Come controllare lo stato di replicazione di Active Directory

Tutorial
PowerShell

Come verificare lo stato di salute della replica di Active Directory. La replica di Active Directory (AD) è un processo essenziale che garantisce la coerenza dei dati su tutti i controller di dominio (DC) in un’organizzazione. Se la replica non funziona correttamente, ciò porta a vari problemi, tra cui fallimenti dell’autenticazione e inconsistenze dei dati. In questo articolo, discutiamo e testiamo come verificare lo stato di replica del nostro ambiente Active Directory utilizzando strumenti e tecniche integrati.

Leggi anche Strumento di stato della replica di Active Directory

Come verificare lo stato di salute della replica di Active Directory

Prerequisiti

Questo tutorial avrà varie dimostrazioni. Per seguirla, assicurati di avere quanto segue:

Leggi anche Come installare il modulo PowerShell di Active Directory e importarlo

Comprensione dei siti, subnet e collegamenti AD con PowerShell

Cominciamo questo articolo comprendendo il terreno e ispezionando i siti, subnet e collegamenti AD usando PowerShell. Per prima cosa, apri PowerShell su un PC Windows connesso a dominio con il modulo PowerShell ActiveDirectory installato. Importiamo il modulo eseguendo lo script qui sotto:

Import-Module ActiveDirectory

Siti di Active Directory

Il cmdlet Get-AdReplicationSite è un comando PowerShell che ci consente di recuperare informazioni sulle Active Directory dei siti di replica della nostra organizzazione. Questo comando è utile in una serie di attività, tra cui l’identificazione della topologia di replica del nostro dominio, il monitoraggio dei problemi di replica e la salute e lo stato del nostro ambiente Active Directory.

Senza parametri, eseguiamo il cmdlet Get-ADReplicationSite. Successivamente, PowerShell restituisce il sito Active Directory da cui abbiamo eseguito il comando.

Get-ADReplicationSite

Esegui Get-AdReplicationSite con il parametro Filter e un asterisco (*) per trovare tutti i siti Active Directory per l’intero dominio.

Get-ADReplicationSite -Filter *

Il parametro Filtro ci consente di filtrare i siti in vari modi. Esegui il comando Get-Help su Filtro Active Directory per saperne di più sulla creazione di query per il parametro Filtro.

Leggi anche Creare report Active Directory Exchange con PowerShell

Collegamenti dei siti Active Directory

Il cmdlet Get-ADReplicationSiteLink è un comando PowerShell che ci consente di recuperare informazioni sui collegamenti dei siti di replica Active Directory della nostra organizzazione. In generale, i collegamenti dei siti stabiliscono i percorsi di replica tra siti diversi nel nostro ambiente Active Directory ambiente ed è un componente essenziale della topologia di replica complessiva. Utilizzando il cmdlet Get-ADReplicationSiteLink, recuperiamo e analizziamo informazioni sui nostri collegamenti dei siti, comprese le loro denominazioni, calendari e costi.

Questo comando aiuta a risolvere problemi di replica, monitorare lo stato e la salute dell’ambiente Active Directory e ottimizzare le prestazioni dell’infrastruttura di replica. Per trovare i collegamenti del sito AD, segui gli stessi passaggi per trovare i siti, ma utilizza il comando Get-ADReplicationSiteLink al posto di esso. Tuttavia, a differenza del comando Get-ADReplicationSite, il comando Get-ADReplicationSiteLink richiede che il parametro Filter sia specificato.

Get-ADReplicationSiteLink -Filter *

Leggi anche Crea report di computer Active Directory con PowerShell

Sottoreti di Active Directory

Il cmdlet Get-ADReplicationSubnet è un comando PowerShell che ti permette di ottenere informazioni sui subnet di replica dell’Active Directory della tua organizzazione. Le subnet di replica definiscono le posizioni fisiche dei controller di dominio all’interno del tuo ambiente Active Directory e sono essenziali per determinare la topologia e gli orari di replica del nostro dominio. Utilizzando il cmdlet Get-ADReplicationSubnet, è possibile recuperare e analizzare informazioni sulle subnet di replica, inclusi i loro nomi, le descrizioni e le posizioni.

