Manutenzione regolare di Active Directory

There is a mobile optimized version of this page, view AMP Version.

Active directory Eealth CheckUn Active Directory, in funzione da diverso tempo, necessita di una manutenzione regolare.

Un Active Directory Health Check programmato ci consente, non solo di rilevare e correggere eventuali errori, ma anche di prevenire situazioni di emergenza difficili da gestire.

BACKUP

La prima cosa da controllare è il corretto funzionamento del backup di Active Directory.

Per sistemi fino a windows 2003 r2 è possibile utilizzare lo strumento integrato ntbackup:

http://technet.microsoft.com/en-us/library/cc961924.aspx

Da windows 2008 e successivi è possibile utilizzare lo strumento integrato Windows Server Backup:

http://technet.microsoft.com/it-it/library/cc754843(v=ws.10).aspx

Controllo della Replica

Ogni database Active Directory si sincronizza con tutti i domain controller attraverso un processo chiamato replica; il servizio che svolge tale funzione è FRS.

Quando le informazioni vengono aggiornate su un controller di dominio, FRS si assicura che le informazioni vengono replicate ad altri DC all’interno del dominio . Il servizio Replica file è utilizzato anche per mantenere le repliche all’interno di un albero DFS (Distributed File System).

Se la sincronizzazione non funziona correttamente può compromettere l’affidabilità di ADDS. Possiamo controllare lo stato della replica attraverso lo strumento  “repadmin”

repadmin /showrepl

Se abbiamo vari domain controller possiamo ottenere un’istantanea di tutti i domain controller con il comando:

repadmin /showrepl * /bysrc /bydest

image

Se vogliamo forzare la replica a tutti i DC:

repadmin /syncall /AdeP

Utilizzo di Ultrasound

Uno strumento molto utile per monitorare il servizio di replica è ultrasound, scaricabile gratuitamente a questo indirizzo:

http://www.microsoft.com/en-us/download/confirmation.aspx?id=3660

image

 

Controllare il registro eventi

Con lo strumento Eventvwr.msc possiamo facilmente rilevare problemi di replica, applicazione group policy o DNS.

In una struttura Active Directory sana, i registri “applicazione”, “servizio directory”, Server DNS” e “servizio replica file” devono essere puliti e senza errori.

Se così non dovesse essere, possiamo consultare l’ottima knowledge base messa a disposizione dal sito https://www.eventid.net/ , filtrando per “Event ID” e “Event Source”

Utilizzo di DCDIAG

Dcdiag ha quasi 30 diversi test che possono essere eseguiti per verificare il buono stato dell’Active Directory,partendo dal rilevamento di errori basilari fino a questioni molto più complesse come le relazioni di trust.

Un buon inizio è l’utilizzo di questi switch:

DCDIAG /a /v /c (a=tutti i domain controller, v=logging dettagliato, c=insieme completo di test)

Alcuni errori che vengono trovati da dcdiag, possono essere trascurati in quanto transitori (come gli errori dei forwarders o alcuni errori KCC). Altri devono essere presi molto seriamente ad esempio errori su Role Holder.

image

Deframmentare

Il database AD dopo anni di funzionamento, può diventare molto grande e frammentato, diminuendo in prestazioni ed affidabilità.

Per ovviare a questa situazione, è consigliabile deframmentare il database una volta l’anno tramite lo strumento NTDSUTIL. Da windows 2008 in poi è possibile fermare il servizio Active directory ed eseguire la manutenzione, mentre nelle versioni precedenti è necessario riavviare in modalità DS Restore Mode.

I passaggi per eseguire la compattazione da command line sono i seguenti:

ntdsutil.exe

files

compact to c:\temp

copy c:\temp\ntds.dit %systemroot%\ntds\ntds.dit

Controllo dell’integrità dei DNS server

L’infrastruttura active directory si basa per moltissime delle sue funzioni sui record dns, è importante quindi controllare regolarmente l’integrità dei record.

DNSlint è uno strumento integrato nel Support Tool che ci consente di ispezionare e verificare l’integrità dei nostri dns record.

Per verificare i record è necessario ispezionare tutti i server dns del nostro dominio tramite il comando:

dnslint /ad /s IP_ADDRESS

Al termine dell’analisi si aprirà una pagina HTML con i risultati dei test.

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *