Инструмент Repadmin: удобное решение для проблем с репликацией Active Directory.

Опубликовано: 16 Марта, 2023
Инструмент Repadmin: удобное решение для проблем с репликацией Active Directory.

Если вы работаете с несколькими доменами, вы обязательно столкнетесь с проблемами в какой-то момент, особенно в процессе репликации. Как вы знаете, репликация изменений, сделанных на одном контроллере домена, на все остальные контроллеры домена в том же лесу необходима для обеспечения того, чтобы каждый контроллер хранил один и тот же набор информации. Если вы управляете крупной организацией, вы часто будете выполнять репликацию на локальном сайте, а также на дополнительных сайтах, чтобы синхронизировать данные во всех доменах и лесах. Эта репликация важна, так как ее отсутствие может вызвать проблемы с аутентификацией. В свою очередь, это может создать проблемы с доступом к ресурсам в сети. По большому счету, Active Directory упрощает управление несколькими доменами. Однако во многих ситуациях это вызывает проблемы с репликацией, а устранение неполадок на удивление сложно. Но не волнуйтесь! Microsoft предлагает инструмент под названием repadmin, который можно использовать для диагностики, а иногда даже для устранения проблем с репликацией Active Directory.

Что такое репадмин?

Repadmin — это инструмент командной строки, который помогает диагностировать и устранять проблемы с репликацией Active Directory. На самом деле repadmin.exe встроен в версии, начиная с Windows Server 2008 и Windows Server 2008 R2. Он также доступен, если вы установили роли сервера AD DS или AD LDS. Вы даже можете получить к нему доступ с помощью инструментов доменных служб AD, которые входят в состав средств удаленного администрирования сервера (RSAT).

Как запустить репадмин

Чтобы использовать repadmin, откройте командную строку с повышенными привилегиями. Чтобы открыть это приглашение, щелкните правой кнопкой мыши кнопку «Пуск» и выберите «Командная строка (администратор)» в контекстном меню. И, конечно же, вам придется войти в систему как администратор домена.

Затем запустите из командной строки, чтобы запустить repadmin.

Использование repadmin

Вы можете делать разные вещи с помощью repadmin. Вот некоторые из важных задач, для которых вы будете использовать repadmin.

Выявление проблемы репликации

С помощью repadmin вы можете увидеть топологию репликации с точки зрения каждого контроллера домена. Вы даже можете получить статус репликации вашего домена с помощью этой команды:

repadmin / replsum

Эта команда получает информацию от всех контроллеров домена и дает сводку о состоянии репликации каждого контроллера домена.

Это также первая команда, которую вы должны использовать, если вы отлаживаете проблему репликации, поскольку она дает вам моментальный снимок состояния репликации каждого контроллера домена.

Изображение 4425
backslasher.net

Давайте немного проанализируем это изображение, чтобы вы знали, где искать проблемы.

Посмотрите внимательно, и вы увидите два раздела — один с исходным DSA, а другой с целевым DSA. Серверы, перечисленные в обоих этих разделах, одинаковы. Так зачем тогда эти два раздела?

Ну, это потому, что обновления активного каталога могут быть записаны на любой контроллер домена, кроме контроллеров только для чтения, потому что это соответствует модели домена с несколькими главными. Это означает, что все контроллеры домена только для чтения перечислены только в целевом DSA. Эта информация позволяет легко узнать, какие контроллеры доступны только для чтения, и, очевидно, почему они не обновляются.

В остальных разделах указано, сколько попыток репликации было предпринято, и состояние каждой попытки. Этот моментальный снимок также дает процент ошибок при попытках репликации.

Подробная информация

Если вы хотите получить более подробную информацию о попытках репликации, используйте эту команду:

repadmin / showrepl *

Изображение 4426
Ледяной Волк

Эта команда покажет вам вероятную проблему для каждой неудачной попытки и может дать вам лучшее представление о том, что происходит. Но если у вас есть несколько контроллеров домена, просмотр всех деталей для выявления ошибки может оказаться затруднительным.

В приведенном выше примере решение проблемы заключается в остановке службы «центр распространения ключей kerberos». Затем перезапустите службу «Доменные службы Active Directory». Затем перезапустите процесс репликации через сайты и службы Active Directory. Проверьте свои журналы, и репликация должна пройти успешно. Перезапустите «центр распространения ключей Kerberos», если хотите.

