Разное

Syncall repadmin: Принудительная репликация Active Directory на контроллере домена

Содержание

Как устранить неполадки репликации AD с помощью Repadmin

Vasiliy Ponomarenko

26 июня 2021

Обновлено 27 июля 2022

AD Windows

Что такое Repadmin?

Repadmin — это cmd-приложение для диагностики проблем с репликацией AD. С помощью Repadmin можно легко просмотреть топологию репликации для каждого контроллера домена и использовать эти знания, чтобы вручную изменить ее и инициировать репликацию между контроллерами. С помощью Repadmin можно легко проверить метаданные репликации и векторы релевантности (up-to-dateness (UTDVEC)).

Repadmin.exe является встроенной функцией в среде Windows Server, начиная с версии 2008. Она поставляется с ролью AD Directory Services, а также может быть настроена в клиентских ОС, таких как Windows 10 с RSAT.

Список команд

 

Repadmin.exe имеет множество команд, давайте остановимся на самых популярных:

  • /syncall — используется для синхронизации определенного DC с другими
  • /prp — если у вас есть политика репликации паролей (PRP), эта команда помогает управлять ею
  • /queue — показывает текущую очередь репликации
  • /replicate — эта команда помогает выполнить репликацию с одного DC на другой
  • /replsingleobj — эта команда удобна, если вам нужно реплицировать только один определенный объект между доменными контроллерами
  • /replsummary — показывает отчет о текущем состоянии репликации и доступности AD
  • /showattr — используется, когда вам нужно просмотреть атрибуты объекта
  • /showbackup — этот параметр отображает время последнего резервного копирования
  • /showrepl — если вам нужно знать текущее состояние репликации, используйте этот параметр.

Как просмотреть общее состояние репликации

Для того чтобы смотреть состояние репликации у вас она должна быть настроена, как минимум, между двумя доменными контроллерами. Начнем с общего состояния репликации, запустите cmd.exe (start->run->cmd.exe) и введите следующую команду:

repadmin /replsummary

В результате вы увидите все сбои репликации, которые существуют в вашей среде AD.

Как принудительно выполнить репликацию

Предположим, у вас есть сбои в репликации, и вам нужно принудительно выполнить репликацию после устранения сбоя в сети. В командной строке (cmd.exe) с админскими правами на любом DC запустите:

repadmin.exe /syncall /Aped

В дополнение к команде /syncall у нас есть несколько флагов, которые позволят синхронизировать все разделы (/A), использовать push-уведомления для того, чтобы админ мог прервать выполнение команды на каждом этапе (/p), через все сайты Active Directory (/e) используя имена хостов (/d).

Как управлять входящей и исходящей репликацией

Вы можете отключить входящую и/или исходящую репликацию с возможностью повторного включения позже. Для этого выполните следующие команды в командной строке, запущенной под администратором (cmd.exe):

repadmin.exe /options DC01 +DISABLE_INBOUND_REPL

Отключает входящую репликацию на контроллере домена DC01

repadmin.exe /options DC01 +DISABLE_OUTBOUND_REPL

Отключает исходящую репликацию на контроллере домена DC01

repadmin.exe /options DC01 -DISABLE_INBOUND_REPL

Включает входящую репликацию на контроллере домена DC01

repadmin.exe /options DC01 -DISABLE_OUTBOUND_REPL

Включает исходящую репликацию на контроллере домена DC01.

Например, опция отключения исходящей репликации — это хороший способ выполнить обновление схемы без необходимости перестраивать весь лес Active Directory.

Оценка:

5 из 5

Аverage rating : 5

Оценок: 1

191028 Санкт-Петербург Литейный пр. , д. 26, Лит. А

+7 (812) 403-06-99

700 300

ООО «ИТГЛОБАЛКОМ ЛАБС»

191028 Санкт-Петербург Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99

700 300

ООО «ИТГЛОБАЛКОМ ЛАБС»

700 300

Ошибка репликации Active Directory: Target Principal Name is Incorrect

При попытке ручной репликации данных между контроллерами домена Active Directory в остатке Active Directory Sites and Services (dssite.msc) появилась ошибка:

The following error occurred during the attempt to synchronize naming context from Domain Controller X to Domain Controller Y. 
The target principal name is incorrect.
This operation will not continue.

