Как проверить состояние здоровья репликации Active Directory. Репликация Active Directory (AD) – это важный процесс, который обеспечивает согласованность данных между всеми контроллерами домена (DC) в организации. Если репликация работает неправильно, это приводит к различным проблемам, включая сбои аутентификации и несогласованность данных. В этой статье мы обсудим и протестируем, как проверить состояние репликации в нашей среде Active Directory с использованием встроенных инструментов и техник.
Как проверить состояние здоровья репликации Active Directory
Предварительные требования
Этот учебник будет содержать различные демонстрации. Чтобы следовать за ними, убедитесь, что у нас есть следующее:
- Windows PowerShell версии 5.1 или выше
- Домен Active Directory.
- A domain-joined Windows 10 workstation with a user logged in is part of the Enterprise Admins group.
- Средства удалённого администрирования сервера (RSAT) были установлены на присоединённой к домену машине.
Понимание сайтов, подсетей и связей AD с помощью PowerShell
Начнём эту статью с понимания территории и изучения сайтов, подсетей и связей нашей среды с помощью PowerShell. Сначала откройте PowerShell на компьютере под управлением Windows, присоединённом к домену, с установленным модулем PowerShell ActiveDirectory. Мы импортируем модуль, запустив следующий скрипт:
Сайты Active Directory
Команда Get-AdReplicationSite в PowerShell позволяет получить информацию о сайтах репликации вашей организации в Active Directory. Эта команда полезна для различных задач, включая определение топологии репликации домена, устранение проблем с репликацией и мониторинг здоровья и состояния нашей среды Active Directory.
Без параметров запустите команду Get-ADReplicationSite. После этого PowerShell возвращает сайт Active Directory, из которого мы выполнили команду.
Запустите Get-AdReplicationSite с параметром Filter и звездочкой (*), чтобы найти все сайты Active Directory для всего домена.
Параметр Фильтр позволяет нам фильтровать сайты разными способами. Запустите команду Get-Help о Фильтре Active Directory, чтобы узнать больше о создании запросов для параметра Фильтр.
Также прочитайте Создание отчетов Active Directory Exchange с помощью PowerShell
Ссылки на сайты Active Directory
Команда Get-ADReplicationSiteLink – это команда PowerShell, которая позволяет нам получать информацию о ссылках на репликацию сайтов нашей организации в Active Directory. В целом, ссылки на сайты устанавливают пути репликации между разными сайтами в нашей среде Active Directory environment и являются важной составляющей общей топологии репликации. С помощью команды Get-ADReplicationSiteLink мы можем извлекать и анализировать информацию о ваших ссылках на сайты, включая их имена, расписания и стоимость.
Эта команда помогает устранить проблемы с репликацией, отслеживать состояние и статус вашей среды Active Directory и оптимизировать производительность вашей инфраструктуры репликации. Чтобы найти ссылки на сайты AD, следуйте тем же шагам для поиска сайтов, но используйте команду Get-ADReplicationSiteLink вместо этого. Однако, в отличие от команды Get-ADReplicationSite, команда Get-ADReplicationSiteLink требует указания параметра Filter.
Подсети Active Directory
Get-ADReplicationSubnet cmdlet – это команда PowerShell, которая позволяет получить информацию о подсетях репликации Active Directory. Подсети репликации определяют физические местоположения контроллеров доменов в вашей среде Active Directory и являются важными для определения топологии и расписания репликации нашего домена. С помощью команды Get-ADReplicationSubnet вы получаете и анализируете информацию о ваших подсетях репликации, включая их названия, описания и местоположения.
Три указанных выше концепции являются важными вещами для проверки репликации AD. Однако в определенной ситуации могут быть важны другие команды. Например, выполните команду Get-Command ” *ADReplication* ” , чтобы вернуть все команды PowerShell для работы с сайтами AD.
Улучшите состояние вашего Active Directory с нашим инструментом здоровья статуса репликации Попробуйте нас бесплатно, доступ ко всем функциям. – 200+ шаблонов отчетов AD доступны. Легко настраивайте свои собственные отчеты AD.
Попробуйте нас бесплатно, доступ ко всем функциям. – Более 200 шаблонов отчетов по AD доступны. Легко настраивайте свои собственные отчеты по AD.
Также читайте Посмотрите активные отчеты каталога Direct Reports
Понимание сайтов, ссылок и подсетей AD через GUI
Хотя эта статья посвящена PowerShell, понимание того, как проверять и управлять сайтами активного каталога (AD) через графический интерфейс пользователя (GUI), по-прежнему необходимо. Скорее всего, мы будем использовать PowerShell для управления сайтами AD не всегда.
Выберите Пуск и введите Активные каталоги сайтов. Активные каталоги сайтов и служб (ADDS) теперь должны быть видимы в программной группе Административные инструменты Windows.
Когда мы запустим Active Directory Sites and Services, мы увидим следующее окно. В инструменте Active Directory Sites and Services есть несколько интересных областей:
- DC, к которому в данный момент подключен инструмент: Знание DC полезно, поскольку может потребоваться несколько часов для репликации между сайтами, когда мы переключаемся.
- Межсайтовые транспорты: Протоколы, которые сайты будут использовать для репликации.
- Подсети: Назначение и разделение сети.
-
Список сайтов – Мы увидим только Default-First-Site-Name в домене по умолчанию.
Если мы расширим элементы в AD Sites and Services, мы увидим следующее:
- Транспорт IP.
- Подсети.
- Доменный контроллер назначен на сайты.
Также читайте Использование инструмента мониторинга Azure AD
Мониторинг статуса репликации с использованием Repadmin
Сначала мы должны понять репликацию DC, чтобы понять изменения учетных записей пользователей или любых изменений объектов AD. Какова связь между репликацией и обнаружением изменений? Обновленные номера последовательности (USN).
Понимание изменений репликации AD с использованием USN
В целом, в Active Directory может содержаться миллионы учетных записей пользователей в крупной корпоративной среде. При таком количестве учетных записей отслеживание того, что меняется ежедневно, практически невозможно. Однако мы создаем системы для мониторинга изменений пользовательских учетных записей путем понимания того, как Active Directory обрабатывает изменения.
Даже если у нас есть только один реплицирующий DC нашей среды, понимание USN является жизненно важным.
DC всегда хранят резервную копию базы данных Active Directory. Они хранят копию базы данных путем ее репликации. Если это так, то как они узнают, когда происходит репликация на одном DC? В такой ситуации USN приходит на помощь.
Когда атрибут объекта Active Directory изменяется на DC, DC увеличивает значение USN для этого объекта. Как только значение увеличено, изменение отправляется на все другие DC в домене вместе со значением USN.
Также читайте Попробуйте отчет по управлению Active Directory
Что такое USN?
Ну, Active Directory содержит много объектов, таких как пользователи, компьютеры, контакты и т.д. У каждого объекта есть несколько атрибутов, которые мы можем изменить. Более того, каждому атрибуту присваивается уникальный номер, известный как USN.
Когда Active Directory изменяет атрибуты объекта, он автоматически увеличивает USN этого атрибута.
Как работают USN и репликация DC
Когда мы увеличиваем атрибут объекта на одном DC в Active Directory, этот DC отправляет запрос на репликацию. Запрос на репликацию инструктирует партнеров по репликации DC извлечь самые последние функции из его базы данных. После этого партнеры по репликации сравнивают копии USN атрибута с инициирующим репликацию DC. Если другой USN больше, DC-назначение разрешает реплицирующийся DC.
Также читайте Разверните инструмент отчетности Active Directory
Наблюдение за изменениями USN с помощью Repadmin
Теперь, когда мы знаем, как обновляются USN, давайте рассмотрим пример мониторинга изменений в Active Directory с помощью инструмента администрирования репликации Microsoft (repadmin). Repadmin – это инструмент в Active Directory, который позволяет нам выполнять устранение неполадок репликации между контроллерами домена в лесу Active Directory forest.
1. Войдите на контроллер домена и откройте PowerShell.
2. Выполните следующую команду repadmin для вывода всех свойств учетной записи пользователя user1 вместе с ее номером версии. Ниже приведен пример, предполагающий расположение учетной записи пользователя user1 в Test OU статьи test.local домена Active Directory.
Параметр /ShowObjMeta требует от контроллера домена связаться с уникальным именем объекта. Возвращаемый вывод отображает метаданные репликации для указанного объекта, хранящегося в Active Directory, такие как идентификатор атрибута, номер версии, локальный USN, источник и местный USN, а также идентификатор GUID и дата и время источника сервера.
Мы увидим ниже, что repadmin имеет столбец Ver. Эта версия (Ver) столбец представляет собой увеличивающееся число, которое показывает, сколько раз атрибут изменился. Это значение является индикатором того, где система изменилась, вместе с датой.
Обратите особое внимание на displayName атрибут. Версия равна 3, что означает, что значение атрибута значительно изменилось.
3. Выполните следующую команду PowerShell, чтобы изменить displayName атрибут для User1 пользователя учетной записи. Причина, по которой мы делаем этот шаг, заключается в имитации изменений в нашей среде AD.
4. Теперь запустите repadmin с той же командой, что и на шаге два, чтобы увидеть, что USN и версия увеличились и обновили Org. Time/Date.
Спасибо за прочтение статьи о том, как проверить состояние здоровья репликации Active Directory. Мы завершим эту статью сейчас.
Также читайте Используйте инструмент проверки работоспособности
Как проверить состояние здоровья репликации Active Directory Заключение
Подводя итог, проверка статуса репликации в нашей среде Active Directory является важной задачей для обеспечения здоровья и стабильности вашей сети. Используя встроенные инструменты и методы, описанные в этой статье, вы можете быстро и легко проверить статус репликации ваших контроллеров домена и выявить любые существующие проблемы. Будь вы администратором сети или просто стремитесь обеспечить бесперебойную работу вашей среды Active Directory, этот гид предоставляет информацию, которая вам нужна для начала.
Не стесняйтесь исследовать больше нашего центра знаний по Active Directory, перейдя на наш блог здесь.
Source:
https://infrasos.com/how-to-check-active-directory-replication-status-health/