In questo tutorial, imparerete come usare lo strumento repadmin per controllare la replica di Active Directory.
Repadmin è lo strumento diagnostico definitivo per la replica.
Oltre a controllare lo stato di salute dei controller di dominio, può anche essere usato per forzare la replica e individuare gli errori.
La replica di Active Directory è un servizio critico che mantiene i cambiamenti sincronizzati con altri controller di dominio nella foresta.
I problemi con la replica possono causare fallimenti di autenticazione e problemi di accesso alle risorse di rete (file, stampanti, applicazioni).
Di seguito vi mostrerò il processo passo dopo passo con molti esempi e i risultati.
Facciamo così.
Come installare Repadmin
Repadmin è stato introdotto nel 2003 con gli strumenti di supporto di Windows Server 2003.
Microsoft ha iniziato a includere il comando repadmin in Windows server 2008 e successivi. È anche incluso in qualsiasi computer che ha installato gli strumenti di amministrazione del server remoto (RSAT).
Esempi di repadmin
Per usare repadmin è necessario eseguire il prompt dei comandi come amministratore. Semplicemente clicca con il tasto destro del mouse su cmd e scegli di eseguire come amministratore
Esempio 1: Visualizza il menu di aiuto di repadmin
Usa il seguente comando per vedere il menu di aiuto, questo mostrerà tutte le opzioni della linea di comando. Ci sono molte opzioni e probabilmente non ne userai la maggior parte. Negli esempi che seguono andrò oltre le opzioni della linea di comando più comuni e utili.
repadmin /?
Risultati visualizzati
C:\Users\rallen>repadmin /?Usage: repadmin ] Use these commands to see the help:/? Displays a list of commands available for use in repadmin and their description./help Same as /?/?: Displays the list of possible arguments , appropriate syntaxes and examples for the specified command ./help: Same as /?:/experthelp Displays a list of commands for use by advanced users only./listhelp Displays the variations of syntax available for the DSA_NAME, DSA_LIST, NCNAME and OBJ_LIST strings./oldhelp Displays a list of deprecated commands that still work but are no longer supported by Microsoft.Supported commands (use /? for detailed help): /kcc Forces the KCC on targeted domain controller(s) to immediately recalculate its inbound replication topology. /prp This command allows an admin to view or modify the password replication policy for RODCs. /queue Displays inbound replication requests that the DC needs to issue to become consistent with its source replication partners. /replicate Triggers the immediate replication of the specified directory partition to the destination domain controller from the source DC. /replsingleobj Replicates a single object between any two domain controllers that have common directory partitions. /replsummary The replsummary operation quickly and concisely summarizes the replication state and relative health of a forest. /rodcpwdrepl Triggers replication of passwords for the specified user(s) from the source (Hub DC) to one or more Read Only DC's. /showattr Displays the attributes of an object. /showobjmeta Displays the replication metadata for a specified object stored in Active Directory, such as attribute ID, version number, originating and local Update Sequence Number (USN), and originating server's GUID and Date and Time stamp. /showrepl Displays the replication status when specified domain controller last attempted to inbound replicate Active Directory partitions. /showutdvec displays the highest committed Update Sequence Number (USN) that the targeted DC's copy of Active Directory shows as committed for itself and its transitive partners. /syncall Synchronizes a specified domain controller with all replication partners.Supported additional parameters: /u: Specifies the domain and user name separated by a backslash {domain\user} that has permissions to perform operations in Active Directory. UPN logons not supported. /pw: Specifies the password for the user name entered with the /u parameter. /retry This parameter will cause repadmin to repeat its attempt to bind to the target dc should the first attempt fail with one of the following error status: 1722 / 0x6ba : "The RPC Server is unavailable" 1753 / 0x6d9 : "There are no more endpoints available from the endpoint mapper" /csv Used with /showrepl to output results in comma separated value format. See /csvhelp
Esempio 2: Riassumere lo stato di replica e visualizzare la salute generale
Il primo comando che dovresti usare è replsummary. Questo comando ti mostrerà rapidamente lo stato di salute generale della replica. Questo comando ti mostrerà la percentuale di tentativi di replica che sono falliti così come i maggiori delta di replica.
repadmin /replsummary
Risultati visualizzati
:\WINDOWS\system32>repadmin /replsummaryReplication Summary Start Time: 2018-03-13 04:44:54Beginning data collection for replication summary, this may take awhile: .....Source DSA largest delta fails/total %% error DC1 52m:48s 0 / 5 0 DC2 52m:46s 0 / 5 0Destination DSA largest delta fails/total %% error DC1 52m:46s 0 / 5 0 DC2 52m:48s 0 / 5 0
Esempio 3: Mostra il partner di replica e lo stato
In seguito, usa il seguente comando per vedere il partner di replica così come lo stato di replica. Questo ti aiuta a capire il ruolo di ogni controller di dominio nel processo di replica.