В целом, эта команда дает вам более полное представление о проблеме и может указать вам правильное направление для решения.

Очередь

Некоторые запросы попадают в очередь, ожидая выполнения. Используйте эту команду:

repadmin/queue

Это позволит вам, если ваш запрос находится в очереди. Очевидно, что если ваш запрос стоит в очереди, то в процессе как таковом нет ничего плохого, но он может занять некоторое время.

Однако, если одни и те же элементы находятся в очереди в течение неопределенного периода времени или если очередь становится очень длинной, это указывает на проблему репликации.

В этом смысле команда «queue» помогает вам узнать, есть ли ошибка в процессе репликации или ваш элемент просто находится в очереди, ожидая выполнения.

Помимо приведенных выше трех общих команд, здесь есть и другие варианты.

Проверки на KCC

Чтобы запустить средство проверки согласованности знаний или KCC, используйте следующую команду:

repadmin/kcc

Запуск KCC на каждом контроллере домена будет пересчитывать топологию входящей репликации этого контроллера.

Хотя каждый контроллер домена выполняет это вычисление каждые 15 минут, выполнение этой команды помогает устранять ошибки KCC. В то же время вы также можете оценить, нужны ли вам новые объекты подключения.

Управление политикой репликации паролей

Команда

repadmin/prp

управляет политикой репликации паролей (PRP) для всех контроллеров домена только для чтения (RODC). Однако вам придется запускать его на контроллере домена с возможностью записи, а не на контроллере только для чтения.

Эта команда позволяет добавлять, удалять, перемещать и просматривать PRP для любого контроллера домена. Но вы не можете использовать эту команду для добавления или удаления учетной записи из запрещенного списка.

Синтаксис добавления:

repadmin / prp add <RODC> allow <security principal that you want to add to the allowed list>

Для удаления используйте эту команду:

repadmin / prp delete <read-only domain controller> allow <security principal that you want to delete from the allowed list>

Чтобы переместить PRP из одной группы в другую, используйте эту команду:

repadmin /prp move <RODC> <Group> [/noauth2cleanup] [/users_only | /comps_only]

Когда вы просто хотите просмотреть, используйте этот синтаксис:

repadmin /prp view <RODC> {<List_Name>|<User>}

Принудительная репликация

принудительно выполняет репликацию каталога или раздела схемы на все контроллеры домена в сети.

Вы будете использовать эту команду в основном для включения репликации AD для выполняемой вами задачи и для проверки состояния репликации между различными контроллерами домена.

Отображает атрибут

Команда

repadmin/showattr

показывает атрибуты объекта в данный момент времени. Команда «showattr» по умолчанию использует порт 389 упрощенного протокола доступа к каталогам (LDAP) для запроса различных доступных для записи разделов. Он также может использовать порт 3268 для запроса разделов, доступных только для чтения.

Если вы хотите узнать, сколько раз атрибуты были изменены, или сведения о контроллере домена, который внес эти изменения, используйте эту команду:

repadmin/showobjmeta

Кроме того, эта команда предоставляет такую информацию, как идентификатор атрибута, номер версии, метка времени, глобальный уникальный идентификатор, порядковые номера обновлений и многое другое.

Синхронизация

Эта команда реплицирует один контроллер домена со всеми его партнерами по репликации. Синтаксис:

repadmin /syncall <DSA> [<Naming Context>] [<flags>]

Разбивая команду, вот что означает каждая часть:

  • DSA — это имя хоста контроллера домена.
  • Контекст именования — это имя раздела каталога. Если вы не укажете раздел каталога, будет использоваться раздел каталога конфигурации.
  • Флаги — это набор необязательных флагов, которые вы можете использовать для выполнения определенных действий. Поддерживаемые флаги включают:
    • /a — прерывается, если сервер недоступен.
    • /h — выводит справку.
    • /i — повторяется бесконечно.
    • /s — не синхронизируется.
    • /q — подавляет сообщения о звонках и работает в тихом режиме.

Таким образом, это некоторые из вариантов для repadmin.

Как видите, repadmin.exe — это удобный инструмент, который поставляется с сервером Windows и помогает исправить проблемы с репликацией, возникающие в Active Directory. Это инструмент командной строки, который позволяет легко выявлять проблемы репликации и устранять их — то, что непросто сделать непосредственно в AD.

Итак, вы пробовали repadmin? Не могли бы вы поделиться своим опытом с нашими читателями в разделе комментариев?