5つの無料のMicrosoft Active Directory Health Monitoringユーティリティ

Directory ServicesのMVPであり、HPのソリューションアーキテクトであるGary Olsenは、 Active Directoryの状態を評価するために使用できる5つの無料のMicrosoftツールのレビューを最近公開しました 。 このレビューは私たちにとって非常に役立つようでしたので、ここで翻訳を提供することにしました。

興味のある方は猫を歓迎します





特に高価なサードパーティソリューションを購入したり、AD管理のみを扱う管理者を雇う余裕がない中小企業にとって、ADの健全性評価はそれ自体がすでに問題です。

「病気の」Active Directoryの最初の兆候は、サポートへの呼び出しの流れが増えていることで、危機が迫っていることを示しています。 幸いなことに、Active Directory自体は「回復」でき、100％健康でなくても機能し続けます。 ただし、まさにこのため、発生した問題は無視することができ、ITサービスはより重要な問題の解決に切り替えます。

数年前、従業員の一人がドメインコントローラーは複製したくないと言っていたのを思い出します。 ログを分析した結果、このCDはほぼ3年間複製されていませんでした。

そのため、ここでActive Directoryの基本的な正常性評価を行うのに役立つ5つの基本ツールを収集することにしました。 それらはすべて無料で、比較的使いやすいです。

1. Active Directoryベストプラクティスアナライザー

Windows Server 2008 R2に存在するActive Directoryベストプラクティスアナライザー（ADBPA）ユーティリティをリリースすることにより、MicrosoftはActive Directoryの広範なヘルス情報へのアクセスを可能にしました。 多くの管理者は、Exchangeベストプラクティスアナライザー（ExBPA）を知っています。 ADBPAには、問題を解決するという観点から、ExBPAと同じレベルのレポートとADのベストプラクティスの詳細な分析の詳細を期待していました。 もちろん、ADBPAは有用な情報を提供しますが、もっと多くの情報が欲しいです。 ADBPAは、図1に示すように、サーバーマネージャーのActive Directoryドメインサービスの役割で利用できます。







クリックするだけで各エントリの説明を取得できることに注意してください。 この例は、緑色でマークされているすべてのドメインコントローラーがADベストプラクティスのリストに対応していることを示しています。 エラーと警告も表示されます。 チェック内容：すべてのハイパーバイザードメインコントローラーが有効なタイムソース（？-有効なタイムソース）に構成され、すべてのドメインに機能するCDが2つあり、すべてのOUが最後のバックアップの作成時に誤って削除されないように保護されています。 DNSは正しく構成されていますか？グループポリシーとFRSレプリカは機能していますか？

ADBPAは、最初のADヘルスレビューに適していますが、さらに情報が必要です。 たとえば、Active Directoryの複製情報は表示されません。また、一定期間（たとえば、廃棄オブジェクトの存続期間中）複製されなかったCDがある場合は表示されません。 このユーティリティは、クライアントが接続できるようにDNSが機能するかどうかを示しますが、DNSサーバーが正しく構成されていないことを示すものではありません。

2. MPSレポート

Windows 2000の昔、MicrosoftはADを診断するためのスクリプトであるMicrosoft Product Support（MPS）レポートをリリースしました。 まず、Microsoftパートナー向けにリリースされ、次に全員向けにリリースされました。 私にとって、このユーティリティはADの健全性を評価したり、問題を解決したりするための重要なツールです。 ユーティリティはここからダウンロードできます 。 x86またはx64インストーラーバージョンを選択する必要があります。 MPSReports.exeが起動すると、図2に示すダイアログボックスが表示されますMPSレポートには、正しい情報を収集するための管理者権限が必要であり、Microsoft .NET Framework 2、Windows PowerShell 1.0、Windows Installerをインストールする必要があります3.1およびMicrosoft Core XML Services 6.0。







図3は、実行中の診断メニューを示しています。 以前は、ネットワーク、SQL、Exchange、Active Directory、およびその他のコンポーネント用のMPSレポートのいくつかのバージョンがありました。 現在、すべてが1つのパッケージに含まれており、必要なものを選択するだけです。 ADの問題については、一般、インターネットとネットワーク、ビジネスネットワーク、サーバーコンポーネント、およびExchangeサーバーを確認してください。







