DCDiag: كيفية التحقق من صحة مراقبي المجال باستخدام Powershell

الدروس التعليمية
PowerShell

DCDiag هو أداة سطر الأوامر القوية المستخدمة لتشخيص مشاكل مراقبي المجال في بيئة Microsoft Windows Active Directory. نحن نستخدمه لفحص صحة مراقبي المجال، وتحديد الأخطاء أو التناقضات، وحل مشاكل التكرار. تساعد DCDiag أيضًا المسؤولين في اكتشاف وحل المشاكل المتعلقة بتكوين DNS، والتكرار SYSVOL، وغيرها من الخدمات الحيوية المطلوبة لتشغيل Active Directory بشكل صحيح.

ندرس DCDiag، أداة Microsoft Windows الفعّالة. نحن نستخدمها لاختبار خدمات DNS، وتقييم صحة مراقبي المجال، وحتى تصحيح الأخطاء تلقائيًا. على الرغم من بساطتها نسبيًا، إلا أن الأداة قوية بما يكفي للحفاظ على صحة جميع مراقبي المجال الخاصة بنا.هل نبدأ بالمقالة DCDiag: كيفية فحص صحة مراقبي المجال باستخدام Powershellاقرأ أيضًا كيفية إضافة مراقب مجال إلى مجال موجود

هل نبدأ بالمقالة DCDiag:كيفية فحص صحة ملف تعريف المستخدم باستخدام Powershell

اقرأ أيضًاكيفية إضافة ملف تعريف المستخدم إلى المجال القائم

DCDiag:كيفية فحص صحة ملف تعريف المستخدم باستخدام Powershell

تثبيت أداة الفحص DCDiag

إذاكنا نعمل على خادم Windows،يجب أنيكون DCDiag مثبتًا.لقد تم بناء DCDiag منقبل Microsoftفي إصدارات خادم Windows الحديثة، من2012R2 وإصدارات أحدث.

اقرأ أيضًاتحقق من أداة فحص صحة نشاط المجال

الغرض من أداة الفحص DCDiag

الغرض من DCDiagهو تشخيص وتصحيح المشاكل المتعلقة بمُراقبي المجالفي بيئة ويندوز سيرفر. إنها أداة مُدخل الأوامر التي تجريفحوصاً شاملة على مُراقب المجال، بمافي ذلك اختباراتلـ DNS، التوزيع، LDAP، تحليل الأمانلمُراقب واحد أو أكثرفي وقت واحد داخل غابة مجموعتنا الخاصة أو المؤسسة. دعونا نستعرض بعض الاختبارات المختلفة التي DCDiagيقوم بها على مُراقب المجال:

  1. اختبارات الاتصال – DCDiagيتحقق مما إذاكان مُراقب المجال متصلًا بـ الشبكة ويمكنه التواصل مع مُراقبي المجال الآخرين.
  2. اختبارات DNS – تفحص ما إذاكانت جهاز التحكمفي المجاليحل ويسجل بشكل صحيح DNS.
  3. اختبارات التكرار – تختبر ما إذاكان جهاز التحكمفي المجاليتكرر بدقة مع جهات التحكمفي المجال الأخرى.
  4. اختبارات الثقة – DCDiagيتحقق مما إذاكان جهاز التحكمفي المجاليثقفي المجالات الأخرى وما إذاكانت المجالات الأخرى تثقفي جهاز التحكمفي المجال.
  5. اختبارات LDAP – تتحقق مما إذاكانت استعلامات LDAP تعمل بشكل صحيح على جهاز التحكمفي المجال.
  6. اختبارات Kerberos – DCDiagيتحقق مما إذاكانت التوثيق Kerberos تعمل بشكل صحيح على جهاز التحكمفي المجال.
  7. مجلد SYSVOL الاختبارات – DCDiag يتحقق مما إذا كانت نسخة SYSVOL تعمل بشكل صحيح على جهاز التحكم في المجال.
  8. اختبارات الكتالوج العالمي – DCDiag يتحقق مما إذا كان المجال الفرعي يعمل كخادم الكتالوج العالمي وما إذا كانت طلبات الكتالوج العالمي تعمل بشكل صحيح.