При проверке репликации с помощью repadmin, у одного из DC появляется ошибка:

(2148074274) The target principal name is incorrect.

В журнале событий DC есть такие ошибки:

Source: Security-Kerberos
Event ID: 4

The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server DC2. The target name used was cifs/DC2.winitpro.ru. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Ensure that the target SPN is only registered on the account used by the server. This error can also happen if the target service account password is different than what is configured on the Kerberos Key Distribution Center for that target service. Ensure that the service on the server and the KDC are both configured to use the same password.  If the server name is not fully qualified, and the target domain (winitpro.ru) is different from the client domain (winiptro.ru), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.

Event ID 3210:

Failed to authenticate with \\DC, a Windows NT domain controller for domain WINITPRO.

Event ID 5722:

The session setup from the computer 1 failed to authenticate. The name of the account referenced in the security database is 2. The following error occurred:

В первую очередь проверьте:

  1. Доступность проблемного контроллера домена с помощью простого ICMP ping
  2. Проверьте, что на нем доступен порт TCP 445 и опубликованы сетевые папки SysVol и NetLogon;

Если все ОК, значит проблема в том, между контроллерами домена нарушен безопасный канал передачи данных. Проверьте его с помощью PowerShell команды:

Test-ComputerSecureChannel -Verbose

Служба KDC на целевом контроллере домена не может расшифровать тикет Kerberos из-за того, что в ней хранится старый пароль этого контроллера домена.

Чтобы исправить проблему, нужно сбросить этот пароль. Сначала нужно найти текущий контроллер домена с FSMO ролью PDC.

netdom query fsmo |find "PDC"

В нашем примере PDC находится на MSK-DC02. Мы будем исопользовать это имя в команде netdom resetpwd далее.

Остановите службу Kerberos Key Distribution Center (KDC) на контроллере домена, на котором появляется ошибка “The target principal name is incorrect” и измените тип запуска на Disabled. Можно изменить настройки службы из консоли services.msc или с помощью PowerShell:

Get-Service kdc -ComputerName msk-dc03 | Set-Service –startuptype disabled –passthru

Перезагрузите этот контроллер домена.

Теперь нужно сбросить безопасный канал связи с контроллером домена с ролью PDC:

netdom resetpwd /server:msk-dc02 /userd:winitpro\administrator /passwordd:*

Укажите пароль администратора домена.

Перезагрузите проблемный DC и запустите службу KDC. Попробуйте запустить репликацию и проверить ошибки.

repadmin /syncall
repadmin /replsum
repadmin /showrepl

Если репликация успешно выполнена, в журнале Directory Service Event Viewerа должно появится событие Event ID 1394:

All Problems preventing updates to the Active Directory Domain Services database have been cleared. New Updates to the Active Directory Domain Services database are succeeding. The Net Logon service has restarted

Проверьте состояние вашего домена и контроллеров домена Active Directory согласно этого гайда.

Repadmin: как проверить репликацию Active Directory

В этом руководстве вы узнаете, как использовать инструмент repadmin для проверки репликации Active Directory.

Repadmin — это совершенный инструмент диагностики репликации.

Помимо проверки работоспособности контроллеров домена, его также можно использовать для принудительной репликации и выявления ошибок.

Репликация Active Directory — критически важная служба, обеспечивающая синхронизацию изменений с другими контроллерами домена в лесу.

Проблемы с репликацией могут привести к сбоям аутентификации и проблемам с доступом к сетевым ресурсам (файлам, принтерам, приложениям).

Ниже я покажу вам пошаговый процесс с большим количеством примеров и результатов.

Давайте сделаем это.

Как установить Repadmin

Repadmin был представлен в 2003 году вместе со средствами поддержки Windows Server 2003.

Microsoft начала включать команду repadmin в Windows Server 2008 и выше. Он также присутствует на любом компьютере, на котором установлены средства удаленного администрирования сервера (RSAT).

Примеры repadmin

Чтобы использовать repadmin, вам нужно запустить командную строку от имени администратора. Просто щелкните правой кнопкой мыши cmd и выберите запуск от имени администратора

Пример 1: Отобразите меню справки repadmin

Используйте следующую команду, чтобы просмотреть меню справки, это отобразит все параметры командной строки. Есть много вариантов, и вы, вероятно, не будете использовать большинство из них.

