Active Directory Domain Services Health Check

Uma parte muito importante na documentação do ambiente de domínio é o status da saúde do Active Directory Domain Services. Essa tarefa pode parecer um tanto quanto complexa porém existem diversas ferramentas que podem nos auxiliar a obter as informações necessárias para a documentação dcompleta da saúde do seu Active Directory.

Uma documentação de Health Check deve conter informações dos seguintes componentes:

  • Informações sintéticas do ambiente.
  • Topologia e dados de replicação do Active Directory
  • Resolução de Nomes
  • Saúde do controlador de domínio.
  • Dados de atualizações e Service Packs instalados
  • Logs de Eventos
  • Informações sobre a sincronização de horário.

Neste artigo serão utilizadas diversas ferramentas e linhas de comando assim como referencias técnicas Microsoft para justiçar os dados obtidos e utiliza-los na sua documentação.

A documentação de Health Check é uma evidencia de todo o ambiente, portanto todos os comandos e scripts podem ser redirecionados para uma saída de texto de forma que essas informações coletadas possam ser formatadas em um documento com gráficos, tabelas e descrições detalhadas fornecendo um documento rico em informações e fácil de entender.

Coletando dados de informações sintéticas.

Essa é a parte que resume todo o ambiente do Active Directory, exibe números e uma visão geral da atual situação.

Você pode apresentar dados como:

Descrição Valores
Quantidade de Florestas / Dominios  1
Nome de dominio  contoso.com
Nome NetBios do dominio  CONTOSO
Niveis Funcionais de Florest/Dominio  Windows Server 2008 R2
Quantidade de Objetos do AD  50.000
Quantidade de Controladores de dominio  60

Algumas informações são simples de coletar, outras é interessante conhecer alguns comandos e utilitários que vão nos auxiliar nessa tarefa.

Quantidade de objetos do Active Directory

Usando o comando DSQUery associado ao Windows PowerShell essa tarefa pode ser simplificada com o comando:

Quantidade de objetos do Active Directory

O comando DSQUERY é usado para exibir os objetos como usuários, computadores, Ous e grupos. Exemplo

Dsquery user –limit 0

Usando o Windows Powershell é possivel exibir o total de objetos.

(Dsquery user –limit 0).count

Repita a operação para todos os outros objetos.

Listar controladores de domínio

NLTEST /dclist:Contoso.com

Exibir quais DCs possuem Funções másters (FSMO)

NETDOM Query FSMO

Exibir relações de confiança

Repadmin /showtrust *

Listar o último Backup

Repadmin /ShowBAckup *

Coletar data da Instalação e UP Time e versão do Windows de cada DC

SystemInfo

Ou se preferir usar recursos do Powershell:

Systeminfo | Select-String "System Boot Time", "Original Install Date","OS Name"

Esse comando deve ser executado em todos os DCs, o ideal é você criar um script que faça todo o trabalho para você. Com o Windows Powershell você pode usar o “ForeEach” junto com o cmdlet “invoke-command” ou pode usar PSExec da SysInternals.

Coletar os níveis funcionais de domínio e de floresta

Muito importante a documentação dos níveis funcionais. Você pode consultar o Guia de noções básicas sobre níveis funcionais de domínio e floresta em http://technet.microsoft.com/pt-br/library/cc771294.aspx
(Get-ADForest).ForestMode

(Get-ADDomain).DomainMode

Você pode usar o Active Directory Domains and Trusts para capturar os níveis funcionais do domínio e da floresta.

Nome do computador e endereçamento IP

IPconfig /all | Select-String “Host name”,”Primary DNS”,IPv4,”Subnet Mask”,Gateway, “DNS Servers”

Dn640518.note(pt-br,TechNet.10).gifNota:
Você pode usar o comando seguido do parâmetro de redirecionamento que é feito usando o sinal de maior que > seguido do nome de um arquivo de texto. Exemplo:hostname > nomedocomputador.txt

 

Topologia e dados de replicação do Active Directory

A apresentação de informações em gráficos ou diagramas facilita o entendimento e ajuda a criar documentos bem mais atraente. Um dica é utilizar o Microsoft Active Directory Topology Diagrammer que conecta ao Active Directory usando LDAP e, em seguida, gera automaticamente um diagrama do Visio de seu Active Directory. Os diagramas podem incluir domínios, sites, servidores, unidades organizacionais, DFS-R, grupos administrativos, grupos de roteamento e conectores e pode ser alterado manualmente no Visio, se necessário.

