Un Active Directory, in funzione da diverso tempo, necessita di una manutenzione regolare.
Un Active Directory Health Check programmato ci consente, non solo di rilevare e correggere eventuali errori, ma anche di prevenire situazioni di emergenza difficili da gestire.
BACKUP
La prima cosa da controllare è il corretto funzionamento del backup di Active Directory.
Per sistemi fino a windows 2003 r2 è possibile utilizzare lo strumento integrato ntbackup:
http://technet.microsoft.com/en-us/library/cc961924.aspx
Da windows 2008 e successivi è possibile utilizzare lo strumento integrato Windows Server Backup:
http://technet.microsoft.com/it-it/library/cc754843(v=ws.10).aspx
Controllo della Replica
Ogni database Active Directory si sincronizza con tutti i domain controller attraverso un processo chiamato replica; il servizio che svolge tale funzione è FRS.
Quando le informazioni vengono aggiornate su un controller di dominio, FRS si assicura che le informazioni vengono replicate ad altri DC all’interno del dominio . Il servizio Replica file è utilizzato anche per mantenere le repliche all’interno di un albero DFS (Distributed File System).
Se la sincronizzazione non funziona correttamente può compromettere l’affidabilità di ADDS. Possiamo controllare lo stato della replica attraverso lo strumento “repadmin”
repadmin /showrepl
Se abbiamo vari domain controller possiamo ottenere un’istantanea di tutti i domain controller con il comando:
repadmin /replsum /bysrc /bydest /sort:delta
Se vogliamo forzare la replica a tutti i DC:
repadmin /syncall /AdeP
Utilizzo di Ultrasound
Uno strumento molto utile per monitorare il servizio di replica è ultrasound, scaricabile gratuitamente a questo indirizzo:
http://www.microsoft.com/en-us/download/confirmation.aspx?id=3660
Controllare il registro eventi
Con lo strumento Eventvwr.msc possiamo facilmente rilevare problemi di replica, applicazione group policy o DNS.
In una struttura Active Directory sana, i registri “applicazione”, “servizio directory”, Server DNS” e “servizio replica file” devono essere puliti e senza errori.
Se così non dovesse essere, possiamo consultare l’ottima knowledge base messa a disposizione dal sito https://www.eventid.net/ , filtrando per “Event ID” e “Event Source”
Utilizzo di DCDIAG
Dcdiag ha quasi 30 diversi test che possono essere eseguiti per verificare il buono stato dell’Active Directory,partendo dal rilevamento di errori basilari fino a questioni molto più complesse come le relazioni di trust.
Un buon inizio è l’utilizzo di questi switch:
DCDIAG /a /v /c (a=tutti i domain controller, v=logging dettagliato, c=insieme completo di test)
Alcuni errori che vengono trovati da dcdiag, possono essere trascurati in quanto transitori (come gli errori dei forwarders o alcuni errori KCC). Altri devono essere presi molto seriamente ad esempio errori su Role Holder.
Deframmentare
Il database AD dopo anni di funzionamento, può diventare molto grande e frammentato, diminuendo in prestazioni ed affidabilità.
Per ovviare a questa situazione, è consigliabile deframmentare il database una volta l’anno tramite lo strumento NTDSUTIL. Da windows 2008 in poi è possibile fermare il servizio Active directory ed eseguire la manutenzione, mentre nelle versioni precedenti è necessario riavviare in modalità DS Restore Mode.
I passaggi per eseguire la compattazione da command line sono i seguenti:
ntdsutil.exe
files
compact to c:\temp
copy c:\temp\ntds.dit %systemroot%\ntds\ntds.dit
Controllo dell’integrità dei DNS server
L’infrastruttura active directory si basa per moltissime delle sue funzioni sui record dns, è importante quindi controllare regolarmente l’integrità dei record.
DNSlint è uno strumento integrato nel Support Tool che ci consente di ispezionare e verificare l’integrità dei nostri dns record.
Per verificare i record è necessario ispezionare tutti i server dns del nostro dominio tramite il comando:
dnslint /ad /s IP_ADDRESS
Al termine dell’analisi si aprirà una pagina HTML con i risultati dei test.