Назначение
Эта шпаргалка — рабочий набор команд по теме AD: команды для FSMO-ролей. Материал рассчитан на повседневную работу системного администратора: быстро проверить состояние, найти причину проблемы, исправить типовой сбой и подтвердить результат.
Короткая логика диагностики
- Сначала фиксируем симптом: что именно не работает, у кого, с какого времени.
- Проверяем базовую доступность: сеть, DNS, права, свободное место, службы.
- Смотрим журналы: системные события часто быстрее показывают причину, чем визуальные ошибки.
- Вносим одно изменение за раз: иначе невозможно понять, что помогло.
- Проверяем результат тем же способом, которым проблема была обнаружена.
Команды с пояснениями
| Команда | Что делает |
|---|---|
Get-ADUser -Filter * |
Показывает пользователей Active Directory. Нужен модуль RSAT ActiveDirectory. |
Get-ADUser user -Properties * |
Показывает подробные свойства пользователя. |
Unlock-ADAccount user |
Разблокирует учетную запись AD. |
Set-ADAccountPassword user -Reset |
Сбрасывает пароль пользователю. |
Get-ADGroupMember "Domain Admins" |
Показывает членов критичной группы. |
Get-ADComputer -Filter * |
Показывает компьютеры домена. |
dcdiag |
Диагностика состояния контроллера домена. |
repadmin /replsummary |
Краткая проверка репликации между DC. |
repadmin /showrepl |
Подробная проверка репликации конкретного DC. |
netdom query fsmo |
Показывает владельцев FSMO-ролей. |
gpupdate /force |
Принудительное обновление GPO на клиенте. |
gpresult /h report.html |
Создает HTML-отчет по примененным политикам. |
nltest /dsgetdc:domain.local |
Проверяет, какой контроллер домена находит клиент. |
echo %logonserver% |
Показывает, через какой DC пользователь вошел. |
w32tm /query /status |
Проверяет состояние синхронизации времени. |
Быстрый набор для копирования
Get-ADUser -Filter *
Get-ADUser user -Properties *
Unlock-ADAccount user
Set-ADAccountPassword user -Reset
Get-ADGroupMember "Domain Admins"
Get-ADComputer -Filter *
dcdiag
repadmin /replsummary
repadmin /showrepl
netdom query fsmo
gpupdate /force
gpresult /h report.html
nltest /dsgetdc:domain.local
echo %logonserver%
w32tm /query /statusПрактический сценарий применения
Если проблема непонятна, начните с проверки версии системы, сетевых настроек, DNS, открытых портов, службы и журналов. Не переходите к радикальным действиям вроде переустановки роли, очистки профиля или удаления пакетов, пока не собраны базовые факты.
Типовые ошибки
- Запуск команд без прав администратора/root.
- Проверка только имени сервера без проверки IP-адреса и DNS.
- Исправление firewall без понимания, какой порт реально нужен.
- Отсутствие резервной копии перед изменением конфигурации.
Проверка результата
После выполнения команд проверьте: служба запущена, порт слушается, DNS возвращает правильный адрес, клиент подключается, в журналах нет новых критических ошибок.