В приведенных ниже примерах я рассмотрю наиболее распространенные и полезные параметры командной строки.

 репадмин /? 

Отображаемые результаты

 C:\Users\rallen>repadmin /?
Использование: repadmin [/u:{домен\пользователь}] [/pw:{пароль|*}]
                             [/повторить[:][:]]
                             [/CSV]
Используйте эти команды для просмотра справки:
/? Отображает список команд, доступных для использования в repadmin, и их
            описание.
/помощь То же, что и /?
/?: отображает список возможных аргументов, соответствующих
            синтаксис и примеры для указанной команды.
/помощь: То же, что и /?:
/experthelp Отображает список команд, предназначенных только для опытных пользователей.
/listhelp Отображает варианты синтаксиса, доступные для DSA_NAME,
            Строки DSA_LIST, NCNAME и OBJ_LIST.
/oldhelp Отображает список устаревших команд, которые все еще работают, но
            больше не поддерживаются Microsoft.
Поддерживаемые команды (используйте /? для подробной справки):
     /kcc Заставляет KCC на целевом контроллере домена немедленно
             пересчитать топологию входящей репликации.
/prp Эта команда позволяет администратору просматривать или изменять политика репликации паролей для RODC. /queue Отображает входящие запросы на репликацию, которые должен выдать контроллер домена. для согласования с исходными партнерами по репликации. /replicate Запускает немедленную репликацию указанного каталога. раздел на конечный контроллер домена из исходного контроллера домена. /replsingleobj Реплицирует один объект между любыми двумя доменами. контроллеры, имеющие общие разделы каталогов. /replsummary Операция replsummary быстро и кратко подводит итоги. состояние репликации и относительное здоровье леса. /rodcpwdrepl Запускает репликацию паролей для указанных пользователей. из источника (центральный контроллер домена) на один или несколько контроллеров домена только для чтения. /showattr Отображает атрибуты объекта. /showobjmeta Отображает метаданные репликации для указанного объекта.
хранится в Active Directory, например идентификатор атрибута, версия номер, исходный и локальный порядковый номер обновления (USN) и GUID исходного сервера и отметка даты и времени. /showrepl Отображает состояние репликации, когда указанный контроллер домена последняя попытка входящей репликации разделов Active Directory. /showutdvec отображает самый высокий зафиксированный порядковый номер обновления (USN). что копия Active Directory целевого контроллера домена отображается как совершенных для себя и своих транзитивных партнеров. /syncall Синхронизирует указанный контроллер домена со всеми репликациями. партнеры. Поддерживаемые дополнительные параметры: /u: указывает домен и имя пользователя, разделенные обратной косой чертой. {домен\пользователь}, у которого есть права на выполнение операций в Активный каталог. Вход в систему с помощью UPN не поддерживается.
/pw: указывает пароль для имени пользователя, введенного с ключом /u. параметр. /retry Этот параметр заставит repadmin повторить попытку привязки к целевому контроллеру домена, если первая попытка потерпит неудачу с одним из следующий статус ошибки: 1722/0x6ba: «Сервер RPC недоступен» 1753 / 0x6d9: "Нет больше доступных конечных точек из сопоставитель конечных точек" /csv Используется с /showrepl для вывода результатов через запятую. формат значения. См. /csvhelp

Пример 2. Подведение итогов состояния репликации и просмотр общей работоспособности

Первая команда, которую следует использовать, — replsummary. Эта команда быстро покажет вам общее состояние репликации. Эта команда покажет вам процент неудачных попыток репликации, а также самые большие дельты репликации.

 repadmin /replsummary 

Отображаемые результаты

 :\WINDOWS\system32>repadmin /replsummary
Время начала сводки репликации: 2018-03-13 04:44:54
Начинается сбор данных для сводки репликации, это может занять некоторое время:
  . ....
Наибольшая дельта исходного DSA не удалась/общая ошибка %%
 ДС1 52м:48с 0 / 5 0
 ДС2 52м:46с 0 / 5 0
Наибольшая дельта целевого DSA терпит неудачу/общая ошибка %%
 ДС1 52м:46с 0 / 5 0
 ДС2 52м:48с 0 / 5 0
 

Пример 3. Показать партнера по репликации и статус

Затем используйте следующую команду, чтобы просмотреть партнера по репликации, а также статус репликации. Это поможет вам понять роль каждого контроллера домена в процессе репликации.

