En este tutorial, aprenderá a utilizar la herramienta repadmin para comprobar la replicación de Active Directory.
Repadmin es la herramienta de diagnóstico de replicación definitiva.
Además de comprobar la salud de sus controladores de dominio, también se puede utilizar para forzar la replicación y localizar errores.
La replicación de Active Directory es un servicio crítico que mantiene los cambios sincronizados con otros controladores de dominio en el bosque.
Los problemas con la replicación pueden causar fallos de autenticación y problemas de acceso a los recursos de red (archivos, impresoras, aplicaciones).
A continuación os mostraré el proceso paso a paso con multitud de ejemplos y los resultados.
Hagámoslo.
Cómo instalar Repadmin
Repadmin fue introducido en 2003 con las herramientas de soporte de Windows Server 2003.
Microsoft comenzó a incluir el comando repadmin en Windows server 2008 y superiores. También se incluye en cualquier equipo que tenga instaladas las herramientas de administración de servidores remotos (RSAT).
Ejemplos de repadmin
Para utilizar repadmin es necesario ejecutar el símbolo del sistema como administrador. Simplemente haga clic con el botón derecho en cmd y elija ejecutar como administrador
Ejemplo 1: Mostrar el menú de ayuda de repadmin
Utiliza el siguiente comando para ver el menú de ayuda, este mostrará todas las opciones de la línea de comandos. Hay muchas opciones y probablemente no usarás la mayoría de ellas. En los ejemplos siguientes repasaré las opciones de línea de comandos más comunes y útiles.
repadmin /?
Resultados mostrados
C:\Users\rallen>repadmin /?Usage: repadmin ] Use these commands to see the help:/? Displays a list of commands available for use in repadmin and their description./help Same as /?/?: Displays the list of possible arguments , appropriate syntaxes and examples for the specified command ./help: Same as /?:/experthelp Displays a list of commands for use by advanced users only./listhelp Displays the variations of syntax available for the DSA_NAME, DSA_LIST, NCNAME and OBJ_LIST strings./oldhelp Displays a list of deprecated commands that still work but are no longer supported by Microsoft.Supported commands (use /? for detailed help): /kcc Forces the KCC on targeted domain controller(s) to immediately recalculate its inbound replication topology. /prp This command allows an admin to view or modify the password replication policy for RODCs. /queue Displays inbound replication requests that the DC needs to issue to become consistent with its source replication partners. /replicate Triggers the immediate replication of the specified directory partition to the destination domain controller from the source DC. /replsingleobj Replicates a single object between any two domain controllers that have common directory partitions. /replsummary The replsummary operation quickly and concisely summarizes the replication state and relative health of a forest. /rodcpwdrepl Triggers replication of passwords for the specified user(s) from the source (Hub DC) to one or more Read Only DC's. /showattr Displays the attributes of an object. /showobjmeta Displays the replication metadata for a specified object stored in Active Directory, such as attribute ID, version number, originating and local Update Sequence Number (USN), and originating server's GUID and Date and Time stamp. /showrepl Displays the replication status when specified domain controller last attempted to inbound replicate Active Directory partitions. /showutdvec displays the highest committed Update Sequence Number (USN) that the targeted DC's copy of Active Directory shows as committed for itself and its transitive partners. /syncall Synchronizes a specified domain controller with all replication partners.Supported additional parameters: /u: Specifies the domain and user name separated by a backslash {domain\user} that has permissions to perform operations in Active Directory. UPN logons not supported. /pw: Specifies the password for the user name entered with the /u parameter. /retry This parameter will cause repadmin to repeat its attempt to bind to the target dc should the first attempt fail with one of the following error status: 1722 / 0x6ba : "The RPC Server is unavailable" 1753 / 0x6d9 : "There are no more endpoints available from the endpoint mapper" /csv Used with /showrepl to output results in comma separated value format. See /csvhelp
Ejemplo 2: Resumir el estado de la replicación y ver la salud general
El primer comando que debe utilizar es replsummary. Este comando le mostrará rápidamente la salud general de la replicación. Este comando le mostrará el porcentaje de intentos de replicación que han fallado, así como los mayores deltas de replicación.
repadmin /replsummary
Resultados mostrados
:\WINDOWS\system32>repadmin /replsummaryReplication Summary Start Time: 2018-03-13 04:44:54Beginning data collection for replication summary, this may take awhile: .....Source DSA largest delta fails/total %% error DC1 52m:48s 0 / 5 0 DC2 52m:46s 0 / 5 0Destination DSA largest delta fails/total %% error DC1 52m:46s 0 / 5 0 DC2 52m:48s 0 / 5 0
Ejemplo 3: Mostrar el socio de replicación y el estado
A continuación, utilice el siguiente comando para ver el socio de replicación, así como el estado de replicación. Esto le ayuda a entender el papel de cada controlador de dominio en el proceso de replicación.
Además, este comando muestra el GUID de cada objeto que se replicó y su resultado. Esto es útil para identificar qué objetos están fallando en la replicación.
repadmin /showrepl
Resultados mostrados
C:\Users\rallen>repadmin /showreplRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-13 03:52:08 was successful.
Ejemplo 4: Mostrar el socio de replicación para un controlador de dominio específico
Si desea ver el estado de replicación para un controlador de dominio específico utilice este comando.
