Monitorowanie i rozwiązywanie problemów z usługami AD DS

  • 9 min

Problemy z wydajnością i operacją są typowe w rzeczywistych środowiskach. Aby analizować, oceniać i korygować takie problemy wpływające na kontroler domeny usług AD DS, jest podstawową umiejętnością każdego specjalisty IT odpowiedzialnego za zapewnienie stabilności i dostępności środowiska usług AD DS.

Monitorowanie stanu operacyjnego usług AD DS

Niewystarczające zasoby systemowe mogą prowadzić do niskiej wydajności systemu kontrolera domeny. Cztery kluczowe zasoby systemowe to centralna jednostka przetwarzania (CPU), podsystem dysku, pamięć i sieć. Identyfikowanie i korygowanie wąskich gardeł obejmuje ścisłe badanie dzienników systemu i liczników wydajności w celu określenia, który zasób jest obecnie ograniczony. Po rozszerzaniu tego zasobu wydajność poprawi się, ale może osiągnąć płaskowyż, jeśli osiągnie nowe wąskie gardło w innym zasobie systemowym.

W systemie Windows Server można użyć kilku narzędzi do monitorowania różnych typów. Większość z tych narzędzi jest domyślnie dostępna jako składniki systemu Windows Server i można ich używać do monitorowania w czasie rzeczywistym i historycznych usług AD DS i innych usług. Najczęściej używane narzędzia to Menedżer zadań, Monitor zasobów, Podgląd zdarzeń i monitor wydajności. Za pomocą monitor wydajności można przejrzeć bieżące statystyki wydajności lub dane historyczne zebrane przy użyciu zestawów modułów zbierających dane.

Istnieje wiele liczników, które można przejrzeć i przeanalizować, aby spełnić określone wymagania, w tym liczniki procesora, pamięci, dysku i sieci. Na kontrolerze domeny należy również monitorować liczniki obiektów nt directory service (NTDS).

  • Security System-Wide Statistics\Kerberos Authentications/sec. Ten licznik śledzi liczbę uwierzytelnień Kerberos na sekundę.
  • Security System-Wide Statistics\NTLM Authentications. Ten licznik śledzi liczbę przetworzonych na sekundę uwierzytelnień programu Windows Network LAN Manager (NTLM).

Jeśli używasz programu System Center Operations Manager w swoim środowisku, możesz również wdrożyć pakiet administracyjny usług domena usługi Active Directory dla programu Operations Manager w celu monitorowania i analizowania operacji kontrolerów domeny. Ten pakiet administracyjny zawiera wiele alertów, widoków, zadań i raportów dla różnych funkcji usług AD DS.

Narzędzia do monitorowania i rozwiązywania problemów z replikacją

W każdym środowisku domeny usług AD DS zawierającym wiele kontrolerów domeny niezbędne jest monitorowanie replikacji usług AD DS i rozwiązywanie problemów w przypadku wszelkich problemów. Monitor wydajności umożliwia przechwytywanie i analizowanie liczników agenta replikacji katalogów (DRA), w tym:

  • NTDS\DRA Liczba bajtów przychodzących na sekundę. Ten licznik przedstawia łączną liczbę bajtów replikowanych do bazy danych usług AD DS.
  • NTDS\DRA , obiekt przychodzący. Ten licznik przedstawia liczbę obiektów usługi Active Directory odebranych od sąsiadów za pośrednictwem replikacji przychodzącej.
  • NTDS\DRA Liczba bajtów wychodzących na sekundę. Ten licznik przedstawia całkowitą liczbę zreplikowanych bajtów.
  • NTDS\DRA Oczekujące synchronizacje replikacji. Jest to liczba synchronizacji katalogów, które znajdują się w kolejce tego serwera, czekając na przetwarzanie.

Dwa dodatkowe narzędzia są szczególnie przydatne do raportowania i analizowania replikacji: narzędzie diagnostyki replikacji (Repadmin.exe) i narzędzie diagnostyki kontrolera domeny (Dcdiag.exe).

Repadmin.exe

Repadmin.exe to narzędzie wiersza polecenia, które umożliwia raportowanie stanu replikacji na każdym kontrolerze domeny. Informacje generowane przez plik Repadmin.exe mogą pomóc w wykrycie potencjalnego problemu z replikacją w lesie. Możesz przejrzeć poziomy szczegółów w dół do metadanych replikacji dla określonych obiektów i atrybutów, umożliwiając określenie, gdzie i kiedy wprowadzono problematyczną zmianę w usługach AD DS. Można nawet użyć narzędzia Repadmin.exe, aby zarządzać topologią replikacji i wymuszać replikację między kontrolerami domeny.