Кроме того, эта команда отображает GUID каждого реплицированного объекта и его результат. Это полезно для определения того, какие объекты не могут реплицироваться.

 repadmin /showrepl 

Результаты отображаются

 C:\Users\rallen>repadmin /showrepl
Repadmin: выполнение команды /showrepl для полного контроллера домена dc1.ad.activedirectorypro.com
Имя-сайта-первого-по-умолчанию\DC1
Параметры DSA: IS_GC
Варианты сайта: (нет)
GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
Идентификатор вызова DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
==== ВХОДЯЩИЕ СОСЕДИ =====================================
DC=объявление,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408
        Последняя попытка @ 2018-03-13 03:52:08 была успешной. 
CN=Конфигурация,DC=объявление,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9дф408
        Последняя попытка @ 2018-03-13 03:52:08 была успешной.
CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408
        Последняя попытка @ 2018-03-13 03:52:08 была успешной.
DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408
        Последняя попытка @ 2018-03-13 03:52:08 была успешной.
DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9дф408
        Последняя попытка @ 2018-03-13 03:52:08 была успешной.
 

Пример 4: Показать партнера по репликации для определенного контроллера домена

Если вы хотите увидеть состояние репликации для определенного контроллера домена, используйте эту команду.

замените именем вашего контроллера домена.

 repadmin /showrepl  

Отображаемые результаты

 C:\WINDOWS\system32>repadmin /showrepl dc2
Имя-сайта-первого-по-умолчанию\DC2
Параметры DSA: IS_GC
Варианты сайта: (нет)
GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9дф408
Идентификатор вызова DSA: 2eb95693-bfa7-4f3f-b52c-139737aa883f
==== ВХОДЯЩИЕ СОСЕДИ =====================================
DC=объявление,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC1 через RPC
        GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
        Последняя попытка @ 2018-03-14 04:21:02 была успешной.
CN=Конфигурация,DC=объявление,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC1 через RPC
        GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
        Последняя попытка @ 2018-03-14 03:52:07 была успешной.
CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC1 через RPC
        GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
        Последняя попытка @ 2018-03-14 03:52:07 была успешной. 
DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC1 через RPC
        GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
        Последняя попытка @ 2018-03-14 03:52:07 была успешной.
DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC1 через RPC
        GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
        Последняя попытка @ 2018-03-14 03:52:07 была успешной. 

Пример 5: Показать только ошибки репликации

Команда showrepl может вывести много информации. Если вы хотите видеть только ошибки, используйте эту команду. В этом примере DC2 не работает, вы можете видеть, что результаты — это все ошибки от DC2.

 C:\WINDOWS\system32>repadmin/showrepl/errorsonly
Repadmin: выполнение команды /showrepl для полного контроллера домена dc1.ad.activedirectorypro.com
Имя-сайта-первого-по-умолчанию\DC1
Параметры DSA: IS_GC
Варианты сайта: (нет)
GUID объекта DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
Идентификатор вызова DSA: a4d22a63-1918-492a-bcd6-7fe286941e72
==== ВХОДЯЩИЕ СОСЕДИ =====================================
DC=объявление,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408
        Последняя попытка @ 2018-03-15 04:19:38 не удалась, результат 8524 (0x214c):
            Операция DSA не может быть продолжена из-за ошибки поиска DNS. 
        1 сбой подряд.
        Последний успех @ 2018-03-14 07:52:08.
CN=Конфигурация,DC=объявление,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9дф408
        Последняя попытка @ 2018-03-15 04:19:38 не удалась, результат 8524 (0x214c):
            Операция DSA не может быть продолжена из-за ошибки поиска DNS.
        1 сбой подряд.
        Последний успех @ 2018-03-14 07:52:08.
CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408
        Последняя попытка @ 2018-03-15 04:19:38 не удалась, результат 8524 (0x214c):
            Операция DSA не может быть продолжена из-за ошибки поиска DNS.
        1 сбой подряд.
        Последний успех @ 2018-03-14 07:52:08.
DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9дф408
        Последняя попытка @ 2018-03-15 04:19:38 не удалась, результат 8524 (0x214c):
            Операция DSA не может быть продолжена из-за ошибки поиска DNS. 
        1 сбой подряд.
        Последний успех @ 2018-03-14 07:52:08.
DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com
    Default-First-Site-Name\DC2 через RPC
        GUID объекта DSA: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408
        Последняя попытка @ 2018-03-15 04:19:38 не удалась, результат 8524 (0x214c):
            Операция DSA не может быть продолжена из-за ошибки поиска DNS.
        1 сбой подряд.
        Последний успех @ 2018-03-14 07:52:08.
Источник: Имя-сайта-первого-по-умолчанию\DC2
******* 1 ПОСЛЕДОВАТЕЛЬНАЯ НЕУДАЧА с 14.03.2018 07:52:08
Последняя ошибка: 8524 (0x214c):
            Операция DSA не может быть продолжена из-за ошибки поиска DNS. 

