Dans ce tutoriel, vous apprendrez à utiliser l’outil repadmin pour vérifier la réplication Active Directory.
Repadmin est l’outil de diagnostic de réplication ultime.
En plus de vérifier la santé de vos contrôleurs de domaine, il peut également être utilisé pour forcer la réplication et localiser les erreurs.
La réplication Active Directory est un service critique qui maintient les changements synchronisés avec les autres contrôleurs de domaine de la forêt.
Les problèmes de réplication peuvent provoquer des échecs d’authentification et des problèmes d’accès aux ressources du réseau (fichiers, imprimantes, applications).
Ci-après, je vais vous montrer le processus étape par étape avec de nombreux exemples et les résultats.
Faisons-le.
Comment installer Repadmin
Repadmin a été introduit en 2003 avec les outils de support de Windows Server 2003.
Microsoft a commencé à inclure la commande repadmin dans Windows server 2008 et plus. Elle est également incluse sur tout ordinateur sur lequel les outils d’administration de serveur distant (RSAT) sont installés.
Exemples de repadmin
Pour utiliser repadmin, vous devez exécuter l’invite de commande en tant qu’administrateur. Il suffit de faire un clic droit sur cmd et de choisir d’exécuter en tant qu’administrateur
Exemple 1 : Afficher le menu d’aide de repadmin
Utiliser la commande suivante pour voir le menu d’aide, cela affichera toutes les options de la ligne de commande. Il y a beaucoup d’options et vous n’utiliserez probablement pas la plupart d’entre elles. Dans les exemples ci-dessous, je passerai en revue les options de ligne de commande les plus courantes et les plus utiles.
repadmin /?
Résultats affichés
C:\Users\rallen>repadmin /?Usage: repadmin ] Use these commands to see the help:/? Displays a list of commands available for use in repadmin and their description./help Same as /?/?: Displays the list of possible arguments , appropriate syntaxes and examples for the specified command ./help: Same as /?:/experthelp Displays a list of commands for use by advanced users only./listhelp Displays the variations of syntax available for the DSA_NAME, DSA_LIST, NCNAME and OBJ_LIST strings./oldhelp Displays a list of deprecated commands that still work but are no longer supported by Microsoft.Supported commands (use /? for detailed help): /kcc Forces the KCC on targeted domain controller(s) to immediately recalculate its inbound replication topology. /prp This command allows an admin to view or modify the password replication policy for RODCs. /queue Displays inbound replication requests that the DC needs to issue to become consistent with its source replication partners. /replicate Triggers the immediate replication of the specified directory partition to the destination domain controller from the source DC. /replsingleobj Replicates a single object between any two domain controllers that have common directory partitions. /replsummary The replsummary operation quickly and concisely summarizes the replication state and relative health of a forest. /rodcpwdrepl Triggers replication of passwords for the specified user(s) from the source (Hub DC) to one or more Read Only DC's. /showattr Displays the attributes of an object. /showobjmeta Displays the replication metadata for a specified object stored in Active Directory, such as attribute ID, version number, originating and local Update Sequence Number (USN), and originating server's GUID and Date and Time stamp. /showrepl Displays the replication status when specified domain controller last attempted to inbound replicate Active Directory partitions. /showutdvec displays the highest committed Update Sequence Number (USN) that the targeted DC's copy of Active Directory shows as committed for itself and its transitive partners. /syncall Synchronizes a specified domain controller with all replication partners.Supported additional parameters: /u: Specifies the domain and user name separated by a backslash {domain\user} that has permissions to perform operations in Active Directory. UPN logons not supported. /pw: Specifies the password for the user name entered with the /u parameter. /retry This parameter will cause repadmin to repeat its attempt to bind to the target dc should the first attempt fail with one of the following error status: 1722 / 0x6ba : "The RPC Server is unavailable" 1753 / 0x6d9 : "There are no more endpoints available from the endpoint mapper" /csv Used with /showrepl to output results in comma separated value format. See /csvhelp
Exemple 2 : résumer l’état de réplication et afficher la santé globale
La première commande que vous devriez utiliser est replsummary. Cette commande vous montrera rapidement la santé globale de la réplication. Cette commande vous montrera le pourcentage de tentatives de réplication qui ont échoué ainsi que les plus grands deltas de réplication.
repadmin /replsummary
Résultats affichés
:\WINDOWS\system32>repadmin /replsummaryReplication Summary Start Time: 2018-03-13 04:44:54Beginning data collection for replication summary, this may take awhile: .....Source DSA largest delta fails/total %% error DC1 52m:48s 0 / 5 0 DC2 52m:46s 0 / 5 0Destination DSA largest delta fails/total %% error DC1 52m:46s 0 / 5 0 DC2 52m:48s 0 / 5 0
Exemple 3 : Afficher le partenaire de réplication et le statut
Puis, utilisez la commande suivante pour voir le partenaire de réplication ainsi que le statut de réplication. Cela vous aide à comprendre le rôle de chaque contrôleur de domaine dans le processus de réplication.