「詳細情報へのリンク」を選択すると、ユーティリティが情報を収集するファイルが表示されます。 [次へ]をクリックして、診断用のデータの収集を開始します。しばらく時間がかかります。

MPSレポートの有用性は、ユーティリティが多数のコマンドラインツールと手順を起動し、情報を簡単に見つけられるシンプルなファイルとして結果を表示することです。 たとえば、イベントログは、txt、ectx、cvs形式で収集できます。 cvs形式が最も好きです。 Excelで開いて、たとえばエラーテキスト、イベントIDなどで簡単に検索または並べ替えることができます。 txtバージョンとともに、cvsはアプリケーションのイベントの説明を表示します。したがって、コンピューターでイベントを読むと、アプリケーション（たとえば、ExchangeやSQL）をロードせずにイベントの説明を表示できます。

MPSレポートを使用すると、CABファイルを任意の場所に保存するか、すぐに開くことができます（図4）。 CABファイルには1つまたは複数のXMLファイルがあり（図5）、さまざまなレポートが表示されるため、マイクロレポートを次々に実行する必要はありません。

3. RepadminとReplsum

Repadminは、Active Directoryの問題を解決するための強力なコマンドラインツールです。 レプリケーションの概要オプションまたはReplsumコマンドは、フォレスト内のすべてのドメインのすべてのドメインコントローラーのレプリケーション状態に関する情報を提供します。 Active Directoryの正常性を評価する場合、すべてのドメインコントローラーがレプリケートされているかどうかを知ることは非常に重要です。レプリケートされていないドメインコントローラーについては、間違いなくレプリケーションが最後に実行された理由と失敗した理由を調べることになります。

Repadminは、これらの質問に対する迅速な回答を提供します。 広く使用されているRepadmin / showreplとは対照的に、すべてのドメインコントローラーを長いリストとして表示するのとは対照的に、これを使用すると膨大な時間が節約できます。 Replsumオプションは、フォレスト内のすべてのドメインのすべてのドメインコントローラーを分析し、それらに関する情報を読みやすいテーブルに配置します。 次のコマンドを使用します。

Repadmin / bysrc / bydestソート：Delta> repadmin.txt

このコマンドには他のオプションと形式もありますが、私はこれだけを使用し、うまく機能します。 表1は、出力で得られるものの例を示しています。





ソースDCリストにはアウトバウンド複製が表示され、デスティネーションDCにはインバウンド複製が表示されます。 たとえば、リストの一番上にあるWTEC-DC2はソースドメインコントローラーであり、5日以上複製されていません。 エラーメッセージを受信すると、WTEC-DC2がソースになるため、これはアウトバウンドレプリケーションです。 また、WTEC-DC1は最後のドメインコントローラーであるため、下のリストでインバウンドレプリケーションを実行しませんでした。 （宛先DC）。 この理由は、イベントID 1722で示されます。RPCサーバーは利用できません。 通常、このエラーは、このドメインコントローラーの物理レベルで通信エラーがあることを意味します。

私のアドバイスは次のとおりです。tomstoneの有効期間中に複製が行われなかった場合、「最大のデルタ」の記録が表示されます> 60日。 これは、アクティブな残留オブジェクトを導入する可能性があるため、ドメインコントローラーをオンラインに戻す必要がないことを意味します。 ドメインコントローラーを手動で下げてから再度アップグレードする必要があります。

4. DCDiag /テスト：DNS

レプリケーションに加えて、ADの問題のその他の最も一般的な原因はDNSです。 多くの場合、DNSはレプリケーションの失敗の原因です。 問題は、多数のDNS環境では、すべてのADドメインコントローラーにサーバーがインストールされているため、DNSが落ちる可能性が高くなることです。 それらのそれぞれの研究は非常に時間がかかる場合があります。 Windows Server 2003では、/テスト：DNSはDC diagコマンドに追加されました。 次のコマンドを実行します。



DCDiag /テスト：DNS / e / v> DcdiagDNS.txt



このコマンドは、ネットワーク上の各DNSサーバーを分析し、DNSサーバー認証、基本接続、送信者構成、委任、動的登録、およびリソースレコード登録をテストします。 後者の場合、DCDiagはテストリソースレコードを作成し、登録を試みます。 これが失敗すると、新しいエントリを登録できません（他の問題が発生します）。

