Cómo verificar la salud del controlador de dominio

Los controladores de dominio son una parte vital de su red. Le permiten organizar su red y administrar a sus usuarios, computadoras y otros recursos. Por lo tanto, es importante que revise regularmente la salud de sus controladores de dominio. Pero, ¿cómo haces eso y qué señales necesitas buscar?

Especialmente cuando se ejecuta múltiples controladores de dominio, es importante vigilar la replicación entre los controladores de dominio.

En este artículo, explicaré cómo verifica la salud de los controladores de dominio, y he escrito un script que verificará automáticamente la salud de todos sus controladores de dominio.

Verifique la salud del controlador del dominio

Los controladores de dominio son la columna vertebral de su red. Cualquier problema con un controlador de dominio puede resultar en un problema en el que los usuarios ya no puedan iniciar sesión, y esa no es una buena manera de comenzar el día. Para detectar cualquier problema potencial, necesitaremos verificar la salud de nuestros controladores de dominio regularmente.

Sus servidores de Windows vienen con un par de herramientas incorporadas que le permiten verificar la salud de sus controladores de dominio y Active Directory. El más importante es el, que verificará sus servidores en 21 puntos con la prueba predeterminada.

Para verificar la replicación entre los controladores de su dominio, puede usar el. Esta herramienta le permite verificar rápidamente si la replicación se ejecuta sin ningún error. (También puede probar la replicación con DCDIAG, pero Repadmin le brinda más información)

Si ejecuta estas dos herramientas regularmente, entonces puede detectar rápidamente problemas potenciales.

Pero ejecutar estas herramientas todas las semanas manualmente para verificar la salud de su controlador de dominio realmente no va a funcionar. La salida tampoco le muestra realmente de un vistazo a ningún problema potencial.

Así que creé un script de PowerShell que verificará la salud de todos sus controladores de dominio y directorio activo. Ejecutará todas las pruebas importantes, incluida DCDIAG, y formateará los resultados bien en la consola, o puede exportarlo a un archivo HTML y enviarlo por correo electrónico.

El script verifica las siguientes partes importantes:

  • DNS- ¿Están las direcciones DNS Registros y del servidor DNS configuradas correctamente
  • Estado latente- Verifique la latencia de cada controlador de dominio
  • Tiempo de actividad- Lea la actualización del controlador de dominio
  • DominioRoles -Verificar que cada soporte FSMO sea accesible
  • Espacio libre- Verifique el espacio libre en la unidad del sistema
  • Tamaño de la base de datos de anuncios- Read el tamaño de la base de datos de anuncios
  • Servicios- Verifique si todos los servicios importantes (13) están en funcionamiento
  • Dcdiag- Ejecuta las pruebas DCDIAG predeterminadas
  • Replicación- Comprueba el último intento de replicación, éxito y delta
  • Compensación de tiempo de NTP- Comprueba si el compensación de NTP no es demasiado grande

Comprobando DNS

Una de las primeras pruebas que estamos haciendo en el script es verificar la configuración de DNS. Queremos asegurarnos de que los registros DNS para cada controlador de dominio estén registrados en el DNS.

También queremos asegurarnos de que los servidores DNS en el adaptador de red estén configurados correctamente.

Estado latente

La prueba de ping no solo verificará si el servidor es accesible, sino que también mostrará una advertencia si la latencia es demasiado alta. La latencia en una red local debe estar por debajo de 10 ms, pero cuando tiene múltiples controladores de dominio en diferentes sitios, entonces la latencia está bien siempre que esté por debajo de los 100 ms.

Tiempo de actividad

El tiempo de actividad es más informativo, pero mostrará una advertencia cuando el servidor se ejecuta por menos de 12 horas.

Roles de dominio

Para mantener la información en su activo directorio sincronizado en todos los controladores de dominio, hay 5. Para cada papel, solo hay un maestro. En la mayoría de los casos, todos los roles son realizados por un controlador de dominio. Pero en algunos casos, es posible que haya dividido los roles en múltiples controladores de dominio.

Es importante que el servidor para cada uno de esos roles esté disponible. En el script, verificamos si los controladores de dominio tienen uno o más de los roles, y verificamos si podemos llegar al servidor para los otros roles. Cuando uno está fuera de línea, se mostrará una alerta en la exportación.