En outre, cette commande affiche le GUID de chaque objet qui a été répliqué et son résultat. Cela est utile pour identifier les objets qui ne parviennent pas à se répliquer.
repadmin /showrepl
Résultats affichés
C:\Users\rallen>repadmin /showreplRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.
Exemple 4 : Afficher le partenaire de réplication pour un contrôleur de domaine spécifique
Si vous voulez voir l’état de réplication pour un contrôleur de domaine spécifique, utilisez cette commande.
Remplacez <ServerName> par le nom de votre contrôleur de domaine.
repadmin /showrepl <ServerName>
Résultats affichés
C:\WINDOWS\system32>repadmin /showrepl dc2Default-First-Site-Name\DC2DSA Options: IS_GCSite Options: (none)DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408DSA invocationID: 2eb95693-bfa7-4f3f-b52c-139737aa883f==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 04:21:02 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.
Exemple 5 : Afficher uniquement les erreurs de réplication
La commande showrepl peut sortir beaucoup d’informations. Si vous voulez voir uniquement les erreurs, utilisez cette commande. Dans cet exemple, DC2 est en panne, vous pouvez voir que les résultats sont toutes les erreurs de DC2.
C:\WINDOWS\system32>repadmin /showrepl /errorsonlyRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.Source: Default-First-Site-Name\DC2******* 1 CONSECUTIVE FAILURES since 2018-03-14 07:52:08Last error: 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure.
Exemple 6 : Afficher la file d’attente de réplication
Il est normal de voir des éléments dans la file d’attente. Si vous avez un petit environnement, elle sera souvent à zéro car il y a peu de réplications qui se produisent. Si vous remarquez que des éléments restent dans la file d’attente et qu’ils ne se vident jamais, vous avez un problème.
Utiliser cette commande pour afficher la file d’attente de réplication
Repadmin /Queue
Résultats affichés
C:\Users\rallen>repadmin /queueRepadmin: running command /queue against full DC dc1.ad.activedirectorypro.comQueue contains 0 items.
Exemple 7 : Comment forcer la réplication Active Directory
Utiliser la commande suivante si vous voulez forcer la réplication entre les contrôleurs de domaine. Vous voudrez exécuter cette commande sur le DC que vous souhaitez mettre à jour. Par exemple, si DC1 est désynchronisé, je l’exécuterai sur DC1.
Cette commande effectuera une réplication pull, ce qui signifie qu’elle tirera les mises à jour de DC2 vers DC1.
repadmin /syncall dc1 /AeD
Si vous voulez pousser la réplication, vous utiliserez le commutateur /P. Par exemple, si vous effectuez des changements sur le DC1 et que vous voulez répliquer ces changements sur d’autres DCs, utilisez cette commande.
repadmin /syncall dc1 /APeD
Résultats affichés
C:\WINDOWS\system32>repadmin /syncall dc1 /AeDSyncing all NC's held on dc1.Syncing partition: DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.
Exemple 8 : Exporter les résultats vers un fichier texte
Parfois, ces commandes peuvent afficher beaucoup d’informations. Vous pouvez exporter n’importe lequel des exemples ci-dessus vers un fichier texte, cela facilite un peu la révision ultérieure ou la sauvegarde pour la documentation.
Il suffit d’ajouter > c:\destination folder\filename.txt à la fin de n’importe laquelle des commandes
Voici quelques exemples
repadmin /replsummary > c:\it\replsummary.txt
repadmin /showrepl > c:\it\showrepl.txt
Plus de exemples
Trouver la dernière fois que vos DC ont été sauvegardés
Repadmin /showbackup *
Affiche les appels qui n’ont pas encore été pris
repadmin /showoutcalls *
Liste des informations de topologie
repadmin /bridgeheads * /verbose
Rapport du générateur de topologie intersite
repadmin /istg * /verbose
Conclusion
En tant qu’administrateur système, il est important que vous sachiez comment dépanner et vérifier que la réplication fonctionne correctement. Le repadmin est un outil simple mais puissant que vous devez savoir utiliser.
J’espère que vous avez trouvé ce guide utile. Si vous avez des questions, laissez un commentaire ci-dessous.
Voir aussi :
Comment vérifier rapidement les rôles FSMO
Utiliser NSLookup pour vérifier les enregistrements DNS
Outil recommandé : SolarWinds Server & Application Monitor
Cet utilitaire a été conçu pour surveiller Active Directory et d’autres services critiques comme DNS & DHCP. Il repérera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion échouées et bien plus encore.
Ce que j’aime le plus de SAM, c’est son tableau de bord facile à utiliser et ses fonctions d’alerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.
Téléchargez votre essai gratuit ici
.