===== AD-Healthcheck =====
:!: __**Einmal im Monat sollten die folgenden Tests durchgeführt werden **__ :!: \\
Hintergrund ist der Verfall von gelöschten Elementen (Tombstones) im AD. \\

8-) Wenn die Command-line Prüfungen in einer PowerShell ausgeführt werden, kann man relativ einfach die Ausgabe nach Fehlermeldungen durchsuchen lassen!\\

Zur Vereinfachung kann auch das Skript [[powershell:ad:healthcheck|ad-healthcheck.ps1]] verwendet werden\\

===== Alternativ: Manuelle Prüfung =====
==== DCDIAG ====
generelle Prüfung des AD:
<code>dcdiag</code>
In der Ausgabe nach **__nicht bestanden__** suchen.\\
__Powershell-Alternative:__ (es werden nur Fehler angezeigt!)
<code powershell>dcdiag | select-string "nicht bestanden"</code>
Fehlermeldungen später im Eventlog verifizieren!\\
{{:ad:healthcheck:dcdiag01.png?300|Ausgabe von dcdiag}}

==== Replikation prüfen ====
<code>
repadmin /replsum
</code>
{{:ad:healthcheck:ad-replikation-pruefen1.png?300|Ausgabe von repadmin /replsum}}
Das Delta sollte überall kleinier als 180 Minuten sein.\\
Bei größeren Deltas manuell die Replikation anstoßen:\\
{{:ad:healthcheck:manuelle-repliaktion.png?300|Manuell Replikation anstoßen}}\\
Den eigenen Standort auswählen, sonst wird die Replizierung nur verzögert (bis 30 Minuten!) angezeigt.\\
Bei Fehlern zur weiteren Eingrenzung:
<code>
repadmin /showrepl
</code>
{{:ad:healthcheck:ad-replikation-pruefen.png?300|Ergebnis von repadmin /shorepl}}
==== Betriebsmaster-Rollen prüfen ====
<code>
netdom query fsmo
</code>
{{:ad:healthcheck:ad-query-fsmo.png?300|FSMO-Rollen abfragen}}\\
Alle Rollen sollen auf dem **__DC-ESSEN-01__** liegen!\\
Rollen nicht unbedacht verschieben!\\

Wenn eine Rolle verschoben sein sollte, kann sie wie folgt zurückgeschoben werden:\\
Die jeweilige Betriebsmaster-Rolle kann nur an den DC geholt werden, mit dem die Konsole verbunden ist :!:\\
=== RID-Master, PDC-Emulator und Infratsruktur-Master ===
GUI Active Directory Benutzer und Computer\\
{{:ad:healthcheck:ad-betriebsmaster-01.png?300|}}\\

{{:ad:healthcheck:ad-betriebsmaster-02.png?300|}}
=== Domain-Name-Master ===
GUI Active Directory Domänen und Vertrauensstellungen\\
{{:ad:healthcheck:ad-domain-name-master-01.png?300|}}\\

{{:ad:healthcheck:ad-domain-name-master-02.png?300|}}
=== Schema-Master ===
{{:ad:healthcheck:ad-schema-master-01.png?300|MMC SnapIn "Active Directory Schema" hinzufügen}}\\

{{:ad:healthcheck:ad-schema-master-02.png?300|}}\\

{{:ad:healthcheck:ad-schema-master-03.png?300|}}
==== Zeiteinstellungen prüfen ====
=== Wichtig! ===
  * Zeitmaster ist der dc-essen-01
  * VM-Ware-Tools dürfen den Host nicht gegen ESX synchronisieren
  * ESX soll gegen selben NTP-Server synchronisieren wie der Zeitmaster
  * alle anderen Systeme synchroniseren gegen dc-essen-01
=== Prüfung ===
RegKey ''HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters''\\
<code powershell>get-itemproperty "HKLM:\SYSTEM\CurrentControlSet\services\W32Time\Parameters"</code>
== DC-ESSEN-01 ==
{{:ad:healthcheck:ad-time-dc-essen-01.png?300|}}
== DC-ESSEN-02, DC-DRESDEN-01 ==
{{:ad:healthcheck:ad-time-dc-essen-02.png?300|}}
=== Ändern der Werte ===
  * :!: Die hier eingetragenen Werte nicht in der Registry ändern, sondern mit dem Befehlszeilentool ''w32tm''. 
  * Intern verweist der Eintrag time.secunet.de auf den secunet-Meinberg unter 10.53.40.10, externe Server verweisen auf pool.ntp.org.
  * Bei einer Änderung darauf achten, die Systeme durch Kommata zu trennen und keine Leerzeichen zu lassen.
  * Zeile 3 macht das System zu einer vertrauenswürdigen Zeitquelle für das AD.
  * Die Änderung der Konfiguration wird erst nach einem Neustart des Dienstes angenommen
<code>
net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:”time.secunet.de,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org”
w32tm /config /reliable:yes
net start w32time
</code>
=== Debug ===
Timeserver vom DC-ESSEN-01 aus abfragen:
<code>w32tm.exe /monitor /computers:pool.ntp.org</code>
Sync-Partner abfragen:
<code> w32tm /query /peers</code>
Status anzeigen:
<code>w32tm /query /status</code>
Manuellen Sync anstoßen:
<code>w32tm /resync</code>
Logging einschalten:
<code>w32tm /debug /enable /file:C:\Temp\w32tm_debug.log /size:10485760 /entries:0-500</code>
Logging ausschalten:
<code>w32tm /debug /disable</code>
==== Freien Speicherplatz auf C:\ prüfen ====
Es muss immer ausreichend Platz für die Kopie der AD vorhanden sein. Faustregel: Mehr als 10 % des Laufwerkes muss immer verfügbar sein :!:\\
Microsoft-updates brauchen Platz!
<code powershell>get-wmiobject win32_volume -Filter 'drivetype = 3' | select driveletter, label, @{LABEL='GBfreespace';EXPRESSION={$_.freespace/1GB} }</code>
==== DNS prüfen ====
=== Alterungseinstellung ===
Alle DNS-Server markieren DNS-Einträge von Clients, die seit mehr als 14 Tagen nicht an der Domäne angemeldet waren, als ausgealtert. Der DC-ESSEN-01 löscht alle mehr als 7 Tage ausgealterten DNS-Einträge aus dem DNS (nicht aus dem AD!)\\
{{:ad:healthcheck:ad-dns-01.png?300|}}\\

{{:ad:healthcheck:ad-dns-02.png?300|}}\\

{{:ad:healthcheck:ad-dns-03.png?300|}}\\

{{:ad:healthcheck:ad-dns-04.png?300|}}\\

{{:ad:healthcheck:ad-dns-05.png?300|}}\\

{{:ad:healthcheck:ad-dns-06.png?300|}}\\
Die Anzahl der DNS-Einträge lässt sich über hinzufügen der Spalte "Beschreibungsleiste" anzeigen.
==== Eventlogs prüfen ====
Die Evnetlogs sind jedem DC einzeln zu prüfen:!: \\
{{:ad:healthcheck:ad-eventlog.png?300|}} \\
Gelegentlich die Eventlogs löschen und unter ''c:\_protokolle'' speichern.

==== GC-Verfügbarkeit prüfen ====
An jedem Standort, an dem ein Exchange-Server aufgebaut ist, sollen mindestens zwei GCs vorhanden sein :!:\\
{{:ad:healthcheck:ad-gc.png?300|}}