3.4K
Active Directory es un ecosistema de TI muy complejo, incluso con controladores de dominio primarios y un único sitio de Active Directory. La capacidad de evaluar rápidamente el estado de Active Directory y resolver problemas es crucial para un administrador de sistemas. Este artículo explora comandos esenciales que se pueden emplear para verificar el estado de Active Directory e identificar posibles errores.
Verificar servicios en los servidores del controlador de dominio
Estos servicios son cruciales para el funcionamiento y la gestión de una red de dominio de Windows y proporcionan diversas capacidades, como autenticación, resolución de nombres, sincronización de hora y servicios de directorio central.
- NTDS (Servicios de dominio de Active Directory): NTDS significa «NT Directory Services», el componente principal de Active Directory en Windows. Es responsable de almacenar y administrar información sobre objetos en una red, como usuarios, computadoras y grupos. NTDS permite autenticación centralizada, autorización y otras funciones administrativas dentro de un entorno de dominio de Windows.
- ADWS (servicios web de Active Directory): ADWS es un servicio que proporciona una interfaz de servicio web para acceder y administrar Active Directory. Permite que las aplicaciones interactúen con Active Directory utilizando protocolos de servicios web como el Protocolo simple de acceso a objetos (SOAP) a través de HTTP. ADWS permite la administración remota de Active Directory y lo utilizan principalmente herramientas y aplicaciones administrativas para administrar objetos de Active Directory.
- DNS (Sistema de nombres de dominio): DNS es un servicio de red fundamental que traduce nombres de dominio (por ejemplo, www.ejemplo.com) en direcciones IP (por ejemplo, 192.168.0.1) y viceversa. Ayuda a las computadoras a ubicarse y comunicarse entre sí a través de una red. El servicio DNS se ejecuta en servidores Windows y permite la resolución de nombres de dominio, esencial para diversas actividades de la red, como navegar por la web, enviar correos electrónicos y acceder a los recursos de la red.
- Dnscache (cliente DNS): Dnscache, también conocido como servicio de Cliente DNS, es responsable de almacenar en caché y resolver consultas de DNS en una computadora con Windows. Cuando accede a un sitio web o cualquier recurso de red, el servicio de Cliente DNS verifica su caché local para ver si ya tiene la dirección IP asociada con el nombre de dominio. De lo contrario, envía una solicitud a un servidor DNS para resolver el nombre de dominio.
- KDC (Centro de distribución de claves): KDC es un servicio involucrado en la implementación del protocolo de autenticación Kerberos, que se utiliza para la autenticación segura en dominios de Windows. El KDC emite y verifica tickets para autenticar a los usuarios y otorgarles acceso a los recursos de la red. Garantiza que solo los usuarios autorizados puedan acceder a los recursos protegidos dentro de un entorno de dominio.
- W32time (servicio de hora de Windows): W32time es el servicio de hora de Windows responsable de la sincronización horaria en un entorno Windows. Garantiza que todas las computadoras dentro de un dominio tengan la hora sincronizada, lo cual es esencial para diversas operaciones de red, incluida la autenticación, la integridad del archivo de registro y la precisión del registro de eventos. W32time puede sincronizar la hora con una fuente de hora externa o un controlador de dominio que actúa como servidor de hora.
- Inicio de sesión de red: Netlogon es un servicio que proporciona conexiones de canal seguras entre controladores de dominio y clientes en un dominio de Windows. Admite las funciones de autenticación y replicación necesarias para el dominio de Active Directory. Netlogon permite la comunicación y autenticación seguras entre los miembros del dominio y facilita la replicación de bases de datos de Active Directory entre controladores de dominio.
Dicho esto, monitorear el estado de estos servicios en sus servidores de Active Directory es crucial.
Inicie sesión en un controlador de dominio, abra PowerShell como administrador y ejecute el siguiente comando para obtener el estado de los servicios.
$services="ntds", 'adws', 'dns', 'dnscache', 'kdc', 'w32time', 'netlogon' Get-Service $services | Select-Object MachineName, DisplayName, Status
El comando devuelve el estado de los servicios en la máquina local.
Para obtener el estado de los servicios de varios servidores, puede ejecutar los siguientes comandos. Asegúrese de reemplazar el $computadora valores con los tuyos. Este ejemplo consulta dos servidores: DC1 y DC2.
# Server names $computer="DC1", 'DC2' # Service names $services="ntds", 'adws', 'dns', 'dnscache', 'kdc', 'w32time', 'netlogon' # Getthe service status from specified servers Get-Service $services -ComputerName $computer | ` Sort-Object MachineName, DisplayName | ` Select-Object MachineName, DisplayName, Status
De esta manera, obtendrá una vista panorámica de los servicios e identificará rápidamente cuáles no se están ejecutando.
