Verwenden Sie Befehlszeilentools, um Active Directory zu überwachen

Unabhängig davon, ob Sie eine Gesamtstruktur mit vielen Remote-Domänencontrollern (DCs) haben, die über viele Standorte auf der ganzen Welt verteilt sind, …

oder nur ein paar Domänencontroller an Remotestandorten: Sie wissen, wie schwierig es ist, sie auf Replikationsfehler zu überwachen. Natürlich gibt es viele teure Produkte von Drittanbietern, mit denen Sie die Berichterstellung in einer hübschen GUI-Oberfläche anpassen und Ihnen eine E-Mail oder eine Seite senden können. Wenn Sie jedoch wie die meisten Unternehmen sind, die versuchen, die IT-Kosten zu senken, können Sie sich wahrscheinlich keines dieser Tools leisten, insbesondere wenn Sie ein kleines oder mittleres Unternehmen sind.
Während Drittanbieter ausgefeilte, auffällige Tools entwickelt haben, war Microsoft damit beschäftigt, die im Betriebssystem sowie in den Windows-Supporttools und Resource Kit-Tools verfügbaren Befehlszeilentools zu verbessern. Eines der mächtigsten und doch übersehenen Werkzeuge ist Repadmin. Es scheint, dass die Support-Ingenieure von Microsoft Entwicklern Feedback zu den benötigten Tools und Funktionen geben, sodass diese Tools – insbesondere die Windows-Support-Tools – ständig aktualisiert werden.
Repadmin wurden sowohl in Windows 2003 als auch in Windows 2003 SP1 wichtige Funktionen hinzugefügt. Beachten Sie, dass durch die Anwendung von SP1 die Windows-Supporttools nicht aktualisiert werden. Sie müssen sie entweder von der SP1-CD installieren oder von der Microsoft-Website unter folgender Adresse herunterladen: https://premier.microsoft.com/default.aspx?scid=kb;en-us;892777 . Es ist wichtig, dass Sie diese mindestens auf jedem DC installieren. Wenn Sie ein Problem beheben, möchten Sie nicht mit dem Scannen des Webs beginnen, um Tools zum Herunterladen und Installieren zu finden.
Die Überwachung der Replikation ist für die Aufrechterhaltung des AD-Zustands von entscheidender Bedeutung, doch viele Administratoren scheinen nicht besorgt zu sein oder haben einfach keine Zeit. Wenn ich im Kundensupport der dritten Ebene arbeite, sehe ich jeden Tag Fälle von Administratoren, die plötzlich bemerken, dass ein DC seit mehreren Monaten nicht mehr repliziert wurde. In einem Fall haben wir letztes Jahr Protokolle von einem Administrator erhalten, aus denen hervorgeht, dass ein bestimmter DC seit Oktober 2001 nicht mehr repliziert wurde!
Es scheint also, dass wir wirklich ein Tool verwenden könnten, um uns einen End-to-End-Bericht über den Replikationsstatus zu geben, ohne die Ereignisprotokolle durchzukämmen. Hier kommt Repadmin zur Rettung! Die Windows 2003-Supporttools haben in Repadmin eine neue Option namens / ReplSummary oder einfach / ReplSum bereitgestellt. Diese Option hat eine Reihe von Argumenten, aber ich habe nur die folgenden drei verwendet:

  • / BySrc – Listet die Domänencontroller auf, bei denen es sich um Replikationsquellen und Replikationsfehler handelt. Hier werden DCs und ihr Status der ausgehenden Replikation aufgelistet, dh das letzte Mal, dass die ausgehende Replikation stattgefunden hat.
  • / ByDest – Listet die DCs auf, die “Ziele” sind, und ihre Replikationsfehler. Dies listet Domänencontroller auf und notiert ihren Status der eingehenden Replikation oder den letzten Zeitpunkt der eingehenden Replikation.
  • / Sort: Delta – Dies ist nur ein Formatierungsschalter, der angibt, dass die DCs mit denen beginnen sollen, die die größte Zeit seit erfolgreicher Replikation haben (die schlechtesten sind die ersten).