اقرأ أيضًا كيفية الانضمام إلى الكمبيوتر للمجال باستخدام PowerShell

نظرة عامة على أداة DCDiag

حسنًا ، مع المادة DCDiag: كيفية فحص صحة مثبت المجال باستخدام Powershell هي سطر أمر بسيط الأداة. نحن نقوم بتشغيل DCDiag على محطة الأوامر CMD أو نافذة PowerShell. تذكر استخدام حقوق المسؤول.

تركيبة الأساسية ل DCDiag هي كما يلي:

dcdiag.exe /s:[:] [/u:\ /p:*||””]

حيث:

  • /s – مثبت المجال
  • /u: \ – اسم المستخدم
  • \p: * – كلمة المرور

هذا الأساسي سطر الأوامر يعيد نتائج الاختبار التي تظهر الاختبار الأساسي (الاتصال) وأي اختبار محدد على مثبت المجال. لتعلم كيفية استخدام DCDiag الأمر جنبا إلى جنب مع جميع التبديلات الخاصة به ، دعونا نبدأ بالأمر المساعد:

dcdiag /?

اقرأ أيضًا كيفية إعداد وإدارة سياسة كلمة المرور في Active Directory

معاملات تبديل DCDiag

لاستخدام أي من المفاتيح التالية ، أضفها بعد أمر DCDiag. ملخص لمفاتيح الأوامر الشهيرة:

  1. /s <ServerName> – يحدد اسم الخادم الذي سيتم اختباره. إذا لم يتم تحديد اسم الخادم ، يختبر DCDiag الكمبيوتر المحلي.
  2. /v – يوفر نافذة مفصلة ومعلومات إضافية حول الاختبارات التي تم إجراؤها.
  3. /test:<TestName> – يحدد اسم الاختبار المراد تشغيله. نحن نجري اختبارات متعددة عن طريق تحديد مفاتيح /test متعددة.
  4. /e – يقوم بإجراء مجموعة شاملة من الاختبارات على جهاز التحكم في المجال المحدد.
  5. /fix – يحاول إصلاح أي مشاكل تم العثور عليها خلال الاختبارات.
  6. /f:<LogFileName> – يحدد اسم ملف السجل المراد إنشاؤه.
  7. /c – يحدد أن DCDiag يجب أن يقوم فقط بالاختبارات اللازمة للإعلان عن خدمات جهاز التحكم في المجال.
  8. /skip:<TestName> – يُخطئ الاختبار المحدد.
  9. /l:<LogFileName> – يحدد اسم ملف السجل لإلحاق المعلومات بدلاً من الكتابة فوقه.
  10. /q – يحدد وضع الهدوء، الذي يمنع عرض الرسائل المعلوماتية.
  11. /test:DNS – يُجري اختبارات DNS على المُثالي المحدد.
  12. /test:KCC – يُجري اختبارات KCC على المُثالي المحدد.
  13. /test:Replications – يُجري اختبارات التكرار على المُثالي المحدد.
  14. /test:Advertising – يُجري اختبارات الإعلان على المُثالي المحدد.
  15. /test:Services – يُجري اختبارات الخدمة على المُثالي المحدد.

أعلاه هي بعض أكثر المفاتيح المتبادلة لأمر DCDiag المستخدمة، لكن هناك العديد من الخيارات الأخرى متاحة. يمكننا رؤية قائمة كاملة من المفاتيح وتعريفاتها عن طريق تشغيل أمر المساعدة أعلاه.

جرب أداة التقارير الصحية للمجال النشط DC

جربنا مجانًا، وصول إلى جميع الميزات. – 200+ قالب تقرير AD متاحة. بسهولة تخصيص تقارير AD الخاصة بك.




