Herramientas de diagnóstico · Vamos a instalar en nuestros Servers que sean DC las herramientas de diagnósticos desde el CD del Server 2003 · Las pruebas las haremos sobre el escenario de Sites creado anteriormente. Tres máquinas WServer 2003, dos siendo DC y una siendo un Router de las subredes de las dos anteriores.
DCDIAG Esta herramienta sirve para hacer una serie de test a los DC’s del dominio o bosque con el fin de poder encontrar algún error entre ellos Desde nuestro Server 1 (Tudela), todo OK C:\Archivos de programa\Support Tools>dcdiag Domain Controller Diagnosis Performing initial setup: [Server2k3-Roberto] Directory Binding Error 5: Acceso denegado. This may limit some of the tests that can be performed. Done gathering initial info. Doing initial required tests Testing server: Tudela\SERVER2K3-ROBER Starting test: Connectivity ......................... SERVER2K3-ROBER passed test Connectivity Doing primary tests
Testing server: Tudela\SERVER2K3-ROBER Starting test: Replications ......................... SERVER2K3-ROBER passed test Replications Starting test: NCSecDesc ......................... SERVER2K3-ROBER passed test NCSecDesc Starting test: NetLogons ......................... SERVER2K3-ROBER passed test NetLogons Starting test: Advertising ......................... SERVER2K3-ROBER passed test Advertising Starting test: KnowsOfRoleHolders ......................... SERVER2K3-ROBER passed test KnowsOfRoleHolder s Starting test: RidManager ......................... SERVER2K3-ROBER passed test RidManager Starting test: MachineAccount ......................... SERVER2K3-ROBER passed test MachineAccount Starting test: Services ......................... SERVER2K3-ROBER passed test Services Starting test: ObjectsReplicated ......................... SERVER2K3-ROBER passed test ObjectsReplicated Starting test: frssysvol ......................... SERVER2K3-ROBER passed test frssysvol Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... SERVER2K3-ROBER failed test frsevent Starting test: kccevent ......................... SERVER2K3-ROBER passed test kccevent Starting test: systemlog ......................... SERVER2K3-ROBER passed test systemlog Starting test: VerifyReferences ......................... SERVER2K3-ROBER passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : weasel Starting test: CrossRefValidation ......................... weasel passed test CrossRefValidation Starting test: CheckSDRefDom ......................... weasel passed test CheckSDRefDom Running enterprise tests on : weasel.org Starting test: Intersite ......................... weasel.org passed test Intersite Starting test: FsmoCheck ......................... weasel.org passed test FsmoCheck
Desde nuestro Server 2 (Burgos), todo OK C:\Archivos de programa\Support Tools>dcdiag Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Burgos\S2K3SERVMIEMBRO Starting test: Connectivity ......................... S2K3SERVMIEMBRO passed test Connectivity Doing primary tests Testing server: Burgos\S2K3SERVMIEMBRO Starting test: Replications ......................... S2K3SERVMIEMBRO passed test Replications Starting test: NCSecDesc ......................... S2K3SERVMIEMBRO passed test NCSecDesc Starting test: NetLogons ......................... S2K3SERVMIEMBRO passed test NetLogons Starting test: Advertising ......................... S2K3SERVMIEMBRO passed test Advertising Starting test: KnowsOfRoleHolders ......................... S2K3SERVMIEMBRO passed test KnowsOfRoleHolder s Starting test: RidManager ......................... S2K3SERVMIEMBRO passed test RidManager Starting test: MachineAccount ......................... S2K3SERVMIEMBRO passed test MachineAccount Starting test: Services ......................... S2K3SERVMIEMBRO passed test Services
Starting test: ObjectsReplicated ......................... S2K3SERVMIEMBRO passed test ObjectsReplicated Starting test: frssysvol ......................... S2K3SERVMIEMBRO passed test frssysvol Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... S2K3SERVMIEMBRO failed test frsevent Starting test: kccevent ......................... S2K3SERVMIEMBRO passed test kccevent Starting test: systemlog ......................... S2K3SERVMIEMBRO passed test systemlog Starting test: VerifyReferences ......................... S2K3SERVMIEMBRO passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : weasel Starting test: CrossRefValidation ......................... weasel passed test CrossRefValidation Starting test: CheckSDRefDom ......................... weasel passed test CheckSDRefDom Running enterprise tests on : weasel.org Starting test: Intersite ......................... weasel.org passed test Intersite Starting test: FsmoCheck ......................... weasel.org passed test FsmoCheck
