Troubleshooting: herramientas testeo AD y replicación

Tenemos varias herramientas

Repadmin.exe

Permite reportar el estatus de replicación en cada Domain Controller

Podemos obtener ayuda para los comando con: repadmin /?:<comando>

  • Repadmin /showrepl <fqdn_DC:>
  • Repadmin /showrepl * /CSV: c:\myfile.scv

Updated: la utilidad “Active Directory Replication Status Tool” ha sido lanzada recientemente por microsoft y mejora en comando anterior. Descargar aquí

 

Muestra los partner de replicación del DC especificado. Si indico el DC02, me mostrara la replicacion con los otros DC

Si no pongo el FQDN muestra los partner del DC en el que estoy conectado. Por defecto solo muestra conexiones intra-site.

Si queremos ver las inter-site añadir el argumento /repto à
repadmin /showrepl /repsto


  • Repadmin /showconn FQDN:     // muestra los “objects connection para un DC en concreto”


  • Repadmin /Kcc <DC_FQDN>     // fuerza al KCC a recalcular la topología de replicación entrante


  • Repadmin /replicate <dest_dc> <source_dc> “dc=contoso,dc=com

    fuerza a replicar entre dos partner


  • Repadmin /syncall DC01 /A /e:

Replica el DC01 con todos sus partner de replicación, la opción /A (todas las particiones) /e (todos los sitios) replica incluso con otros sitios

Si no especifico el servidor, entonces se trata del servidor local al que estoy conectado


  • Repadmin /replsummary:     // Nos muestra un resumen de la replicación y salud del bosque


  • /bysrc indicates to collect data for DCs that have replicated from the DC this command is run on
  • /bydest indicates to collect data for DCs that have replicated to the DC this command is run on
  • /sort:Delta means to show the results in descending order

DCDIAG.exe

Realiza una serie de test sobre la replicación y seguridad del AD como son “(Authentication (Auth), Basic Connectivity (Basc), Forwarders (Forw), Delegation (Del), Dynamic registration enabled (Dyn) and Resource Record registration (Rreg)”

Si se ejecuta sobre un DC en local mostrara lo de es DC a no ser que pongamos parámetro “/e”, si queremos conectarnos a uno remoto, usaremos “/s:<domaincontroller>. El comando es

DCDIAG /test:<testname> [/s:remoteDC] /e

La opcion “/e” significa Enterprise, e indica que el test se hara en todos los DC

  • Dcdiag /test:DFSREvent    // reporta cualquier error en la replicación DFS-R


En este caso e “rpc no disponible”, se reinició el DC01 y ya se soluciono

  • Dcdiag /test:FrsEvent    /    / reporta errores en la replicacionFRS
  • Dcdiag /test:FrsEvent
    /s:DC01


  • Dcdiag /test:Intersite     // chequea fallos que evitarían o retrasarían la replicación inter-site



  • Dcdiag /test:KccEvent:     // Identifica errores en KCC


  • Dcdiag /test:Replications: chequea replicación entre dominios


  • Dcdiag /test:Topology        // chequea la topología


  • Dcdiag /test:VerifyReplicas: Comprueba todas las particiones de aplicación están con sus replicas


  • Dcdiag /test:DNS /e/v Test critico para verificar problemas en DNS

 

Troubleshooting for AD

En esta pagina web tenemos algunos errores de AD y su solución

http://www.windowstricks.in/2015/06/active-directory-real-time-issues-and-solutions.html

Nosotroe podemos hacer varios test a modo de consejo para el trobleshooting de nuestro AD

01.- Determinar la salud de DA

Fallos en DNS puede causar problemas como autenticación de los clientes, fallos aplicaciones, fallos de Exchange como GAL lookup, fallos en queries LDAP. El DNS es crítico. Hay una opcionen DCDIAG à

  • dcdiag /test:DNS /e/v

la “/e” indica que el test correra en todos los DNS servers y la “/v” es verbose


02.- Determinar AD Replication Health

A partir de W2003 la herramienta repadmin tiene una opción llamada /replsum. Es similar al dcdiag /test:dns y lo que hace coleccionar información de replicación por cada DC en cada dominio del Forest

  • Repadmin /replsum


Nos reportara la última replicación ocurrida entre el DC en el que ejecutamos el comando sobre cada DC del Forest. La tabla nos muestra la salida del comando. Nos muestra 6 DC en el dominio y el delta desde la ultima replicacion.

Vemos que el domino esta bien, excepto para WTEC02, el cual no ha replicado desde hace 5 dias (largestdelta), dando el error 1722. En este caso era porque estaba shutdown debido a un mantenimiento

03.- Replicación detallada para todos los Domain Contralles del Forest

Similar al anterior, el comando Repadmin /showrepl * /csv > mifile.scv nos da información más detallada exportándola a un CSV separado por comas que tendremos

  • Repadmin /showrepl *        //muestra la replicacion de todos los DC “*”

  • Repadmin /showrepl * /csv > mifile.scv

Este comando nos da más detalles que el repadmin/replsum

04.- NTDS diagnostic

Es esencial para obtener información adicional de DS events. Se habilita en

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\NTDS\Diagnostics

Al habilitarse se volcaran eventos adicionales en el event log para troubleshooting. Los datos vaildos para cambiar estos valores son de 1 a 5. Por defecto es cero que significa información minima

Lo podemos poner a 3, y si necesitamos mas, lo pondremos a 5

Por ejemplo, si queremos mas detalles en replicacion, lo pondríamos a 5. Una vez terminado el troubledshootiong, lo pondríamos a cero

Los mas usados son

  • 1 Knowledge Consistency Checker
  • 10 Performance Counters
  • 13 Name Resolution (this is DNS related)
  • 15 Field Engineering
  • 18 Global Catalog
  • 2 Security Events
  • 5 Replication Events
  • 8 Directory Access
  • 9 Internal Processing

Puertos AD

Be the first to comment

Leave a Reply