收集活动目录信息。
发现经常安排不过来去现场获取基础架构环境的信息,而客户的维护人员有时候又不知道要帮助收集哪些信息。用韦小宝的话说,我们要运筹什么什么之中,决胜什么什么之外。所以要看看有没有办法不用人在现场就收集一些信息。
在写了一段用来收集Exchange架构的PowerShell之后,由于Exchange非常依赖于AD,我感觉有必要收集更多的AD的信息。所以尝试增加一些AD的脚本。通常来说,了解AD的情况,可以分为几个部分:林和域的情况,站点和子网的情况,复制的情况,域间信任以及组织单元。
- 林和域
收集林的情况主要需要林的名称、根域,功能级别,主机角色和包含站点等信息。
收集域的情况主要需要域名,功能级别,主机角色等信息。
获取五个主机角色,使用两条命令就可以。
Get-ADForest |fl RootDomain,ForestMode,DomainNamingMaster,SchemaMaster
Get-ADDomain |fl Name,DomainMode,InfrastructureMaster,RIDMaster,PDCemulator
当然,每台域控制器的信息也是需要的。
有点杂乱,所以只看名称、所在域、操作系统版本(也可以加上Build Number)和所在站点。
当然,可以按照站点或者其他来记个数。
- 站点和子网
站点和子网的了解,往往是优化AD使用例如登录慢、经常出错的起点之一。而直接使用默认的Get-ADSite的命令,没有我们想要的站点和子网的关联关系。
因此,需要一个有技巧的操作。使用Get-ADObject,直接查询需要的AD对象。
举例来说,为了查看站点及关联的子网,我们可以直接从AD配置里筛选对象类型是Site的AD对象,然后查看这个对象里记录的子网信息。
我相信任何人第一次写的时候一定有点懵,即使你是个AD的老司机。没关系,让我们掏出AD的神器ADExplorer。这是大神Mark好多年前做的工具,伴随我从青春年少,走到了油腻苍老……
找到我们想要收集信息的站点,点击站点对象,就能看到,其实它包含了子网的信息,这些信息在属性siteObjectBL中,所以才可以使用特定的过滤,把这些信息从浩如烟海的AD信息中筛选出来。
过滤器的写法,就是'objectClass –eq "site"',为了避免搜索整个AD,我们加上起始搜索位置,即'CN=Configuration,DC=contoso,DC=com'。DC的名称按照实际域名修改即可。
我发现看上去结果不是很顺眼,所以改从子网来显示对应站点。这当然也没有问题。把过滤器写成'objectClass –eq "subnet"',然后收集属性 siteObject即可:
Get-ADObject -Filter 'objectClass -eq "subnet"' –SearchBase 'CN=Configuration,DC=contoso,DC=Com' -Properties siteObject | FT Name,siteObject
站点链接的话,一条简单的PowerShell就搞定了。可以用FormatList/fl 让输出看的清爽一些。
- AD复制
Get-ADReplicationConnection
Get-ADReplicationSite
Get-ADReplicationSiteLink
Get-ADReplicationSiteLinkBridge
Get-ADReplicationSubnet
Get-ADReplicationFailure
测试环境就一台DC,先放着吧。
- 信任关系
Get-ADTrust
测试环境暂时没做多域,先放着吧。
- 组织单元
想起十几年前,用VB脚本加上递归查询OU了……通常在初步了解AD信息时,其实很少马上收集OU、用户、组等信息,因为数量太大。如果需要收集的话,当然也不是没办法。
