Небольшой справочник по диагностике службы каталогов.

1. Команды для общего тестирования:

Код:
netdom query fsmo 
dcdiag /e /v /q
dcdiag /n:local /e /v /f:c:\adtest.log
Ключи /q можно не использовать если нужна информация не только об ошибках.

2. Тестирование DNS серверов.
Выполнение на одном из контроллеров домена, вывод перенаправляем в файл c:\Result.txt :
Код:
DCDiag /Test:DNS /e /v /s:PDC.domain.local > c:\Result.txt
Если всё хорошо то увидим везде слово PASS
Если полученные ошибки не получается поправить в ручную - пробуем:
Код:
DCDiag /Test:DNS /e /v /s:PDC.domain.local /fix
Далее выполняем ipconfig /registerdns на обоих контроллерах.

3. Тестирование репликации Active Directory.
Код:
repadmin /replsum
repadmin /showreps
Количество сбоев должно быть равно 0

4. Диагностика синхронизации времени в домене.
При запуске на контроллере домена (КД) показывает, насколько отличается время на других КД и на внешнем источнике времени, на который настроен PDC
Код:
w32tm /monitor
Если все плохо:

w32tm /query /source - выводит источник времени, на который настроена служба Windows Time
w32tm /monitor - при запуске на контроллере домена (КД) показывает, насколько отличается время на других КД и на внешнем источнике времени, на который настроен PDC
w32tm /config /syncfromflags:manual /manualpeerlist:ru.pool.ntp.org - настройка в качестве источника времени пула ntp-серверов ru.pool.ntp.org
w32tm /config /update - эту команду необходимо выполнить, чтобы служба времени применила новые настройки
w32tm /resync - выполнение синхронизации времени
w32tm /unregister - отменяет регистрацию службы и удаляет настройки из реестра
w32tm /register - регистрирует службу и восстанавливает настройки по умолчанию

Настройки службы Windows Time хранятся в реестре в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time\

Период синхронизации задается в ветке реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\servic es\W32Time\TimeProviders\NtpClient
ключ SpecialPollInterval содержит интервал синхронизации в секундах

5. Диагностика групповых политик GPO.
Проверяем расшаренные папки SYSVOL и Netlogon.
Через них распространяются групповые политики.
Проверим расшарены ли эти папки. На каждом контроллере домена:

Код:
net share
Далее тест dcdiag
Код:
dcdiag /test:netlogons
Если тесты успешно проходят то в этом случае с шарами всё в порядке.
Чтобы проверить применяются ли GPO можно запустить мастер результатов групповой политики из оснастки Управление групповой политикой (GPMC).