Repadmin: Como verificar a replicação Active Directory Replication

Neste tutorial, aprenderá como usar a ferramenta repadmin para verificar a replicação Active Directory Replication.

Repadmin é a derradeira ferramenta de diagnóstico de replicação.

Além de verificar a saúde dos seus controladores de domínio, também pode ser utilizado para forçar a replicação e apontar erros.

Active Directory replicication é um serviço crítico que mantém as alterações sincronizadas com outros controladores de domínio na floresta.

Problemas com replicação podem causar falhas de autenticação e problemas no acesso aos recursos da rede (ficheiros, impressoras, aplicações).

Below Vou mostrar-lhe o processo passo a passo com muitos exemplos e os resultados.

Façamos isto.

Como instalar o Repadmin

Repadmin foi introduzido em 2003 com as ferramentas de suporte do Windows Server 2003.

Microsoft começou a incluir o comando repadmin no Windows Server 2008 e seguintes. Está também incluído em qualquer computador que tenha instalado o Remote Server Administration Tools (RSAT).

Repadmin Exemplos

Para utilizar o repadmin é necessário executar o comando repadmin como administrador. Basta clicar com o botão direito do rato cmd e escolher executar como administrador

Exemplo 1: Mostrar o menu de ajuda repadmin

Utilizar o seguinte comando para ver o menu de ajuda, isto irá mostrar todas as opções de linha de comando. Existem muitas opções e provavelmente não irá utilizar a maioria delas. Nos exemplos abaixo passarei em revista as opções de linha de comando mais comuns e úteis.

repadmin /?

Resultados mostrados

 C:\Users\rallen>repadmin /?Usage: repadmin ] Use these commands to see the help:/? Displays a list of commands available for use in repadmin and their description./help Same as /?/?: Displays the list of possible arguments , appropriate syntaxes and examples for the specified command ./help: Same as /?:/experthelp Displays a list of commands for use by advanced users only./listhelp Displays the variations of syntax available for the DSA_NAME, DSA_LIST, NCNAME and OBJ_LIST strings./oldhelp Displays a list of deprecated commands that still work but are no longer supported by Microsoft.Supported commands (use /? for detailed help): /kcc Forces the KCC on targeted domain controller(s) to immediately recalculate its inbound replication topology. /prp This command allows an admin to view or modify the password replication policy for RODCs. /queue Displays inbound replication requests that the DC needs to issue to become consistent with its source replication partners. /replicate Triggers the immediate replication of the specified directory partition to the destination domain controller from the source DC. /replsingleobj Replicates a single object between any two domain controllers that have common directory partitions. /replsummary The replsummary operation quickly and concisely summarizes the replication state and relative health of a forest. /rodcpwdrepl Triggers replication of passwords for the specified user(s) from the source (Hub DC) to one or more Read Only DC's. /showattr Displays the attributes of an object. /showobjmeta Displays the replication metadata for a specified object stored in Active Directory, such as attribute ID, version number, originating and local Update Sequence Number (USN), and originating server's GUID and Date and Time stamp. /showrepl Displays the replication status when specified domain controller last attempted to inbound replicate Active Directory partitions. /showutdvec displays the highest committed Update Sequence Number (USN) that the targeted DC's copy of Active Directory shows as committed for itself and its transitive partners. /syncall Synchronizes a specified domain controller with all replication partners.Supported additional parameters: /u: Specifies the domain and user name separated by a backslash {domain\user} that has permissions to perform operations in Active Directory. UPN logons not supported. /pw: Specifies the password for the user name entered with the /u parameter. /retry This parameter will cause repadmin to repeat its attempt to bind to the target dc should the first attempt fail with one of the following error status: 1722 / 0x6ba : "The RPC Server is unavailable" 1753 / 0x6d9 : "There are no more endpoints available from the endpoint mapper" /csv Used with /showrepl to output results in comma separated value format. See /csvhelp

Exemplo 2: Resumir o estado de replicação e visualizar a saúde global

O primeiro comando que deverá utilizar é o de réplica. Este comando mostrar-lhe-á rapidamente a saúde geral da replicação. Este comando irá mostrar-lhe a percentagem de tentativas de replicação que falharam bem como os maiores deltas de replicação.

repadmin /replsummary

Resultados apresentados

:\WINDOWS\system32>repadmin /replsummaryReplication Summary Start Time: 2018-03-13 04:44:54Beginning data collection for replication summary, this may take awhile: .....Source DSA largest delta fails/total %% error DC1 52m:48s 0 / 5 0 DC2 52m:46s 0 / 5 0Destination DSA largest delta fails/total %% error DC1 52m:46s 0 / 5 0 DC2 52m:48s 0 / 5 0

Exemplo 3: Mostrar parceiro de replicação e estado

P>Próximo, use o seguinte comando para ver o parceiro de replicação bem como o estado de replicação. Isto ajuda-o a compreender o papel de cada controlador de domínio no processo de replicação.

