如何檢查 Active Directory 複寫狀態健康。Active Directory(AD)複寫是一個重要的過程,確保組織中所有網域控制器(DC)之間的數據一致性。如果複寫未正常運作,將導致各種問題,包括身份驗證失敗和數據不一致性。在本文中,我們討論並測試如何使用內置工具和技術檢查我們的 Active Directory 環境的複寫狀態。
如何檢查 Active Directory 複寫狀態健康
先決條件
本教程將有各種演示。要跟隨,請確保我們擁有以下內容:
- Windows PowerShell v5.1 或更高版本
- 一個 Active Directory 網域。
- A domain-joined Windows 10 workstation with a user logged in is part of the Enterprise Admins group.
- 遠端伺服器管理工具(RSAT)已安裝在 AD 加入的機器上。
使用 PowerShell 了解 AD 站點、子網和連結
讓我們從了解地形並檢查我們環境的 AD 站點、子網和連結開始,使用 PowerShell。首先,在已加入網域的 Windows PC 上開啟 PowerShell,並安裝了 ActiveDirectory PowerShell 模組。我們通過執行以下指令來匯入模組:
Active Directory 站點
這個Get-AdReplicationSite Cmdlet 是一個 PowerShell 命令,允許我們檢索有關組織的Active Directory 複製站點的信息。這個命令在各種任務中非常有用,包括識別域的複製拓撲、解決複製問題以及監控我們的 Active Directory 環境的健康和狀態。
不帶任何參數運行Get-ADReplicationSite Cmdlet。之後,PowerShell 會返回我們執行命令的 Active Directory 站點。
使用Get-AdReplicationSite Cmdlet 的Filter 參數和星號 (*) 運行,以查找整個域的所有 Active Directory 站點。
透過篩選器參數,我們可以以多種方式篩選網站。運行Get-Help指令以ActiveDirectory Filter為主題,了解有關為篩選器參數創建查詢的更多信息。
Active Directory站點鏈接
Get-ADReplicationSiteLink這個PowerShell命令允許我們檢索有關組織的Active Directory複製站點鏈接的信息。總體而言,站點鏈接在我們的Active Directory環境中建立了不同站點之間的複製路徑,是整體複製拓撲的一個基本組件。使用Get-ADReplicationSiteLink命令,我們可以檢索和分析有關站點鏈接的信息,包括它們的名稱、時間表和成本。
此命令有助於解決複製問題,監控您的Active Directory環境的健康狀況和狀態,並優化複製基礎架構的性能。要查找AD站點鏈路,請按照查找站點的相同步驟,但使用`Get-ADReplicationSiteLink`命令。然而,與`Get-ADReplicationSite`命令不同,`Get-ADReplicationSiteLink`命令需要指定`Filter`參數。
Active Directory子網路
最後,Get-ADReplicationSubnet cmdlet 是一個 PowerShell 命令,允許您檢索有關組織的Active 目錄複寫子網的信息。複寫子網定義了Active Directory 環境中域控制器的物理位置,對於確定我們域的複寫拓撲和計劃非常重要。使用 Get-ADReplicationSubnet cmdlet,您可以檢索並分析有關複寫子網的信息,包括它們的名稱、描述和位置。
上述三個概念是檢查AD複寫的基本事項。但是,在特定情況下,其他命令可能也很重要。例如,運行 Get-Command “*ADReplication*” 以返回所有用於處理AD站點的PowerShell 命令。
通過我們的複寫狀態健康工具,提高您的Active Directory 健康狀態 試用我們 免費,訪問所有功能。- 200+ AD 報告模板可用。輕鬆自定義您自己的AD報告。
試試我們,免費,訪問所有功能。- 200多個AD報告模板可供選擇。輕鬆自定義您自己的AD報告。
