Chequeo y Monitorización del Directorio Activo

Con el objeto de validar el estado actual de salud de nuestro AD y poder realizar chequeos continuos del mismo, describimos aqui los test de diagnósticos realizados para la monitorización continua. Desglosaremos el estudio del AD en test de diferentes áreas. Los chequeos se recomiendan realizar semanalmente y mensualmente según el siguiente índice. 1. Test de controladores de dominio con dcdiag para dominio midominio.com 2. Test de DNS para la zona midominio.com con dcdiag 3. Chequeo réplicas de AD y sus distintos componentes con repadmin 4. Testeo de roles FSMOs con dcdiag 5. Testeo de políticas con GPOTool. 6. Test a nivel de red y conexiones entre DCs con netdiag 7. Comandos Interesantes 8. NTP Servers, chequeo del rol del PDCEmulator 9. Problemas Comunes. 10. Eliminacion de metadatos del AD. 11. Otras comprobaciones 12. Transferir los roles fsmo con ntdsutil 13. Tools. Estos test pueden ser lanzados a mano in...

Dcdiag.exe /v /e /c /f:c:\dcdiag1.txt Este test es el dcdiag completo (/C). Realiza todos los test posibles en uno solo, es un test con unos resultados amplios en este caso ya que tenemos varios DC y nos va a devolver al fichero de texto (/f:) toda la información que puede entregarnos (/V), también le indicamos que lo haga para todos los controladores en toda la empresa (/E). Podríamos haber decidido usar el switch (/D) y también estaríamos añadiendo más info y sería un poco más larga la salida ya que usamos el Debug. También podemos realizar los test de dcdiag por separado ya que la salida del dcdiag completo es muy larga. Por ejemplo el siguiente test no es el total, pero tiene prácticamente todos los test de conectividad y topología, salvo los de DNS. Dcdiag.exe /v /e /f:c:\dcdiag1.txt Si quieres pasar el de DNS en exclusiva: dcdiag /test:DNS /DNSALL /e /v /f:c:\dnsDNSALL.log Si queremos ir haciéndolos por separado, más abajo tenemos un listado de test que podemos lanzar...

Para un rápido resumen de las réplicas y el estado de las mismas lanzamos el siguiente comando. Éste nos muestra a todos los DC como origen de las réplicas y como destino de las mismas. ( Los RODC , de existir, pueden faltar como origen de las replicas, pues solo reciben info ) Repadmin /replsummary si quieres lanzarlo a un fichero ordenado por source and destination, puedes añadir  /bysrc /bydest /sort:Delta > c:\results.txt Repadmin /showrepl  Ejecutada en un DC del dominio, nos dara las particiones entrantes de sus vecinos de replica. Para forzar la replica y sincronizar un DC con todos sus partners de réplica, ejecutamos el siguiente comando con los switches (Aped) :  Repadmin /syncall /Aped Switches comunes /a Abort if any server is unavailable. /A Sync all naming contexts which are held on the home server. /d Identify servers by distinguished name in messages. /e Enterprise, cross sites. /h Print this help screen. /i Iterate indefin...

Con el comando siguiente podemos ver los DC de nuestro dominio que poseen los roles de Maestros de Operaciones. Netdom /query fsmo En nuestro caso, actualmente tenemos a DC1 con los Maestros de operaciones correspondientes al bosque ( Schema y Domain Roles) y a DC2 con los Maestros de operaciones correspondientes a dominio (PDC Emulator, Infrastructure, RID Pool) . Debemos recordar en este punto el modelo “multimaestro” (cualquier DC puede actualizar los datos y después replicarlos con el resto de DC’s). Debe existir un control sobre operaciones criticas, aunque ejecutadas a diario, solo pueden hacerlas ciertos DC con el rol designado. Se concreta y controla esa funcion por algunos DC en exclusiva para que no haya conflicto en dichas operaciones, por ello solo 1 DC posee el rol y gobierna en esta operativa sobre los demás. Lo que debemos tener en cuenta para un óptimo funcionamiento de los Maestros son las “buenas prácticas” de Microsoft, sobre todo la 1: 1. ...

  Como sabemos la GPO se compone de la GPC y la GPT. No hay que olvidar que GPC replica con AD y GPT replica con FRS. Podremos comprobar aquí  las versiones de GPT y GPC y lo hacemos verificando el numero de version con los comandos abajo detallados. En función de los resultados podemos provocar la reevaluación con secedit y/o forzar la réplica si es necesario del FRS con ntfrsutl ( lo que en 2008 ha pasado a ser con DFSR, dfsrdiag) para la parte del gpt. Si lanzamos la tool de verficiacion de políticas para todos los DC de nuestro dominio podremos verificar si todo está ok en ellas y si replican correctamente. En nuestro caso las políticas se están replicando por dos lados, por el AD se replica la parte de GPC (Group Policy Container) y por el NTFRS se replica la parte de GPT o Template (sysvol): GPC está almacenada en el siguiente directorio del AD y se replica por "AD replication" a todos los DC:  Midominio.com\System\Policies\{FGR32-2F24...