用于管理 AD 复制的可靠 Repadmin

如果您处于小型 Active Directory (AD) 环境中，复制通常并不是一个令人头疼的问题。但随着环境的发展和更多站点的添加，复制挑战随之而来。 Repadmin 是解决复制问题并了解问题所在的完美工具。

Repadmin 是任何 AD 管理员工具带中的重要工具，可让您从每个域控制器 (DC) 的角度查看 AD 复制拓扑并进行故障排除。本教程将带您通过流畅有趣的学习路径来掌握 Repadmin 工具。

我们走吧！

先决条件

如果您想按照本教程中的演示进行操作并确保它们适用于您的环境，请确保您拥有：

至少两个运行 Windows Server 2008 或更高版本的复制 DC - 本教程使用以下内容。所有 DC 都位于名为 test.local 的林/域中，并安装了 Active Directory 域服务 (AD DS) 角色。

• DC01 - 名为 Site1 的 AD 站点中的 Windows Server 2019 服务器。
• DC02 - 名为 Site1 的 AD 站点中的 Windows Server 2019 服务器。
• DC03 - 名为 Site2 的 AD 站点中的 Windows Server 2016 服务器。

如果您仍有运行 Windows Server 2003 的旧 DC，请下载 Windows Server 2003 x86 管理工具。

启动 Repadmin 工具

在开始使用repadmin 处理 AD 复制之前，您需要先启动它并熟悉一下。要使用repadmin，您必须通过RDP 连接到DC，或者在加入域的计算机上安装远程服务器管理工具(RSAT) 软件包。本教程将直接在 DC 上执行所有演示，并将显示最常用的 repadmin 命令。

在任何可用的 DC 上：

1. 以管理员身份打开命令提示符。

2. 运行不带参数的repadmin 以了解您遇到的情况。 Repadmin 返回包含所有支持参数的完整帮助文本。

总结复制运行状况 (repadmin /replsummary)

如果您刚刚开始 AD 复制故障排除之旅，则应该从广泛开始并逐步深入。 replsummary 参数是一个很好的起始参数，因为它返回整体复制运行状况的重要摘要。

replsummary 参数提供 AD 复制运行状况的总体视图。当您运行 repadmin /replsummary 时，您将看到类似于下面的输出。

对于每个 DC，输出包括：

• 源 DSA - 传出复制的统计信息。
• 目标 DSA - 传入复制的统计信息。
• 最大增量 - 特定域控制器的所有站点链接之间最长的复制间隙。
• 失败 - 复制链接失败的次数。
• 总计 - 复制链接的总数。
• %% - 失败的复制链接占总数的百分比。
• 错误 - 显示任何复制错误以及错误代码，例如(1722) RPC 服务器不可用。

Replication Summary Start Time: 2021-07-26 23:35:41

Beginning data collection for replication summary, this may take a while:
  ......

Source DSA          largest delta    fails/total %%   error
 DC01                      44m:47s    0 /  10    0
 DC02                      38m:32s    0 /   5    0
 DC03                      14m:47s    0 /   5    0

Destination DSA     largest delta    fails/total %%   error
 DC01                      38m:32s    0 /   5    0
 DC02                      44m:47s    0 /  10    0
 DC03                      11m:38s    0 /   5    0

检查复制邻居 (repadmin /showrepl)

在多 DC AD 环境中，每个 DC 都与另一个称为其伙伴或邻居的 DC 进行复制。在排除复制问题时，了解复制拓扑是需要了解的关键信息。

要发现有关复制伙伴的信息，请运行 repadmin /showrepl。此命令读取本地 AD 数据库，并为您提供有关每个 DC 上次尝试复制其邻居的 AD 分区的大量重要信息，也称为命名上下文或复制上下文。

您可以通过指定 DC 主机名作为最后一个参数来读取远程 AD 数据库的复制信息，例如 repadmin /showrepl DC02。

/showrepl 参数显示各种信息，例如：

• 要从中进行复制的相邻 DC。
• DC 是否是全局目录。
• DC 如何通过 IP 或 SMTP 进行复制。
• 每个命名上下文的站点链接。
• 站点链接 GUID。
• DC 上次尝试复制的时间和状态

监控复制队列 (repadmin /queue)

根据复制计划，DC 有时可能落后于其邻居。当它这样做时，它的队列开始增加。队列是等待从其源邻居复制到它的项目数。

DC 的队列应该为零，表示完全复制分区，但有时，队列可能会在拥塞的网络上开始增加。

要查看队列，请运行 repadmin /queue，如下所示。在这种情况下，您将看到 DC 与其邻居完全复制。

如果您注意到队列正在缓慢增加，这种情况可能表明存在问题。如果是这样，请务必解决以下问题：

• DC（源复制伙伴）上的 CPU 使用情况。
• 并发复制伙伴太多。
• 网络连接速度慢。
• Active Directory 对象中的更改过多。

检查入站复制拓扑 (repadmin /kcc)

为了计算复制拓扑，每个 DC 运行知识一致性检查器 (KCC)。 KCC 负责确保特定 DC 知道其入站邻居是谁。默认情况下，KCC 每 15 分钟运行一次，但您可以根据需要手动调用它。