Пример 6: Показать очередь репликации

Элементы в очереди видны нормально. Если у вас небольшая среда, она часто будет нулевой, потому что происходит мало репликаций. Если вы заметили, что предметы стоят в очереди и никогда не убираются, у вас проблема.

Используйте эту команду для просмотра очереди репликации

 Repadmin /Queue 

Отображаемые результаты

 C:\Users\rallen>repadmin /queue
Repadmin: выполнение команды /queue для полного контроллера домена dc1. ad.activedirectorypro.com
Очередь содержит 0 элементов. 

Пример 7. Как принудительно выполнить репликацию Active Directory

Используйте следующую команду, если вы хотите принудительно выполнить репликацию между контроллерами домена. Вы захотите запустить это на контроллере домена, который вы хотите обновить. Например, если DC1 не синхронизирован, я бы запустил это на DC1.

Будет выполнена репликация по запросу, что означает, что обновления будут передаваться с DC2 на DC1.

 repadmin /syncall dc1 /Aed 

Если вы хотите запустить репликацию, используйте переключатель /P. Например, если вы вносите изменения в DC1 и хотите реплицировать их на другие DC, используйте эту команду.

 repadmin /syncall dc1 /APed 

Результаты отображаются

 C:\WINDOWS\system32>repadmin /syncall dc1 /Aed
Синхронизация всех NC на dc1.
Раздел синхронизации: DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ ВЫЗОВЕ: Выполняется следующая репликация:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408. _msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: Следующая репликация успешно завершена:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: SyncAll Finished.
SyncAll завершен без ошибок.
Раздел синхронизации: DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ ВЫЗОВЕ: Выполняется следующая репликация:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: Следующая репликация успешно завершена:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: SyncAll Finished. 
SyncAll завершен без ошибок.
Раздел синхронизации: CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ ВЫЗОВЕ: Выполняется следующая репликация:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: Следующая репликация успешно завершена:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: SyncAll Finished.
SyncAll завершен без ошибок.
Раздел синхронизации: CN=Configuration,DC=ad,DC=activedirectorypro,DC=com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ ВЫЗОВЕ: Выполняется следующая репликация:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: Следующая репликация успешно завершена:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408. _msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: SyncAll Finished.
SyncAll завершен без ошибок.
Раздел синхронизации: DC=ad,DC=activedirectorypro,DC=com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ ВЫЗОВЕ: Выполняется следующая репликация:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: Следующая репликация успешно завершена:
    От: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com
    Кому: a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.com
СООБЩЕНИЕ О ОБРАТНОМ ОБРАТНОМ СООБЩЕНИИ: SyncAll Finished.
SyncAll завершен без ошибок. 

Пример 8: Экспорт результатов в текстовый файл

Иногда эти команды могут отображать много информации. Вы можете экспортировать любой из вышеприведенных примеров в текстовый файл, это упрощает просмотр позже или сохранение для документации.