Você pode baixar o ADTD no site da Microsoft http://www.microsoft.com/en-us/download/details.aspx?id=13380

Com o ADTD é possivel desenhar o dominio, Ous e suas GPOs, Sites com subnets e links, A organização do Exchange server, Partições de aplicações e dados de replicação.

Dn640518.AF3C3A34B51741C3386F16A0E3727B0B(pt-br,TechNet.10).png

Dn640518.718CF7719412260054A31EF56A0EC630(pt-br,TechNet.10).png

Active Directory Replication Status Tool

O Active Directory Replication Status Tool (ADREPLSTATUS) analisa o status de replicação dos controladores de domínio em um domínio ou floresta do Active Directory.É semelhante ao repadmin / showrepl * / CSV importado no Excel, mas com melhorias significativas e um visual muito bem elaborado.

Você pode baixar o ADRS no site da Microsoft http://www.microsoft.com/en-us/download/details.aspx?id=30005

Dn640518.22CF8BB4D2E85B89A65741C576D3113C(pt-br,TechNet.10).png

A guia Detected Errors Summary apresenta o código de erro, a mensagem e o artigo da Microsoft referente ao erro.

Dn640518.D9C06C20D56CA76FB80C3020B5DDF521(pt-br,TechNet.10).png

Sincronização de horário

A sincronização de horário é um processo muito importante para todo o Active Directory. Tudo o que acontece relacionado a Logon, Politicas, Replicação é baseado em horário e é muito importante para a saúde do AD que os DCs estejam todos sincronizados no horário.

O comando abaixo exibe detalhes do serviço de horário entre todos os DCs,

W32tm /monitor /domain:nomedodominio

Para entender melhor os resultados apresentado na saída do comandos consulte a página de referência:http://technet.microsoft.com/en-us/library/cc773013(v=ws.10).aspx

Exibe um status do serviço de horário do Windows

W32TM /query /status

Exibe o fuso horário padrão.

W32TM /TZ

Resolução de Nomes

Como parte integrante da documentação do Active Directory o DNS é o alicerce da infraestrutura da rede de domínio Microsoft Windows.

Você pode enumerar informações do DNS usando o comando:

Enumerar dados do DNS

NSLookup –d2 NomedeDominio

O parâmetro -d2 faz com que o Nslookup seja executado no modo de debug e exibe as querys feitas na enumeração dos dados.

Outro comando importante na enumeração de informações de resolução de nomes de domínio é o comando DNSLint.

O DNSLint possui três funções que verificam os registros do sistema de DNS e gera um relatório em HTML.

Este deve ser baixado do site da Microsoft http://support.microsoft.com/kb/321045/pt-br

O comando pode a ser utilizado deve conter a chave /AD para enumerar informações sobre o domínio do Active Directory.

Verificar os registros de DNS do AD

DNSLint /AD /S localhost /v

Conclusão

Este artigo apresenta uma lista básica de ferramentas que podem ajudar a diagnosticar problemas do Active Directory como resolução de nomes, replicação ou sincronismo de horário e ajuda na criação de uma documentação com dados que fornecem informações que são uteis na documentação do tipo Active Directory Health Check.

Links de referencia

Microsoft Active Directory Topology Diagrammer

http://www.microsoft.com/en-us/download/details.aspx?id=13380

Active Directory Replication Status Tool

http://www.microsoft.com/en-us/download/details.aspx?id=30005

Crescimento (Sizing) do banco de dados do Active Directory.

http://technet.microsoft.com/library/cc961779.aspx

ADtest (Active Directory Performance Testing Tool )

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4814fe3f-92ce-4871-b8a4-99f98b3f4338&displaylang=en

ADMAP(AD Microsoft Assessment & Planning tool kit)

http://technet.microsoft.com/en-us/library/bb977556.aspx

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: