test GC réussit.

  • Test de réplication. Chaque domaine a un objet « tag », et l’un des attributs est utilisé pour stocker une valeur datetime. Tous les DC sont interrogés pour ces objets, et les DC avec des valeurs dépassant le seuil sont signalés pour des problèmes de réplication.

  • Vérification du paramètre de registre Cohérence de réplication stricte. La réplication stricte est la valeur par défaut pour les nouveaux domaines Windows 2008 et ultérieurs ; cependant, les anciens environnements AD établis n’avaient pas cette valeur par défaut, et ce paramètre aurait été conservé. Les objets rémanents deviennent beaucoup plus difficiles à identifier et résoudre dans les grands environnements avec de nombreux domaines et DC.

  • Compteur de réplications en attente. Cela peut être obtenu via WMI ou .NET. C’est équivalent à exécuter repadmin /queue. Les DC avec un nombre élevé de réplications en attente peuvent avoir eu la réplication arrêtée pour une raison quelconque. Par exemple, si la cohérence de réplication stricte était activée, cela arrêterait définitivement la réplication si un objet invalide ou supprimé tentait de se répliquer en entrée. Il est également possible d’obtenir la date/heure la plus récente de la dernière réplication réussie pour un voisin particulier, qui peut être signalée si elle dépasse un seuil.