Więcej testów, które mogą być przeprowadzone przy użyciu Narzędzia Diagnostycznego Kontrolera Domeny.
Wstęp
Poprzedni artykuł z tej serii zakończyłem omówieniem kilku testów, które można uruchomić za pomocą Narzędzia Diagnostycznego Kontrolera Domeny. Mimo że do tej pory opisałem naprawdę dużo testów, istnieje ich o wiele więcej. W tym artykule chciałbym kontynuować od momentu, gdzie skończyłem i przedyskutować więcej testów, które mogą być wykonane za pomocą Narzędzia Diagnostycznego Kontrolera Domeny.
Locator Check
Test Locator Check jest jednym z ważniejszych testów, które można przeprowadzić przy użyciu DCDIAG. Z pewnością wiesz, że Active Directory przypisuje różne role elastycznych operacji wzorca jednokrotnego FSMO (Flexible Single Master Operations) niektórym kontrolerom domeny w obrębie lasu. Globalne role FSMO są początkowo przydzielane do pierwszego kontrolera domeny w lesie. Istnieją również pewne poziomy domeny odnośnie ról FSMO, które są przypisywane domyślnie do pierwszego kontrolera domeny w każdej domenie.
Test Locator Check wykonuje testy, aby upewnić się, że serwery, na których znajdują się globalne role FSMO, są znane i że serwery te mogą być zlokalizowane. Co ważniejsze: test dokonuje tej kontroli w celu upewnienia się, że serwery, na których znajdują się globalne role FSMO odpowiadają na żądania.
Przeprowadzenie testu Locator Check jest bardzo proste. Wszystko, co należy zrobić, to wpisać następujące polecenie:
DCDIAG /TEST:LocatorCheck
Oczywiście jest to tylko najprostszy przykład tego, jak można uruchomić test „Locator Check”. Istnieje też możliwość wybrania konkretnego kontrolera domeny i zestawu uwierzytelnień tak, jak można zrobić w każdym innym teście.
Intersite
W zależności od topologii Active Directory, test Intersite może być także bardzo istotny. Gdy uruchomisz ten test, Narzędzie Diagnostyczne Kontrolera Domeny przeprowadzi serię testów, aby sprawdzić czy występują jakiekolwiek problemy z serwerami mostkowymi, które mogłyby wstrzymać replikację międzylokacyjną.
Składnia wykorzystywana dla prowadzenia testu Intersite jest niemal identyczna jak ta przy teście Locator Check. Jeśli chcesz przeprowadzić ten test, wystarczy wprowadzić takie polecenie:
DCDIAG /Test:Intersite
KCCEvent
Kolejnym testem związanym z replikacją jest test KCCEvent. Test ten sprawdza czy usługa Knowledge Consistency Checker (KCC) działa i czy nie powoduje żadnych błędów. Możesz przeprowadzić test KCCEvent, wpisując następujące polecenie:
DCDIAG /Test:KCCEvent
KnowsofRoleHolders
Test Knows of Role Holders umożliwia sprawdzenie, czy agent usługi katalogowej (Directory Service Agent) wie, które serwery pełnią role elastycznych operacji wzorca jednokrotnego FSMO (Flexible Single Master Operations). Jeśli chcesz przeprowadzić szybki test, wpisz następujące polecenie:
DCDIAG /Test:KnowsOfRoleHolders
Mimo, że test ten zazwyczaj wykonuje całą pracę, czasami możesz zechcieć sprawdzić, które z kontrolerów domeny – według agenta usługi katalogowej – obsługują dane role. Jeśli chcesz zidentyfikować poszczególne serwery, będziesz musiał uruchomić ten test w trybie pełnym. Aby to zrobić, wpisz polecenie:
DCDIAG /Test:KnowsofRoleHolders /v
Machine Account
W środowisku usługi Active Directory, serwery i stacje robocze są przyłączone do domeny. Ten proces łączenia komputera z domeną powoduje stworzenie konta komputera (machine account). Podobnie jak w przypadku konta użytkownika, konto komputera posiada odpowiednie hasło i szereg innych atrybutów, które są przeznaczone do identyfikacji poszczególnego komputera. Jeśli konto komputera zostanie uszkodzone lub przestaje synchronizować z usługą Active Directory, wtedy dany komputer nie będzie w stanie połączyć się z domeną. Na szczęście jest test, którego można użyć do sprawdzenia integralności konta komputera kontrolera domeny. Możesz wykonać ten test, wpisując następujące polecenie:
DCDIAG /Test:MachineAccount
Przez wszystkie te lata, gdy usługa Active Directory jest używana, napotkałem zaledwie kilka sytuacji, kiedy to problem z kontem komputera uniemożliwiał właściwe działanie komputera. W większości tych przypadków problem był spowodowany przez hasło konta komputera, które traciło synchronizację z hasłem do konta komputera, które jest przechowywane w bazie danych usługi Active Directory.
Jeżeli konto komputera ma jednak problemy, istnieje kilka opcjonalnych przełączników, których można użyć w celu ich naprawienia. Jednym z nich jest przełącznik /FixMachineAccount, który resetuje flagi różnych kont. Jeśli to nie rozwiąże problemu, zawsze można spróbować odtworzyć konto komputera za pomocą przełącznika /RecreateMachineAccount.
Naming Context Security Descriptors
Jednym z bardziej skomplikowanych testów jest ten, który sprawdza czy zabezpieczenia deskryptorów w kontekście nazewnictwa są poprawne. Jeśli deskryptory zabezpieczeń są nieważne, to replikacja może się nie udać. Możesz uruchomić ten test, wpisując następujące polecenie:
DCDIAG /Test:NCSecDesc
NetLogons
Podobnym testem związanym z replikacją jest test NetLogons. Sprawdza on, czy istnieją odpowiednie uprawnienia logowania umożliwiające wykonywanie replikacji. Test ten można uruchomić, wpisując następujące polecenie:
DCDIAG /Test:NetLogons
Objects Replicated
Innym ważnym testem związanym z procesem replikacji jest test Objects Replicated. Jest on wykonywany głównie w celu potwierdzenia, że konta komputera (machine accounts) zostały zreplikowane na wszystkich kontrolerach domeny, ale może być także użyty do sprawdzenia, czy również inne typy obiektów zostały zreplikowane.
Aby wykonać ten test, musisz znać pełną nazwę obiektu (DN - distinguished name), który chcesz sprawdzić. Jeśli obiekt ten to coś innego niż konto komputera, to będziesz musiał także znać jego kontekst nazewnictwa. Składnia tego testu wygląda mniej-więcej tak:
DCDiag /Test:ObjectsReplicated /ObjectDN: |
