Windows - Tartományvezérlők tesztelése

A Windows 2000 tartalmaz egy segédprogramot, amivel a tartományvezérlők beállításait és elérhetőségét lehet igen széles skálán tesztelni. Cikkünkben mutatunk a használatára néhány példát és ismertetjük az alkalmazható kapcsolókat és teszttípusokat. Ez a dcdiag, mely képes állapottesztet végrehajtani a tartományban, erdőben vagy akár az egész vállalati rendszerben és tájékoztat a fellelt problémákról. Az alapvető gondokon túl az apróbb részleteket is megvilágítja, amit lehet, hogy a felhasználók csak a gépük időnkénti furcsa "viselkedéséből" vesznek észre. Előre elkészített, beépített tesztekkel dolgozik, nekünk csak azt kell megmondani, hogy melyiket és melyik tartományvezérlőn futtassa, egyéb beavatkozást nem igényel (persze az eredményeket nekünk kell feldolgozni). Állítható, hogy mennyi információt szolgáltasson, a hibák kiírásán kívül rövid magyarázatokkal és segítségnyújtással is próbál szolgálni. Működését tekintve alapvetően csak olvasási funkciókat hajt végre, tehát nem fogja a gépek konfigurációját megváltoztatni.

Az alábbi teszteket végzi el:

Connectivity:
A tartományvezérlőhöz való csatlakozás ellenőrzése, ez egy alapvető teszt minden más teszt előtt végrehajtja, nem hagyható ki. A következőket ellenőrzi:
  • A kiszolgáló DNS neve regisztrálva van-e a DNS adatbázisban.
  • A kiszolgáló IP címe alapján elérhető-e.
  • Az Active Directory LDAP protokollal elérhető-e.
  • RPC hívásokkal elérhető-e
Replications:
A tartományvezérlők replikációs szolgáltatásának ellenőrzése az alábbiak figyelembevételével:
  • Replikáció letiltott állapotának ellenőrzése.
  • A bejövő replikációs linkek ellenőrzése.
  • Lista az elkésett replikációkról (pl.: hálózati túlterheltség miatti késés).
Topology:
A replikációs topológia ellenőrzése.

CutoffServers:
Azon kiszolgálók listája, amelyek nem lesznek képesek a replikáció fogadására, mert a partnereik nem elérhetőek.

NCSecDesc:
A replikációhoz szükséges biztonsági leírók ellenőrzése.

NetLogons:
Annak vizsgálata, hogy a számítógép jogosultságai elegendőek-e a replikáció elvégzéséhez.

Advertising:
Ellenőrzi, hogy mindegyik tartományvezérlő közzéteszi-e magát a címtárban és hogy ezt tartományvezérlőként teszi-e.

KnowsOfRoleHolders:
A tartományvezérlőnek mi a feladata és tud-e róla (ez az első lépés afelé, hogy eltudja-e látni) és képes-e választ adni egy ilyen kérdésre.
Az alábbi szerepkörök léteznek: Séma, DNS, RID, PDC és Infrastruktúra kiszolgálás.

Intersite:
A helyek (site-ok) közötti replikációt megakadályozó tényezők felderítése.

FSMOCheck:
A "KnowsOfRoleHolders" megegyező, csak globális szerepkörök ellenőrzése.

RidManager:
Ellenőrzi, hogy a RID kiszolgálás elérhető-e és a megfelelő információt szolgáltatja.

MachineAccount:
Ellenőrzi, hogy a számítógép fiók a megfelelő információt szolgáltatja-e.

Services:
A tartományvezérlő szolgáltatások futásának ellenőrzése.

OutboundSecureChannels:
A biztonsági csatornák ellenőrzése.

ObjectsReplicated:
Ellenőrzi, hogy a számítógép fiók és a DSA objektum replikációja megfelelő-e.

frssysvol:
Ellenőrzi, hogy a replikációs szolgáltatás számára elérhető-e a SYSVOL mappa.

kccevent:
A replikációs topológiát felügyelő KCC szolgáltatás ellenőrzése.

systemlog:
Végül egy általános rendszer ellenőrzési folyamat zajlik le.

