Comment vérifier l’état de santé de la réplication d’Active Directory

Tutoriels
PowerShell

Comment vérifier l’état de réplication de l’annuaire Active Directory. La réplication Active Directory (AD) est un processus essentiel qui garantit la cohérence des données sur tous les contrôleurs de domaine (DC) d’une organisation. Si la réplication ne fonctionne pas correctement, cela entraîne divers problèmes, notamment des échecs d’authentification et des incohérences de données. Dans cet article, nous discutons et testons comment vérifier l’état de réplication de notre environnement Active Directory à l’aide d’outils et de techniques intégrés.

Lire aussi Déployer l’outil d’état de réplication Active Directory

Comment vérifier la santé de l’état de réplication de l’annuaire Active Directory

Prérequis

Ce tutoriel comportera diverses démonstrations. Pour suivre, assurez-vous que nous avons les éléments suivants :

Lire aussi Comment installer le module PowerShell Active Directory et l’importer

Comprendre les sites, sous-réseaux et liens AD avec PowerShell

Commencez cet article en comprenant le terrain et en inspectant les sites, sous-réseaux et liens de notre environnement en utilisant PowerShell. Tout d’abord, ouvrez PowerShell sur un PC Windows joint au domaine avec le module PowerShell ActiveDirectory installé. Nous importons le module en exécutant le script ci-dessous :

Import-Module ActiveDirectory

Sites Active Directory

Le cmdlet Get-AdReplicationSite est une commande PowerShell qui nous permet de récupérer des informations sur les sites de réplication de votre organisation Active Directory. Cette commande est utile pour une gamme de tâches, y compris l’identification de la topologie de réplication de votre domaine, la résolution des problèmes de réplication et la surveillance de l’état et de l’environnement Active Directory.

Sans paramètres, exécutez le cmdlet Get-ADReplicationSite. Après cela, PowerShell renvoie le site Active Directory à partir duquel nous avons exécuté la commande.

Get-ADReplicationSite

Exécutez Get-AdReplicationSite avec le paramètre Filter et un astérisque (*) pour trouver tous les sites Active Directory pour l’ensemble du domaine.

Get-ADReplicationSite -Filter *

Le paramètre Filter nous permet de filtrer les sites de différentes manières. Exécutez la commande Get-Help sur ActiveDirectory Filter pour en savoir plus sur la création de requêtes pour le paramètre Filter.

Aussi lire Créer des rapports Active Directory Exchange avec PowerShell

Liens de sites Active Directory

Le cmdlet Get-ADReplicationSiteLink est une commande PowerShell qui nous permet de récupérer des informations sur les liens de réplication de site de notre organisation. Dans l’ensemble, les liens de site établissent les voies de réplication entre différents sites de notre environnement Active Directory environnement et constituent un composant essentiel de la topologie de réplication globale. En utilisant le cmdlet Get-ADReplicationSiteLink, nous récupérons et analysons des informations sur vos liens de site, y compris leurs noms, leurs horaires et leur coût.

Cette commande aide à résoudre les problèmes de réplication, surveiller la santé et l’état de votre environnement Active Directory, et optimiser les performances de votre infrastructure de réplication. Pour trouver les liens de site AD, suivez les mêmes étapes pour trouver des sites, mais utilisez la commande Get-ADReplicationSiteLink à la place. Cependant, contrairement à la commande Get-ADReplicationSite, la commande Get-ADReplicationSiteLink nécessite que le paramètre Filtre soit spécifié.

Get-ADReplicationSiteLink -Filter *

Lire aussi Créer des rapports d’ordinateurs Active Directory avec PowerShell

Sous-réseaux Active Directory

Enfin, la commande Get-ADReplicationSubnet est une commande PowerShell qui vous permet de récupérer des informations sur les sous-réseaux de réplication de l’annuaire Active Directory de votre organisation. Les sous-réseaux de réplication définissent les emplacements physiques des contrôleurs de domaine au sein de votre environnement Active Directory et sont essentiels pour déterminer la topologie et les plannings de réplication de notre domaine. En utilisant la commande Get-ADReplicationSubnet, vous pouvez récupérer et analyser des informations sur vos sous-réseaux de réplication, y compris leurs noms, descriptions et emplacements.

