DCDiag: איך לבדוק את בריאות בקר מרכזי של תחום בעזרת Powershell

מדריכים
PowerShell

DCDiag: כיצד לבדוק את בריאות ממשק בקר דומיין באמצעות Powershell. DCDiag הוא כלי שורת פקודה עוצמתי המשמש לאבחון בעיות עם בקרי דומיין בסביבת Active Directory של מיקרוסופט ווינדוס. אנו משתמשים בו כדי לבדוק את הבריאות של בקרי הדומיין, לזהות שגיאות או אי עקביות, ולטפל בבעיות של העתקה. DCDiag גם עוזר למנהלים לזהות ולפתור בעיות בהגדרת DNS, שכפול SYSVOL, ושירותים קריטיים אחרים הנדרשים לתפקוד תקין של Active Directory.

אנו מבקרים ב-DCDiag, כלי מיקרוסופט Windows עוצמתי. אנו משתמשים בו כדי לבדוק שירותי DNS, להעריך את הבריאות של בקרי הדומיין, ואף לתקן שגיאות באופן אוטומטי. אף על פי שהוא יחסית פשוט, הכלי חזק מספיק כדי לשמור על בריאות כל בקרי הדומיין שלנו. האם נתחיל עם המאמר DCDiag: כיצד לבדוק את בריאות ממשק בקר דומיין באמצעות Powershellקרא גם איך להוסיף בקר דומיין לדומיין קיים

נתחיל עם המאמר DCDiag: איך לבדוק את בריאות שרת התחום באמצעות Powershell

שימו לב גםאיך להוסיף שרת תחום לתחום קיים

DCDiag: איך לבדוק את בריאות שרת התחום באמצעות Powershell

התקנת כלי DCDiag

אם אנו מפעילים שרת Windows, עלינו להתקין את DCDiag. מיקרוסופט בנה את DCDiag בגירסאות שרת Windows המודרניות, מ-2012R2 וגירסאות מאוחרות יותר.

שימו לב גםבדוק כלי בדיקת בריאות Active Directory

מטרת כלי DCDiag

מטרת DCDiag היא לאבחן ולפתור בעיות עם שליחים ממחוז התחום בסביבת Windows Server. זהו כלי שורת הפקודה המבוצע במגוון רחב של בדיקות בריאות על שליח ממחוז, כולל בדיקות ל DNS, שחרור, LDAP, ניתוח אבטחה של שליח אחד או מרובה בו זמנית ביער שלנו AD או תאגיד. בואו נעבור על כמה מהבדיקות השונות DCDiag עושה על שליח ממחוז:

  1. בדיקות קישוריות – DCDiag בודק אם שליח הממחוז מחובר ל רשת ויכול לתקשר עם שליחים ממחוז אחרים.
  2. בדיקות DNS – בדוק האם שרת האזרחות פותר ורושם באופן תקין את DNS.
  3. בדיקות שכפול – בודק האם שרת האזרחות משתכפל באופן מדויק עם שרתי אזרחות אחרים.
  4. בדיקות אמון – DCDiag בודק האם שרת האזרחות מאמין בתחומים אחרים והאם תחומים אחרים מאמינים בשרת האזרחות.
  5. בדיקות LDAP – בודק האם LDAP שאילתא עובדת כראוי על שרת האזרחות.
  6. בדיקות Kerberos – DCDiag בודק האם אימות Kerberos הזדהות עובד באופן תקין על שרת האזרחות.
  7. SYSVOL בדיקות – DCDiag בודק האם שיתוף הקבצים SYSVOL מתבצע באופן תקין במדריך הדורון.
  8. בדיקות קטלוג גלובלי – DCDiag בודק האם ה-DC מתנהל כשרת קטלוג גלובלי והאם שאילתות קטלוג גלובלי פועלות באופן תקין.

קרא גם כיצד להצטרף לדומיין באמצעות PowerShell

סקירת כלי DCDiag

טוב, עם המאמר DCDiag: איך לבדוק את בריאות של מנהל התחום באמצעות Powershell היא פקודת שורה פשוטה כלי. אנו מפעילים DCDiag על מסמך CMD או על חלון PowerShell. זכור להשתמש ברשות מנהל.

התחביר הבסיסי של DCDiag הוא כדלקמן:

dcdiag.exe /s:[:] [/u:\ /p:*||””]

שם:

  • /s – מנהל התחום
  • /u:\ – שם המשתמש
  • \p:* – הסיסמה

הפקודה הבסיסית שורת זו מחזירה את תוצאות הבדיקה המציגות את הבדיקה העיקרית (קישוריות) וכל בדיקה מוגדרת על מנהל התחום. כדי ללמוד איך להשתמש ב DCDiag פקודה יחד עם כל המנועים שלו, בואו נתחיל עם פקודת העזרה:

dcdiag /?