Una opci贸n interesante para chequear con esta herramienta es que el DC haya registrado correctamente en los DNS los registros necesarios para que sea reconocido y anunciado en el AD como un DC v谩lido Ejecutamos: dcdiag /test:registerindns /dnsdomain:server2k3-roberto.weasel.org /v
Ejecutamos: dcdiag /test:registerindns /dnsdomain:s2k3servmiembro.weasel.org /v
Todo correcto en los dos Servers
NETDIAG Esta herramienta sirve para hacer una serie de test a nivel de red y conexiones en el DC que se lanza C:\Archivos de programa\Support Tools>netdiag .................................... Computer Name: SERVER2K3-ROBER DNS Host Name: Server2k3-Roberto.weasel.org System info : Microsoft Windows Server 2003 (Build 3790) Processor : x86 Family 6 Model 60 Stepping 3, GenuineIntel List of installed hotfixes : Q147222 Netcard queries test . . . . . . . : Passed GetStats failed for 'Paralelo directo'. [ERROR_NOT_SUPPORTED] [WARNING] The net card 'Minipuerto WAN (PPTP)' may not be working because it has not received any packets. [WARNING] The net card 'Minipuerto WAN (PPPOE)' may not be working because i t has not received any packets. [WARNING] The net card 'Minipuerto WAN (IP)' may not be working because it h as not received any packets. GetStats failed for 'Minipuerto WAN (L2TP)'. [ERROR_NOT_SUPPORTED] Per interface results: Adapter : Conexižn de Ă&#x;rea local Netcard queries test . . . : Passed Host Name. . . . . . . . . : Server2k3-Roberto IP Address . . . . . . . . : 192.168.0.1 Subnet Mask. . . . . . . . : 255.255.255.0 Default Gateway. . . . . . : 192.168.0.254 Dns Servers. . . . . . . . : 127.0.0.1 AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Passed NetBT name test. . . . . . : Passed [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge r Service', <20> 'WINS' names is missing. WINS service test. . . . . : Skipped There are no WINS servers configured for this interface. Global results: Domain membership test . . . . . . : Passed NetBT transports test. . . . . . . : Passed List of NetBt transports currently configured: NetBT_Tcpip_{7E8D48ED-042B-4595-BB51-0ABEDC8EC1A7} 1 NetBt transport currently configured. Autonet address test . . . . . . . : Passed IP loopback ping test. . . . . . . : Passed Default gateway test . . . . . . . : Passed NetBT name test. . . . . . . . . . : Passed [WARNING] You don't have a single interface with the <00> 'WorkStation Servi ce', <03> 'Messenger Service', <20> 'WINS' names defined. Winsock test . . . . . . . . . . . : Passed DNS test . . . . . . . . . . . . . : Passed PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1' a nd other DCs also have some of the names registered. Redir and Browser test . . . . . . : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_{7E8D48ED-042B-4595-BB51-0ABEDC8EC1A7} The redir is bound to 1 NetBt transport. List of NetBt transports currently bound to the browser NetBT_Tcpip_{7E8D48ED-042B-4595-BB51-0ABEDC8EC1A7} The browser is bound to 1 NetBt transport. DC discovery test. . . . . . . . . : Passed DC list test . . . . . . . . . . . : Passed Trust relationship test. . . . . . : Skipped Kerberos test. . . . . . . . . . . : Passed LDAP test. . . . . . . . . . . . . : Passed Bindings test. . . . . . . . . . . : Passed WAN configuration test . . . . . . : Skipped No active remote access connections. Modem diagnostics test . . . . . . : Passed IP Security test . . . . . . . . . : Skipped Note: run "netsh ipsec dynamic show /?" for more detailed information The command completed successfully
