AD 巡检(5) GPO状态检查

  • 查看服务器上所有组策略
    1. get-Gpo -All
    2. 不建议修改默认的域策略,域控制器策略,建议单独建立组策略
      • $params = @{
      • All = $true
      • Domain = ‘sales.contoso.com’
      • Server = ‘DC1’
      • ReportType = ‘XML’
      • Path = ‘C:\GPOReports\GPOReportsAll.xml’
      • }
    3. Get-GPOReport @params 组策略报告 ,ReportType 可以是Html形式,
  • 查看客户端应用的组策略
    • gpupdate /force
    • gpresult /h gpreport.html

AD 巡检(4) 核心服务及共享目录检查

重点关注 DNS、DFS、Windows Update、 DCOM、NetLogon等服务

  1. dnscmd /info 查询dns服务器信息
  2. DNS Server 服务状态 Get-Service -Name DNS
  3. Server 服务 Get-Service -Name Server Server 服务没启动的话,就没有办法枚举这台DC上面的共享,造成共享文件夹无法访问,另外一方面导致DPM备份失败
  4. WorkStation 服务 关闭此服务,你将不能访问网络上的共享文件,其他计算机也不能访问本地的共享文件夹。
  5. Computer Browser 服务 这个服务不用检查,AD上面默认是禁用的。只有客户端才是启用的。Computer Browser服务主要用于维护网上邻居中计算机的最新列表,以及其他一些使用NetBIOS协议的网络设备。“网上邻居”显示的内容正是来源于此,如果你的“网上邻居”无法正常显示,很可能是这个服务没有开启。对于这项服务,建议局域网中的用户不要关闭,否则会影响到正常使用。
  6. SYSVOL ,NETLOGON,ADMIN$,IPC$,C$ 共享文件夹查看 sysvol可以使用 dcdiag /test:sysvol 命令检查 ,其它文件夹可以使用 net share 或者 get-smbshare 查看

AD 巡检(3) 域控角色检查

Netdom Query Fsmo

NETDOM [ ADD | COMPUTERNAME | HELP | JOIN | MOVE | QUERY | REMOVE |
MOVENT4BDC | RENAMECOMPUTER | RESET | TRUST | VERIFY | RESETPWD ]

可以通过 netdom help 查看各个子命令的用法

GC 全局编录检查

  1. Get-ADDomainController -Discover -Domain ‘ab.com’ | ft Name,IsGlobalCatalog
  2. nltest /dsgetdc:DomainName 查询GC
  3. Get-ADDomainController-Filter {Site-eq ‘Default-First-Site-Name’}} | FT Name,IsGlobalCatalog
  4. Get-ADForest meraki.edu | FL GlobalCatalogs

AD 巡检(2)网络连通性检查

  1. 获取当前网卡配置
    • get-NetIpConfiguration -All
  2. 网络连通性及端口检查 端口 主要有88,3268,3269,389
    • Test-NetConnection -Port 389 -ComputerName pdc.abc.com
  3. DNS 别名连通性检查
    • Get-DnsServerResourceRecord -ZoneName ‘abc.com’  -ComputerName ‘abc-dc01′  -RRType “CName” | select HostName,RecordType,@{Name=’RecordData’;Expression={$_.RecordData.HostNameAlias.ToString()}} | Where {$_.RecordData -match $ComputerName}
    • 上述命令获得主机的dns Cname
    • 检查 各dns 主机别名连通性 :Test-NetConnection -ComputerName 0e109edb-6d9e-4543-9e95-46992b1cd19d._msdcs.abc.com
  4. 网络连接状态检查
    • Get-NetTCPConnection -LocalAddress ‘10.100.10.2’
    • Get-NetUDPEndpoint -LocalAddress ‘10.100.10.2’

AD 巡检(1)域环境检查

  • 域环境的检查
    1. 域名检查
      • Get-WmiObject -Namespace root\cimv2 -Class Win32_ComputerSystem | Select Name, Domain
    2. 域功能级别,林功能级别
      • Get-ADDomain -Current LocalComputer | Select-Object ‘DomainMode’
      • Get-ADForest -Current LocalComputer | Select-Object ‘ForestMode’
    3. 域控的数量,系统,Fsmo,站点,是否为GC
      • Get-ADDomainController -Filter * | Select-Object Name,OperatingSystem,OperationMasterRoles,Site,IsGlobalCatalog
    4. 是否有其它的角色安装
      • get-WindowsFeature | where InstallState -eq ‘Installed’
      • Get-WindowsFeature | Where-Object {$.InstallState -EQ ‘Installed’} 执行报错