Active Directory es un entorno de TI bastante complejo (incluso si AD consta de controladores de dominio primarios y un solo sitio de AD). Es muy importante que un administrador de sistemas tenga la capacidad de verificar el estado de Active Directory rápidamente y solucionar los problemas. En este artículo, veremos los comandos comunes que puede usar para verificar el estado de AD, encontrar y corregir posibles errores.
DCDiag es una utilidad importante para verificar el estado del controlador de dominio. Inicie sesión en cualquier controlador de dominio, abra un símbolo del sistema como administrador y ejecute el comando:
dcdiag /e /v /q
Este comando realiza una prueba de estado general en los controladores de dominio y Active Directory. Este informe solo enumerará los errores que requieren la atención de un administrador de dominio.
Luego, debe verificar el estado de los servidores DNS (ejecutamos estos comandos en la consola de PowerShell):
DCDiag /Test:DNS /e /v /s:dc01.test.com >c:psDcdiagDNStest.txt
A continuación, abra el informe resultante:
get-content c:psDcdiagDNStest.txt
Si no hay problema con el servicio de DNS, PASS debe indicarse en todas partes en la sección "Resumen de los resultados de la prueba de DNS".
Si hay errores en el informe, intente corregirlos manualmente. Si no puede reparar manualmente los errores de DNS, intente corregirlos usando el comando dcdiag con el arreglar parámetro:
DCDiag /Test:DNS /e /v /s:dc01.test.com /fix
Luego, en todos los controladores de dominio, ejecute el comando:
ipconfig /registerdns
Después de comprobar los DC y los DNS, debe comprobar el estado de la replicación de Active Directory. Inicie sesión en cualquier DC y verifique la replicación con el comando:
repadmin /replsum
Si el delta más grande para cualquier DC es menos de 1 hora y la replicación falla = 0, entonces no hay problemas de replicación en su dominio.
Propina. Las utilidades dcdiag y repadmin están disponibles en cualquier DC con la función ADDS. Si desea utilizar estas herramientas en el escritorio de Windows 10, debe instalar RSAT.
Si encontró errores de replicación, puede obtener información detallada sobre ellos con el comando:
repadmin /showreps
Este comando mostrará qué contexto de nomenclatura no se replica en AD.
El siguiente comando se usa para verificar rápidamente la replicación en un controlador de dominio específico. Si necesita verificar la replicación en todos los controladores de dominio, use el comodín parámetro (puede llevar mucho tiempo):
repadmin /replsummary [DCname|wildcard]
Verifique los registros de USN:
repadmin /showutdvec
Si necesita forzar la sincronización de un controlador de dominio específico con otros participantes de la replicación, ejecute el comando:
replmon /syncall DC01
A continuación, asegúrese de verificar la sincronización de tiempo en los controladores de dominio con el comando:
w32tm /monitor
La compensación de NTP debe estar alrededor de 0 para todos los controladores de dominio. De lo contrario, verifique la sincronización de tiempo en el dominio de Active Directory.
Verifique si todos los controladores de dominio tienen carpetas SYSVOL y Netlogon publicadas como recursos compartidos de red. Estas carpetas son necesarias para aplicar y replicar objetos de directiva de grupo. La lista de carpetas compartidas en un DC se puede mostrar con el comando:
net share
Ahora compruebe si Netlogons funciona correctamente en Active Directory:
dcdiag /test:netlogons
Si todo está bien con Netlogon, “examen aprobado” debe especificarse para todas las pruebas.
Queda por comprobar si se aplican todas las políticas asignadas. Puede hacerlo en cualquier computadora en el dominio usando el gpresultado mando.