REPADMIN Esta herramienta sirve para comprobar las réplicas entre los servidores Desde la consola de comandos para las herramientas podemos ejecutar cualquiera de estas dos instrucciones: repadmin /showrepl weasel.org (nombre del dominio) repadmin /showrepl SERVER2K3-ROBER.weasel.org (servidor.nombre del dominio) C:\Archivos de programa\Support Tools>repadmin /showrepl weasel.org Tudela\SERVER2K3-ROBER DC Options: IS_GC Site Options: (none) DC object GUID: 26707ff6-9e82-482b-8920-a860c3622e32 DC invocationID: 26707ff6-9e82-482b-8920-a860c3622e32 ==== INBOUND NEIGHBORS ====================================== DC=weasel,DC=org Burgos\S2K3SERVMIEMBRO via RPC DC object GUID: 76b43f15-3a1b-4326-acf3-84d6976018e9 Last attempt @ 2016-02-27 09:47:42 was successful. CN=Configuration,DC=weasel,DC=org Burgos\S2K3SERVMIEMBRO via RPC DC object GUID: 76b43f15-3a1b-4326-acf3-84d6976018e9 Last attempt @ 2016-02-27 09:47:42 was successful. CN=Schema,CN=Configuration,DC=weasel,DC=org Burgos\S2K3SERVMIEMBRO via RPC DC object GUID: 76b43f15-3a1b-4326-acf3-84d6976018e9 Last attempt @ 2016-02-27 09:47:42 was successful. DC=DomainDnsZones,DC=weasel,DC=org Burgos\S2K3SERVMIEMBRO via RPC DC object GUID: 76b43f15-3a1b-4326-acf3-84d6976018e9 Last attempt @ 2016-02-27 09:47:42 was successful. DC=ForestDnsZones,DC=weasel,DC=org Burgos\S2K3SERVMIEMBRO via RPC DC object GUID: 76b43f15-3a1b-4326-acf3-84d6976018e9 Last attempt @ 2016-02-27 09:47:42 was successful.
Vemos como todo correcto, aquí nos comprueba si todo ha ido correcto con las diferentes particiones: el Dominio DC, la configuración CN, el esquema, las Zonas de dominio del dominio y del bosque REPLMON Es la utilidad gráfica de la herramienta REPADMIN, tiene las mismas funcionalidades pero de un modo gráfico, más intuitivito y fácil de hacer e interpretar; puede comprobar el estado de la réplica entre las diferentes particiones del AD entre los diferentes DC’s implicados; forzar la sincronización entre ellos, ver errores de réplica o hacer testeos de los FSMO. Una vez ejecutado el comando nos aparece esta ventana
Sobre ‘Monitored Servers’ le damos al botón derecho del ratón Nos aparece una única opción ‘Add Monitored Servers’ y en cuanto le damos a ‘Search the directory for the server to add’ ya nos aparece nuestro dominio
Vemos nuestros Sites, (Burgos y Tudela), tendremos que desplegar y elegir sobre el server que estemos. Una vez elegido el Server vemos de este todas las particiones del AD que vamos desplegando y así poder ver si la replica con el otro DC ha replicado correctamente con el otro server (Burgos)
Si nos colocamos sobre una de las particiones, veremos el log de la sincronización de esta partición, con la ultima hora de sincronización y si está correcto o no. En caso de que alguna falle por lo que sea, sobre el nombre ‘Burgos\S2K3SERVMIEMBRO’ veríamos un aspa roja
En caso de querer complementar más información sobre posibles errores entre los DC’s podemos mirar también el visor de sucesos para buscar más datos al respecto. A parte, puede ser interesante en circunstancias determinadas activar a nivel de registro que los datos a recolectar en el visor de eventos sean más detallados. Para ello: How to configure Active Directory diagnostic event logging in Windows Server https://support.microsoft.com/en-us/kb/314980 Si lo que queremos es forzar la réplica de alguna de las particiones del AD con algún DC, basta con elegir dicha partición y con el botón derecho sobre ella seleccionar la opción de sincronización con el DC elegido
Una vez forzada la réplica, podremos ver como hemos indicado antes en el log el resultado de la misma
Para ver los controladores de dominio presentes, seleccionamos nuestro DC y con el botón derecho sobre él elegimos la opción para mostrar los DC’s Show Domain Controllers in Domain
Para ver los DC’s que sean además Catálogo Global (Global Catalog), hacemos lo mismo que anteriormente pero seleccionamos dicha opción Show Global Catalog Servers in Enterprise
En caso de tener varios sitios como en nuestro ejemplo y quisiéramos saber los DC’s designados como cabeza de puente para la replicación entre ellos los haríamos de este modo Show BrigeHead Servers In The Enterprise
En nuestro caso nos devuelve lo siguiente por existir estos
Sino nos devolvería la siguiente imagen
Si queremos ver los roles (si es que tiene) el DC o hacer testeos de los FSMO, en el directorio editamos las propiedades del server monitorizado Properties
Para testear los FSMO nos ponemos en su pestaña y le damos al botón Test (Query)
Para ver que ‘roles’ o ‘Funciones definidas’ tiene este DC, nos situamos sobre la pestaña ‘Server Flags’, al realiza la misma función sobre el servidor secundario, vemos como nos dice que este no es el Primer controlador del Dominio.