Get-ADReplicationSiteSubnet -Filter *

Les trois concepts ci-dessus sont essentiels pour vérifier la réplication AD. Cependant, d’autres commandes peuvent être vitales dans une situation spécifique. Par exemple, exécutez la commande Get-Command “*ADReplication*” pour retourner toutes les commandes PowerShell pour travailler avec les sites AD.

Améliorez la santé de votre Active Directory avec notre outil de santé de l’état de réplication Essayez-nous gratuitement, accédez à toutes les fonctionnalités. – Plus de 200 modèles de rapports AD disponibles. Personnalisez facilement vos propres rapports AD.

Essayez-nous gratuitement, accès à toutes les fonctionnalités.–200+ modèles de rapports AD disponibles. Personnalisez facilement vos propres rapports AD.




Lisez aussi Découvrez les rapports directs d’Active Directory

Comprendre les sites AD, les liens et les sous-réseaux via l’interface graphique

Même si cet article concerne PowerShell, il est toujours nécessaire de comprendre comment inspecter et gérer les sites actifs sites via l’interface graphique. Nous n’utiliserons probablement que rarement PowerShell pour gérer les sites AD.

Sélectionnez Démarrer puis tapez Sites Active Directory. Services de sites et de domaine Active Directory (ADDS) devrait maintenant être visible dans le groupe de programmes Outils d’administration Windows.

Lorsque nous lançons Services de sites et de domaine Active Directory, nous verrons l’écran ci-dessous. Il y a quelques zones intéressantes dans l’outil Sites et services de domaine Active Directory :

  1. Le DC auquel l’outil est actuellement connecté : Il est utile de connaître le DC car il peut prendre plusieurs heures pour se répliquer entre les sites lorsque nous passons.
  2. Transports inter-sites: Les protocoles que les sites utiliseront pour la réplication.
  3. Sous-réseaux: Attribuer et séparer le réseau.

  4. La liste des sites – Nous ne verrons que Default-First-Site-Name dans un domaine par défaut.

Si nous développons les éléments dans AD Sites et Services, nous verrons ce qui suit:

  1. Un transport IP.
  2. Sous-réseaux.
  3. Le contrôleur de domaine contrôleur est attribué aux sites.

Lire aussi Utiliser l’outil d’analyse Azure AD

Surveillance de l’état de réplication à l’aide de Repadmin

Nous devons d’abord comprendre la réplication DC pour comprendre les modifications des comptes d’utilisateurs ou tout changement d’objet AD. Quelle est la relation entre la réplication et la détection des changements ? Numéros de séquence mis à jour (USNs).

Comprendre les modifications de la réplication AD à l’aide des USNs

En fin de compte, Active Directory peut contenir des millions de comptes d’utilisateurs dans un environnement d’entreprise de grande envergure. Avec autant de comptes, suivre ce qui change quotidiennement est presque impossible. Cependant, nous mettons en place des systèmes pour surveiller les modifications des comptes d’utilisateurs comptes en comprenant comment Active Directory procède aux changements.

Même si nous n’avons qu’un seul DC répliquant notre environnement, la compréhension des USNs est essentielle.

Les DC conservent toujours une sauvegarde de la base de données Active Directory. Ils conservent une copie de la base de données en la répliquant. Si c’est le cas, comment savent-ils quand la réplication a lieu sur un seul DC ? C’est dans ce genre de situation que les USN entrent en jeu.

Lorsqu’un attribut d’objet Active Directory change sur un DC, le DC incrémente la valeur USN pour cet objet. Une fois incrémentée, le changement est envoyé à tous les autres DC de la domaine ainsi que la USN.

Lire aussi Testez le rapport de gestion Active Directory

Qu’est-ce qu’un USN?