просто добавьте > c:\destination folder\filename.txt в конец любой из команд

Вот несколько примеров

 repadmin /replsummary > c:\it\replsummary.txt 
 repadmin /showrepl > c:\it\showrepl.txt 

Дополнительные примеры

Узнайте, когда в последний раз поддерживалась поддержка вашего контроллера домена up
 Repadmin /showbackup * 

Отображает вызовы, на которые еще не ответили

 repadmin /showoutcalls * 

Список информации о топологии

 repadmin /bridgeheads * /verbose 

Генератор Inter Site Top0027

 repadmin /istg * /verbose 

Заключение

Системному администратору важно знать, как устранять неполадки и проверять правильность репликации. repadmin — это простой, но мощный инструмент, которым вы должны уметь пользоваться.

Я надеюсь, что вы нашли это руководство полезным. Если у вас есть какие-либо вопросы, оставьте комментарий ниже.

См. также: 

Как быстро проверить роли FSMO
Использование NSLookup для проверки записей DNS

Надежный Repadmin для управления репликацией AD

Если вы работаете в небольшой среде Active Directory (AD), репликация обычно не представляет большой проблемы. Но по мере роста среды и добавления дополнительных сайтов возникают проблемы с репликацией. Repadmin — идеальный инструмент для устранения неполадок репликации и определения того, что пошло не так.

Не читатель? Посмотрите соответствующий видеоурок!

Не видите видео? Убедитесь, что ваш блокировщик рекламы отключен.

Repadmin — это жизненно важный инструмент в наборе инструментов любого администратора AD, который позволяет просматривать топологию репликации AD и устранять неполадки с точки зрения каждого контроллера домена (DC). Этот учебник проведет вас через плавный и увлекательный путь обучения, чтобы освоить инструмент Repadmin.

Начнем!

Содержание

Предварительные требования

Если вы хотите следовать демонстрационным материалам в этом руководстве и убедиться, что они применимы к вашей среде, убедитесь, что у вас есть:

Не менее двух реплицирующихся контроллеров домена под управлением Windows Server 2008 или более поздней версии. В этом руководстве используется следующее. Все контроллеры домена находятся в лесу/домене с именем test.local с установленной ролью доменных служб Active Directory ( AD DS ).

  • DC01 — сервер Windows Server 2019 на сайте AD с именем Site1.
  • DC02 — сервер Windows Server 2019 на сайте AD с именем Site1.
  • DC03 — сервер Windows Server 2016 на сайте AD с именем Зона 2 .

Если у вас все еще есть старый контроллер домена под управлением Windows Server 2003, загрузите средства администрирования Windows Server 2003 x86.

Запуск Repadmin Tool

Прежде чем приступить к репликации AD с помощью repadmin, вам нужно сначала запустить его и ознакомиться. Чтобы использовать repadmin, вы должны либо подключиться через RDP к контроллеру домена, либо установить пакет средств удаленного администрирования сервера (RSAT) на присоединенном к домену компьютере. В этом руководстве все демонстрации будут выполняться непосредственно на контроллере домена и будут показаны наиболее часто используемые команды repadmin.

На любом доступном контроллере домена:

1. Откройте командную строку от имени администратора.

2. Запустите repadmin без параметров, чтобы понять, с чем вы столкнулись. Repadmin возвращает полный текст справки со всеми поддерживаемыми параметрами.

Запуск repadmin без параметров.

Подводя итоги состояния репликации (

repadmin /replsummary )

Если вы только начинаете поиск и устранение неполадок репликации AD, вам следует начать с широкого и двигаться вниз. The replСводка 9Параметр 0209 — отличный параметр для начала, поскольку он возвращает отличную сводку общего состояния репликации.

Параметр replsummary предоставляет общее представление о работоспособности репликации AD. Когда вы запустите repadmin /replsummary , вы увидите результат, аналогичный приведенному ниже.

Выходные данные для каждого контроллера домена состоят из:

  • Исходный DSA — Статистика исходящей репликации.
  • DSA назначения — Статистика входящей репликации.
  • Самая большая дельта — самый длинный разрыв репликации среди всех ссылок сайта для определенного контроллера домена.
  • Fail — количество неудачных ссылок репликации.
  • Всего — общее количество каналов репликации.
  • %% — Процент неудачных ссылок репликации от общего числа.
  • Ошибка — Отображает любую ошибку репликации вместе с кодом ошибки, например (1722) Сервер RPC недоступен .
 Время начала сводки репликации: 2021-07-26 23:35:41
Начинается сбор данных для сводки репликации, это может занять некоторое время:
  . .....
Наибольшая дельта исходного DSA не удалась/общая ошибка %%
 DC01 44м:47с 0 / 10 0
 DC02 38м:32с 0 / 5 0
 DC03 14м:47с 0 / 5 0
Наибольшая дельта целевого DSA терпит неудачу/общая ошибка %%
 DC01 38м:32с 0 / 5 0
 DC02 44м:47с 0 / 10 0
 DC03 11м:38с 0 / 5 0
 

