Чтобы поддерживать домен Active Directory в исправном состоянии, следует периодически проверять репликацию между контроллерами домена с помощью инструментов repadmin и dcdiag (мы рассмотрели использование утилиты dcdiag в предыдущем руководстве.
Репликация Active Directory полностью автоматизирована и правильно планирует конфигурацию архитектуры AD, сайтов и расписания репликации практически не требует ручного управления системным администратором.
Действительно, в небольших доменах AD с несколькими контроллерами домена (2-5) проблем с репликацией обычно почти нет, но в больших инфраструктурах из десятков и сотен контроллеров домена администратору домена часто приходится вмешиваться в процесс репликации и исправлять ошибки.
Средство командной строки repadmin можно использовать для мониторинга репликации, отслеживания сбоев репликации между контроллерами домена и принудительной репликации данных.
Утилита repadmin в Windows Server 2003 была включена в пакет средств поддержки, который необходимо было загрузить и установить вручную.
В Windows Server 2008 R2 и более поздних версиях средство repadmin автоматически устанавливается на контроллере домена при установке роли ADDS (доменные службы Active Directory).
Вы можете установить repadmin на настольные версии Windows (Wndows 10 / 8.1 / 7).
Для этого установите RSAT и включите опцию AD DS и AD LDS Tools.
Чтобы использовать repadmin, откройте командную строку от имени администратора.
Вы можете перечислить полный синтаксис команды, набрав:
repadmin /?
Usage: repadmin <cmd> <args> [/u:{domain\user}] [/pw:{password|*}]
[/retry[:<retries>][:<delay>]]
[/csv]
Как видите, команда имеет довольно много опций.
Давайте попробуем изучить некоторые полезные примеры использования repadmin.
Чтобы быстро проверить работоспособность репликации между контроллерами домена, обычно используется следующая команда:
Repadmin /replsummary
Как видите, в домене AD есть только 2 контроллера домена, между которыми в настоящее время нет ошибок репликации.
Каждый сервер действует как исходный DSA и целевой DSA.
Чтобы проверить оставшееся количество объектов каталога AD в очереди репликации, выполните:
Repadmin /Queue
Используя команду Repadmin / Showrepl, вы можете отобразить состояние репликации для текущего DC.
Она отображает время последней попытки репликации разделов Active Directory.
Если вы считаете, что какой-то контроллер домена не получает обновления репликации, выполните для него эту команду.
Совет. Для отображения подробной информации в любой команде используйте параметр /verbose.
Базовую доступность каталога LDAP на конкретном контроллере домена можно проверить с помощью команды:
repadmin /bind dc1.itsecforu.ru
Вы можете принудительно выполнить репликацию указанного контроллера домена со всеми партнерами по репликации DC, используя команду:
Repadmin /syncall
Не рекомендуется выполнять эту команду в больших доменах Active Directory, так как это может вызвать большую нагрузку на сеть.
Чтобы начать репликацию всех разделов Active Directory по всему лесу, выполните команду:
Repadmin /syncall /AeS
При использовании этой команды также возможна высокая нагрузка на каналы связи.
Команда Repadmin / kcc указывает KCC (Knowledge Consistency Checker) на указанном контроллере домена немедленно пересчитать топологию входящей репликации (она запускается автоматически каждые 15 минут).
Команда Repadmin / replicate позволяет вам реплицировать определенный раздел каталога с исходного DC на целевой. Например:
repadmin /replicate dc1.itsecforu.ru dc2.itsecforu.ru dc=itsecforu,dc=ru