Servicios

El controlador de dominio requiere que se ejecute un par de servicios. Ahora estos también se verifican de forma predeterminada con la prueba DCDIAG. Pero para el informe es más fácil verificar los servicios por separado, por lo que podemos mostrar fácilmente los servicios que no se están ejecutando.

Se verifican los siguientes servicios:

  • Servicios de dominio de Active Directory
  • Servicios web publicitarios
  • Replicación DFS
  • Cliente DHCP
  • Cliente DNS
  • Servidor DNS
  • Mensajería entre
  • Centro de distribución de clave Kerberos
  • Netlogon
  • Procedimiento de llamada remota
  • Servidor (lanmanserver)
  • Gerente de cuentas de seguridad
  • Estación de trabajo (Lanmanworkstation)
  • Registro de eventos de Windows
  • Tiempo de Windows, estación de trabajo

Dcdiag

El script se ejecutará el valor predeterminadoPruebas, excepto las pruebas de servicios. Si falla uno de los cheques, se señalará cuál de las pruebas falló.

Replicación

Para una buena salud del controlador de dominio, es importante que la replicación entre sus controladores funcione sin problemas. Para monitorear esto, veremos tres métricas:

  • Último intento de replicación
  • Última replicación exitosa
  • Delta de replicación

El informe también mostrará el socio de replicación del servidor.

Compensación de tiempo

Lo último que vamos a verificar es la diferencia de tiempo entre los servidores. Esto debería estar dentro de más o menos un segundo. Si el desplazamiento es más grande, puede obtener problemas de replicación con sus otros controladores de dominio o problemas de autenticación en su red.

Script de salud del controlador de dominio

El script PowerShell para verificar la salud de sus controladores de dominio le permite verificar fácil y regularmente la salud de su directorio y servidores activos. Puedepara ejecutar cada semana y guarde los resultados en un archivo HTML. O puede ejecutar el script manualmente y ver los resultados directamente en la consola.

Puede descargar la última versión del guiónaquí desde mi repositorio de Github

Al comienzo del script, encontrará un par de configuraciones que puede configurar. Estos incluyen el nombre y la ubicación del archivo y el formato de salida deseado.

# Set variables
$reportDate = Get-Date -Format "dd-MM-yyyy"
$reportFileName = "LazyDCHealthCheck-$reportDate.html"
$reportPath = "c:\"
$outputToConsole = $true
$outputToHtml = $false

Deberá ejecutar el script en un controlador de dominio. Usar una pssession no funciona, porque eso dará errores cuando los scripts intenten conectarse a los otros controladores de dominio.

Cuando ejecuta el script con la salida para consola, obtendrá un resultado similar al siguiente (con suerte con menos errores 😉). El recuento de errores al final del script cuenta todos los errores DCDIAG como uno, por eso solo ve dos errores en el resumen en el ejemplo a continuación.

También podemos exportar los resultados de salud del controlador de dominio a HTML. Puede hacer esto en dos formatos, dependiendo de la cantidad de controladores de dominio en su red. Si solo tiene uno o dos controladores de dominio, entonces cada controlador de dominio se enumerará verticalmente, lo que facilita ver los resultados en un correo electrónico, por ejemplo.

Pero si tiene más controladores de dominio, entonces es más fácil leer los resultados de la verificación de salud de Active Directory si se enumeran horizontalmente.

Alrededor de la línea 551 en el script, encontrará la instrucción IF a continuación. Esta declaración determina si obtiene la tabla horizontal o vertical. Puede cambiar este número si prefiere la tabla horizontal o vertical

if ($allDomainControllers.length -gt 2) {

Concluir

Es importante verificar la salud de su controlador de dominio regularmente para detectar cualquier problema potencial desde el principio. EsteguionComprueba las partes más importantes de su servidor y Active Directory y le permite ver fácilmente el resultado en la consola PowerShell o en un informe HTML.

Asegúrese de ver este artículo para leer más sobre la programación de tareas de PowerShell. Además, asegúrese de haber habilitado elpara que pueda restaurar fácilmente los objetos.

Si tiene alguna sugerencia para los scripts o encuentre algún error, hágamelo saber en los comentarios a continuación oaquí en Github.

Related Posts