ActiveDirectory管理系列视频检查ActiveDirectory的-51CTOcom.PPTVIP

Active Directory管理系列视频 检查Active Directory的健康状态 讲师：王淑江 QQQQ群：104842950 E-mail :redws@163.com 影响Active Directory健康的信息 了解现有域的基本状况：域控制器数量、全局编录服务器、FSMO角色等。 连接状态检查：域控制器之间连通性等。 相关共享目录检查：SYSVOL和NETLOGON。 GPO状态检查：GPMC、GPresult等。 复制状况检查：检查Active Directory数据库之间的复制。 影响Active Directory健康的信息（续） 6. DNS服务器相关检查 检查SRV记录 _MSDCS、GC、PDC、TCP、UDP等服务的状态。 7. 森林及域级别：检查林和域的功能级别。 8. AD活动目录数据库状态 检查一：域环境与用户交互检查 与用户交互检查 交互者： 域模式： 域名名称： 现有域运行状况： 使用状况调查： 内部拓扑架构图（用户提供）： 检查二：连接检查 检查内容 域控制器之间的连通性 域控制器和DNS之间的连通性 域控制器和其他成员服务器之间连通性 客户端计算机和域控制器之间的连通性 FSMO主机的连接状态 综合检测（dcdiag） 检查二：连接检查（续） 连通性检查 ping 命令 Telnet 查询DNS端口开放情况 验证DNS服务器是否正常 FSMO连接检查： 查询FSMO 操作主机 查询FSMO操作主机端口：88,3268,3269,389 查看GC 综合检测： dcdiag工具检测域控制器整体状况。 检查三：检查集成区域DNS服务 检查内容： 检查域中的DNS服务器数量以及是否在线 检查SRV记录 检查GC、PDC、DC等服务 检查是否可启用PTR反向记录 查看DNS相关日志 DNS 服务器中是否有DNS重复记录 检查工具 Nslookup DNS控制台 检查四：检查Active Directory核心服务 验证以下服务（12个）： ADDS服务 ADWS服务 DNS服务 Server 服务 WorkStation 服务 Computer Browser服务 KDC 服务 检查四：检查Active Directory核心服务（续） DFS 服务 Intersite Messaging服务 Netlogon服务 Windows Time 服务 文件服务（NTFRS） 检查五：共享目录检查 检查以下共享： SYSVOL 目录共享 NETLOGON目录共享 进行软件部署的共享目录 Admin$默认共享 IPC$默认共享 检查方法 net share \\DNS名称 检查六：检查GPO状态 检查内容： 查看GPO数量 Default domain policy 和Default domain control policy 策略。 客户端通过组策略结果集了解策略运行状况。 利用GPMC组策略结果集直接模拟客户端状况。 验证策略建模与当初策略制定目标是否一致。 查看组策略结果集与建模结果相同。 验证域控制器中的策略是否一致（同步结果）。 检查七：复制状况检查 检查内容： 检查复制连接拓扑（可以使用ADTD创建）。 检查相互复制是否会出现错误（Active Directory站点和服务、repadmin） 检查复制参数设置：间隔时间，站点开销等。 查看复制状态连接（repadmin） 查看现有复制连接状况（repadmin） 查看现有站点连接拓扑，并形成文档（Active Directory站点和服务）。 检查八：检查林及域级别 检查内容： 林的功能级别 域的功能级别 功能级别是否满足现环境需要 提升功能级别建议 验证 检查九：活动目录数据库状态检测 检查内容： 活动目录数据库大小 活动目录数据库所在的硬盘空间大小 活动目录数据库完整性检测 是否有移动数据库及日志需求 检查方法 GUI查看 Ntdsutil验证 检查十：服务器性能 检查内容： CPU 内存 磁盘空间 检查十一：检查Active Directory数据库备份 检查内容： 部署Active Directory数据库自动备份任务计划 多介质保存Active Directory数据库 检查十二：时钟同步 检查内容： 检查域控制器时间同步机制。 检查PDC角色域控制器时间源部署。 验证客户端计算机和域控制器的时间是否同步。 验证 检查十三：最佳实践分析 BPA 通过BPA扫描，验证AD DS域服务是否符合微软建议的最佳部署 验证 谢 谢！ *