RepAdmin - 如何检查 AD Heath

当您有多个域控制器时，它们会不断相互同步。但是如何检查所有内容是否正确同步？或者同步是否正在运行？这就是 RepAdmin 工具的用武之地。

RepAdmin 是 Active Directory 复制诊断工具，安装在运行 Windows Server 2008 及更高版本的所有域控制器上。您还可以通过安装远程服务器管理工具 (RSAT) 在其他计算机上安装 RepAdmin。

在本文中，我们将了解如何使用 RepAdmin 以及在诊断结果中查找哪些内容。

RepAdmin

RepAdmin 工具主要用于强制域控制器之间的复制或诊断网络中的复制问题。它还可用于手动配置域的复制拓扑，但实际上并不推荐这样做。

我们将重点关注最常用的命令：

显示失败的入站和出站连接的摘要

显示两个域控制器之间每个命名上下文的状态

显示入站复制队列

同步指定的域控制器

将更改向外推送到所有域控制器

显示入站复制队列

复制摘要

repadmin的主要功能之一是监视域控制器之间的复制状态。有两个选项可以做到这一点，我们可以使用命令repadmin /replsummary查看所有域控制器的同步状态，或者我们可以查看与域的直接邻居的状态控制器，使用 repadmin /showrepl。

第一步是从完整的概述开始。这将显示不同域控制器之间的最大增量以及是否存在任何错误：

repadmin /replsummary

# Result
Source DSA          largest delta    fails/total %%   error
 LA-SRV-DC01               05m:32s    0 /   5    0
 LAZYSRVLAB03                 :54s    0 /   5    0


Destination DSA     largest delta    fails/total %%   error
 LA-SRV-DC01                  :54s    0 /   5    0
 LAZYSRVLAB03              04m:37s    0 /   5    0

那么，这意味着什么？让我们解释一下我们正在看什么。您将看到两个包含统计信息的表，第一个是源 DSA。这些是传出复制的统计信息。后者目标 DSA 是传入复制。

最大的三角洲总是很有趣的。它告诉我们两个域控制器之间不使用连接的最长时间。现在这个时间可以长达 60 分钟，这实际上是很正常的。让我解释;在您的域中，一些更改会在几秒钟内复制，例如密码重置。但其他情况（例如架构更改）不会经常发生，并且每小时仅检查一次。域控制器每小时至少检查一次 (pol) 是否有更改，因此时间可能长达 60 分钟。

字段总计显示域控制器拥有的复制链接数。 失败告诉我们其中有多少是失败的（当然应该为零），%% 是失败链接占总数的百分比。

当出现错误时，错误代码会显示在错误字段中。

放大复制

如果出现错误，您将需要放大复制以查看出了什么问题。为此，我们可以使用命令 repadmin /showrepl。这将显示所有入站连接及其状态。

repadmin /showrepl

再次，让我们解释一下我们正在看什么：

1. 运行该命令的域控制器的名称

2. IS_GC 代表是全局目录

3. 复制上下文

4. 上次复制尝试

我们可以通过添加参数 /all 进一步放大，这还将添加出站连接和 KCC 连接对象。如果您有很多连接（当您有很多域控制器时可能会发生这种情况），那么我建议添加参数 /errorsonly。顾名思义，这将仅显示处于错误状态的连接。使解决任何问题变得更加容易。

显示复制队列

在大型环境中，小的复制队列是正常的，但对于较小的网络，复制队列几乎应始终包含 0 个项目。如果您遇到复制问题，那么监视队列是检查您的域是否正常的好方法。

要查看队列，我们可以使用以下命令：

repadmin /queue

# Result
Repadmin: running command /queue against full DC localhost
Queue contains 0 items.

强制域控制器与repadminsyncall同步

有时您需要强制域控制器之间的同步。例如，在其中一个域控制器上创建新用户后，需要在 Microsoft 365 中使用该用户。然后，您希望新用户尽快同步到与 Azure AD 同步的域控制器。

在单域环境中强制同步的最常见方法是运行以下命令。这会将所有更改从您运行命令的域控制器推送到所有其他域控制器。您同时在其他域控制器上所做的更改不会使用此命令进行拉取：

# Push all changes out to other domain controllers
repadmin /sycall /AdeP

很高兴知道 AdeP 代表什么

• A - 同步所有命名上下文

• d - 通过专有名称标识服务器

• e - 跨企业中的所有站点

• P - 从此域控制器向外推送更改

我们还可以将更改拉取到您正在运行命令的域控制器，而不是将更改向外推送到其他域控制器。为此，我们只需删除标志 P

# Pull changes to this domain controller
repadmin /sycall /Ade

其他选项

还有其他方法可以强制域控制器之间进行复制。例如，我们可以使用命令 repadmin /syncall 后跟域控制器名称来强制仅复制特定的域控制器：

repadmin /syncall la-srv-dc01

例如，我们还可以仅复制两个域控制器之间的特定上下文（目录分区）。此方法主要在需要排除复制错误时使用：

# Replicate Destion DC (DC01 from Source DC (Lab03) and the naming context (Configuration)
repadmin /replicate la-srv-dc01 lazysrvlab03 CN=Configuration,DC=a-d,DC=nl

总结

Repadmin 是一个很好的工具，可以快速诊断域的运行状况或强制在多个域控制器之间进行复制。请记住，在大型域中或网络连接速度较慢的域控制器之间进行强制复制可能会导致比其解决的问题更多的问题。因此，在这些情况下请谨慎使用。

希望您喜欢这篇文章，如果您有任何疑问，请在下面发表评论。