קרא גם איך להגדיר ולנהל מדיניות סיסמאות של Active Directory

פרמטרי מנוע DCDiag

כדי להשתמש באחד המתגים הבאים, הוסף אותו אחרי הפקודה DCDiag. סיכום של המתגים הפופולריים:

  1. /s <שם שרת> – מציין את שמו של השרת שיבדק. אם לא מצוין שם שרת, DCDiag בודק את המחשב המקומי.
  2. /v – מספק פלט מפורט ומידע נוסף על הבדיקות שנעשו.
  3. /test:<שם הבדיקה> – מציין את שמו של הבדיקה לרוץ. אנו מפעילים בדיקות מרובות על ידי ציון מתגי /test מרובים.
  4. /e – מבצע סט מקיף של בדיקות על המפקד התחום המסוים.
  5. /fix – מנסה לתקן כל בעיות שנמצאו במהלך הבדיקות.
  6. /f:<שם קובץ היומן> – מציין את שמו של קובץ היומן ליצירה.
  7. /c – מציין שDCDiag צריך לבצע רק את הבדיקות הנדרשות לפרסום שירותי מפקד התחום.
  8. /skip:<שם_המבחן> – מדלג על המבחן המסוים.
  9. /l:<שם_קובץ_יומן> – מציין את שם קובץ היומן להוספה במקום להחלפה.
  10. /q – מציין מצב שקט, שמדכא את ההצגה של הודעות מידע מסוימות.
  11. /test:DNS – מבצע בדיקות DNS על הממשק הדומיין המסוים.
  12. /test:KCC – מבצע בדיקות KCC על הממשק הדומיין המסוים.
  13. /test:Replications – מבצע בדיקות שחרור על ה-dc המסוים.
  14. /test:Advertising – מבצע בדיקות פרסום על ה-dc המסוים.
  15. /test:Services – מבצע בדיקות שירותים על ה-dc המסוים.

מעלה כמה מהמנועים הנפוצים ביותר של DCDiag בשורת הפקודה, אך ישנם עוד אפשרויות רבות. אנו יכולים לראות רשימה מלאה של מנועים והגדרותיהם על ידי ריצת הhelp command מעל.

נסה את כלי הדו"ח הבריאות של Active Directory DC שלנו

נסה אותנו בחינם, גישה לכל התכונות. – 200+ תבניות דו"ח AD זמינות. תוכל בקלות להתאים דו"חות AD משלך.




קרא גם Get-MgUserMemberOf – רשימת מיוחדיות הקבוצות של משתמש אזור AD PowerShell

ריצת DCDiag ונפחי שימוש

כדי לרוץ על DCDiag, הקלד את הפקודה DCDiag ללא מנועים כדי לבצע בדיקת DCDiag בסיסית על ה-DC המקומי שלנו (או טיעון).

dcdiag.exe

מאחר ש-DCDiag מזהה אוטומטית את ה-DC הנוכחי (המקומי), אין צורך בממשלת דומיין או הרשאות מנהל. בסעיף הבא, אנו דנים במספר מקרי שימוש בעזרת מנועי DCDiag.

בדיקות בריאות DC רחוקות

עלינו להוסיף את המתג /s: לסוף שם ה-DC ואת האכסניות שלו כדי לבצע אבחון על DC מרוחק (שם משתמש ומילות סוד סיסמה). לדוגמה: 

dcdiag.exe /s:dc01 /u:dc01\Administrator /p:password

DCPromo והרשמה ב- DNS, שנבצע מקומית ולא עבור שליח, לא יושפע מהמתג /s.

שים לב שכאשר אנו מזינים את המידע /u (שם משתמש), עלינו לציין את שם החשבון עם הרשאות מנהל תחום ולהשתמש בפורמט הנכון: תחום/שם משתמש. לכן, למשל, אנו מוסיפים את שם המשתמש (מנהל) עם שם התחום (dc01): /u:dc01\Administrator.