也請閱讀查看活動目錄直接報告
通過GUI理解AD站點、鏈接和子網
儘管本文是關於PowerShell的,但通過GUI檢查和管理活動目錄站點仍然是必要的。我們可能只偶爾使用PowerShell來管理AD站點。
選擇開始,然後輸入活動目錄站點。活動目錄站點和服務(ADDS)現在應該在Windows管理工具程序組中可見。
當我們啟動活動目錄站點和服務時,我們將看到以下屏幕。在AD站點和服務工具中有幾個有趣的部分:
- 當前連接的DC:知道DC是有益的,因為當我們切換時,它可能需要幾個小時在站點之間複製。
- 站點間傳輸:站點將用於複製的協議。
- 子網路:分配和隔離網絡。
-
網站列表 – 我們只會在默認域中看到 默認首站名稱 。
如果我們展開AD站點和服務中的項目,我們將看到以下內容:
- 一個IP傳輸。
- 子網路。
- 域控制器被分配到 站點。
另請閱讀 使用Azure AD監控工具
使用Repadmin監控複製狀態
首先,我們必須了解DC複製以了解用戶帳戶變更或任何AD物件變更。複製與偵測變更之間的關係是什麼?更新序列號碼(USNs)。
了解使用USNs監控AD複製變更
即使我們只有一個DC在複製我們的環境,了解USNs也是至關重要的。
DC始終保留Active Directory資料庫的備份。它們通過複製資料庫來保留副本。如果是這種情況,他們如何知道何時在單個DC上進行複製?這種情況就是USN發揮作用的地方。
當DC上的Active Directory物件屬性發生變更時,DC會為該物件增加USN值。一旦增加,變更將連同USN一起發送到域中的所有其他DC。
什麼是USN?
當Active Directory修改物件的屬性時,它會自動增加該屬性的USN。
USN和DC複製如何工作
當我們在單一DC上增加Active Directory物件屬性時,該DC會發送一個複製拉取請求。DC拉取請求指示DC的複製夥伴從其資料庫中檢索最新功能。之後,複製夥伴將屬性的USN副本與發起複製的DC進行比較。如果其他USN較大,則目的地DC允許複製DC。
使用Repadmin監控USN變更
既然我們已經了解了USN是如何更新的,現在讓我們來看一個使用微軟的複製管理(repadmin)工具監控Active Directory變更的例子。Repadmin是一個與Active Directory相關的工具,它允許我們在Active Directory 森林中的DC之間進行複製故障排除。
1. 登入到網域控制器並開啟PowerShell.
2. 運行以下命令以列出user1用戶帳戶的所有屬性及其版本號。以下示例假設了用戶帳戶user1在文章的TestOU中的test.local網域的活動目錄域中的位置。
該/ShowObjMeta參數需要一個網域控制器來聯繫對象的可分辨名稱。返回的輸出顯示了存儲在活動目錄中的指定對象的複製元數據,例如屬性ID、版本號、原始和本地USN,以及原始服務器的GUID、日期和時間戳。
我們將在下方注意到 repadmin 有一个 Ver 列。这个版本 (Ver) 列是一个递增的数字,代表属性已更改的次数。这个值是检测系统随着日期变化的指标。
特别注意到 displayName 属性。版本是 3,意味着属性值已显著改变。
3. 运行下面的 PowerShell 命令来更改 displayName 属性,用于 User1 用户 账户。我们进行这个步骤是为了模拟对我们 AD 环境的更改。
4. 现在,重新运行 repadmin,使用与第二步相同的命令,以查看 USNs 和版本是否已递增并更新了 组织时间/日期。
感谢您阅读如何检查活动目录复制状态健康。我们现在将结束这篇文章。
另讀 使用健康檢查工具
如何檢查Active Directory複製狀態健康總結
總結來說,檢查我們的Active Directory環境的複製狀態是確保網絡健康和穩定的基本任務。使用本文中概述的內置工具和技術,您可以快速輕鬆地檢查您的域控制器的複製狀態並識別任何現有問題。無論您是網絡管理員還是只是希望確保Active Directory環境的平滑運作,本指南都提供了您開始所需的資訊。
請通過訪問我們的博客這裡來探索我們Active Directory知識中心的更多內容。
Source:
https://infrasos.com/how-to-check-active-directory-replication-status-health/