🇾🇹 Инструмент Repadminl: проверка состояния репликации Active Directory – Information Security Squad
🇾🇹 Инструмент Repadminl: проверка состояния репликации Active Directory

Чтобы поддерживать домен Active Directory в исправном состоянии, следует периодически проверять репликацию между контроллерами домена с помощью инструментов repadmin и dcdiag (мы рассмотрели использование утилиты dcdiag в предыдущем руководстве.

Репликация Active Directory полностью автоматизирована и правильно планирует конфигурацию архитектуры AD, сайтов и расписания репликации практически не требует ручного управления системным администратором.

Действительно, в небольших доменах AD с несколькими контроллерами домена (2-5) проблем с репликацией обычно почти нет, но в больших инфраструктурах из десятков и сотен контроллеров домена администратору домена часто приходится вмешиваться в процесс репликации и исправлять ошибки.

Средство командной строки repadmin можно использовать для мониторинга репликации, отслеживания сбоев репликации между контроллерами домена и принудительной репликации данных.

Утилита repadmin в Windows Server 2003 была включена в пакет средств поддержки, который необходимо было загрузить и установить вручную.

В Windows Server 2008 R2 и более поздних версиях средство repadmin автоматически устанавливается на контроллере домена при установке роли ADDS (доменные службы Active Directory).

Вы можете установить repadmin на настольные версии Windows (Wndows 10 / 8.1 / 7).

Для этого установите RSAT и включите опцию AD DS и AD LDS Tools.

Чтобы использовать repadmin, откройте командную строку от имени администратора.

Вы можете перечислить полный синтаксис команды, набрав:

repadmin /?

Usage: repadmin <cmd> <args> [/u:{domain\user}] [/pw:{password|*}]

 [/retry[:<retries>][:<delay>]]

 [/csv]

Как видите, команда имеет довольно много опций.

Давайте попробуем изучить некоторые полезные примеры использования repadmin.

Чтобы быстро проверить работоспособность репликации между контроллерами домена, обычно используется следующая команда:

Repadmin /replsummary

Как видите, в домене AD есть только 2 контроллера домена, между которыми в настоящее время нет ошибок репликации.

Каждый сервер действует как исходный DSA и целевой DSA.

Чтобы проверить оставшееся количество объектов каталога AD в очереди репликации, выполните:

Repadmin /Queue

Используя команду Repadmin / Showrepl, вы можете отобразить состояние репликации для текущего DC.

Она отображает время последней попытки репликации разделов Active Directory.

Если вы считаете, что какой-то контроллер домена не получает обновления репликации, выполните для него эту команду.

Совет. Для отображения подробной информации в любой команде используйте параметр /verbose.

Базовую доступность каталога LDAP на конкретном контроллере домена можно проверить с помощью команды:

repadmin /bind dc1.itsecforu.ru

Вы можете принудительно выполнить репликацию указанного контроллера домена со всеми партнерами по репликации DC, используя команду:

Repadmin /syncall

Не рекомендуется выполнять эту команду в больших доменах Active Directory, так как это может вызвать большую нагрузку на сеть.

Чтобы начать репликацию всех разделов Active Directory по всему лесу, выполните команду:

Repadmin /syncall /AeS

При использовании этой команды также возможна высокая нагрузка на каналы связи.

Команда Repadmin / kcc указывает KCC (Knowledge Consistency Checker) на указанном контроллере домена немедленно пересчитать топологию входящей репликации (она запускается автоматически каждые 15 минут).

Команда Repadmin / replicate позволяет вам реплицировать определенный раздел каталога с исходного DC на целевой. Например:

repadmin /replicate dc1.itsecforu.ru dc2.itsecforu.ru dc=itsecforu,dc=ru

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *