Repadmin:檢查 Active Directory 複製/健康

教學

Repadmin:檢查 Active Directory 複製/健康狀況。在網路管理的動態領域中,確保 Active Directory (AD) 的順利運作對於組織 IT 基礎架構的穩定性和可靠性至關重要。作為使用者驗證和資料管理的核心,AD 仰賴網域控制器之間穩健的複製機制。本文深入探討監控 AD 複製狀況這項重要的工作,並探討 Repadmin 等工具的重要性。

進一步閱讀 如何檢查 Active Directory 複製狀態狀況

Repadmin:檢查 Active Directory 複製/健康狀況

Repadmin 是 Active Directory 複製診斷工具,安裝在執行 Windows Server 2008 和更新版本的網域控制器上。我們也可以使用遠端伺服器管理工具 (RSAT) 在其他電腦上安裝 Repadmin。本文稍後將說明如何使用 Repadmin,以及在診斷結果中需要注意的事項;但在那之前,讓我們先簡短複習一下 Repadmin 是什麼。

Repadmin 工具簡要概觀

我們主要使用 Repadmin 工具來強制在我們網絡中的 域控制器之間進行複製,或者診斷複製問題。我們還使用該工具手動配置我們域的複製拓撲。但是,存在一些小問題。

在 Active Directory 中使用 Repadmin 手動更改複製拓撲是不鼓勵的,因為這會增加複雜性和潛在的錯誤風險,可能導致複製失敗和停機時間。建議使用像 Active Directory Sites and Services 控制台或 PowerShell cmdlets 等自動化工具,因為它們具有用戶友好的界面並遵循最佳實踐,可以確保更可靠和高效的複製拓撲。

目前,我們將專注於最常用的命令:

  • repadmin /replsummary : 失敗的內部和外部連接的摘要
  • repadmin /showrepl : 兩個域控制器之間每個命名上下文的狀態
  • repadmin /queue : 顯示入站複製隊列
  • repadmin /syncall : 同步指定的域控制器
  • repadmin /syncall /AdeP : 將更改向外推送到所有域控制器
  • repadmin /replicate : 顯示入站複製佇列

另請參閱 嘗試 InfraSOS Active Directory 複製狀態工具

複製摘要

repadmin 的主要功能之一是監控域控制器之間的複製狀態。有兩個選項:使用命令 repadmin /replsummary 查看所有域控制器同步狀態,或使用 repadmin /showrepl 查看域控制器的直接鄰居的狀態。

repadmin /replsummary

我們看到兩個帶有統計信息的表格;第一個是 源 DSA。 這些是輸出複製的統計信息。後者, 目的 DSA,是輸入複製的統計信息。

最大的 Delta總是一個有趣的數字。它告訴我們兩個域控制器之間最長未使用的連接時間。現在,這個時間最多可達 60 分鐘,這是正常的。

我們的域在幾秒內複製更改,比如密碼重置。但其他更改,比如模式更改,有時候只會發生,每小時只檢查一次。域控制器至少每小時檢查一次更改,這就是為什麼時間可能達到 60 分鐘。

字段 顯示域控制器擁有的複製鏈接數量。失敗告訴我們有多少個處於失敗狀態的鏈接(當然應該是零),而 %% 是失敗鏈接佔總數的百分比。我們在錯誤字段下看到錯誤代碼。

還可閱讀 DCDiag: 如何使用 Powershell 檢查域控制器健康狀況

複製的詳細信息

在出现错误时,我们必须放大复制以查看问题出在哪里。要做到这一点,请使用命令repadmin /showrepl。它显示所有入站连接及其状态,并显示域控制器之间的复制状态。

repadmin /showrepl

运行repadmin /showrepl时,它包含关键统计信息:

  1. 源和目标域控制器:该命令列出参与复制的域控制器,指示复制的源和目标。

  2. 命名上下文:显示正在复制的命名上下文,如默认目录分区和任何应用程序目录分区。

  3. 上次成功复制时间:此时间戳指示上次成功复制发生的时间,提供有关复制数据新鲜度的见解。

  4. 失敗時間戳: 如果複製失敗,該命令會突出顯示最後一次失敗的複製嘗試的時間戳,有助於故障排除。

  5. 複製狀態: 狀態列顯示複製是否成功、進行中或遇到錯誤,讓管理員能夠快速識別任何問題。

  6. 連續失敗: 它表示連續複製失敗的次數,衡量複製問題的嚴重性和持久性。

  7. 傳播同步對象: 本部分顯示特定對象的複製狀態,有助於更細緻地找出問題。

通過添加參數 /all 進一步放大,該參數還將添加出站連接和KCC連接對象。如果我們有大量的連接,當我們擁有大量的域控制器時可能會發生,那麼我建議添加參數/errorsonly。正如名稱所示,這僅顯示處於錯誤狀態的連接。我們正在使排除任何問題變得更加容易。

還要閱讀試試InfraSOS Active Directory健康檢查工具

顯示複寫隊列

A small queue of replications is standard in large environments, but for smaller networks, the replication queue should always contain 0 items. If we have replication issues, monitoring the queue is an excellent way to check whether our domain is healthy.

repadmin /queue

在Active Directory中,repadmin /queue命令用於查看域控制器上的複寫隊列。這是管理等待處理的複寫請求的關鍵組件之一。運行repadmin /queue可以提供有關待處理的複寫操作的寶貴見解。

repadmin /queue命令的結果包括信息,例如:

  1. 命名上下文:它列出了排隊的複寫請求的命名上下文,使管理員可以看到等待同步的特定分區。

  2. 源和目的地域控制器:显示参与复制的域控制器,指示排队的复制请求的起源和目的地。
  3. 待处理操作:详细说明待处理复制操作的类型和数量,例如更新、删除或修改,使管理员能够评估复制队列上的工作负载。

通过检查 repadmin /queue 的结果,管理员可以识别潜在的瓶颈,排除复制延迟,并采取纠正措施,确保域控制器之间的及时和高效同步。监视复制队列对于维护Active Directory的健康和性能至关重要的复制过程。

强制域同步

有時候,我們需要強制在域控制器之間同步,例如,在其中一個域控制器上創建新用戶後,要求在Microsoft 365中使用該用戶。然後,我們希望新用戶盡快同步到Azure AD至域控制器。

在單域環境中強制同步的最常見方法是運行以下命令。此命令將來自我們運行命令的域控制器的所有更改推送到所有其他域控制器。

repadmin /syncall /AdeP

請注意,開關可以以任何方式重新排列。/AdeP 開關有以下含義:

  • A: This switch stands for “All partitions.” It instructs Repadmin to synchronize all directory partitions on the specified domain controller when used. This ensures replication occurs for every partition hosted on that domain controller.

  • d: The “d” switch is for “Domain.” It specifies that the synchronization should occur at the domain level, including the domain directory partition.

  • e: The “e” switch is for “Enterprise Configuration.” It includes the configuration directory partition, ensuring that any changes in the enterprise configuration are synchronized.

  • P: This switch stands for “Schema.” Including this switch ensures that the schema directory partition is synchronized, allowing for propagating any schema changes made within the Active Directory forest.

除了向其他域控制器推送更改之外,我們還可以將更改拉到運行命令的域控制器上。為此,我們只需要移除標誌 P。

repadmin /syncall /Ade

其他同步選項

還有其他強制域控制器之間複製的方法。例如,我們可以只強制特定域控制器的複製,使用命令 repadmin /syncall 後跟域控制器名稱:還閱讀如何檢查 Active Directory 複製狀態健康

repadmin /syncall dc01

也閱讀如何檢查Active Directory複寫狀態健康

強制複寫

Repadmin工具提供了多樣的命令,其中/replicate命令是管理員對Active Directory複寫實現精確控制的關鍵工具。執行/replicate命令使管理員能夠立即觸發指定域控制器之間的複寫。這種有針對性的方法在以下情況下尤其寶貴:

  • 強制緊急複寫:在及時傳遞信息至關重要的情況下,/replicate命令允許管理員強制進行緊急複寫,確保更新在整個網絡中持續傳播。
  • 解決殘留對象問題:該命令在解決殘留對象問題時尤其有用,這是大型和複雜AD環境中常見的挑戰。管理員通過精確地啟動複寫來解決差異並保持數據一致性。
  • 隔離和測試複製路徑: 管理員使用 /replicate 命令來有選擇性地測試複製路徑,從而實現對故障排除的細粒度方法。這種有針對性的測試確保管理員能準確識別並解決複製問題。
repadmin /replicate dc01 srvlab03 CN=Configuration,DC=contoso,DC=co

repadmin /replicate 命令賦予管理員一個精細控制機制,以手術般的精確度來協調和驗證複製過程。這種控制水準對於維護健康高效的 Active Directory 環境至關重要。

Repadmin 命令和監控 AD 複製的健康狀況

確保 Active Directory (AD) 的無縫運行對於我們網絡基礎設施的整體健康和功能至關重要。Repadmin 命令成為這一努力的關鍵,為管理員提供了一個強大的工具來檢查和管理 AD 複製。

定期使用 Repadmin 命令可提供對域控制器之間複製狀態的即時洞察,使管理員能夠及時識別並解決問題。例如:

  • 即時檢測複製失敗: Repadmin 的實時監控使管理員能夠迅速識別複製失敗,防止潛在的數據不一致性,確保數據完整性。
  • 及時疑難排解:管理員可以通過積極使用 Repadmin 監控 AD 複製的健康狀況,及時解決問題。這種積極的方法可以減少停機時間,提高網絡的整體可靠性。
  • 高效資源利用:使用 Repadmin 監控 AD 複製有助於優化資源利用,找出並解決效率低下的問題。這一過程可以確保網絡操作保持順暢和反應靈敏。

Repadmin 命令是 AD 複製的警惕守護者,使管理員能夠積極管理和維護健壯高效的 Active Directory 環境。

同樣閱讀查看 Active Directory 複製狀態工具

Repadmin:檢查 Active Directory 複製 / 健康結論

總之,密切監控並維護 Active Directory 複製的健康狀況不僅僅是一項行政任務;在不斷變化的網絡管理格局中,這是一項戰略性必須。正如本文所探討的,像 Repadmin 這樣的工具對於提供管理員所需的洞察和控制,以確保跨域控制器的 AD 順暢運行至關重要。

Source:
https://infrasos.com/repadmin-check-active-directory-replication-health/