Si queremos ver las replicaciones Intra-Site de este DC con otros, nos situamos sobre la pestaña ‘Inbound Replication Connections’
En caso de querer chequear que el KCC (el cual se encarga de generar y mantener el estado de las réplicas tanto Intra con Inter-site) esté funcionando adecuadamente Check Replication Topology
Si queremos ver si hay algún error de objetos sin replicar entre los DC’s Menú Action Search Domain Controllers for Replication Errors
Nos aparecerá la siguiente ventana y tenemos que pulsar sobre ‘RUN SEARCH’ para comenzar el test. Introduciremos el nombre de nuestro dominio en la siguiente ventana
En caso de existir errores nos aparecerían en la ventana de arriba, sino como en nuestro caso nos dice que no existen errores.
PORTQRY Esta herramienta sirve para comprobar la conectividad entre los servidores mediante puertos TCP y UDP Por ejemplo, para verificar la conectividad al puerto 135 de un server portqry /n 192.168.2.1 /p udp /e 135 Querying target system called: 192.168.0.1 Attempting to resolve IP address to a name... IP address resolved to Server2k3-Roberto.weasel.org UDP port 135 (epmap service): LISTENING or FILTERED Querying Endpoint Mapper Database... Server's response: RPC Endpoint Mapper did not respond UDP port 135 is FILTERED ==== End of RPC Endpoint Mapper Query Response ==== Esto es lo que nos devuelve en nuestro caso Aparte:
How to use Portqry to troubleshoot Active Directory connectivity issues https://support.microsoft.com/en-us/kb/816103 NSLOOKUP Se usa para hacer test de resolución de nombres en un servidor DNS. Es muy recomendable hacer la verificación de que los registros de tipo SRV necesarios para que el AD funcione adecuadamente estén correctamente registrados en el DNS. Para ello, en un CMD escribimos nslookup, y a continuación set q=SRV. Tras ello: _ldap._tcp.dc._msdcs.ActiveDirectoryDomainName _ldap._tcp.dc._msdcs.weasel.org (en nuestro caso). Veamos un ejemplo:
DSASTAT Esta herramienta sirve para comparar y detectar diferencias entre las bases de datos de directorio de los DC’s que pueda haber. Sirve de complemento a las anteriores En nuestro caso de las dos máquinas en dos sites, vamos a ejecutar el comando para ver si existe alguna diferencia. Por ejemplo, para ver las diferencias que pueda haber entre nuestros dos DC’s (server2k3, s2k3servmiembro, del dominio weasel.org) dsastat –s:server2k3-roberto;s2k3servmiembro –b:DC=weasel,DC=org
dsastat –s:DomainS1;DomainS2 –b:DC=Domain,DC=com –gcattrs:objectclass –p:999 dsastat –s:server2k3-roberto;s2k3servmiembro –b:DC=weasel,DC=org –gcattrs:objectclass – p:999