Get-ADReplicationSiteSubnet -Filter *

I tre concetti sopra sono cose essenziali per controllare la replica di AD. Tuttavia, altri comandi possono essere vitali in una situazione specifica. Ad esempio, esegui il comando Get-Command “*ADReplication*” per restituire tutti i comandi PowerShell per lavorare con i siti AD.

Migliora lo stato di salute del tuo Active Directory con il nostro Strumento di Salute dello Stato di Replica Provalo gratuitamente, accesso a tutte le funzionalità. – Sono disponibili oltre 200 modelli di report AD. Personalizza facilmente i tuoi report AD.

Provateci gratuitamente, accesso a tutte le funzionalità. – 200+ modelli di report AD disponibili. Personalizzate facilmente i vostri report AD.




Leggi anche Controlla i rapporti diretti di Active Directory

Comprendere siti AD, collegamenti e subnet tramite interfaccia grafica

Anche se questo articolo riguarda PowerShell, comprendere come esaminare e gestire i siti di Active Directory tramite interfaccia grafica è ancora necessario. Useremo probabilmente PowerShell solo occasionalmente per gestire i siti AD.

Selezionare Start e digitare Active Directory Sites. Active Directory Sites and Services (ADDS) dovrebbe ora essere visibile nel gruppo di programmi Strumenti amministrativi di Windows.

Quando avviamo Active Directory Sites and Services, vedremo lo schermo seguente. Ci sono alcune aree interessanti nello strumento AD Sites and Services:

  1. Il DC a cui lo strumento è attualmente connesso: Conoscere il DC è utile perché potrebbero volerci diverse ore per replicare tra siti quando cambiamo.
  2. Trasporti inter-siti: I protocolli che i siti utilizzeranno per la replica.
  3. Subnet: Assegna e separa la rete.

  4. Elenco dei siti – Vedremo solo Default-First-Site-Name nel dominio predefinito.

Se espandiamo gli elementi in AD Sites and Services, vedremo quanto segue:

  1. Un trasporto IP.
  2. Subnet.
  3. Il controller dominio è assegnato ai siti.

Leggi anche Usa lo strumento di monitoraggio Azure AD

Monitoraggio dello stato di replica utilizzando Repadmin

Prima di tutto, dobbiamo comprendere la replicazione DC per comprendere le modifiche alle conto utente o qualsiasi modifica all’oggetto AD. Qual è il rapporto tra replicazione e rilevamento delle modifiche? Numero di sequenza aggiornato (USN).

Comprendere le modifiche di replicazione AD utilizzando i numeri di sequenza aggiornati

Tutto sommato, Active Directory può contenere milioni di conto utente in un ambiente aziendale di grandi dimensioni. Con così tanti account, tenere traccia di cosa cambia giornalmente è quasi impossibile. Tuttavia, creiamo sistemi per monitorare le modifiche al conto utente comprendendo come Active Directory elabora il cambiamento.

Anche se abbiamo solo un singolo DC che replica il nostro ambiente, comprendere i numeri di sequenza aggiornati (USN) è essenziale.

I DC mantengono sempre un backup del database di Active Directory. Mantengono una copia del database replicandolo. Se è così, come sanno quando avviene la replica su un singolo DC? Questo tipo di situazione è dove entra in gioco il numero di sequenza aggiornato (USN).

Quando un attributo di un oggetto Active Directory cambia su un DC, il DC incrementa il valore USN per quell’oggetto. Una volta incrementato, il cambiamento viene inviato a tutti gli altri DC nel dominio insieme al numero di sequenza aggiornato (USN).

Leggi anche Prova il report di gestione di Active Directory

Cos’è un USN?

