IT ekipleri, Active directory sağlığını sürekli olarak kontrol etmelidir. Bu adım AD performansının optimize edilmesi ve olası sorunların önlemlerinin alınması için, IT ekiplerinin işlerini kolaylaştıracaktır.
Bu makale, BT ekiplerinin AD durumlarını değerlendirip kontrol edebilecekleri. Ve gerekirse iyileştirici eylemler gerçekleştirebilecekleri yalnızca beş yolu ele alıyor. Bu kapsamlı bir liste değildir.
1- Etki alanı denetleyicilerinin senkronize olduğundan ve çoğaltmanın devam ettiğinden emin olun
Kontrol için aşağıdaki komutu çalıştırın.
Repadmin /replsummary Komutun Örnek Çıktısı:
2- SYSVOL’un paylaşıldığından emin olun.
Bunun için aşağıdaki komutu çalıştırın.
Dcdiag /e /test:sysvolcheck /test:advertisingBöylece, Bu komutun örnek çıktısı:
3-Tüm bağımlılık hizmetlerinin düzgün çalıştığından emin olun
Active Directory Etki Alanı Hizmetlerinin verimli çalışması için kritik olan dört sistem bileşeni vardır. 1) DFS Çoğaltma. 2) DNS Sunucusu. 3) Siteler Arası Mesajlaşma ve 4) Kerberos Anahtar Dağıtım Merkezi
Ve bu bileşenlerin düzgün çalıştığını kontrol etmek için aşağıdaki komutu çalıştırın.
$Services='DNS','DFS Replication','Intersite Messaging','Kerberos Key Distribution Center','NetLogon',’Active Directory Domain Services’
ForEach ($Service in $Services) {Get-Service $Service | Select-Object Name, Status}Bu komutun çıktısı, aşağıdaki gibi olacaktır.
4 – Etki alanı denetleyicisinin çeşitli yönlerini kontrol etmek için Etki Alanı Denetleyicisi Tanılama aracını (DCDiag) kullanın
Öncelikle, DCDiag aracı BT yöneticileri tarafından DNS dahil olmak üzere bir etki alanı denetleyicisinin çeşitli yönlerini test etmek için kullanılabilir. Etken olarak AD’nin çalışmamasının en yaygın nedenlerinden biri DNS’dir. DNS hatası, çoğaltma hatasına yol açabilir. DNS için DCDiag’ın çalıştırılması, BT yöneticilerinin DNS ileticilerinin durumunu, DNS yetkisini ve DNS kaydı kaydını kontrol etmesine olanak tanır
Aşağıdaki komutu çalıştırarak testleri yapabilirsiniz.
DCDiag /Test:DNS /e /vKomutun örnek çıktısı:
5 – Güvenli olmayan LDAP bağlantılarını tespit edin
Öncelikle, güvenli olmayan LDAP bağlantılarının güvenlik açığını azaltmaya yönelik ilk adım, etkilenip etkilenmediğinizi belirlemektir. Bunu, olay kimliği 2887’ye bakarak yapabilirsiniz. Olay 2887, varsayılan olarak DC’de her 24 saatte bir günlüğe kaydedilir ve olay imzasız ve açık metin DC’ye bağlanacaktır. Sıfırdan büyük herhangi bir sayı, DC’nizin güvenli olmayan LDAP bağlantılarına izin verdiğini gösterir.
Bu işlem için aşağıdaki komutları çalıştırabilirsiniz.
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 2889
}Daha sonra, olay kimliği 2889’a bakarak, güvenli olmayan bağlamalar kullanan tüm aygıtları ve uygulamaları algılamanız gerekir. Bir istemci bilgisayar imzasız bir LDAP bağlaması girişiminde bulunduğunda DC’de olay 2889 günlüğe ile eklenecektir. İmzasız bir LDAP bağlantısı üzerinden kimlik doğrulaması yapmaya çalışan bilgisayarın IP adresini ve hesap adını görüntüler.
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 2887
}Evet, komutların örnek aşağıdaki gibi olmalıdır.
Böylelikle, bir yazımızın daha sonuna gelmiş olduk.