اقرأ أيضًا Get-MgUserMemberOf – قائمة اشتراكات المجموعة للمستخدم Azure AD PowerShell

تشغيل DCDiag واستخداماته

لتشغيل DCDiag، اكتب أمر DCDiag بدون أي مفاتيح لإجراء اختبار DCDiag أساسي على الدي سي المحلي (أو الحجة).

dcdiag.exe

نظرًا لأن DCDiag يحدد تلقائيًا الدي سي الحالي (المحلي)، لا يلزم وجود مراقب دومين أو صلاحيات إدارية. في القسم التالي، نناقش حالات استخدام متعددة باستخدام أزرار مفتاحية DCDiag.

فحوصات صحة الدي سي عن بعد

يجب علينا إضافة مفتاح /s: إلى نهاية إسم المضيف المركزي وبياناته السرية لتشغيل التشخيص على مضيف مركزي عن بعد (اسم المستخدم وكلمة المرور). على سبيل المثال:

dcdiag.exe /s:dc01 /u:dc01\Administrator /p:password

ستظل DCPromo والتسجيل في DNS، التي يتم تنفيذها محليًا وليس لمضيف مركزي المجال، غير متأثرة بمفتاح /s.

لاحظ أنه عندما ندخل معلومات /u (اسم المستخدم)، يجب أن نحدد اسم الحساب بإذن مدير المجال واستخدام التنسيق الصحيح: المجال/اسم المستخدم. على سبيل المثال، نضيف اسم المستخدم (Administrator) مع اسم المجال (dc01): /u:dc01\Administrator.

اقرأ أيضًا كيفية فحص حالة صحة نسخ النشر في Active Directory

فحص الصحة لجميع مضيفي المركزي

نتصال جميع المواقع المحلية للوحدة النشرية التي قد تحتوي على مجموعة من خوادم التوافق النشرية مع بعضها البعض. يكون الت關關/a مفيدًا إذا قمنا بتقسيم الوحدة النشرية إلى مواقع. يتيح لنا تشغيل أداة التوافق النشرية DCDiag بشكل متزامن لجميع خوادم الموقع النشرية:

dcdiag.exe /s:dc01 /a

اقرأ أيضًا تثبيت وتكوين خادم DNS على Windows Server

استخدام DCDiag لاختبار DNS

بغض النظر عن ما نختبره، تتحقق أداة التوافق النشرية DCDiag دائمًا من تسجيل DNS لكل خادم توافق نشري أثناء اختبار الاتصال الأساسي افتراضيًا. أيضًا، قد نجري اختبارات DNS محددة مثل المتابعين، التسجيل السجلات، وغيرها من أجل التحقق من مشاكل DNS. لاختبار DNS، استخدم الأمر التالي:

dcdiag.exe /s:dc01 /test:dns

تتم تشغيل الاختبارات الأساسية التالية بشكل افتراضي باستثناء استجابة التحقق من الأسماء الخارجية. تعرض جميع نتائج DNS اختبار DNSBasic. إذا لم يكن هناك قيمة، فإن الت關關 /DNSall يتوجب تلقائيًا. وفيما يلي بعض الاختبارات المحددة لـ DNS التي نتصل بها عند استخدام أداة التوافق النشرية DCDiag:

  1. /DNSBasic – يتحقق مما إذا كان خادم DNS المسؤول مثبتًا بشكل صحيح ويحل الأسماء.
  2. /DnsDelegation – يختبر إذا كانت التفويضات DNS مثبتة بشكل صحيح للمسؤول المجال.
  3. /DnsForwarders – يتحقق مما إذا كانت المُنْقَلات DNS مثبتة بشكل صحيح للمسؤول المجال.
  4. /DnsDynamicUpdate – يتحقق مما إذا كان المسؤول المجال يقوم بالتحديثات الديناميكية لخادم DNS.
  5. /DnsRecordRegistration – يختبر ما إذا كانت تسجيلات DNS المسؤول المجال حديثة ودقيقة.

