アクティブディレクトリ複製状態の健康を確認する方法。アクティブディレクトリ(AD)の複製は、組織内のすべてのドメインコントローラ(DC)間でデータの一貫性を確保する必須プロセスです。複製が正常に機能しないと、認証の失敗やデータの不整合などさまざまな問題が発生します。この記事では、組み込みツールやテクニックを使用して、私たちのアクティブディレクトリ環境の複製状態を確認およびテストする方法について説明します。
アクティブディレクトリ複製状態の健康を確認する方法
前提条件
このチュートリアルにはさまざまなデモがあります。一緒に進むために、以下が必要です:
- Windows PowerShell v5.1 以上
- アクティブディレクトリドメイン。
- A domain-joined Windows 10 workstation with a user logged in is part of the Enterprise Admins group.
- リモートサーバー管理ツール(RSAT) が、ADに参加したマシンにインストールされました。
また、Active Directory PowerShellモジュールのインストールとインポート方法を参照してください。
PowerShellを使用してADサイト、サブネット、およびリンクを理解する
この記事を理解するために、まずPowerShellを開き、ActiveDirectory PowerShellモジュールがインストールされたドメインに参加したWindows PCを使用します。以下のスクリプトを実行してモジュールをインポートします:
Active Directory Sites
Get-AdReplicationSiteコマンドレットは、組織のActive Directoryレプリケーションサイトに関する情報を取得できるPowerShellコマンドです。このコマンドは、ドメインのレプリケーショントポロジを特定し、レプリケーションの問題をトラブルシューティングし、監視するために役立ちます。Active Directory環境のヘルスとステータス。
パラメーターなしでGet-ADReplicationSiteコマンドレットを実行します。その後、PowerShellは、コマンドを実行したActive Directoryサイトを返します。
Get-AdReplicationSiteコマンドレットをFilterパラメーターとアスタリスク (*)で実行して、全体のすべてのActive Directoryサイトを検索します。ドメイン。
フィルターパラメータは、さまざまな方法でサイトをフィルタリングするために使用できます。Get-Helpコマンドを実行し、ActiveDirectory Filterについての詳細を学び、Filterパラメータのクエリを作成する方法を理解してください。
Active Directoryサイトリンク
Get-ADReplicationSiteLinkコマンドレットは、PowerShellコマンドであり、組織のActive Directoryレプリケーションサイトリンクに関する情報を取得するために使用されます。全体的に、サイトリンクはActive Directory環境内の異なるサイト間のレプリケーション経路を確立し、全体的なレプリケーショントポロジの重要な要素です。Get-ADReplicationSiteLinkコマンドレットを使用することで、サイトリンクに関する情報(名前、スケジュール、コストなど)を取得して分析できます。
このコマンドは、レプリケーションの問題をトラブルシューティングし、Active Directory 環境の 健康 と状態を監視し、レプリケーションインフラのパフォーマンスを最適化するのに役立ちます。AD サイトリンクを見つけるには、サイトを見つけるときと同じ手順に従いますが、Get-ADReplicationSiteLink コマンドを使用します。ただし、Get-ADReplicationSite コマンドとは異なり、Get-ADReplicationSiteLink コマンドでは Filter パラメータを指定する必要があります。
また、PowerShell を使用して Active Directory コンピューターレポートを作成する方法もご覧ください。
Active Directory サブネット
最後に、Get-ADReplicationSubnet cmdlet は、組織のActive Directoryレプリケーションサブネットに関する情報を取得するPowerShellコマンドです。レプリケーションサブネットは、Active Directory環境内のドメインコントローラーの物理的な場所を定義し、ドメインのレプリケーショントポロジーとスケジュールを決定する上で重要です。
上記の3つの概念は、ADレプリケーションを確認するための重要な要素です。ただし、特定の状況では他のコマンドが重要になることもあります。たとえば、Get-Command “*ADReplication*” を実行して、ADサイトで作業するためのすべてのPowerShell コマンドを返します。
当社のレプリケーションステータスヘルスツールでActive Directoryの健全性を向上させる無料 でお試しください。200以上のADレポートテンプレートが利用可能です。独自のADレポートを簡単にカスタマイズできます。
ぜひお試しください 無料で、すべての機能にアクセスできます。–200以上のADレポートテンプレートが利用可能。簡単に独自のADレポートをカスタマイズできます。
さらに読む アクティブディレクトリ直接レポートをチェック
ADサイト、リンク、サブネットの理解をGUI経由で
この記事はPowerShellについてですが、GUI経由でアクティブディレクトリサイトを検査および管理する方法を理解することは依然として必要です。私たちはADサイトを管理するために常にPowerShellを使用するとは限りません。
スタートを選択し、アクティブディレクトリサイトと入力してください。アクティブディレクトリサイトとサービス (ADDS)がWindows管理ツールプログラムグループに表示されるはずです。
アクティブディレクトリサイトとサービスを起動すると、以下の画面が表示されます。ADサイトとサービスツールにはいくつか興味深い領域があります。
- 現在接続されているDC: DCを知ることは有利である可能性があります。なぜなら、サイト間で切り替えるときにサイト間で複製に数時間かかることがあるからです。
- インターサイトトランスポート:サイトが複製に使用するプロトコルです。
- サブネット:ネットワークを割り当てて分離する。
-
サイトのリスト–デフォルトのドメインでは、Default-First-Site-Nameのみを見ることができます。
AD Sites and Servicesのアイテムを展開すると、以下が表示されます。
- IPトランスポート。
- サブネット。
- ドメインコントローラは、サイトに割り当てられています。
さらに読む Azure AD監視ツールを使用する
Repadminを使用したレプリケーション状態の監視
まず、DCのレプリケーションを理解することから始めなければなりません。ユーザーアカウントの変更や、ADオブジェクトの変更を理解するためには。レプリケーションと変更検出の関係は何でしょうか?更新シーケンス番号(USN)がそれです。
USNを使ってADレプリケーションの変更を理解する
たとえ環境をレプリケートするDCが1つだけであっても、USNを理解することは不可欠です。
DCは常にActive Directoryデータベースのバックアップを保持しています。それはデータベースをレプリケートすることでコピーを保持しています。その場合、レプリケーションが1つのDCで行われるとき、どのようにしてそれを知るのでしょうか?このような状況では、USNが役立ちます。
Active Directoryオブジェクトの属性がDCで変更されると、そのオブジェクトのUSN値がDCによってインクリメントされます。インクリメントされると、変更がUSNとともにドメイン内の他のすべてのDCに送信されます。
USNとは何ですか?
Active Directoryがオブジェクトの属性を変更すると、その属性のUSNが自動的にインクリメントされます。
USNとDCレプリケーションのしくみ
Active Directoryの単一のDCでオブジェクトの属性をインクリメントすると、そのDCはレプリケーションプルリクエストを送信します。DCのプルリクエストは、DCのレプリケーションパートナーにデータベースから最新の機能を取得するよう指示します。その後、レプリケーションパートナーは属性のUSNのコピーをレプリケーションを開始したDCと比較します。他のUSNが大きい場合、宛先DCはレプリケーションDCを許可します。
RepadminでUSNの変更を監視する
USNがどのように更新されるかを理解したので、次に監視の例として、Microsoftのレプリケーション管理(repadmin)ツールを使ってActive Directoryの変更を監視する方法について説明します。repadminは、ActiveDirectoryのツールで、Active Directoryフォレスト内のDC間でレプリケーショントラブルシューティングを実行することができます。
1. ドメインコントローラにログインし、PowerShellを開きます。
2. 以下のrepadmin コマンドを実行して、user1 ユーザーアカウントのすべてのプロパティとバージョン番号をリストします。以下の例では、記事のuser1 ユーザーアカウントの場所をTest OUとして想定しています。test.local アクティブディレクトリドメインの。
The /ShowObjMetaパラメータは、オブジェクトのdistinguished nameに接続するドメインコントローラを必要とします。返される出力は、アクティブディレクトリに保存されている指定されたオブジェクト(属性ID、バージョン番号、発生元およびローカルUSN、発生元サーバーのGUID、日付およびタイムスタンプなど)のレプリケーションメタデータを表示します。
以下に気づくでしょう repadmin が Ver 列を持っています。このバージョン (Ver) 列は、属性が何回変更されたかを表す増分番号です。この値は、システムがどのように変化したかを検出するための指標であり、日付とともに使用されます。
displayName 属性に特に注意してください。バージョンは 3 であるため、属性値が大幅に変更されています。
3. 以下のPowerShellコマンドを実行して、displayName 属性をUser1 ユーザー アカウントに変更します。このステップを実行する理由は、AD環境の変更をシミュレートするためです。
4. 次に、repadmin を2番目のステップと同じコマンドで再実行して、USNとバージョンがインクリメントされ、Org. Time/Date が更新されていることを確認します。
Active Directoryレプリケーションステータスのヘルスチェック方法を読んでいただきありがとうございます。この記事を終了させていただきます。
また読む ヘルスチェックツールを使用する
アクティブディレクトリのレプリケーションステータスのヘルスを確認する方法 結論
結論として、私たちのアクティブディレクトリ環境のレプリケーションステータスを確認することは、ネットワークの健全性と安定性を確保するための重要なタスクです。この記事で概説されている組み込みツールとテクニックを使用して、レプリケーションの状態を迅速かつ簡単に確認し、ドメインコントローラーの問題を特定できます。ネットワーク管理者であろうと、アクティブディレクトリ環境の円滑な運用を確保しようとしているだけであろうと、このガイドはあなたが始めるために必要な情報を提供します。
弊社のアクティブディレクトリの知識ハブをさらに探索するために、弊社のブログこちらに移動してください。
Source:
https://infrasos.com/how-to-check-active-directory-replication-status-health/