このコマンドは、Pass、Fail、Warnの3つの潜在的な結果を表示します。 予防はまだ問題ではなく、追加の分析を行う機会です。 たとえば、動的登録（DYN）列の警告は、セキュアな動的更新がアクティブ化されていないことを意味します。 これは失敗を示すものではありませんが、すべてをそのままにしておくことを100％確信する必要があります。

表2は、典型的なチームの結果を示しています。







表2は、ネットワーク上のすべてのドメインのすべてのDNSサーバーに関する完全かつ正確なレポートを示しています。 このようにして、DNSの正常性を確認できます。 このテーブルは、DCDiag出力の最後に表示されます。 各サーバーのこれらのテストの詳細は、最終的な要約表が表示される前にDCDiagレポートに含まれます。 コマンドを起動したユーザーがこのドメインで権限を持っていない場合、テストは失敗します。

この場合、DCDiagを起動したユーザーに必要な権限がないため、EMEAドメインテストは失敗しました。 以前のテストが失敗すると「N / A」が表示されるため、残りのテストはこの「失敗」に依存します。 たとえば、EMEA-DC03ドメインでは、AuthおよびBascテストは失敗しました。 残りのテキストはN / Aとして表示されます。 DCDiagはそれ以上のテストを実行せず、各列にN / Aのみを配置します。 Ext列は、外部接続をテストする5番目のテストです。 DCDiag /テスト：DNSはデフォルトではチェックしません。

したがって、アドバイス：テーブル内のドメインとCDのリスト-フォレスト内のすべてのドメインと各ドメインのすべてのCD（DNSサーバー）の便利な表示。 したがって、ドメインとCDの構造のマップを取得します。 ほとんどの環境では、すべてのCDはDNSサーバーであるため、これはドメインおよびCD構造を確認する便利な方法です。

5. DNSCMDコマンドラインツール

慣れていない環境でリモートシステムで作業している場合、または作業中のDNS環境に関する情報を取得したい場合、DNSCMDコマンドは必要な情報をすべて提供します。 環境にアクセスせずに問題を診断するため、このレベルの詳細が必要であり、したがって、全体像を提供できるレポートに依存していることに注意してください。 使用するコマンドを表3に示します。DNSサーバーにアクセスできる場合でも使用することをお勧めします。結局、レポートで必要な情報を表示する方が、DNSインターフェイスを「さまよう」よりもはるかに簡単です。 また、これらのレポートは定期的にファイルに保存されるため、変更を分析することができます-特に誰かが構成を変更し、その前にどのパラメーターがあったかを知りたい場合。 そして、もちろん、これらのコマンドはテーブルの形式で表すことができます。







グループポリシー管理コンソール（GPMC）など、グループポリシーの分析に最適な他のツールがあります。 GPMCでは、グループオブジェクトに関するレポートをHTMLとして保存することもできるため、後で分析のためにサポートサービスに送信できます。 GPMCはMPSレポートには含まれていません。

健康を維持する！

上記のツールを使用すると、Active Directoryの正常性レポートをすばやく生成し、問題を示すことができます。 もちろん、管理者はそれらを実行するために何らかの努力をする必要がありますが、プロセス自体は簡単です-特にMPSレポートを使用する場合。 結論として、私のヒントは次のとおりです。

1. ADPBAをAD健康の最も広い視野のためのツールとして使用する

2. MPSレポートをダウンロードして実行し、問題をさらに深く掘り下げます

3.上記のようにDCDiag / Test：DNS、Repadmin、およびReplsumを実行して、すべてのActive Directoryの正常性のDNSレプリケーションおよび構成のスナップショットをすばやく簡単に理解し、問題領域を強調表示します。

4. DNSCMDを使用して、オフライン分析のための詳細なDNS構成情報を取得し、以前の構成と比較します。

Active Directoryの管理が簡単だと言う人はいません。 ただし、説明した推奨事項を適用すると、Active Directoryの監視と管理が向上し、管理のためのより安全な環境が提供されます。



ソース： redmondmag.com/Articles/2012/07/01/5-Free-Microsoft-Tools-for-Top-Active-Directory-Health.aspx?Page=1



PS Active Directoryの変更に遅れないようにしたいですか？ NetWrix AD Change Reporterプログラムを使用すると、ADの変更に関する通知とレポートを受信できます。 20日間の試用版をダウンロードするか、通常のウェビナーに登録して 、プログラムの機能の詳細をご覧ください。