检查 Active Directory 域控制器运行状况和复制

Active Directory 是一项可靠但复杂且关键的服务，整个企业网络的可操作性依赖于它。系统管理员应不断检查 Active Directory 是否正常工作。在本文中，我们将介绍如何检查和诊断 Active Directory 域、域控制器和复制的运行状况的主要方法。

如何使用Dcdiag检查AD域控制器健康状况？

Dcdiag 是一个基本的内置工具，用于检查 Active Directory 域控制器的运行状况。要快速检查AD域控制器的状态，请使用以下命令：

dcdiag /s:DC01

该命令针对指定的域控制器运行不同的测试，并返回每个测试的状态（通过/失败）。

典型测试：

• 连接 - 检查 DC 是否在 DNS 中注册，建立测试 LDAP 和 RPC 连接；

• 广告 - 检查 DC 上发布的角色和服务；

• FRSEvent - 检查文件复制服务是否有错误（SYSVOL复制错误）；

• FSMOCheck - 检查 DC 是否可以连接到 KDC、PDC 和全局目录服务器；

• MachineAccount——检查DC账户是否在AD中正确注册，域信任关系是否正确；

• NetLogons - 检查登录权限以允许复制继续进行；

• 复制 - 检查域控制器之间的复制状态以及是否存在任何错误；

• KnowsOfRoleHolders - 检查具有 FSMO 角色的域控制器的可用性；

• 服务 - 检查域控制器上的服务是否正在运行；

• Systemlog - 检查DC日志中是否有错误；

• ETC。

您可以在此处找到所有可用 dcdiag 测试的完整说明。

除了默认测试之外，您还可以运行其他域控制器检查：

• 拓扑 - 检查 KCC 是否已为所有 DC 生成完整拓扑

• 检查安全错误

• CutoffServers - 查找由于其合作伙伴不可用而未复制的 DC

• DNS - 6 个 DNS 检查可用（

  /DnsBasic

  ,

  /DnsForwarders

  ,

  /DnsDelegation

  ,

  /DnsDymanicUpdate

  ,

  /DnsRecordRegistration

  ,

  /DnsResolveExtName

  ）

• 出站安全通道

• VerifyReplicas - 检查应用程序分区是否正确复制

• 验证企业参考

例如，要检查 DNS 是否在所有域控制器上正常工作，请使用以下命令：

dcdiag.exe /s:DC01 /test:dns /e /v

它将生成一个汇总表，显示有关 DNS 如何解析所有 DC 上的名称的测试结果（如果正常，您将在每个单元格中看到通过）。如果您看到失败，则需要针对指定的 DC 运行此测试：

dcdiag.exe /s:DC01 /test:dns /DnsForwarders /v

要从域控制器测试结果获取更多信息并将其保存到文本文件，请使用以下命令：

dcdiag /s:DC01 /v >> c:\ps\dc01_dcdiag_test.log

以下 PowerShell 命令仅显示有关所执行的 dcdiag 测试的摘要信息：

Dcdiag /s:DC01 | select-string -pattern '\. (.*) \b(passed|failed)\b test (.*)'

要获取所有域控制器的状态，请使用：

dcdiag.exe /s:a-d.site /a

如果您只想显示您发现的错误，请使用 /q 选项：

dcdiag.exe /s:dc01 /q

在我的示例中，该工具检测到一些复制错误：

There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.
......................... DC01 failed test DFSREvent

要使 dcdiag 自动修复 DC 帐户的服务主体名称错误，请使用 /fix 选项：

dcdiag.exe /s:dc01 /fix

检查 DC 之间的 Active Directory 复制错误

内置的repadmin工具用于检查Active Directory域中的复制。

以下是检查 AD 复制的基本命令：

repadmin /replsum

该工具已返回所有 DC 之间的当前复制状态。理想情况下，最大增量值应小于 1 小时（取决于 AD 拓扑和站点间复制频率设置），并且错误数=0。在我的示例中，您可以看到最近一次复制花了 14 天，但现在可以了。

要检查域中所有 DC 的复制：

repadmin /replsum *

要测试站点间复制：

repadmin /showism

要查看复制拓扑和错误（如果有），请运行以下命令：

repadmin /showrepl

该命令将检查 DC 并返回每个目录分区上次成功复制的时间和日期（

last attempt xxxx was successful

）。

要显示其他复制信息，请使用以下命令：

repadmin /showrepl *

要运行从可写域控制器到只读域控制器 (RODC) 的密码复制，请使用 /rodcpwdrepl 选项。

/replicate 选项立即启动指定目录分区到特定 DC 的复制。

要将指定的 DC 与其所有复制伙伴同步，请使用以下命令：

replmon /syncall <nameDC>

查看复制队列：

repadmin /queue

理想情况下，复制队列应该为空。

检查当前域控制器的最新备份何时创建：

Repadmin /showbackup *

您还可以使用 PowerShell 检查复制状态。例如，以下命令将显示在 Out-GridView 表中找到的所有复制错误：

Get-ADReplicationPartnerMetadata -Target * -Partition * | Select-Object Server,Partition,Partner,ConsecutiveReplicationFailures,LastReplicationSuccess,LastRepicationResult | Out-GridView

我已将经常用于检查 AD 中的复制状态的 PowerShell 脚本上传到我的 GitHub 存储库。该脚本生成一个 HTML 文件，并可以使用 Send-MailMessage cmdlet 通过电子邮件发送该文件。

https://github.com/maxbakhub/winposh/blob/main/ADHealthCheck.ps1

您还可以使用 Get-Service cmdlet 检查域控制器上 ADDS 基本服务的状态：

• Active Directory 域服务（

  ntds

  ）

• Active Directory Web 服务（

  adws

  ) - AD PowerShell 模块中的所有 cmdlet 连接到此服务

• 域名系统（

  dnscache

  和

  dns

  ）

• Kerberos 密钥分发中心 (

  kdc

  ）

• Windows 时间服务（

  w32time

  ）

• 网络登录（

  netlogon

  ）

Get-Service -name ntds,adws,dns,dnscache,kdc,w32time,netlogon -ComputerName dc01

因此，在本文中，我们展示了可用于诊断 Active Directory 域运行状况的基本工具、命令和 PowerShell 脚本。您可以在所有受支持的 Windows Server 版本中使用它们，包括在服务器核心模式下运行的域控制器。