admin / 02.09.2018
Содержание
Active Directory Replication Status Tool: The AD Utility We … – Active Directory Replication Status Tool. Enter the ADRAP team. A part of the Premier Field Engineering team … There are over 70 replication error messages, and ADREPLSTATUS is designed to make this part of the replication error hunt much easier.
Download Active Directory Replication Status Tool from … – The Active Directory Replication Status Tool (ADREPLSTATUS) analyzes the replication status for domain controllers in an Active Directory domain or forest. Details. Version: 1.1. File Name: adreplstatusInstaller.zip. Date Published: 4/17/2014.
Ask the Directory Services Team – Site … – Hello again, this is guest author Herbert from Germany. If you worked an Active Directory performance issue, you might have noticed a number of AD ……
The Active Directory Replication Status Tool (ADREPLSTATUS) is now LIVE and available for download at the Microsoft Download Center. ADREPLSTATUS helps administrators identify, … The TechNet Article for AD Replication Error 1256 is shown below.
Why is needed Active Directory Sites Nowadays, most companies do business from multiple office locations, which might be spread across a single ……
Downloads Thread, Microsoft AD Replication Status Tool in Links, Downloads and Scripts; … LinkBack. LinkBack URL; About LinkBacks ; Bookmark & Share; … or by dragging one or more column headers to the filter bar. Use one or both options to arrange output by last replication error, …
Microsoft posted a new GUI tool for checking on AD replication just this morning. You can find out about it here: http:… | 7 replies | Active Directory & GPO … AD Replication Status Tool. by Sosipater on Aug 24, 2012 at 9:15 UTC.
DNA replication is the process of producing two identical replicas from one original DNA molecule. This biological process occurs in all living organisms ……
Download and print this document. Read and print without ads; Download to keep your version; Edit, email or read offline; Choose a format:…
I forgot to add, that I use the Replication Status tool, and I like it very much. I have one customer with 8 sites previously had numerous replication problems, mainly due to the BASL and admins manually creating zones left and right.
Active Directory (AD) is a directory service that Microsoft developed for Windows domain networks and is included in most Windows Server operating systems ……
To identify the AD replication problems, you can run the AD Replication Status Tool from your administration workstation in the forest’s root domain. … AD replication error 8606 and Directory Service event 1988 are good indicators of lingering objects.
Veeam Endpoint Backup FREE Beta. Register to get access to the BETA: free Windows backup for desktops and laptops. Register now…
If you encounter this error, please download the tool again … You can also post feature requests at http://social.technet.microsoft.com/wiki/contents/articles/12707.active-directory-replication-status-tool … Have you ever tried using Dynamic AD replication Checker Tool from …
Microsoft has released a new Active Directory replication diagnostics tool called ADREPLSTATUS. … Use one or both options to arrange output by last replication error, last replication success date, … Take a little time and check the AD replication status before you proceed .
… “access is denied” listed below WILL NOT resolve replication failures on computers are currently failing replication with error status 8453: … “Access Denied” Error Message When You Use the Active Directory Sites and Services Tool
How to reply to craigslist postings. 1. Click “Reply.” 2. A window with response options will appear. To use your default mail program, click the blue ……
<dcname>
показывает состояние репликации для контроллера домена <dcname>
сводка репликации для всех DC леса
Запускает репликацию между DC и партнерами по репликации
Для более глубокого анализа можно задействовать команду:
REPADMIN </команда> *
(звездочка вместо использования имени DC).
Диагностика с помощью утилиты FRSdiag.exe: в центре загрузки Microsoft есть утилиты "Windows 2003 support tools". Среди этих утилит (а возможно и отдельно от них) есть утилита "File Replication Service Diagnostics Tool" — FRSdiag.exe. Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать "GO". Утилита произведет диагностику и выдаст массу информации.
Если по каким-то причинам один из контроллеров домена не работал более 60 дней, то прекращается синхронизация между контроллерами домена. Появляются разные сообщения об ошибках в логах. Чтобы восстановить синхронизацию, необходимо произвести несколько действий:
Скачайте утилиту и запустите ее. Никаких настроек менять не надо, достаточно нажать "GO". Утилита произведет диагностику и выдаст массу информации. Если там будут следующие строки, переходите к следующим пунктам:
для этого служит команда:
Не торопитесь ее выполнять! Там масса других параметров.