Inoltre, questo comando mostra il GUID di ogni oggetto che è stato replicato e il suo risultato. Questo è utile per identificare quali oggetti non riescono a replicarsi.
repadmin /showrepl
Risultati visualizzati
C:\Users\rallen>repadmin /showreplRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.
Esempio 4: Mostra il partner di replica per un controller di dominio specifico
Se vuoi vedere lo stato di replica per un controller di dominio specifico usa questo comando.
sostituisci <ServerName> con il nome del tuo controller di dominio.
repadmin /showrepl <ServerName>
Risultati visualizzati
C:\WINDOWS\system32>repadmin /showrepl dc2Default-First-Site-Name\DC2DSA Options: IS_GCSite Options: (none)DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408DSA invocationID: 2eb95693-bfa7-4f3f-b52c-139737aa883f==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 04:21:02 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.
Esempio 5: Mostra solo gli errori di replica
Il comando showrepl può fornire molte informazioni. Se vuoi vedere solo gli errori usa questo comando. In questo esempio, DC2 è giù, puoi vedere i risultati sono tutti gli errori di DC2.
C:\WINDOWS\system32>repadmin /showrepl /errorsonlyRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.Source: Default-First-Site-Name\DC2******* 1 CONSECUTIVE FAILURES since 2018-03-14 07:52:08Last error: 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure.
Esempio 6: Mostra coda di replica
È normale vedere gli elementi nella coda. Se hai un piccolo ambiente sarà spesso a zero perché ci sono poche repliche che si verificano. Se notate che gli elementi sono seduti nella coda e non si svuotano mai, avete un problema.
Usa questo comando per visualizzare la coda di replica
Repadmin /Queue
Risultati visualizzati
C:\Users\rallen>repadmin /queueRepadmin: running command /queue against full DC dc1.ad.activedirectorypro.comQueue contains 0 items.
Esempio 7: Come forzare la replica di Active Directory
Usa il seguente comando se vuoi forzare la replica tra controller di dominio. Si vorrà eseguire questo comando sul DC che si desidera aggiornare. Per esempio, se DC1 è fuori sincronia, lo eseguirò su DC1.
Questo farà una replica pull, cioè tirerà gli aggiornamenti da DC2 a DC1.
repadmin /syncall dc1 /AeD
Se vuoi spingere la replica userai lo switch /P. Per esempio se fai delle modifiche su DC1 e vuoi replicarle su altri DC usa questo comando.
repadmin /syncall dc1 /APeD
Risultati visualizzati
C:\WINDOWS\system32>repadmin /syncall dc1 /AeDSyncing all NC's held on dc1.Syncing partition: DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.
Esempio 8: esporta i risultati in un file di testo
A volte questi comandi possono visualizzare molte informazioni. È possibile esportare uno qualsiasi degli esempi di cui sopra in un file di testo, questo lo rende un po’ più facile da rivedere in un secondo momento o da salvare per la documentazione.
Basta aggiungere > c:\destinazione cartella\filename.txt alla fine di qualsiasi comando
Ecco alcuni esempi
repadmin /replsummary > c:\it\replsummary.txt
repadmin /showrepl > c:\it\showrepl.txt
Altri esempi
Trova l’ultima volta che il tuo DC è stato di backup
Repadmin /showbackup *
Visualizza le chiamate che non hanno ancora ricevuto risposta
repadmin /showoutcalls *
Elenco delle informazioni sulla topologia
repadmin /bridgeheads * /verbose
Rapporto del generatore di topologia del sito interno
repadmin /istg * /verbose
Conclusione
Come amministratore di sistema è importante che tu sappia come risolvere i problemi e verificare che la replica funzioni correttamente. Il repadmin è uno strumento semplice ma potente che dovresti sapere come usare.
Spero che tu abbia trovato utile questa guida. Se hai qualche domanda lascia un commento qui sotto.
Vedi anche:
Come controllare rapidamente i ruoli FSMO
Utilizzare NSLookup per controllare i record DNS
Strumento consigliato: SolarWinds Server & Application Monitor
Questa utility è stata progettata per monitorare Active Directory e altri servizi critici come DNS & DHCP. Individua rapidamente i problemi dei controller di dominio, previene i fallimenti della replica, tiene traccia dei tentativi di accesso non riusciti e molto altro ancora.
Quello che mi piace di più di SAM è la sua dashboard facile da usare e le funzioni di avviso. Ha anche la capacità di monitorare le macchine virtuali e lo storage.
Scarica la tua prova gratuita qui