Принудительная репликация между двумя контроллерами домена в Active Directory

Представьте, что в вашем доме всего одна дверь. Нет окон, нет двери патио, только одна дверь. Что произойдет, если вы не сможете открыть эту дверь? Дом и все в нем бесполезно для вас.

Контроллер домена, в некотором смысле, похож на дверь. Один с вышибалой на это. Это ворота, чтобы попасть внутрь к вещам, которые вы хотите. Active Directory (AD) — это вышибала у двери. Он проверяет ваши учетные данные, определяет, разрешено ли вам проходить через дверь, и к каким ресурсам вы можете получить доступ один раз внутри.

Если вы используете какую-либо сеть и имеете только один контроллер домена, вы живете в доме с одной дверью. Если что-то случится с этим контроллером домена, вся ваша система серверов развалится. Всегда иметь более одного контроллера домена (DC).

Но как убедиться, что оба контроллера домена имеют одинаковую информацию? Допустим, вы внесли изменения, связанные с безопасностью, на одном DC. Вы хотите, чтобы изменения немедленно реплицировались на другие контроллеры домена. Зачем ждать 15 минут или больше, чтобы это произошло по расписанию? Вам нужно форсировать репликацию контроллеров домена в Active Directory,

Есть 3 способа приблизиться к этому; через графический интерфейс пользователя (GUI), через интерфейс командной строки (CLI) или через PowerShell.

Принудительная репликация контроллера домена через графический интерфейс

Windows-серверы часто используют GUI, что хорошо для начинающих системных администраторов. Его легче учить, а иногда помогает визуализировать, что на самом деле происходит.

1. Войдите в один из своих контроллеров домена и откройте сайты и службы Active Directory.

2. Перейдите на сайт, для которого вы хотите скопировать контроллеры домена. Разверните его, нажав стрелку рядом с именем сайта. Разверните Серверы. Разверните DC, который вы хотели бы скопировать. Нажмите на настройки NTDS.

3. На правой панели щелкните правой кнопкой мыши сервер и выберите «Реплицировать сейчас».

4. В зависимости от количества контроллеров домена это может занять от секунды до нескольких минут. По завершении вы увидите уведомление: «Доменные службы Active Directory реплицировали соединения». Нажмите OK, чтобы закончить.

Принудительная репликация контроллеров домена с помощью командной строки

Если вы знакомы со старым добрым Windows CMD, то команда repadmin для вас. Это самый быстрый одноразовый способ принудительного дублирования DC. Если вы не знакомы, то сейчас самое время узнать о Windows CMD.

1. Войдите в один из ваших контроллеров домена и откройте командную строку.

2. Введите следующую команду, а затем нажмите клавишу Enter.

repadmin / syncall / AdeP

3. Список информации будет прокручиваться вверх по экрану. Если вы видите, что в последней строке указано «SyncAll завершен без ошибок», а затем в командной строке под ним ваши DC успешно реплицированы.

Принудительная репликация контроллера домена с помощью PowerShell

Если вы не используете PowerShell в своей повседневной жизни, вы пропустите. Вы действительно обязаны изучать PowerShell. Это облегчит вашу жизнь, а если вы являетесь младшим системным администратором, это поможет вам сделать карьеру следующим шагом.

Эти шаги можно выполнить в обычном интерфейсе командной строки PowerShell, но мы сделали это в PowerShell ISE, чтобы лучше показать команды и их результаты. Мы собираемся создать сценарий, который вы можете сохранить или даже превратить в командлет, который можно вызывать из командной строки PowerShell.

1. Войдите в один из ваших DC и откройте PowerShell или PowerShell ISE.

2. Перед написанием любого сценария сохраните его с описательным именем, например force-DCReplication.ps1, чтобы его было проще использовать повторно. Введите следующий код и запустите его, чтобы увидеть, как он получит имена всех ваших контроллеров домена.

(Get-ADDomainController -Filter *). Имя

Видите как он возвращает имена ДК? Теперь вы можете передать этот результат в следующий командлет. Канал — это символ вертикальной линии (|), который обычно находится на клавиатуре чуть выше клавиши Enter.

3. В конце предыдущей команды введите следующий код:

| Foreach-Object {repadmin / syncall $ _ (Get-ADDomain) .DistinguishedName / AdeP}

Команда должна выглядеть так, как показано на рисунке ниже. Запустить его. Он должен вернуть сообщение, подобное тому, которое было в разделе «Принудительная репликация контроллера домена через графический интерфейс выше». Если это заканчивается на «SyncAll завершен без ошибок». тогда это сработало.

Вы видели, как он также использует команду repadmin?

4. Давайте добавим еще одну строку, чтобы убедиться, что репликация действительно завершена. Следующий код возвратит дату и время последней репликации каждого из ваших контроллеров домена. Эта команда может быть использована сама по себе в другое время, если вам просто любопытно, когда ваши DC контролировались в последний раз. Введите код и запустите его.

Get-ADReplicationPartnerMetadata -Target «$ env: userdnsdomain» -Scope Domain | Сервер выбора объектов, LastReplicationSuccess

Результат должен напоминать изображение ниже. Внизу вы увидите точную дату и время последней репликации.

5. Чтобы немного улучшить этот сценарий, давайте сделаем его вывод немного менее подробным. В конце первой строки введите | Out-Null между / AdeP и конечной скобкой. Это говорит о том, что не нужно выводить результаты этого командлета. Конечный результат будет выглядеть следующим образом.

Keep’em Replicated

Теперь вы знаете 3 способа форсирования репликации контроллеров домена в AD. Вы также собрали повторно используемый сценарий PowerShell, который можно вызывать из командной строки PowerShell в любое время. Нет никаких оправданий для ваших последних изменений DC, чтобы сидеть и ждать следующей запланированной репликации, когда бы это ни было.