Plik Repadmin.exe obsługuje kilka poleceń, które wykonują określone zadania. Aby dowiedzieć się więcej o każdym poleceniu, uruchom polecenie repadmin /? w wierszu polecenia. Większość poleceń wykonuje DC_LIST parametr, który jest po prostu etykietą sieciową (dns, nazwą NetBIOS lub adresem IP) kontrolera domeny. Niektóre zadania monitorowania replikacji, które można wykonać za pomocą narzędzia Repadmin.exe, obejmują:

  • Wyświetlanie partnerów replikacji dla kontrolera domeny. Aby wyświetlić połączenia replikacji kontrolera domeny, wprowadź "repadmin /showrepl DC_LIST . Domyślnie plik Repadmin.exe wyświetla tylko połączenia międzywitrynowe. Dodaj argument /repsto również do listy połączeń międzywitrynowych.
  • Wyświetlanie obiektów połączenia dla kontrolera domeny. Wprowadź polecenie , repadmin /showconn DC_LIST aby wyświetlić listę obiektów połączenia dla kontrolera domeny.
  • Wyświetlanie metadanych dotyczących obiektu, jego atrybutów i replikacji. Aby dowiedzieć się, które atrybuty mają lub które nie zostały zreplikowane, możesz dowiedzieć się więcej o replikacji obiektu na dwóch różnych kontrolerach domeny. Wprowadź repadmin /showobjmeta DC_LIST Object, gdzie DC_LIST wskazuje kontroler domeny lub kontrolery do wykonywania zapytań. Możesz użyć gwiazdki, aby wskazać wszystkie kontrolery domeny. Obiekt reprezentuje identyfikator GUID obiektu, który jest jego unikatowym identyfikatorem.

Dcdiag.exe

Dcdiag.exe wykonuje kilka testów i raportuje ogólną kondycję replikacji i stanu operacyjnego usług AD DS. Uruchamiany samodzielnie, Dcdiag.exe wykonuje testy sumaryczne, a następnie raportuje wyniki. W drugiej skrajności Dcdiag.exe /c uruchamia kompleksową listę testów. Dane wyjściowe można przekierować do plików różnych typów, w tym XML. Można również określić co najmniej jeden test do wykonania przy użyciu parametru /test:Test Name . Testy, które odnoszą się bezpośrednio do replikacji, obejmują:

  • DFSREvent. Zgłasza błędy operacji w rozproszonym systemie plików (DFS).
  • Międzylokacyjnej. Sprawdza błędy, które uniemożliwiają lub opóźniają replikację wewnątrz lokacji.
  • KccEvent. Identyfikuje błędy w narzędziu sprawdzania spójności wiedzy.
  • Replikacji. Sprawdza czas replikacji między kontrolerami domeny.
  • Topologii. Sprawdza, czy topologia replikacji jest w pełni połączona dla wszystkich kontrolerów domeny.
  • VerifyReplicas. Sprawdza, czy wszystkie partycje katalogu aplikacji są tworzone w pełni na wszystkich kontrolerach domeny hostujących repliki.

Monitorowanie replikacji za pomocą programu Microsoft System Center Operations Manager

pakiet administracyjny usług domena usługi Active Directory dla programu Operations Manager obejmuje funkcje monitorowania replikacji, które zbierają alerty replikacji usług AD DS wraz z danymi wydajności reprezentującymi opóźnienie replikacji, oraz wolumin ruchu replikacji przychodzącej i wychodzącej. Pakiet administracyjny oferuje pulpity nawigacyjne topologii replikacji, które wyświetlają łącza lokacji, obiekty połączenia i uszkodzone obiekty połączenia. Umożliwia również generowanie raportów dotyczących obiektów połączenia replikacji, linków lokacji replikacji, przepustowości replikacji i opóźnienia replikacji.

Polecenia cmdlet replikacji usług AD DS programu Windows PowerShell

System Windows Server obsługuje polecenia cmdlet programu Windows PowerShell, które ułatwiają monitorowanie replikacji usług AD DS i przeglądanie jego konfiguracji. Na poniższej liście opisano niektóre z nich.

  • Get-ADReplicationConnection. Zapewnia określone połączenie replikacji usług AD DS lub zestaw obiektów połączenia replikacji usług AD DS na podstawie określonego filtru
  • Get-ADReplicationFailure. Zawiera opis błędu replikacji usług AD DS
  • Get-ADReplicationPartnerMetadata. Udostępnia metadane replikacji dla zestawu co najmniej jednego partnera replikacji
  • Get-ADReplicationSite. Udostępnia określoną lokację replikacji usług AD DS lub zestaw obiektów lokacji replikacji na podstawie określonego filtru
  • Get-ADReplicationSiteLink. Udostępnia określony link lokacji usługi Active Directory lub zestaw linków lokacji na podstawie określonego filtru
  • Get-ADReplicationSiteLinkBridge. Udostępnia konkretny mostek łącza lokacji usługi Active Directory lub zestaw obiektów mostka łącza lokacji na podstawie określonego filtru
  • Get-ADReplicationSubnet. Udostępnia podsieć usługi Active Directory lub zestaw podsieci usługi Active Directory na podstawie określonego filtru.