wiki.nunatakker.de

Einmal im Monat sollten die folgenden Tests durchgeführt werden
Hintergrund ist der Verfall von gelöschten Elementen (Tombstones) im AD.

Wenn die Command-line Prüfungen in einer PowerShell ausgeführt werden, kann man relativ einfach die Ausgabe nach Fehlermeldungen durchsuchen lassen!

Zur Vereinfachung kann auch das Skript ad-healthcheck.ps1 verwendet werden

generelle Prüfung des AD:

dcdiag

In der Ausgabe nach nicht bestanden suchen.
Powershell-Alternative: (es werden nur Fehler angezeigt!)

dcdiag | select-string "nicht bestanden"

Fehlermeldungen später im Eventlog verifizieren!

repadmin /replsum

Das Delta sollte überall kleinier als 180 Minuten sein.
Bei größeren Deltas manuell die Replikation anstoßen:

Den eigenen Standort auswählen, sonst wird die Replizierung nur verzögert (bis 30 Minuten!) angezeigt.
Bei Fehlern zur weiteren Eingrenzung:

repadmin /showrepl

netdom query fsmo

Alle Rollen sollen auf dem DC-ESSEN-01 liegen!
Rollen nicht unbedacht verschieben!

Wenn eine Rolle verschoben sein sollte, kann sie wie folgt zurückgeschoben werden:
Die jeweilige Betriebsmaster-Rolle kann nur an den DC geholt werden, mit dem die Konsole verbunden ist

GUI Active Directory Benutzer und Computer

GUI Active Directory Domänen und Vertrauensstellungen

• Zeitmaster ist der dc-essen-01
• VM-Ware-Tools dürfen den Host nicht gegen ESX synchronisieren
• ESX soll gegen selben NTP-Server synchronisieren wie der Zeitmaster
• alle anderen Systeme synchroniseren gegen dc-essen-01

RegKey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters

get-itemproperty "HKLM:\SYSTEM\CurrentControlSet\services\W32Time\Parameters"

• Die hier eingetragenen Werte nicht in der Registry ändern, sondern mit dem Befehlszeilentool w32tm.
• Intern verweist der Eintrag time.secunet.de auf den secunet-Meinberg unter 10.53.40.10, externe Server verweisen auf pool.ntp.org.
• Bei einer Änderung darauf achten, die Systeme durch Kommata zu trennen und keine Leerzeichen zu lassen.
• Zeile 3 macht das System zu einer vertrauenswürdigen Zeitquelle für das AD.
• Die Änderung der Konfiguration wird erst nach einem Neustart des Dienstes angenommen

net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:”time.secunet.de,0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org”
w32tm /config /reliable:yes
net start w32time

Timeserver vom DC-ESSEN-01 aus abfragen:

w32tm.exe /monitor /computers:pool.ntp.org

Sync-Partner abfragen:

 w32tm /query /peers

Status anzeigen:

w32tm /query /status

Manuellen Sync anstoßen:

w32tm /resync

Logging einschalten:

w32tm /debug /enable /file:C:\Temp\w32tm_debug.log /size:10485760 /entries:0-500

Logging ausschalten:

w32tm /debug /disable

Es muss immer ausreichend Platz für die Kopie der AD vorhanden sein. Faustregel: Mehr als 10 % des Laufwerkes muss immer verfügbar sein
Microsoft-updates brauchen Platz!

get-wmiobject win32_volume -Filter 'drivetype = 3' | select driveletter, label, @{LABEL='GBfreespace';EXPRESSION={$_.freespace/1GB} }

Alle DNS-Server markieren DNS-Einträge von Clients, die seit mehr als 14 Tagen nicht an der Domäne angemeldet waren, als ausgealtert. Der DC-ESSEN-01 löscht alle mehr als 7 Tage ausgealterten DNS-Einträge aus dem DNS (nicht aus dem AD!)

Die Anzahl der DNS-Einträge lässt sich über hinzufügen der Spalte „Beschreibungsleiste“ anzeigen.

Die Evnetlogs sind jedem DC einzeln zu prüfen:!:

Gelegentlich die Eventlogs löschen und unter c:\_protokolle speichern.

An jedem Standort, an dem ein Exchange-Server aufgebaut ist, sollen mindestens zwei GCs vorhanden sein