Eh bien, Active Directory contient de nombreux objets, tels que les utilisateurs, ordinateurs, contacts, etc. Chaque objet possède plusieurs attributs que nous pouvons modifier. De plus, chaque attribut est associé à un numéro unique appelé USN.

Lorsqu’Active Directory modifie les attributs d’un objet, il incrémente automatiquement le USN de cet attribut.

Fonctionnement des USN et de la réplication DC

Lorsque nous incrémentons un attribut d’objet sur un seul DC dans Active Directory, ce DC envoie une demande de réplication de pull. La demande de pull DC indique aux partenaires de réplication DC de récupérer les attributs les plus récents de sa base de données. Ensuite, les partenaires de réplication comparent les copies du USN de l’attribut avec le DC qui initie la réplication. Si l’autre USN est supérieur, le DC de destination autorise le DC de réplication.

Lire aussi Déployer un outil de création de rapports Active Directory

Surveillance des changements de USN avec Repadmin

Maintenant que nous savons comment les USN sont mis à jour, passons à un exemple de suivi des modifications dans Active Directory à l’aide de l’outil de gestion de la réplication de Microsoft (repadmin). Repadmin est un outil avec Active Directory qui nous permet de résoudre les problèmes de réplication entre les DC dans une forêt Active Directory forêt.

1. Connectez-vous à un contrôleur de domaine et ouvrez PowerShell.
2. Exécutez la commande suivante repadmin pour lister toutes les propriétés du compte d’utilisateur user1 avec son numéro de version. L’exemple ci-dessous suppose l’emplacement du user1 compte d’utilisateur dans le Test OU de l’article test.local domaine Active Directory.

repadmin /ShowObjMeta dc01 CN=User1,OU=Test,DC=test,DC=local

Le paramètre /ShowObjMeta nécessite un contrôleur de domaine pour contacter le nom distinct de l’objet . La sortie retournée affiche les métadonnées de réplication pour un objet spécifié stocké dans Active Directory, telles que l’ID d’attribut, le numéro de version, USN d’origine et local, et l’identifiant GUID et la date et l’horodatage du serveur d’origine.

Nous remarquerons ci-dessous que repadmin possède une colonne Ver. Cette version (Ver) la colonne est un nombre incrémentiel représentant le nombre de fois que l’attribut a changé. Cette valeur est l’indicateur pour détecter où le système a changé avec la date.

Portez une attention particulière à l’attribut displayName . La version est 3, ce qui signifie que la valeur de l’attribut a considérablement changé.

3. Exécutez la commande PowerShell ci-dessous pour modifier l’attribut displayName pour le compte d’utilisateur User1 utilisateur. La raison pour laquelle nous faisons cette étape est de simuler des changements dans notre environnement AD.

Set-ADUser User1 -DisplayName "User 1"

4. Maintenant, réexécutez repadmin avec la même commande qu’à l’étape deux pour voir les USNs et les versions incrémentées et mises à jour la Org. Time/Date.

repadmin /ShowObjMeta dc01 CN=User1,OU=Test,DC=test,DC=local

Merci de lire Comment vérifier l’état de santé de la réplication Active Directory. Nous allons conclure cet article maintenant.

Lisez aussi Utilisez l’outil de vérification de santé

Comment vérifier l’état de santé de la réplication Active Directory Conclusion

En conclusion, vérifier l’état de réplication de notre environnement Active Directory est une tâche essentielle pour garantir la santé et la stabilité de votre réseau. En utilisant les outils intégrés et les techniques décrites dans cet article, vous pouvez rapidement et facilement vérifier l’état de réplication de vos contrôleurs de domaine et identifier tout problème existant. Que vous soyez administrateur réseau ou simplement à la recherche d’assurer le bon fonctionnement de votre environnement Active Directory, ce guide fournit les informations dont vous avez besoin pour démarrer.

Explorez davantage notre centre de connaissances Active Directory en vous rendant sur notre blog par ici.

Source:
https://infrasos.com/how-to-check-active-directory-replication-status-health/