例如，如果您删除站点链接或以某种方式更改复制配置，则手动运行 KCC 来重新评估复制拓扑会很有帮助。为此，请运行 repadmin /kcc，如下所示。

您将看到 KCC 返回您正在运行的 DC 的站点以及检查是否成功。

Repadmin /kcc DC01

您还可以使用 site 参数（例如 repadmin /kcc site:Site1）在站点中的所有 DC 上触发 KCC。

手动调用分区复制 (repadmin /replicate)

尽管分区通常保持同步，但在故障排除时手动强制复制有时会很有帮助。在 DC 之间强制执行复制过程可以让您获得有关复制是否实际工作的快速反馈。

使用 /replicate 参数触发手动复制，如下所示。 /replicate 参数至少需要三个参数，其他参数是可选的：

• 要复制到的目标 DC。。
• 要复制的源 DC。。
• 要复制的命名上下文。

通过运行 repadmin /showrepl 查找命名上下文。

Repadmin /replicate <Destination_DSA> <Source_DSA> <Naming Context>

例如，将架构分区从 DC01 复制到 DC02 将类似于以下命令。

repadmin /replicate DC02 DC01 CN=Schema,CN=Configuration,DC=test,DC=local

Sync from DC01 to DC02 completed successfully.

手动调用全部复制 (repadmin /syncall)

如果 /replicate 参数复制单个分区，则 /syncall 参数是核心方法。 /syncall 参数能够同步所有 DC 上的所有 分区。

当您想要测试整个复制拓扑作为一个整体，甚至模仿 /replicate 参数的行为时，/syncall 参数非常有用，正如您将看到的以下。

为同一站点中的 DC 复制单个命名上下文

/syncall 参数仅需要一个参数（DC）来测试复制。例如，如果您想测试与名为 DC01 的 DC 之间的复制，则可以运行以下命令。此命令将仅测试配置目录分区的复制。

通过仅指定 DC 来测试往返的复制，repadmin 将仅调用同一站点内 DC 的复制。

Repadmin /Syncall DC01 /d

复制同一站点中 DC 的所有命名上下文

但是，如果您需要将所有命名上下文复制到同一站点内的特定 DC 或从该 DC 复制所有命名上下文，该怎么办？在这种情况下，您可以使用 /A 参数。您将在下面看到输出现在包含所有命名上下文。

Repadmin /Syncall DC01 /d /A

使用 /e 参数强制在所有站点的所有 DC 之间进行复制。

请注意，所有参数都区分大小写！

推动复制

默认情况下，DC 复制是拉操作，但您也可以将复制配置为推操作。例如，您可能需要 DC01 将更新发送到 DC02，而不是 DC02 从 DC01 中拉取更改。为此，请添加 /P 参数改变复制方向。

您现在将看到下面的复制发生在从 DC01 到 DC02。

Repadmin /Syncall DC01 /d /P

变得更精细：复制单个对象

在上面的示例中，您复制了所有更改，但repadmin也可以细化并复制单个AD对象。使用 /replsingleobj 参数，您可以选择单个对象并控制其从源 DC 到目标 DC 的完整复制。

为了进行演示，我们将名为 User1 的用户对象从 DC02 复制到 DC01。

此演示将使用 PowerShell 和 Active Directory 模块来查找用户对象可分辨名称 (DN)，但 PowerShell 不需要使用 /replsingleobj 参数。

要复制域用户对象，首先找到用户对象的 DN。下面的示例将 DN 分配给 PowerShell 变量 $UserDN。获得 DN 后，运行 repadmin /replsingleobject 并指定源 (DC01) 和目标 DC (DC02) 来复制该对象。

如果成功，您将看到 DC01 已将用户对象复制到 DC02。

$UserDN=(Get-ADUser user1).DistinguishedName
repadmin /replsingleobj DC01 DC02 $UserDN

发现所有 DC 的站点

到目前为止，您已经了解了一些方便的参数来帮助解决 AD 复制问题。但您是否知道，repadmin 还包含一些基本且不错的报告？ repadmin 提供的最有用的报告之一是站点间拓扑报告。

当您指定 /istg 参数时，repadmin 会生成有关站点间拓扑的基本报告，其中显示每个 DC 所在的站点。添加星号参数 (* ）强制发现通过企业中的所有域控制器。

repadmin /istg *

查找 DC 桥头服务器

当 DC 在站点之间进行复制时，AD 要求每个站点都包含一个 DC，用于接收和发送所有传入和传出复制请求（称为桥头服务器）。了解哪些 DC 是桥头服务器以及每个命名上下文的状态在故障排除时很有帮助。

要发现桥头 DC 并返回有关每个服务器的复制信息，请使用 /bridgeheads 参数，如下所示。

repadmin /bridgeheads /verbose

/verbose 参数是一个可选参数，它列出了有关复制尝试以及复制是否成功的更多详细信息。

要显示桥头服务器和所有其他 DC，请提供一个星号作为 /bridgeheads 参数的参数，例如 repadmin /bridgeheads * /verbose。 >

结论

Repadmin 是一个较旧但仍然强大的工具，用于管理和监视 Active Directory 复制。 Repadmin 具有许多参数和选项来管理和审查各种情况下的复制。

您过去使用过repadmin吗？如果是这样，您是否有任何有用的参数可以帮助您解决困难的复制问题？