Reemplace <NombreServidor> con el nombre de su controlador de dominio.
repadmin /showrepl <ServerName>
Resultados mostrados
C:\WINDOWS\system32>repadmin /showrepl dc2Default-First-Site-Name\DC2DSA Options: IS_GCSite Options: (none)DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408DSA invocationID: 2eb95693-bfa7-4f3f-b52c-139737aa883f==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 04:21:02 was successful.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC1 via RPC DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72 Last attempt @ 2018-03-14 03:52:07 was successful.
Ejemplo 5: Mostrar sólo los errores de replicación
El comando showrepl puede mostrar mucha información. Si quieres ver sólo los errores utiliza este comando. En este ejemplo, el DC2 está caído, puedes ver que los resultados son todos los errores del DC2.
C:\WINDOWS\system32>repadmin /showrepl /errorsonlyRepadmin: running command /showrepl against full DC dc1.ad.activedirectorypro.comDefault-First-Site-Name\DC1DSA Options: IS_GCSite Options: (none)DSA object GUID: a4d22a63-1918-492a-bcd6-7fe286941e72DSA invocationID: a4d22a63-1918-492a-bcd6-7fe286941e72==== INBOUND NEIGHBORS ======================================DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=com Default-First-Site-Name\DC2 via RPC DSA object GUID: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408 Last attempt @ 2018-03-15 04:19:38 failed, result 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure. 1 consecutive failure(s). Last success @ 2018-03-14 07:52:08.Source: Default-First-Site-Name\DC2******* 1 CONSECUTIVE FAILURES since 2018-03-14 07:52:08Last error: 8524 (0x214c): The DSA operation is unable to proceed because of a DNS lookup failure.
Ejemplo 6: Mostrar la cola de replicación
Es normal ver elementos en la cola. Si tienes un entorno pequeño a menudo estará a cero porque son pocas las replicaciones que se producen. Si observas que hay elementos en la cola y nunca se borran, tienes un problema.
Usa este comando para ver la cola de replicación
Repadmin /Queue
Resultados mostrados
C:\Users\rallen>repadmin /queueRepadmin: running command /queue against full DC dc1.ad.activedirectorypro.comQueue contains 0 items.
Ejemplo 7: Cómo forzar la replicación de Active Directory
Usa el siguiente comando si quieres forzar la replicación entre controladores de dominio. Querrá ejecutar esto en el DC que desea actualizar. Por ejemplo, si el DC1 está desincronizado lo ejecutaría en el DC1.
Esto hará una replicación pull, lo que significa que tirará de las actualizaciones del DC2 al DC1.
repadmin /syncall dc1 /AeD
Si quiere empujar la replicación utilizará el switch /P. Por ejemplo si haces cambios en el DC1 y quieres replicarlos a otros DCs utiliza este comando.
repadmin /syncall dc1 /APeD
Resultados mostrados
C:\WINDOWS\system32>repadmin /syncall dc1 /AeDSyncing all NC's held on dc1.Syncing partition: DC=ForestDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=DomainDnsZones,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Schema,CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: CN=Configuration,DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.Syncing partition: DC=ad,DC=activedirectorypro,DC=comCALLBACK MESSAGE: The following replication is in progress: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: The following replication completed successfully: From: 57a1cfbc-88bb-41da-a1a6-f14f5c9df408._msdcs.ad.activedirectorypro.com To : a4d22a63-1918-492a-bcd6-7fe286941e72._msdcs.ad.activedirectorypro.comCALLBACK MESSAGE: SyncAll Finished.SyncAll terminated with no errors.
Ejemplo 8: Exportar resultados a archivo de texto
A veces estos comandos pueden mostrar mucha información. Puede exportar cualquiera de los ejemplos anteriores a un archivo de texto, esto hace que sea un poco más fácil de revisar en un momento posterior o guardar para la documentación.
Sólo tiene que añadir > c:\Ncarpeta de destino\Nfilename.txt al final de cualquiera de los comandos
Aquí tienes algunos ejemplos
repadmin /replsummary > c:\it\replsummary.txt
repadmin /showrepl > c:\it\showrepl.txt
Más ejemplos
Encuentra la última vez que tu CC fue de respaldo
Repadmin /showbackup *
Muestra las llamadas que aún no han sido contestadas
repadmin /showoutcalls *
Lista la información de la topología
repadmin /bridgeheads * /verbose
Informe del generador de topología entre sitios
repadmin /istg * /verbose
Conclusión
Como administrador del sistema es importante que sepa cómo solucionar problemas y verificar que la replicación funciona correctamente. El repadmin es una herramienta sencilla pero potente que debes saber utilizar.
Espero que esta guía te haya resultado útil. Si tienes alguna duda deja un comentario abajo.
Ver también:
Cómo comprobar rápidamente los roles de FSMO
Utilizar NSLookup para comprobar los registros DNS
Esta utilidad fue diseñada para monitorear Active Directory y otros servicios críticos como DNS & DHCP. Rápidamente detectará los problemas de los controladores de dominio, evitará los fallos de replicación, hará un seguimiento de los intentos de inicio de sesión fallidos y mucho más.
Lo que más me gusta de SAM es su panel de control fácil de usar y sus funciones de alerta. También tiene la capacidad de supervisar las máquinas virtuales y el almacenamiento.
Descargue su prueba gratuita aquí