קרא גם כיצד לבדוק את מצב שיתוף פעולה ב-Active Directory

בדיקת בריאות לכל ה-DCs

אנו מחברים כל אתר AD שעשוי לכלול אוסף של מדריכי DC אחד לשני. המתג /a הוא יעיל אם אנו מחלקים את ה-AD לאתרים. זה מאפשר לנו להריץ את יישום DCDiag בו זמנית עבור כל מדריך אתר DC:

dcdiag.exe /s:dc01 /a

קרא גם התקן והגדר שרת DNS ב-Windows Server

השתמש ב-DCDiag לבדיקת DNS

לא משנה מה אנו בודקים, כלי DCDiag תמיד בודק את רישום DNS של כל מדריך דורון בבדיקת הקישוריות הראשונית כברירת מחדל. כמו כן, ייתכן שנבצע בדיקות DNS ספציפיות, כגון מועברים, רישומים התייחסות ואחרים, שכולם עוזרים לחקור בעיות DNS. כדי לבדוק את DNS, השתמש בפקודה הבאה:

dcdiag.exe /s:dc01 /test:dns

הבדיקות הבסיסיות הבאות פועלות כברירת מחדל למעט פירוק השם החיצוני. כל תוצאות DNS מציגות את הבדיקה DNSBasic. אם אין ערך, המתיחה /test:dns כברירת מחדל משתמשת ב /DNSall. הנה כמה בדיקות ספציפיות ל-DNS שאנו קוראים כשאנו משתמשים בכלי DCDiag:

  1. /DNSBasic – בודק אם שרת ה-DNS של שרת התחום מוגדר נכון ומפענח שמות.
  2. /DnsDelegation – בודק, אם ההסמכות של DNS מוגדרת נכון עבור שרת התחום.
  3. /DnsForwarders – בודק האם המעבירים של DNS מוגדרים נכון עבור שרת התחום.
  4. /DnsDynamicUpdate – בודק, האם שרת התחום מבצע עדכונים דינמיים ל-DNS.
  5. /DnsRecordRegistration – בודק, אם הרישום של DNS של שרת התחום מעודכן ומדויק.

בדיקות אלו מוודאות שהתיקון DNS של שליט התחום נכון ופועל כראוי. אם DCDiag מגלה כל סוג של בעיה במהלך בדיקות אלו, DCDiag מתייחס להן במהירות כדי למנוע בעיות אפשריות עם Active Directory ושירותים רשת אחרים. בדיקת DNS צריכה להיראות ככה:

קרא גם שיטות הטובות ביותר עבור קבוצות בטחון של Active Directory

התאמת תוצאות DCDiag

DCDiag מאפשר לנו להתאים את התוצאות על ידי הראשון לנו פחות או יותר מידע. גם תעלומה את התוצאות עבור ניתוח מאוחר יותר. הנה כמה דוגמאות על איך אנו מתאימים את DCDiag דיווח.

הפעלת DCDiag במצב שקט

המנוע השקט /q מתכוון די מועיל, מקטין את גודל הפלט על ידי חשיפת רק רשימת הודעות הטעות. הנה דוגמא ל-DCDiag במצב שקט: 

dcdiag.exe /s:dc01 /q

הפלט עם ה/q מסוננת רק לשגיאות שנראות ככה:

קרא גם יצירת דיווחים של Active Directory Exchange עם PowerShell

רוץ DCDiag עם פלט מפורט

על ידי הוספת התג המפורט /v, רוץ DCDiag עם פלט מפורט. זה מספק לנו מידע נוסף על המשימות היומיומיות שלנו, כגון שגיאות, אזהרות, הודעות מידע מסוימות וכו '. המתג /v הוא ההפך ממתג השקט /q.

כפי שצוין קודם, DCDiag (ללא /v) מספק פרטים מספקים כדי לזהות ולפתור כל בעיה עם שרת התחום שלנו, מה שעשוי להספיק ברוב המקרים. הנה דוגמה לקטע עם תג המפורט: 

dcdiag.exe /s:dc01 /v

הפלט עם המתג /v צריך להיראות ככה:

אנו ממליצים על הפלט המפורט רק אם אנו רואים אזהרות או שגיאות בטבלה הסכמית הרגילה ורוצים לחקור את הבעיה בפירוט רב יותר.

קרא גם לפרוס פתרון מעקב אחר Azure AD

ייצא את תוצאות DCDiag

כלי הכלי DCDiag מאפשר לנו ייצוא את תוצאות בדיקת הבריאות. לדוגמה, אנו שמים את כל תוצאות הבדיקות בקובץ טקסט על ידי הוספת המתג /f לפקודת DCDiag. לדוגמה:

dcdiag.exe /s:dc01 f:c:\dcdiag_dc01_test01.txt

שים לב שאנו מותאמים אישית את שמן קובץ היררכיות ושמים אותו בכל תיקיה ספציפית. אנו פותחים את התוצאות בטקסטון או בכל תוכנת שתומכת בקבצים .txt.