A fenti lista jól szemlélteti, hogy milyen széles skálán képes a segédprogram végrehajtani az ellenőrzést. Az eredmények feldolgozásához is komoly ismeretekre van szükség. De aki rendelkezik ezzel, annak nagy segítséget nyújt.

Nézzük a gyakorlatban, hogy valósul meg mindez:
Indítsunk el egy parancssori ablakot és végezzünk el egy "Connectivity" (kapcsolat) tesztet a helyi gépen:
dcdiag /test:connectivity
Ha minden rendben van, akkor hasonló végeredményt kapunk:
DC Diagnosis
Performing initial setup:
   Done gathering initial info.
Doing initial non skippeable tests
      Testing server: Alapertelmezett-elso-hely-neve\KENTAUR
      Starting test: Connectivity
         ......................... KENTAUR passed test Connectivity
Doing primary tests
      Testing server: Alapertelmezett-elso-hely-neve\KENTAUR
      Running enterprise tests on : so.zp
Most elállítjuk a TCP/IP beállításoknál a DNS kiszolgáló IP címét egy fals értékre. A teszt ekkor így végződik:
DC Diagnosis
Performing initial setup:
   Done gathering initial info.
Doing initial non skippeable tests
      Testing server: Alapertelmezett-elso-hely-neve\KENTAUR
      Starting test: Connectivity
         KENTAUR's server GUID DNS name could not be resolved to an
         IP address.  Check the DNS server, DHCP, server name, etc
         Although the Guid DNS name         (ddc2f457-8fe4-4f3d-8bf2-f3e6ff3f00e5._msdcs.so.zp)
             couldn't be         resolved, the server name (kentaur.so.zp) resolved to the IP address         (192.168
                .0.2) and was pingable.  Check that the IP address is         registered correctly with the DNS
                    server.
         ......................... KENTAUR failed test Connectivity
Doing primary tests
      Testing server: Alapertelmezett-elso-hely-neve\KENTAUR
      Running enterprise tests on : so.zp
Látható, hogy a tartományvezérlő DNS névfeloldása sikertelen volt. A teszt egy másik tartományvezérlőn is futtatható, ehhez a /s paramétert és utána a tartományvezérlő nevét kell megadni:
dcdiag /s:kentaur /test:replications
Tekintve, hogy a DCDIAG-nak a tartományvezérlők beállításai között kell olvasnia, megfelelő jogosultsággal kell rendelkeznie. Minimum rendszergazdai szint szükséges, de másik tartományok vagy az egész vállalati struktúra ellenőrzéséhez a legmagasabb szint szükséges és ez a vállalati rendszergazda (az első rendszergazda a tartomány létrehozásakor). Ha ilyen vagy ehhez hasonló hibaüzenetekkel találkozunk, nincs megfelelő jogosultságunk:
DC Diagnosis
Performing initial setup:
   [kentaur] LDAP bind failed with error 1323,
   A jelszót nem lehet frissíteni. A jelenlegi jelszóként megadott érték nem megfelelő..
   ***Error: The machine could not attach to the DC because the credentials   were incorrect.  Check
       your credentials or specify credentials with   /u:<domain>\<user> & /p:[<password>|*|""]
A szükséges fiók adatokat így lehet megadni: "/u:tartománynév\rendszergazdanév /p:jelszó". Például:
dcdiag /s:kentaur /test:replications /u:animare\rendszergazda /p:jelszó
Ha paraméterek nélkül futtatjuk a DCDIAG-ot az összes teszt végrehajtódik. A /a kapcsolóval a site-on belüli összes tartományvezérlőt ellenőrzi. A /e kapcsoló pedig az egész vállalati struktúrát. Ha az összes tesztet futtatni akarjuk néhány kivétellel a "/skip:tesztnév" kapcsolót használva kihagyhatóak a felsoroltak.
A kimenetül szolgáltatott adatok mennyisége is szabályozható: /q - csak a hibaüzeneteket jeleníti meg, /v - bővített információt ad.