Описание здесь:
http://support.microsoft.com/kb/870695/en-us
НО! там тоже описано далеко не все! Вот более точная инструкция:
http://blogs.technet.com/b/glennl/archive/2007/07/26/clean-that-active-directory-forest-of-lingering-objects.aspx Что необходимо сделать: сначала надо "очистить" один из контроллеров домена, а потом будем использовать его в качестве эталона. Для этого сначала проводим инспекцию (что надо удалить).
С этой целью используется опция /advisory_mode:
где:
Destination_domain_controller — имя контроллера, который будем "чистить".
Source_domain_controller_GUID — идентификатор контроллера, который будет использоваться в качестве "образца" для чистки.
Directory_partition — это разделы Active Directory (их можно посмотреть с помощью adsiedit.msc).
Узнать идентификатор контроллера несложно, есть 2 метода:
Разделы Active Directory — как написано в инструкции:
?Domain directory partition (dc=domain_DN)
?Configuration directory partition (cn=Configuration,dc=forest_root_DN)
?Application directory partition or partitions
(cn=Application_directory_partition_name,dc=domain_DN)
(cn=Application_directory_partition_name,dc=forest_root_DN)
?Schema directory partition (cn=Schema, cn=Configuration,dc=,dc=forest_root_DN)
Итак, пример. У нас есть 3 контроллера домена: DC1, DC2, DC3, домен mydom.com. Сначала мы "почистим" DC1, используя в качестве образцов DC2 и DC3, а потом "почистим" DC2 и DC3, используя в качестве образца DC1: сначала берем "образец" для DC1 с DC2:
потом залезаем в логи (Directory Service, источник NTDS Replication) и смотрим:
"Active Directory has completed the verification … Source domain controller: …
Number of objects examined and verified:
0
… "
Если количество объектов не 0, смотрим что это за объекты, и если все ок, грохаем (то же самое, но без advisory_mode):
теперь берем "образец" для DC1 с DC3:
точно так же проверяем и выполняем те же команды, но уже без advisory_mode.
DC1 "очищен". Теперь так же "чистим" DC2 и DC3, но уже в качестве "образца" выступает DC1.
Для этого логинимся на DC2 (а потом на DC3) и выполняем:
Сначала с advisory_mode:
А потом то же самое без advisory_mode.
И то же самое повторяем для DC3: логинимся на него, запускаем эти команды с advisory_mode, смотрим логи, а потом запускаем без advisory_mode.
Для этого есть 2 ключа в реестре. Их необходимо выставить на каждом из контроллеров домена, чтобы между ними проходила репликация. После успешной синхронизации/репликации и (желательно неоднократной) проверки того, что все работает, указанные ключи проще всего удалить.
Содержимое REG файла:
После запуска разрешена синхронизация между контроллерами домена. Чтобы проверить, что контроллеры синхронизираются, необходимо на одном из них открыть: "Active Directory Sites and Services" -> Sites -> Default-First-Site-Name -> Servers Теперь по очереди открываем КАЖДЫЙ контроллер домена, у него — NTDS Settings, после чего кликаем правой кнопкой на имени контроллера домена (внутри NTDS Settings) и выбираем Replicate Now. Все должно синхронизироваться.
Теперь удаляем ключи из реестра (на всех контроллерах домена!):
Утилита dcdiag позволяет выполнить до 20 тестов над инфраструктурой Active Directory. Некоторые из тестов предоставляют диагностическую информацию об определенном контроллере домена. Многие тесты предоставляют информацию о конфигурации репликации в пределах леса.
Конкретные тесты, выполняемые этой утилитой, рассматриваются далее.
Тесты dcdiag
Тест |
Описание |
Advertising |
Проверяет, правильно ли контроллер домена сообщает о себе и о своей роли хозяина операций. Этот тест завершиться неудачно, если служба NetLogon не запущена |
CheckSDRefDom |
проверяет правильность доменов ссылок дескрипторов безопасности для каждого раздела каталогов программ |
Connectivity |
Проверяет регистрацию DNS для каждого контроллера домена, отправляет тестовый эхо-пакет на каждый контроллер домена и проверяет подключение по протоколам LDAP и RPC к каждому контроллеру домена |
CrossRefValidation |
Проверяет правильность перекрестных ссылок для доменов |
RRSSysvol |
проверяет состояние готовности для FRS SYSVOL |
FRSEvent |
Проверяет ошибки репликации в работе службы репликации файлов, что может означать наличие проблем в репликации SYSVOL и, таким образом, целостности копий объектов групповых политик |
FSMOCheck |
Не проверяет роли хозяев операций, а вместо этого запрашивает сервер глобального каталога, первичный контроллер домена, предпочтительный сервер времени, сервер времени и центр распространения ключей |
Intersite |
Проверяет наличие ошибок, которые могут помешать нормальной репликации между сайтами. Компания Microsoft предупреждает, что иногда результаты этого теста могут оказаться неточными |
KCCEvent |
Проверяет безошибочность создания объектов соединений для репликации между сайтами |
KnowsOfRoleHolders |
Проверяет возможность подключения контроллеров домена ко всем пяти хозяевам операций |
MachineAccount |
Проверяет правильность регистрации учетной записи целевого компьютера и правильность объявлений служб этого компьютера. Если обнаружена ошибка, ее можно исправить с помощью утилиты dcdiag, указав параметры /fixmachineaccount или /recreatemachineaccount |
NCSecDesc |
Проверяет правильность разрешений для репликации в дескрипторах безопасности для заголовков контекста именования |
NetLogons |
Проверяет правильность разрешений регистрации, позволяющих регистрацию, для каждого контроллера домена |
ObjectsReplicated |
Проверяет правильность репликации агента сервера каталогов и объектов учетных записей компьютеров |
OutboundSecureChannels |
Проверяется наличие безопасных каналов между всеми контроллерами домена в интересующем домене |
Replications |
Проверяет возможность репликации между контроллерами домена и сообщает обо всех ошибках при репликации |
RidManager |
Проверяет работоспособность и доступность хозяина относительных идентификаторов |
Services |
Проверяет работоспособность всех служб, необходимых для работы контроллера домена, на указанном контроллере домена |
SystemLog |
Проверяет безошибочность работы системного журнала |
VerifyEnterpriseReferences |
Проверяет действительность системных ссылок службы репликации файлов для всех объектов на всех контроллерах домена в лесу |
VerifyReferences |
Проверяет действительность системных ссылок службы репликации файлов для всех объектов на указанном контроллере домена |
VerifyReplicas |
Проверяет действительность всех разделов каталога приложения на всех серверах, принимающих участие в репликации |
Вот синтаксис команды dcdiag:
dcdiag /s:<DomainController> [/n:<NamingContext>] [[/u:<domain\user>] [/p:<password>] ] [{/a|/e}{/q|/v}] [/i] [/f:<LogFile>] [/ferr:<ErrorLog>] [/c [/skip:<test]] [/test:<test>] [/fix]
Параметры этой команды рассматриваются в следующей таблице.
Параметры команды dcdiag
Параметр |
Использование |
/s:<DomainController> |
Используется для указания целевого контроллера домена |
/n:<NamingContext> |
Используется для указания контекста именования. Можно указать контекст именования в форматах NetBIOS, DNS (FQDN) или DN |
/u:<domain\user> |
Позволяет запустить команду от имени учетной записи другого пользователя |
/p:<password> |
Используется вместе с параметром /u для указания пароля учетной записи пользователя |
/a |
Тестирует все серверы в указанном сайте |
/e |
Тестирует все серверы в пределах всего леса (подразумевает /a) |
/q |
Сокращенный вывод. Отображаются только сообщения об ошибках |
/v |
Подробный вывод. Active Directory Replication Status Tool (ADREPLSTATUS) Resources PageОтображается дополнительная информация |
/i |
Игнорируются некритические сообщения об ошибках |
/f:<LogFile> |
Перенаправляет вывод команды в указанный файл журнала |
/ferr:<ErrorLog> |
Собирает и перенаправляет вывод всех критических ошибок в указанный файл журнала |
/c |
Выполняет всестороннее тестирование, запуская все тесты, кроме DCPromo и RegisterInDNS |
/skip:<test> |
При использовании параметра /c позволяет указать тест, который будет пропущен |
/test:<test> |
Заставляет утилиту выполнить указанный тест |
/fix |
В процессе теста MachineAccount исправляются некорректные основные имена служб (Service Principal Name — SPN), хранящиеся в объекте учетной записи компьютера на контроллере домена |
Чаще всего, утилита запускается с именем конкретного сервера в качестве параметра. Это приведет к выполнению быстрого тестирования Active Directory, которое завершается в течение нескольких секунд, если не обнаружены проблемы.
После этой строки выполняется еще несколько тестов, но и из приведенного фрагмента ясно, как просто с помощью утилиты dcdiag тестировать контроллеры домена и общее состояние Active Directory в пределах леса. Можно воспользоваться параметрами /f и /ferr для перенаправления вывода в файл журнала, что упростит чтение вывода.
11.11. Раздел Локальная сеть
.
FILED UNDER : IT