هذه الاختبارات تضمن أن تكون تكوين DNS لتحكم المجال DNS configuration صحيحًا ويعمل بشكل صحيح. إذا وجد DCDiag أية أخطاء أثناء هذه الاختبارات، يعالج DCDiag هذه المشكلات على الفور لتجنب مشاكل محتملة مع Active Directory وخدمات شبكة أخرى. يجب أن يبدو اختبار DNS هكذا:


اقرأ أيضًا Active Directory Security Groups Best Practices

تخصيص نتائج DCDiag

يسمح لنا DCDiag بتخصيص النتائج عن طريق عرض معلومات أقل أو أكثر لنا. كما يمكن تصدير النتائج للتحليل فيما بعد. إليك بعض الأمثلة حول كيفية تخصيص DCDiag التقارير.

تشغيل DCDiag في وضع الهدوء

يصبح التبديل الهادئ /q مفيدًا للغاية، مما يقلل حجم الإخراج عن طريق عرض فقط قائمة الرسائل الخاطئة. إليك مثالًا على DCDiag في وضع الهدوء: 

dcdiag.exe /s:dc01 /q

الإخراج مع /q يتم تصفيته فقط للأخطاء ويبدو هكذا:


اقرأ أيضًا إنشاء تقارير Active Directory Exchange باستخدام PowerShell

قم بتشغيل DCDiag مع إخراج مفصل

بإضافة العلم /v المفصل ، قم بتشغيل DCDiag مع إخراج مفصل. يوفر لنا معلومات أكثر حول مهامنا اليومية ، مثل الأخطاء ، تحذيرات ، رسائل معلوماتية ، إلخ. المفتاح /v هو عكس المفتاح الهادئ /q.

كما ذكر سابقًا ، يوفر DCDiag (بدون /v) تفاصيل كافية لتحديد وحل أي مشكلة مع مراقب المجال لدينا ، وقد يكون هذا كافيًا في معظم الحالات. فيما يلي مثال على قطعة مع مفتاح المفصل: 

dcdiag.exe /s:dc01 /v

يجب أن يبدو الإخراج مع المفتاح /v هكذا:

نوصي فقط بالإخراج المفصل إذا رأينا تحذيرات أو أخطاء في الجدول الموجز القياسي ونرغب في تحقيق المزيد من التفاصيل حول المشكلة.

اقرأ أيضًا نشر حل مراقبة لوحدة التحكم في Azure AD

تصدير نتائج DCDiag

يتيح لنا أداة واجهة برمجة التطبيقات DCDiag تصدير نتائج الفحص الصحي. على سبيل المثال ، نحفظ جميع نتائج الاختبار في ملف نصي عن طريق إلحاق المفتاح /f بأمر DCDiag. على سبيل المثال:

dcdiag.exe /s:dc01 f:c:\dcdiag_dc01_test01.txt

لاحظ أننا نقوم بتخصيص اسم ملف السجل السجل وحفظه في أي مجلد معين. نفتح النتائج في مفكرة أو أي برنامج يدعم ملفات .txt.

نقوم أيضًا بتصدير النتاؼ إلى XLSX أو XML. ومع ذلك، لا يعمل هذا الوظيفة الا بالمفتاح /test:dns:

dcdiag.exe /test:dns /x or, /test:dns/x:

DCDiag هو عبارة عن أداة تشخيصية فقط. لذلك، فإنه يجري اختبارات مختلفة ويقدم فقط نتائجه. مفتاح /fix، ومع ذلك، هو مفتاح رائع يحاول إصلاح المشكلات المذكورة بأمان.

dcdiag.exe /s:dc01 /fix

لا نحتاج إلى توفير المزيد من المعلمات أو الخصائص عند استخدام مفتاح /fix. فقط للاختبار MachineAccount، يعمل مفتاح /f. يصلح كائن MachineAccount لـ DC’s أسماء الخادم الرئيسي الفريد للخدمة (SPNs).