Verifique el estado de Active Directory con DCDIAG
DCDiag es una herramienta de línea de comandos en Windows que se utiliza para diagnosticar el estado y la funcionalidad de los controladores de dominio en un entorno de Active Directory. Ayuda a los administradores a identificar y solucionar problemas relacionados con los controladores de dominio, la configuración de DNS, la replicación y otros componentes de Active Directory.
Este comando tiene múltiples indicadores y opciones, que puede encontrar ejecutando el siguiente comando.
dcdiag /h
Cuando ejecutas el DCDiag comando por sí solo, realiza una serie de pruebas en el controlador de dominio y proporciona un informe detallado de los resultados. La herramienta verifica varios aspectos de la funcionalidad del controlador de dominio, que incluyen:
- Conectividad: DCDiag verifica la conectividad de red entre el controlador de dominio y otros controladores de dominio, asegurando que puedan comunicarse correctamente.
- Configuración de DNS: Verifica la configuración de DNS y garantiza que el controlador de dominio pueda resolver las consultas de DNS correctamente.
- Replicación de Directorio Activo: DCDiag examina el proceso de replicación entre controladores de dominio, asegurando que los cambios realizados en un controlador de dominio se repliquen correctamente en otros.
- Servicios de directorio: prueba el estado general de la base de datos de Active Directory y busca errores o inconsistencias.
- Seguridad: DCDiag verifica la configuración de seguridad y los permisos relacionados con los controladores de dominio, asegurándose de que estén configurados correctamente.
- SysVol: Comprueba la disponibilidad y sincronización de la carpeta SysVol, que contiene scripts y objetos importantes de Política de grupo.
Pruebas locales versus remotas versus todas
Para probar el controlador de dominio local, ejecuta dcdiag así:
dcdiag
Para probar el servidor remoto, agregue el /s bandera:
dcdiag /s: DC2
Ejecute los siguientes comandos para probar todos los controladores de dominio dentro del sitio o en la empresa:
# Test all DCs in a site dcdiag /a
# Test all DCs in the enterprise dcdiag /e
Centrándose en los errores
Los resultados de DCDiag pueden ser abrumadores debido a su verbosidad. Pero, como cualquier seguimiento, tiene más sentido saber qué pruebas fallaron que cuáles pasaron. Para limitar el resultado para que muestre solo errores, utilice el /q bandera.
dcdiag /a /q
Ejecución de pruebas específicas
Puede ejecutar pruebas específicas con DCDiagcomo DNS y NetLogons. Puede encontrar todas las pruebas conocidas ejecutando dcdiag /h y refiriéndose a “La lista de pruebas conocidas.”.
Por ejemplo, puedes ejecutar la prueba de DNS ejecutando este comando:
dcdiag /test:DNS /v /e
El /v switch hace que la salida sea detallada y resume los resultados. Si no hay ningún problema con el servicio DNS, APROBAR debe indicarse en todas partes del “Resumen de los resultados de la prueba de DNS» sección.
El /prueba:DNS flag ejecuta las siguientes subpruebas de DNS. También puede ejecutar cada una de las subpruebas de DNS anteriores individualmente.
Subprueba de DNS | Detalles |
---|---|
/DnsBásico | Realiza las pruebas básicas de DNS. |
/DnsReenviadores | Prueba los reenviadores y las sugerencias de raíz. |
/DelegaciónDns | Prueba de delegación de DNS |
/DnsDynamicUpdate | Prueba las actualizaciones dinámicas de DNS |
/DnsRecordRegistration | Prueba el registro del registro DNS |
/DnsResolveExtNombre | Ejecuta una resolución de nombre DNS de la dirección www.microsoft.com de forma predeterminada. |
/DnsTodo | Ejecuta todas las pruebas anteriores. |
/DnsNombreInternet: | Ejecuta una prueba de resolución de nombres DNS de la dirección de Internet proporcionada |
Si hay errores en la prueba, puede indicarle a DCDiag que realice reparaciones seguras agregando el /arreglar marca antes de intentar arreglarlos manualmente.
DCDiag /Test:DNS /s:DC1.theitbros.com /fix
Otro ejemplo es la prueba NetLogns.
dcdiag /test:netlogons
Verifique la sincronización horaria y los recursos compartidos de red
La hora incorrecta del servidor también puede contribuir a errores de Active Directory. Para probar, ejecute el siguiente comando en su controlador de dominio.
w32tm /monitor
El resultado deseado es que la compensación NTP sea de aproximadamente 0 (+/-), lo que significa que la hora del servidor no está demasiado lejos.
De lo contrario, también debe verificar la sincronización de hora NTP.
Además, verifique si todos los controladores de dominio tienen SYSVOL y Inicio de sesión de red carpetas publicadas como recursos compartidos de red. Estas carpetas son necesarias para aplicar y replicar. Objetos de política de grupo. La lista de carpetas compartidas en un DC se puede mostrar con el comando:
net share