使用 Repadmin 检测 Active Directory 复制更改

Active Directory 更改发生很多，尤其是在涉及用户帐户时。 Active Directory 是任何组织的关键组件，正确监控和保护它至关重要。如果您需要监控用户的 Active Directory 复制更改，那么您来对地方了。

在本教程中，您将了解如何检测 Active Directory 中用户的更改。您将通过了解 Active Directory 如何检测本身的更改以及如何利用它来获得环境中的完整可见性来实现这一点。

让我们来学习！

先决条件

本文将是一个实践教程。如果您想继续操作，请确保您具备以下条件：

• Active Directory 域 - 本教程将使用 Windows Server 2019，并将 Active Directory 和林功能设置为 2019。但运行 Windows 2008 R2 或更高版本的域控制器 (DC) 应该可以工作。本教程将使用名为 test.local 的域以及两个 DC（DC01 和 DC02）。
• 安装了 PowerShell 的已加入域的 Windows PC。本教程将使用 Windows 10 和 Windows PowerShell v5.1。
• 作为域中域管理员组成员的用户帐户。

了解使用 USN 的 Active Directory 复制更改

在大型企业环境中，Active Directory 可能包含数百万个用户帐户。有了这么多的账户，几乎不可能知道每天发生了什么变化。但是，通过了解 Active Directory 如何处理更改，您可以开始构建系统来监视用户帐户更改。

要了解用户帐户更改或任何 Active Directory 对象更改，您必须首先了解 DC 复制。复制与检测更改有什么关系？更新序列号 (USN)。

即使您的环境中只有一个 DC 进行复制，了解 USN 也同样重要。

DC 始终维护 Active Directory 数据库的副本。他们通过复制来维护数据库的副本。如果这是真的，他们如何知道某个 DC 上的某些情况何时发生变化以启动复制？你猜到了。美国海军。

当 DC 上的 Active Directory 对象属性发生更改时，该 DC 会递增该对象的 USN 值，递增后，它将更改连同 USN 一起发送到域内的所有其他 DC。

什么是 USN？

Active Directory 包含许多不同类型的对象，例如用户、计算机、联系人等。每个对象都包含多个可以更改的属性。此外，每个属性都附有一个称为 USN 的特定编号。

当 Active Directory 更改对象的属性时，它会自动增加该属性的 USN。

USN 和 DC 复制的工作原理

当 Active Directory 递增时，对象属性位于单个 DC 上，该 DC 会发送复制拉取请求。该拉取请求通知 DC 的复制合作伙伴从其数据库中拉取最新属性。然后，复制伙伴将其属性 USN 副本与复制启动 DC 进行比较。如果另一个 USN 更高，则目标 DC 允许进行复制。

例如，也许您处于具有两个 DC 的环境中。您有一个名为 Faris User 的员工的用户帐户。此用户帐户有一个名为 displayName 的属性，其值为 Faris Malaeb。

每个 DC 都会维护其 USN 更新并了解所有其他 DC 的 USN。因此，每个域控制器上的所有属性 USN 值都不相同。

假设管理员在连接到 DC01 时将 displayName 属性更改为 Faris Maleab2。发生更改时，DC01 会增加 displayName 属性的 USN，并将更改通知 DC02，然后 DC02 更新其属性。

启动和监控 USN 更改

您已经阅读了足够多的有关 USN 的内容；现在让我们看看它在现实世界中是如何运作的。为此，您将创建一个新的 Active Directory 用户帐户，然后监视 USN 以及 DC 如何通过 Active Directory 复制来复制该用户帐户。

首先，创建 Active Directory 用户帐户。要做到这一点：

1. 通过域控制器的桌面或远程打开 Active Directory 用户和计算机 (ADUC)。本教程将连接到 DC01。

2. 右键单击任意组织单位 (OU)，然后选择新建 —> 用户。

3. 填写名字User1和用户1的用户登录名，然后单击下一步。

4. 创建随机密码，然后单击下一步和完成。

5. 现在，打开用户帐户并单击属性编辑器选项卡。在属性列表中，稍微向下滚动，直到看到名为uSNCreated和uSNChanged的USN属性。

uSNCreated属性是对象创建时的初始值；该值是固定的。 uSNChanged 属性是代表更新版本的值。

6. 在 DC01 上打开 PowerShell 并运行以下命令以查看 DC01 数据库中的 USN 值。以下命令使用 Get-AdUser cmdlet 查询 DC01 服务器中名为 user1 的用户帐户。一旦找到，它就会返回该用户帐户的 uSNCreated 和 uSNChanged 属性。

请注意，uSNCreated 属性为 83649，uSNChanged 属性为 269605。

Get-ADUser user1 -Properties uSNCreated,uSNChanged -Server dc01.test.local | Select-Object UserPrincipalName,uSNCreated,uSNChanged

7. 现在，运行相同的命令，但这次连接到 DC02。请注意，uSNCreated 属性为 16647，uSNChanged 属性为 30114。

Get-ADUser user1 -Properties uSNCreated,uSNChanged -Server dc02.test.local | Select-Object UserPrincipalName,uSNCreated,uSNChanged

8. 更改 DC01 上 user1 用户帐户的 City 属性以启动属性更改。一旦发生这种情况，DC01 就会更新 User1 对象的 uSNChanged 值，使其高于之前的值。

此时DC01会通知DC02属性发生变化。 Set-ADUser user1 -城市“迪拜”

Set-ADUser user1 -City "Dubai"

uSNCreated 属性始终保持不变，因为它是创建对象时的初始值。

9. 现在，对两个 DC 重新运行 Get-AdUser，以查看两个 DC 上的 uSNChanged 属性已增加。

使用 Repadmin 监控 USN 更改

现在您已经了解了 USN 如何更新，现在让我们开始演示如何使用 Microsoft 的复制管理 (repadmin) 工具监控这些 Active Directory 更改。 Repadmin 是 Active Directory 附带的一个工具，可让您在 Active Directory 林中的 DC 之间执行复制故障排除。

假设您仍在 DC01 的桌面上：

1. 打开 PowerShell。

2. 运行以下 repadmin 命令列出 user1 用户帐户的所有属性及其版本号。以下示例假设 user1 用户帐户位于教程的 test.local Active Directory 域的 Test OU 中。

repadmin /ShowObjMeta dc01 CN=User1,OU=Test,DC=test,DC=local

/ShowObjMeta 参数需要联系域控制器和对象的可分辨名称。返回的输出显示 Active Directory 中存储的指定对象的复制元数据，例如属性 ID、版本号、原始和本地更新序列号 (USN) 以及原始服务器的 GUID 以及日期和时间戳。

您会注意到下面的repadmin 有一个Ver 列。此版本 (Ver) 列是一个递增数字，表示属性已更改的次数。该值是用于检测更改位置以及日期的指示器。

特别记下 displayName 属性。版本为3，表示属性值改变了3次。

3. 运行以下 PowerShell 命令以更改 User1 用户帐户的 displayName 属性。

Set-ADUser User1 -DisplayName "I Am user 1"

4. 现在，使用与第二步相同的命令再次重新运行 repadmin，以查看 USN 和版本均已增加，并且 Org.时间/日期已更新。

repadmin /ShowObjMeta dc01 CN=User1,OU=Test,DC=test,DC=local

结论

您现在已经了解了 USN 的工作原理以及如何使用 Microsoft 的 REPadmin 实用程序来跟踪 Active Directory 复制更改。

掌握了新知识后，您将如何使用 USN 和 repadmin 知识来监控环境中的 Active Directory 用户帐户？