ملاحظة: على الرغم من أن DCDiag يصمم المفتاح (إصلاح) لجعل الأمان الإصلاحات التلقائية ، فإنه لا يزال يغير مراكز التحكم في المجال. نتيجة لذلك ، تحقق من نتائج الاختبار قبل استخدام المفتاح /f ، وأيضًا أنشئ نسخة احتياطية من DC.

اقرأ أيضًا Connect-AzureAD – كيفية الاتصال بـ Azure AD باستخدام Powershell

استخدام DCDiag مع PowerShell

لا يوجد مكافح لـ DCDiag في Windows PowerShell . ومع ذلك، نستخدم DCDiag في PowerShell عن طريق تشغيل أمر dcdiag.exe مع المعلمات المناسبة باستخدام الأوامر Invoke-Expression أو Invoke-Command . هنا مثال على كيفية استخدام DCDiag في PowerShell لتشغيل اختبارات DNS: 

Invoke-Expression "dcdiag.exe /test:DNS /v"

في هذا المثال، استخدمنا أمر Invoke-Expression لتشغيل الأمر dcdiag.exe مع المعلمة /test:DNS لتشغيل اختبارات DNS والمعلمة /v لتقديم نتائج مفصلة. بالطبع، يمكننا استبدال /test:DNS بأي اختبار DCDiag آخر نريد تشغيله. بديلًا، نستخدم أمر Invoke-Command لتشغيل DCDiag على جهاز بعيد.

هنا مثال آخر:

Invoke-Command -ComputerName "ServerName" -ScriptBlock { dcdiag.exe /test:DNS /v }

في المثال السابق، استخدمنا معاملة -ScriptBlock مع Invoke-Command لتحديد الشفرة التي نريد تشغيلها على الكمبيوتر البعيد. تأخذ معاملة -ScriptBlock كتلة سكربت، أي كتلة من الشفرة محاطة بأقواس {}.

عندما نستخدم Invoke-Command مع معاملة -ScriptBlock، نقوم بتنفيذ كتلة السكربت على الكمبيوتر البعيد المحدد بواسطة معاملة -ComputerName، وترجع كتلة السكربت الناتج إلى الكمبيوتر المحلي. استخدام معاملة -ScriptBlock مع Invoke-Command هو طريقة قوية لتنفيذ الأوامر أو السكريبتات على الكمبيوترات البعيدة. يساعد في إدارة عدد كبير من الكمبيوترات في بيئة الشبكة، تمامًا كما استخدمنا أداة ال-DCDiag.

شكرًا لك على قراءة DCDiag: كيفية فحص صحة مركز التحكم في المجال باستخدام Powershell. سنختتم المقال الآن.

قراءة المزيد أفضل الممارسات لأمان مركز التحكم في المجال – تصوير (قائمة)

ملخص DCDiag: كيفية فحص صحة مركز التحكم في المجال باستخدام Powershell

في الختام، DCDiag هو أداة مهمة للمسؤولين الذين يديرون بيئات Active Directory. توفر جميع الفحوصات الصحية للمراقبين المجال يساعد المسؤولين على تشخيص وتصحيح المشكلات بسهولة. القدرة على إجراء اختبارات مفصلة تتعلق بـ DNS والتوصيل و LDAP والأمان وأكثر من ذلك يجعل DCDiag أداة قيمة لضمان صحة واستقرار المراقبين وبيئة Active Directory البيئة.

من خلال دمج DCDiag في الصيانة المنتظمة و المراقبة الروتينية، يساعد المسؤولون على منع حدوث مشاكل أكثر خطورة وضمان أن بيئة Active Directory لا تزال آمنة وموثوقة.

Source:
https://infrasos.com/dcdiag-how-to-check-domain-controller-health-using-powershell/