Bene, Active Directory contiene molti oggetti, come utenti, computer, contatti, ecc. Ogni oggetto ha diversi attributi che possiamo modificare. Inoltre, ogni attributo è assegnato un numero unico noto come USN.

Quando Active Directory modifica gli attributi di un oggetto, incrementa automaticamente il USN di quell’attributo.

Come funzionano USN e replicazione DC

Quando incrementiamo un attributo di un oggetto su una singola DC in Active Directory, quella DC invia una richiesta di pull di replicazione. La richiesta di pull della DC indica ai partner di replicazione di recuperare gli attributi più recenti dal suo database. Successivamente, i partner di replicazione confronta le copie del USN dell’attributo con la DC che ha iniziato la replica. Se l’altro USN è maggiore, la DC di destinazione permette alla DC di replicazione.

Leggi anche Distribuisci uno strumento di reporting di Active Directory

Monitoraggio delle modifiche USN con Repadmin

Ora che sappiamo come vengono aggiornati gli USN, passiamo a un esempio di monitoraggio delle modifiche in Active Directory utilizzando lo strumento di amministrazione della replica di Microsoft (repadmin). Repadmin è uno strumento con Active Directory che ci permette di effettuare il rilevamento dei problemi di replica tra i DC in un Active Directory bosco.

1. Accedi a un Controller di Dominio e apri PowerShell.
2. Esegui il seguente repadmin comando per elencare tutte le proprietà del user1 account utente insieme al suo numero di versione. L’esempio seguente presuppone la posizione del user1 account utente nel Test OU dell’articolo test.local dominio Active Directory.

repadmin /ShowObjMeta dc01 CN=User1,OU=Test,DC=test,DC=local

Il parametro /ShowObjMeta richiede un controller di dominio per contattare il nome distinto dell’oggetto. L’output restituito visualizza i metadati di replica per un oggetto specifico memorizzato in Active Directory, come ID attributo, numero di versione, USN originale e locale, GUID del server originale e data e timestamp.

Noteremo di seguito che repadmin ha una colonna Ver. Questa colonna Versione (Ver) rappresenta un numero crescente che indica quante volte l’attributo è stato modificato. Questo valore è l’indicatore per rilevare dove il sistema è cambiato insieme alla data.

Prestare attenzione particolare all’attributo displayName. La versione è 3, il che significa che il valore dell’attributo è cambiato significativamente.

3. Eseguire il comando PowerShell riportato di seguito per modificare l’attributo displayName per l’account utente User1 user. Il motivo per cui facciamo questo passaggio è simulare cambiamenti nel nostro ambiente AD.

Set-ADUser User1 -DisplayName "User 1"

4. Ora, eseguire di nuovo repadmin con lo stesso comando del passaggio due per vedere che gli USN e la versione sono incrementati e aggiornati il Org. Time/Date.

repadmin /ShowObjMeta dc01 CN=User1,OU=Test,DC=test,DC=local

Grazie per aver letto Come controllare lo stato di salute della replica del Directory Attivo. Concluderemo ora questo articolo.

Leggi anche Usa lo strumento di controllo della salute

Come controllare lo stato di salute della replica del

In conclusione, controllare lo stato di replica del nostro ambiente Active Directory è un compito essenziale per garantire la salute e la stabilità della tua rete. Utilizzando gli strumenti e le tecniche integrate descritte in questo articolo, puoi controllare rapidamente e facilmente lo stato di replica dei tuoi controller di dominio e identificare eventuali problemi esistenti. Che tu sia un amministratore di rete o semplicemente desideri garantire il corretto funzionamento del tuo ambiente Active Directory, questa guida fornisce le informazioni di cui hai bisogno per iniziare.

Esplora ulteriormente la nostra knowledge hub su Active Directory navigando sul nostro blog qui.

Source:
https://infrasos.com/how-to-check-active-directory-replication-status-health/