最近,在項目上做Windows Server 2008 R2 AD DS的健康檢查,使用到了一個裝完AD DS後系統自帶的工具 AD DS的最佳實踐分析程序,發在博客上和各位分享下。
在Windows Server 2008 R2以後的版本中也有,本文是在Windows Server 2008 R2的AD域環境中使用的。
用法,估計大家都會用了,俺分享的主要目的是如何導出或者說是歸檔分析掃描的結果。
一、 AD DS BPA適用的Windows Server 2008 R2的版本
AD DS BPA可以在以下版本的 Windows Server 2008 R2 中使用,且爲域控制器角色或RODS角色:
· Windows Server 2008 R2 Standard
· Windows Server 2008 R2 Enterprise
· Windows Server 2008 R2 Datacenter
二、 AD DS BPA的規則和驗證的條件
以下來源於微軟Technet網站。
在 Windows Server 2008 R2 中,AD DS BPA 掃描驗證下列 AD DS 配置設置:
· 域名系統 (DNS) 相關規則,這些規則驗證所有條件中的下列條件:
o 域控制器能夠訪問與之相關的 DNS 服務器並檢索 DNS 記錄。 (這是前提規則。)
o 域控制器的所有必要域和林主機(A 或 AAAA)資源記錄均已在 DNS 中註冊。
o 域控制器的所有必要 DNS 主機(A 或 AAAA)資源記錄均已在 DNS 中註冊了正確的 IP 地址。
o 域控制器的所有必要的站點特定和全局服務 (SRV) 資源記錄均已在 DNS 中註冊。
o 域控制器的必要別名 (CNAME) 資源記錄已在 DNS 中註冊。
· 操作主機(也稱爲靈活單主機操作或 FSMO)連接規則(前提規則),該規則驗證下列條件:
o 域控制器可以連接到該域中的相對 ID (RID) 操作主機、基礎結構操作主機和主域控制器 (PDC) 仿真器操作主機。
o 域控制器可以連接到該林中的架構操作主機和域命名操作主機。
· 操作主機角色所有權規則,該規則驗證下列條件:
o 架構主機角色和域命名主機角色由林中的同一域控制器擁有。
o RID 主機角色和 PDC 仿真器主機角色由域中的同一域控制器擁有。
· 域中的控制器數目規則,用於驗證下列條件:域至少擁有兩個正在運行的域控制器。
三、 實例操作
實例操作的大致過程如下:
1、先運行圖形界面的AD DS BPA,以掃描出結果;
2、以管理員身份運行PS,並加栽相應的BPA模塊;
3、列舉出當前AD域上可用的BPA模塊ID;
4、從列舉出的BPA模塊中ID選擇AD DS的模塊ID;
5、獲取掃描結果並轉換成HTML格式。
1、在域控制器上(裝有AD DS),打開服務器管理器,並導入至角色—Active Directory 域服務---摘要---最佳實踐分析程序,並運行“掃描此角色”。
2、運行完後,如何取出結果呢,尤其是想導出HTML的文件,以備報告使用?這也是本文行成的真正目的所在。
(AD DS PS的使用,分爲兩種,一是UI的方式,一是PS的方式。本文采用UI的方式運行,PS方式歸檔並導出結果)
以管理員身份,打開PS,運行以下命令,以加載相關模塊:
Import-Module BestPractices -Verbose
(最佳操作實踐分析工具是以PowerShell模塊形式實現的,因此我們在使用時首先需要加載模塊)
3、獲取相關模塊的ID,這個是較重要的一步,一般不知道BPA有哪些模塊,以及模板的名稱是什麼,就可以使用此命令來得到:
Get-BpaModel
(獲得當前PowerShell中所有可用的最佳操作實踐分析工具)
我們主要是用到"Microsoft/Windows/DirectoryServices",也就是AD DS BPA的模塊ID。
4、 得到AD DS BPA的掃描結果,運行轉換,使CSS文件轉換成HTML文件,並保存到相應的位置:
Get-BPAResult –BestPracticesModelId "Microsoft/Windows/DirectoryServices" | ConvertTo-Html –As List –CssUri $env:windir\system32\WindowsPowerShell\v1.0\Modules\BestPractices\BestPracticesReportFormat.css > c:\dsbpa.html
5、使用IE瀏覽器,打開上一步中導出的HTML結果文件,就是如下圖所示的內容了。
至此,也本文完成,再次提醒重點關注第3步、第4步。