אנו גם יוצאים את התוצאות לXLSX או XML. עם זאת, פונקציה זו עובדת רק עבור המתג /test:dns:

dcdiag.exe /test:dns /x or, /test:dns/x:

DCDiag היא רק כלי אבחון. לכן, היא מבצעת בדיקות שונות ומספקת רק את תוצאותיה. המתג /fix, עם זאת, הוא מתג מדהים שמנסה לתקן את הבעיות המוצגות בבטחה.

dcdiag.exe /s:dc01 /fix

אנו לא צריכים לספק פרמטרים או תכונות נוספים כאשר אנו משתמשים במתג /fix. רק עבור בדיקת MachineAccount, המתג /f פועל. הוא מתקן את מופע הMachineAccount של שרת ה-DC בשמות ייחודיים של שירות (SPNs).

הערה:למרות ש-DCDiag מתכנת את המתג (תיקון) כדי לבצע תיקונים בטיחותיים אוטומטיים, הוא עדיין משנה את שרת האיזור. לכן, חפש את תוצאות הבדיקות לפני שתשתמש במתג /f, ותמיד צור גיבוי של DC.

קרא גם Connect-AzureAD – כיצד להתחבר ל-Azure AD באמצעות Powershell

שימוש ב-DCDiag עם Powershell

אין תקין DCDiag ב-Windows PowerShell. בכל זאת, אנו משתמשים ב-DCDiag ב-PowerShell על ידי הרצת הפקודה dcdiag.exe עם הפרמטרים המתאימים באמצעות ה-cmdlets Invoke-Expression או Invoke-Command. הנה דוגמה כיצד להשתמש ב-DCDiag ב-PowerShell כדי להריץ בדיקות DNS:

Invoke-Expression "dcdiag.exe /test:DNS /v"

בדוגמה זו, השתמשנו ב-cmdlet Invoke-Expression כדי להריץ את הפקודה dcdiag.exe עם הפרמטר /test:DNS כדי להריץ את בדיקות ה-DNS והפרמטר /v לספק פלט מפורט. כמובן, נוכל להחליף /test:DNS בכל בדיקת DCDiag אחרת שברצוננו להריץ. בנוסף, אנו יכולים להשתמש ב-cmdlet Invoke-Command כדי להריץ את DCDiag על מחשב מרוחק.

הנה דוגמה נוספת:

Invoke-Command -ComputerName "ServerName" -ScriptBlock { dcdiag.exe /test:DNS /v }

בדוגמה הקודמת, השתמשנו בפרמטר -ScriptBlock עם Invoke-Command כדי לציין את הקוד שרצינו להפעיל על המחשב המרוחק computer. הפרמטר -ScriptBlock מקבל בלוק תסריט, בעצם בלוק קוד מוקף בסוגריים {}.

כשאנו משתמשים ב Invoke-Command עם הפרמטר -ScriptBlock, אנו מבצעים את בלוק התסריט על המחשב המרוחק שצוין עם הפרמטר -ComputerName, ובלוק התסריט מחזיר את הפלט למחשב המקומי. השימוש בפרמטר -ScriptBlock עם Invoke-Command הוא דרך עוצמתית לביצוע פקודות או תסריטים על מחשבים מרוחקים. זה עוזר לניהול מספרים גדולים של מחשבים בסביבת רשת, בדיוק כמו שהשתמשנו בכלי DCDiag.

תודה שקראתם DCDiag: איך לבדוק את בריאות שליטת המחשבים באמצעות Powershell. נסיים את המאמר עכשיו. 

קרא גם טיפוס בטיחות של שליט ממוקד – הכנה (רשימת צעדים)

סיום DCDiag: איך לבדוק בריאות שליטת המחשבים באמצעות Powershell

לסיכום, DCDiag הוא כלי חיוני עבור מנהלים שמנהלים סביבות Active Directory. הספקת סוויטה מקיפה של בדיקות בריאות עבור שלטי מתמשכים עוזרת למנהלים לאבחן ולפתור בעיות בצורה קלה. היכולת לבצע בדיקות מפורטות הקשורות ל-DNS, שיבוץ, LDAP, אבטחה ועוד הופכת את DCDiag לכלי מועיל להבטיח את בריאותם ויציבותם של שלטי המתמשכים ושל סביבת ה-Active Directory .

על ידי שילוב DCDiag בתהליכי תחזוקה ובדיקה רגילים, מנהלים עוזרים למנוע בעיות חמורות יותר ומבטיחים שסביבת ה-Active Directory שלהם תישאר מאובטחת ואמינה.

Source:
https://infrasos.com/dcdiag-how-to-check-domain-controller-health-using-powershell/