Проверка соседей по репликации (

repadmin /showrepl )

В среде AD с несколькими контроллерами домена каждый контроллер домена выполняет репликацию с другим контроллером домена, известным как его партнер или сосед. При устранении неполадок с репликацией важно знать топологию репликации.

Чтобы узнать информацию о партнерах по репликации, запустите repadmin /showrepl . Эта команда считывает локальную базу данных AD и предоставляет вам много полезной информации о последней попытке каждого контроллера домена реплицировать раздел AD своего соседа, также известный как контекст именования или контекст репликации.

Вы можете прочитать информацию о репликации удаленной базы данных AD, указав имя хоста контроллера домена в качестве последнего аргумента, например, repadmin /showrepl DC02 .

Параметр /showrepl показывает различную информацию, такую ​​как:

  • Соседний DC для репликации.
  • Является ли контроллер домена глобальным каталогом.
  • Способ репликации контроллера домена через IP или SMTP.
  • Ссылки сайта для каждого контекста именования.
  • GUID ссылки сайта.
  • Время последней попытки репликации контроллера домена и состояние
Обнаружение партнеров репликации контроллера домена для всех контекстов именования

Мониторинг очередей репликации (

repadmin /queue )

В зависимости от графика репликации контроллер домена иногда может отставать от своего соседа. Когда это происходит, его очередь начинает увеличиваться. Очередь — это количество элементов, ожидающих репликации в нее от соседа-источника.

Очередь ДЦ должно быть равным нулю, что указывает на полностью реплицированные разделы, но иногда очередь может начать увеличиваться в перегруженной сети.

Чтобы просмотреть очередь, запустите repadmin /queue , как показано ниже. В этом случае вы увидите, что DC полностью реплицирован со своим соседом.

Проверка очередей репликации AD с помощью repadmin

Если вы заметили, что очередь медленно увеличивается, эта ситуация может указывать на проблему. Если это так, обязательно устраните следующие неполадки:

  • Загрузка ЦП на контроллере домена (исходном партнере по репликации).
  • Слишком много одновременных партнеров по репликации.
  • Медленное сетевое соединение.
  • Слишком много изменений в объектах Active Directory.

Проверка топологии входящей репликации (

repadmin /kcc )

Для расчета топологии репликации каждый контроллер домена запускает проверку согласованности знаний (KCC). KCC отвечает за то, чтобы конкретный контроллер домена знал, кто является его входящим соседом. По умолчанию KCC запускается каждые 15 минут, но при необходимости вы можете вызвать его вручную.

Если, например, вы удалите ссылку на сайт или каким-либо образом измените конфигурацию репликации, полезно запустить KCC вручную, чтобы переоценить топологию репликации. Для этого запустите repadmin /kcc , как показано ниже.

Вы увидите, что KCC возвращает сайт DC, на котором вы его запускаете, вместе с тем, была ли проверка успешной или нет.

 Repadmin /kcc DC01 
Запуск KCC

Вы также можете активировать KCC на всех контроллерах домена на сайте с помощью параметр site , например, repadmin /kcc site:Site1 .

Запуск репликации раздела вручную (

repadmin /replicate )

Несмотря на то, что разделы обычно остаются синхронизированными, иногда полезно принудительно выполнить репликацию вручную при устранении неполадок. Принудительный процесс репликации между контроллерами домена позволяет быстро получить информацию о том, действительно ли репликация работает или нет.

Инициировать ручную репликацию с помощью /replicate , как показано ниже. Параметр /replicate требует не менее трех аргументов, остальные необязательны:

  • Конечный контроллер домена для репликации на .
  • Исходный контроллер домена для репликации из .
  • Контекст именования для репликации.

Найдите контекст именования, запустив repadmin /showrepl .