Além disso, este comando mostra o GUID de cada objecto que foi replicado e o seu resultado. Isto é útil para identificar que objectos não estão a replicar.

repadmin /showrepl

Resultados apresentados

C:\Users\rallen>repadmin /showreplRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.

Exemplo 4: Mostrar parceiro de replicação para um controlador de domínio específico

Se quiser ver o estado de replicação para um controlador de domínio específico utilize este comando.

replace <ServerName> com o nome do seu controlador de domínio.

repadmin /showrepl <ServerName>

Resultados apresentados

C:\WINDOWS\system32>repadmin /showrepl dc2Default-First-Site-Name\DC2DSA Options: IS_GCSite Options: (none)DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408DSA invocationID: 2eb95693-bfa7-4f3f-b52c-139737aa883f==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 04:21:02 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.

Exemplo 5: Mostrar apenas Erros de Replicação

O comando showrepl pode produzir muita informação. Se quiser ver apenas os erros, utilize este comando. Neste exemplo, DC2 está em baixo, pode ver os resultados são todos erros de DC2.

C:\WINDOWS\system32>repadmin /showrepl /errorsonlyRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.Source: Default-First-Site-Name\DC2******* 1 CONSECUTIVE FAILURES since 2018-03-14 07:52:08Last error: 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure.

Exemplo 6: Mostrar Fila de Replicação

É normal ver itens na fila. Se tiver um ambiente pequeno, será muitas vezes a zero porque há poucas réplicas que ocorrem. Se reparar nos itens que se encontram na fila e eles nunca desaparecem, tem um problema.

Utilizar este comando para ver a fila de replicação

Repadmin /Queue

Resultados apresentados

C:\Users\rallen>repadmin /queueRepadmin: running command /queue against full DC dc1.ad.activedirectorypro.comQueue contains 0 items.

Exemplo 7: Como forçar a replicação do Active Directory

Utilizar o seguinte comando se quiser forçar a replicação entre controladores de domínio. Desejará executar isto na CD que deseja actualizar. Por exemplo, se DC1 estiver dessincronizado, eu executaria isto em DC1.

Isto fará uma replicação pull, o que significa que irá puxar as actualizações de DC2 para DC1.

repadmin /syncall dc1 /AeD

Se quiser puxar a replicação, utilizará a chave /P. Por exemplo, se fizer alterações no DC1 e quiser replicá-las para outros DC, utilize este comando.

repadmin /syncall dc1 /APeD

Resultados apresentados

C:\WINDOWS\system32>repadmin /syncall dc1 /AeDSyncing all NC's held on dc1.Syncing partition: DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.

Exemplo 8: Exportar resultados para ficheiro de texto

Por vezes estes comandos podem exibir muita informação. Pode exportar qualquer um dos exemplos acima para um ficheiro de texto, o que torna um pouco mais fácil de rever posteriormente ou guardar para documentação.

basta adicionar > c:\destination folder\filename.txt ao fim de qualquer um dos comandos

Aqui estão alguns exemplos

repadmin /replsummary > c:\it\replsummary.txt

repadmin /showrepl > c:\it\showrepl.txt

Mais exemplos

Perguntar a última vez que a sua CD foi backup

Repadmin /showbackup *

Displays calls that have not have been answered

repadmin /showoutcalls *

Lista a informação Topológica

repadmin /bridgeheads * /verbose

Relatório Gerador de Topologia de Sítios Interlocais

repadmin /istg * /verbose

Conclusão

Como administrador de sistemas é importante que saiba como solucionar problemas e verificar se a replicação está a funcionar correctamente. O repadmin é uma ferramenta simples mas poderosa que deve saber utilizar.

Espero que tenha achado útil este guia. Se tiver alguma dúvida, deixe um comentário abaixo.

Veja também:

Como verificar rapidamente os papéis FSMO
Utilizar a NSLookup para verificar os registos DNS