Forceer replicatie tussen twee domeincontrollers in Active Directory

Stel je voor(Imagine) dat je maar één deur naar je huis hebt. Geen ramen, geen terrasdeur, slechts één deur. Wat gebeurt er als je die deur niet kunt openen? Het huis, en alles erin, is nutteloos voor jou.

Een domeincontroller is in zekere zin als een deur. Eentje met een uitsmijter erop. Het is de toegangspoort tot de dingen die je wilt. Active Directory (AD) is de uitsmijter aan de deur. Het controleert je inloggegevens, bepaalt of je door de deur mag en tot welke bronnen je toegang hebt als je eenmaal binnen bent. 

Als je een netwerk van welke aard dan ook hebt en maar één domeincontroller hebt, woon je in een huis met één deur. Als er iets met die domeincontroller gebeurt, valt je hele systeem van servers uit elkaar. Zorg altijd voor meer dan één domeincontroller (DC).

Maar hoe zorg je ervoor dat beide domeincontrollers dezelfde informatie hebben? Laten we zeggen dat je een beveiligingsgerelateerde wijziging hebt aangebracht op één DC. U wilt ervoor zorgen dat de wijziging onmiddellijk wordt gerepliceerd op uw andere DC's . Waarom 15 minuten of langer wachten voordat het volgens schema gebeurt? U moet replicatie van de domeincontrollers in Active Directory forceren . 

Er zijn 3 manieren om dit aan te pakken; via de grafische gebruikersinterface ( GUI ), via de opdrachtregelinterface ( CLI ) of via PowerShell .

Forceer replicatie van domeincontroller via GUI(Force Replication Of Domain Controller Through GUI)

Windows-servers maken veel gebruik van GUI's , wat goed is voor beginnende systeembeheerders(Systems Administrators) . Het is gemakkelijker te leren en helpt je soms om te visualiseren wat er werkelijk gebeurt. 

  1. Log in op een van uw DC's en open Active Directory Sites and Services .

  1. Navigeer naar de site waarvoor u de domeincontrollers wilt repliceren. Vouw het uit door op de pijlpunt naast de sitenaam te klikken. Vouw de Servers uit(Servers) . Vouw de DC uit die u wilt repliceren. Klik(Click) op NTDS-instellingen(NTDS Settings) .

  1. Klik in het rechterdeelvenster met de rechtermuisknop op de server en selecteer Nu repliceren(Replicate Now) .

  1. Afhankelijk van hoeveel DC's er zijn, kan dit minder dan een seconde tot een paar minuten duren. Wanneer het is voltooid, ziet u de melding 'Active Directory Domain Services heeft de verbindingen gerepliceerd'. Klik op (Click) OK om te voltooien.

Forceer replicatie van domeincontrollers via CLI Command(Force Replication of Domain Controllers Through CLI Command)

Als u bekend bent met de goede oude Windows CMD , dan is de opdracht repadmin iets(repadmin ) voor u. Dit is de snelste eenmalige manier om DC-duplicatie te forceren. Als u niet bekend bent, is dit een goed moment om meer te weten te komen over Windows CMD(learn about Windows CMD)

  1. Log in op een van uw DC's en open de opdrachtprompt(Command Prompt) .

  1. Voer(Enter) de volgende opdracht in en druk vervolgens op Enter .
repadmin /syncall /AdeP

  1. Een litanie van informatie zal op het scherm omhoog schuiven. Als u ziet dat de laatste regel luidt: "SyncAll beëindigd zonder fouten.", en vervolgens de opdrachtprompt eronder, zijn uw DC(DCs) 's met succes gerepliceerd.

Replicatie van domeincontrollers forceren met PowerShell(Force Domain Controller Replication With PowerShell)

Als u PowerShell niet in uw dagelijks leven gebruikt, loopt u iets mis. Je bent het echt aan jezelf verplicht om PowerShell te leren(learn PowerShell) . Het zal je leven gemakkelijker maken, en als je een junior systeembeheerder(Systems Administrator) bent , zal het enorm helpen om je carrière naar de volgende stap te brengen.

Deze stappen kunnen worden uitgevoerd in de gewone PowerShell CLI , maar we hebben het gedaan in de PowerShell ISE om de opdrachten en hun resultaten beter weer te geven. We gaan een script bouwen dat u kunt opslaan of zelfs kunt veranderen in een cmdlet die u kunt aanroepen vanaf de PowerShell -opdrachtregel.

  1. Meld u aan bij een van uw DC's en open PowerShell of PowerShell ISE .

  1. Voordat u een script schrijft, moet u dit opslaan met een beschrijvende naam zoals force-DCReplication.ps1 zodat u het gemakkelijker kunt hergebruiken. Voer de volgende code in en voer deze uit om te zien hoe het de namen van al uw DC's krijgt .
(Get-ADDomainController -Filter *).Name

Zie je hoe het de namen van de DC's retourneert ? Nu kunt u dat resultaat doorsluizen naar de volgende cmdlet. Een pijp is het verticale lijnteken ( | ), dat meestal op het toetsenbord net boven de Enter - toets wordt gevonden.

  1. Voer aan het einde van de vorige opdracht de volgende code in:
| Foreach-Object { repadmin /syncall $_ (Get-ADDomain).DistinguishedName /AdeP }

De opdracht zou eruit moeten zien zoals in de onderstaande afbeelding. Voer het uit. Het zou een bericht moeten retourneren, net als het bericht in het gedeelte Force Domain Controller Replication Through GUI hierboven. Als het eindigt met: " SyncAll is zonder fouten beëindigd." toen werkte het. 

Heb je gezien hoe het ook de opdracht repadmin gebruikt ?

  1. Laten we nog een regel toevoegen om ervoor te zorgen dat de replicatie echt is voltooid. De volgende code retourneert de datum en tijd waarop elk van uw DC's voor het laatst is gerepliceerd. Deze opdracht kan op een ander moment alleen worden gebruikt als je gewoon nieuwsgierig bent wanneer je DC's voor het laatst zijn gerepliceerd. Voer(Enter) de code in en voer deze uit.
Get-ADReplicationPartnerMetadata -Target "$env:userdnsdomain" -Scope Domain | Select-Object Server, LastReplicationSuccess

Het resultaat zou op de onderstaande afbeelding moeten lijken. U ziet onderaan de exacte datum en tijd waarop de replicatie voor het laatst heeft plaatsgevonden.

  1. Laten we, om dit script wat oppoetsen, de uitvoer wat minder uitgebreid te maken. Voer aan het einde van de eerste regel | Out-Null tussen de /AdeP en de eindbeugel. Dat vertelt het om de resultaten van die cmdlet niet uit te brengen. Het eindresultaat ziet eruit als de volgende afbeelding.

Houd ze gerepliceerd(Keep’em Replicated)

Nu kent u 3 manieren om replicatie van domeincontrollers in AD af te dwingen. U hebt ook een herbruikbaar PowerShell - script samengesteld dat u wanneer u maar wilt vanaf de PowerShell -opdrachtregel kunt aanroepen. Er is geen excuus voor uw laatste DC-wijzigingen om te wachten op de volgende geplande replicatie, wanneer dat ook mag zijn.



Thijmen Mol

About the author

Ik ben software engineer en heb ervaring met zowel Microsoft Office als de Chrome browser. Ik heb kennis van vele aspecten van webontwikkeling, inclusief maar niet beperkt tot: HTML, CSS, JavaScript, jQuery en React. Door mijn interesse in het werken met technologie ben ik ook bekend met verschillende platformen (Windows, Mac, iOS) en begrijp ik hoe ze werken.


Related posts