Ich habe den folgenden Repadmin-Befehl in unserer Testgesamtstruktur ausgeführt, der einen Stamm (Qtest.cpqcorp.net) und zwei untergeordnete Domänen (Qamericas.Qtest.cpqcorp.net und QEMEA.Qtest.cpqcorp.net) sowie etwa 15 DCs auf der ganzen Welt enthält. Qtest ist eine native Windows 2003-Domäne, Qamericas ist eine native Windows 2000-Domäne und QEMEA ist eine native Windows 2000-Domäne mit einer Mischung aus 2000- und 2003-Domänencontrollern. Dies zeigt, dass dieser Befehl in einer sehr unterschiedlichen Umgebung gut funktioniert.

Repadmin /replsum /bysrc /bydest /sort:delta

Der resultierende Bericht enthält einige wichtige Informationen in Bezug auf die Gesundheit dieses Waldes. Die erste Spalte ist der DC-Name. Die zweite Spalte, Größtes Delta, ist die Zeit seit der letzten erfolgreichen Replikation. Die Spalte Fehler / Gesamt gibt an, wie viele Fehler der Gesamtstichprobe aufgetreten sind, und die vierte Spalte %% gibt den Fehler% an. Qtest-DC5 schlug also 20 Mal in 20 Versuchen fehl, was einer Ausfallrate von 100% entspricht. Die letzte Spalte ist der Replikationsfehler, der den Fehler verursacht.
Beim Abrufen von Replikationsinformationen sind folgende Betriebsfehler aufgetreten:58 – qtest-dc22.Qtest.cpqcorp.net
58 – qemea-dc32.Qemea.Qtest.CPQcorp.net
58 – qtest-dc5.Qtest.cpqcorp.net
58 – BEDROCKDC4.jc.qamericas.qtest.cpqcorp.net
58 – kparkhurst4.qamericas.qtest.cpqcorp.net
58 – Bedrockdc5.jc.qamericas.qtest.cpqcorp.net
58 – qemea-dc4.Qemea.Qtest.CPQcorp.net Schauen wir uns den Bericht an und sehen, was wir daraus lernen können. Der Bericht selbst listet alle Domänencontroller in der Gesamtstruktur auf – aus allen drei Domänen. Der erste Abschnitt trägt die Bezeichnung “Quell-DC” und listet alle DCs in allen Domänen auf, die Quellen für die Replikation sind (ausgehend). Beachten Sie die folgenden Punkte:

  • Es gibt vier DCs, die seit mehr als 60 Tagen nicht mehr repliziert wurden: Qtest-DC5, Qtest-DC22, Kparkhurst4 und Qemea-DC32. Dies ist keine gute Sache, aber nicht unbedingt ein Problem. Alle Objektänderungen – Erstellen, Ändern, Löschen – auf diesen Domänencontrollern wurden in den letzten 60 Tagen nicht auf die anderen Domänencontroller (oder untereinander) repliziert. Wenn die Replikation wiederhergestellt wird, werden diese Änderungen repliziert. Je nachdem, was mit ihnen auf anderen Domänencontrollern geschehen ist, werden sie möglicherweise repliziert oder nicht. Obwohl dies möglicherweise keine Konsequenz hat, ist es am besten, den Domänencontroller aus der Domäne zu entfernen.
  • Beachten Sie, dass in der rechten Spalte der Fehler angezeigt wird, der zu einem Fehler führt. Drei davon sind DNS-Fehler! Ereignisprotokolle müssen nicht gescannt werden. Wir haben hier was wir brauchen.
  • Wir können feststellen, dass Qemea-dc4 aufgrund von “RPC-Server nicht verfügbar” seit 1,5 Tagen nicht mehr repliziert wurde. Daher sollten wir diesen Fehler untersuchen und beheben.
  • Die anderen scheinen gesund zu sein.

Der zweite Abschnitt trägt die Bezeichnung “Ziel-DC” und listet jeden DC als Ziel der Replikation oder eingehenden Replikation auf.

  • Wir sehen, dass Qemea-DC3, Qtest-DC9, Qemea-DC7, Qamericas-MDC1 und Qamericas-DC39 seit mehr als 60 Tagen keine eingehende Replikation mehr hatten. Das ist ein Problem. Alle Objekte, die in den letzten 60 Tagen auf anderen Domänencontrollern gelöscht wurden, werden jetzt gelöscht. Da das Löschen jedoch nicht auf diese Computer repliziert wurde, sind die Objekte noch aktiv. Wenn die Replikation wiederhergestellt wird, werden diese Objekte wieder in den AD eingefügt (wenn “loses Verhalten” aktiviert ist) oder die Replikation wird gestoppt (wenn “straffes Verhalten” aktiviert ist).
  • Wir sehen, dass Qemea-MDC2 und Qtest-DC7 die Replikation seit 1,5 Tagen aufgrund von “RPC-Server ist nicht verfügbar” fehlgeschlagen sind. Daher müssen wir die Konnektivität auf diesen DCs überprüfen.

Im letzten Abschnitt werden einfach die Domänencontroller aufgelistet, auf denen dieser Befehl aufgrund von Konnektivität oder anderen Fehlern nicht ausgeführt werden konnte. Beachten Sie, dass einige Domänencontroller eingehende Fehler aufweisen, einige ausgehende Fehler aufweisen und andere beides. Es ist wichtig, bei der Fehlerbehebung zwischen diesen Fehlertypen zu unterscheiden. Sie sollten sehen können, was für ein leistungsstarker Befehl dies ist. Ein einfacher Befehl, der einen umfassenden Bericht über den Replikationsstatus aller Domänencontroller in der Gesamtstruktur erstellt – in allen Domänen. Repadmin hat viele andere sehr mächtige Optionen, die wir in zukünftigen Artikeln diskutieren werden.Gary Olsen ist Systemsoftware-Ingenieur bei Hewlett-Packard im Bereich Global Solutions Engineering. Er hat geschrieben Windows 2000: Active Directory-Entwurf und -Bereitstellung und Co-Autor von Windows Server 2003 auf HP ProLiant Servern. Weitere Informationen unter SearchWinIT.com

Quelle DCGrößtes DeltaFehler / Gesamt%%Error
QTEST-DC5> 60 Tage20/20100(1753) Im Endpoint Mapper sind keine Endpunkte mehr verfügbar.
QTEST-DC22> 60 Tage31/31100(8524) Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
KPARKHURST4> 60 Tage11/11100(8524) Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
QEMEA-DC32> 60 Tage16/16100(1722) Der RPC-Server ist nicht verfügbar.
QEMEA-DC401d.12h: 35m: 15s11/11100(1722) Der RPC-Server ist nicht verfügbar.
QEMEA-MDC129m: 12s0/410n / A
QTEST-DC729m: 12s0/120n / A
QAMERICAS-MDC129m: 12s0/320n / A
QAMERICAS-DC229m: 12s0/290n / A
QTEST-DC926m: 20s0/310n / A
QAMERICAS-DC3926m: 20s0/360n / A
QEMEA-DC312m: 49s0/270n / A
QEMEA-MDC212m: 41s0/120n / A
QEMEA-DC3812m: 36s0/170n / A
QEMEA-DC711m: 18s0/210n / A
Ziel DCGrößtes DeltaFehler / Gesamt%%Error
QEMEA-DC3> 60 Tage25/6538(1753) Im Endpoint Mapper sind keine Endpunkte mehr verfügbar.
QTEST-DC9> 60 Tage16/3545(1753) Im Endpoint Mapper sind keine Endpunkte mehr verfügbar.
QEMEA-DC7> 60 Tage15/6423(1753) Im Endpoint Mapper sind keine Endpunkte mehr verfügbar.
QAMERICAS-MDC1> 60 Tage5/2718(8524) Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
QAMERICAS-DC39> 60 Tage6/2623(8524) Der DSA-Vorgang kann aufgrund eines DNS-Suchfehlers nicht fortgesetzt werden.
QEMEA-MDC1> 60 Tage17/5829(1722) Der RPC-Server ist nicht verfügbar.
QEMEA-MDC201d.12h: 32m: 19s3/1717(1722) Der RPC-Server ist nicht verfügbar.
QTEST-DC701d.12h: 26m: 32s2/1513(1722) Der RPC-Server ist nicht verfügbar.
QAMERICAS-DC215m: 53s0/200n / A
QEMEA-DC3805m: 56s0/200n / A

Similar Posts

Leave a Reply