Warum die Überprüfung des Replikationsstatus von Domänencontrollern wichtig ist

Die AD-Replikation stellt sicher, dass alle Domänencontroller über aktuelle Verzeichnisinformationen verfügen. Wenn Domänencontroller nicht mehr synchronisiert sind, können Authentifizierung und Autorisierung fehlschlagen, was zu Sicherheitsrisiken und Dienstausfällen führen kann. Regelmäßige AD-Zustandsprüfungen helfen, diese Probleme zu vermeiden.

  • Verwendung nativer Tools
  • Verwendung von ADAudit Plus

So überprüfen Sie die Synchronisierung von Domänencontrollern mit repadmin

Repadmin, Teil der Remote Server Administration Tools (RSAT) für Windows, ist ein leistungsstarkes Befehlszeilentool, das bei der Diagnose und Behebung von AD-Replikationsproblemen hilft. So installieren Sie repadmin unter Windows 10/11:

  1. Öffnen Sie Einstellungen > Apps > Optionale Funktionen.
  2. Klicken Sie auf Funktion hinzufügen.
  3. Suchen Sie nach RSAT: Active Directory Tools und installieren Sie es.
  4. Verwenden Sie die Befehlszeile oder PowerShell, um repadmin auszuführen.

Wichtige repadmin-Befehle:

Befehl Zweck
repadmin /showrepl Zeigt den detaillierten Replikationsstatus pro Domänencontroller an.
repadmin /syncall Erzwingt die Replikation zwischen Domänencontrollern.
repadmin /replsummary Liefert eine Zusammenfassung des Replikationsstatus.
repadmin /queue Listet eingehende Replikationsanforderungen auf.
repadmin /kcc Löst den Knowledge Consistency Checker aus.
repadmin /replicate Initiiert die Replikation einer Verzeichnispartition.

Repadmin-Befehle und Ergebnisse zur Überprüfung, ob Domänencontroller synchronisiert sind

Schritt 1: Replikationsstatus überprüfen

Führen Sie den Befehl repadmin /replsummary aus, um eine kurze Zusammenfassung des Replikationsstatus in der Gesamtstruktur oder Domäne zu erhalten, einschließlich der Anzahl der erfolgreichen und fehlgeschlagenen Vorgänge:

                                            repadmin /replsummary
Audit logon advanced audit policy

Schritt 2: Replikationswarteschlange überprüfen

Führen Sie den Befehl repadmin /queue aus, um die Replikationswarteschlange eines bestimmten Domänencontrollers anzuzeigen, die die eingehenden Replikationsvorgänge anzeigt, die darauf warten, von diesem Domänencontroller verarbeitet zu werden.

                                            repadmin /queue
Audit logon advanced audit policy

Schritt 3: Replikationsstatus überprüfen

Führen Sie den Befehl repadmin /Showrepl aus, um den Status der eingehenden Replikation und Details zum letzten Replikationsversuch für jeden Namenskontext anzuzeigen.

                                            repadmin /showrepl
Audit logon advanced audit policy

Schritt 4: Replikation zwischen Replikationspartnern synchronisieren

Führen Sie den Befehl repadmin /syncall aus, um die Synchronisierung zwischen Replikationspartnern zu erzwingen.

                                            repadmin /syncall
Audit logon advanced audit policy

Schritt 5: KCC zur Neuberechnung der Topologie zwingen

Führen Sie den Befehl repadmin /kcc aus, um den Knowledge Consistency Checker (KCC) auf dem Zieldomänencontroller zu zwingen, seine Replikationstopologie sofort neu zu berechnen.

                                            repadmin /kcc
Audit logon advanced audit policy

Schritt 6: Erzwingen der Replikation

Führen Sie den Befehl repadmin /replicate aus, um die Replikation eines bestimmten Namenskontexts von einem Quelldomänencontroller zu einem Zieldomänencontroller manuell zu erzwingen.

                                            repadmin /replicate <DestinationDC> <SourceDC> <NamingContext>
Audit logon advanced audit policy

So überprüfen Sie die Domänencontroller-Replikation mit PowerShell

PowerShell bietet Befehle zum Überprüfen der AD-Replikation. Die folgenden Befehle liefern detaillierte Informationen zum Replikationsstatus, zu Fehlern und zu Replikationsvorgängen in der Warteschlange.

  • Get-ADReplicationPartnerMetadata

    Ruft Informationen zu den Replikationspartnern für einen bestimmten Domänencontroller ab, einschließlich des Status und des letzten Replikationsversuchs.

                                                        Get-ADReplicationPartnerMetadata -Target "DC1"

  • Get-ADReplicationFailure

    Zeigt die letzten Replikationsfehler für den angegebenen Domänencontroller an.

                                                        Get-ADReplicationFailure -Target "DC1"

  • Get-ADReplicationQueueOperation

    Zeigt alle Replikationsvorgänge an, die derzeit auf dem Ziel-Domänencontroller in der Warteschlange stehen.

                                                        Get-ADReplicationQueueOperation -Target "DC1"

Behebung häufiger Replikationsprobleme

Problem Symptome Schritte zur Fehlerbehebung
Replikationslatenz Änderungen werden auf anderen Domänencontrollern nicht angezeigt Verwenden Sie repadmin /replsummary und überprüfen Sie die Netzwerkverbindung.
Replikationsfehler Fehler im Ereignisprotokoll, Fehler in showrepl Überprüfen Sie DNS, Zeitsynchronisierung und Firewall-Ports.
Veraltete oder verbleibende Objekte Auf einem Domänencontroller gelöschte Objekte existieren weiterhin Verwenden Sie repadmin /removelingeringobjects.
KCC-Topologieprobleme Replikationspartner sind nicht korrekt Führen Sie repadmin /kcc auf dem betroffenen Domänencontroller aus.

Wie ADAudit Plus Transparenz bei der AD-Replikation schafft

ManageEngine ADAudit Plus bietet eine umfassende Überwachung der AD-Replikation mit exklusiven Berichten, die Folgendes bieten:

  • Visuelle Dashboards, die den Replikationsstatus anzeigen
  • Warnmeldungen bei Replikationsfehlern und -verzögerungen
  • Detaillierte Protokolle von Replikationsereignissen
  • Berichte zur Analyse des Replikationsdatenverkehrs und des Zeitpunkts

Anpassbare Berichte zur Verfolgung des Synchronisierungsverlaufs von Replikaten:

Audit logon advanced audit policy

Intuitive Diagramme, die Replikationsfehler hervorheben:

Audit logon advanced audit policy

Einschränkungen bei der Verwendung nativer Methoden zur Überprüfung der AD-Replikation

Native Tools wie repadmin und die Ereignisanzeige werden häufig zur Überwachung der AD-Replikation verwendet, haben jedoch mehrere Nachteile.

  • Manuell und zeitaufwändig: Sie erfordern eine manuelle Ausführung und Interpretation, was die Echtzeitüberwachung und proaktive Problemerkennung erschwert, insbesondere für Nicht-Experten.
  • Keine zentralisierte Ansicht oder Warnmeldungen: Administratoren müssen jeden Domänencontroller einzeln überprüfen. Es gibt kein einheitliches Dashboard und keine integrierten Warnmeldungen, was die Reaktion auf kritische Probleme verzögern kann.
  • Begrenzte Skalierbarkeit und Nachverfolgung: Native Tools lassen sich in großen oder standortübergreifenden Umgebungen nicht gut skalieren. Die historische Nachverfolgung ist minimal, es gibt keine integrierte Berichterstellung oder Datenaufbewahrung.

Um diese Herausforderungen zu bewältigen, vereinfacht ein Tool zur Änderungsüberwachung wie ADAudit Plus mit Echtzeit-Dashboards, automatisierten Warnmeldungen und historischen Einblicken die Überwachung der AD-Replikation und macht sie schneller und zuverlässiger.

Eine Komplettlösung für alle Ihre Anforderungen in den Bereichen IT-Audit, Compliance und Sicherheit

ADAudit Plus bietet Funktionen wie Änderungsaudits, Anmeldeüberwachung, Dateiverfolgung, Compliance-Berichte, Angriffsflächenanalyse, automatisierte Reaktionen sowie Sicherung und Wiederherstellung für verschiedene IT-Systeme.

  • Active Directory  
  • Microsoft Entra ID  
  • Windows-Dateiserver  
  • NAS-Dateiserver
  • Windows Server  
  • Workstation  
  • Und mehr  
Demo vereinbaren

Häufig gestellte Fragen

Führen Sie den Befehl repadmin /showrepl aus, um den Replikationsstatus anzuzeigen. Für eine allgemeine Zusammenfassung des Replikationsstatus verwenden Sie repadmin /replsummary.

Um Replikationsfehler zu diagnostizieren, führen Sie das auf Domänencontrollern verfügbare Active Directory-Replikationsstatus-Tool aus oder verwenden Sie repadmin /showrepl. Um nur Replikationsfehler anzuzeigen, führen Sie repadmin /showrepl /errorsonly aus.

Um die Replikation zwischen zwei Domänencontrollern zu erzwingen, führen Sie den folgenden Befehl auf dem Domänencontroller aus, den Sie aktualisieren möchten:

                                            repadmin /syncall <DC-name> /AeD

Wenn Sie Änderungen an einem Domänencontroller vornehmen und diese Änderungen auf andere Domänencontroller replizieren möchten, verwenden Sie:

                                            repadmin /syncall <DC-name> /APeD

  • Replikation innerhalb eines Standorts: Mit Ausnahme kritischer Verzeichnisaktualisierungen, die sofort repliziert werden, aktualisiert der Quelldomänencontroller alle 15 Sekunden die Änderungen an seinem nächstgelegenen Replikationspartner.
  • Replikation zwischen Standorten: Standardmäßig beträgt das Replikationsintervall 180 Minuten, es kann jedoch so konfiguriert werden, dass es alle 15 Minuten ausgeführt wird.

Um die Standard-Replikationszeit zu ändern, öffnen Sie das Snap-In Active Directory-Standorte und -Dienste > gehen Sie zum Container Standortübergreifender Transport > wählen Sie den IP-Container > wählen Sie die Standortverknüpfung, die Sie ändern möchten > geben Sie den gewünschten Wert neben Replizieren alle ein > speichern Sie Ihre Änderungen.

Verwandte Anleitungen

Erleben Sie
ADAudit Plus kostenlos

 

Mit ADAudit Plus erhalten Sie:

  • Replikationsstatus
  • Übersichtliche Dashboards
  • Umfassende Berichte
  • Echtzeit-Warnmeldungen
  • Und vieles mehr