 Repadmin /replicate   <Контекст именования> 

Например, репликация раздела схемы с DC01 на DC02 будет выглядеть как приведенная ниже команда.

 repadmin /replicate DC02 DC01 CN = схема, CN = конфигурация, DC = тест, DC = локальный
Синхронизация с DC01 на DC02 успешно завершена. 

Ручной вызов репликации для всех (

repadmin /syncall )

Если параметр /replicate реплицирует один раздел, параметр /syncall является ядерным подходом. /синхронизация Параметр имеет возможность синхронизации всех разделов на всех контроллерах домена.

Параметр /syncall отлично подходит для тех случаев, когда вы хотите протестировать всю топологию репликации в целом или даже имитировать поведение параметра /replicate , как вы увидите ниже.

Репликация единого контекста именования для контроллеров домена на одном сайте

Для параметра /syncall требуется только один аргумент, контроллер домена, для проверки репликации в/из. Например, если вы хотите протестировать репликацию в/из контроллера домена с именем DC01, вы должны выполнить приведенную ниже команду. Эта команда проверит репликацию только раздела каталога конфигурации.

Указав только контроллер домена для проверки репликации на/с, repadmin будет вызывать репликацию только на/с контроллеров домена в пределах одного и того же сайта.

 Repadmin /Syncall DC01 /d 
Репликация контекста именования конфигурации для контроллера домена с помощью repadmin

Репликация всех контекстов именования для контроллеров домена на одном сайте

Но что, если вам нужно реплицировать все контексты именования в/из определенного контроллера домена в рамках одного и того же сайта. В этом случае вы должны использовать аргумент /A . Ниже вы увидите, что вывод теперь включает все контексты именования.

 Repadmin /Syncall DC01 /d /A 

Используйте аргумент /e для принудительной репликации на всех контроллерах домена на всех сайтах.

Репликация всех контекстов именования для контроллеров домена на одном сайте с помощью repadmin

Обратите внимание, что все аргументы чувствительны к регистру!

Выталкивающая репликация

По умолчанию репликация контроллера домена является операцией вытягивания, но вы также можете настроить репликацию для выталкивания. Например, возможно, вам нужен DC01 для отправки обновлений на DC02 вместо DC02 9.0157 тянет отличается от DC01. Для этого добавьте аргумент /P , чтобы изменить направление репликации.

Теперь вы увидите, что ниже происходит репликация с DC01 на DC02.

 Repadmin /Syncall DC01 /d /P 
Принудительная принудительная репликация с помощью repadmin

Получение гранулярности: репликация одного объекта

В приведенных выше примерах вы реплицировали все изменений, но repadmin также может выполнять гранулярную репликацию и репликацию одного AD объект. Использование /replsingleobj , вы можете выбрать один объект и управлять его полной репликацией от исходного до целевого контроллера домена.

Чтобы продемонстрировать, давайте реплицируем пользовательский объект с именем User1 из DC02 в DC01.

В этой демонстрации PowerShell и модуль Active Directory будут использоваться для поиска различающегося имени (DN) объекта пользователя, но PowerShell не требуется для использования параметра /replsingleobj .

Чтобы реплицировать объект пользователя домена, сначала найдите DN объекта пользователя. В приведенном ниже примере DN назначается переменной PowerShell 9.0208 $UserDN . Получив DN, запустите repadmin /replsingleobject , указав исходный ( DC01 ) и целевой контроллер домена ( DC02 ), чтобы реплицировать этот объект из/в.

В случае успеха вы увидите, что DC01 реплицировал пользовательский объект на DC02.

 $UserDN=(Get-ADUser user1).DistinguishedName
repadmin /replsingleobj DC01 DC02 $UserDN 
Принудительная принудительная репликация с помощью repadmin

Обнаружение сайтов для всех контроллеров домена

Итак, вы узнали несколько удобных параметров, помогающих устранять проблемы с репликацией AD. Но знаете ли вы, что repadmin также включает в себя несколько простых и полезных отчетов? Одним из наиболее полезных отчетов, предоставляемых repadmin, является отчет о межсайтовой топологии.

Когда вы указываете параметр /istg , repadmin создает базовый отчет о межсайтовой топологии, в котором показано, на каких сайтах находится каждый DC.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *