Saturday, November 21, 2015

FR (French) - REPADMIN - Active Directory replication commands - Part 2

English abstract: in the following paragraphs, I'll add some more comments on Active Directory replication and introduce some more REPADMIN commands.

Dans les paragraphes suivants, je vais faire d'autres remarques sur la réplication Active Directory et présenter encore quelques commandes REPADMIN.

***

Au sein d'un même site, la réplication entre contrôleurs de domaine se fait presque en temps réel : au départ toutes les 15 secondes et ensuite les contrôleurs de domaine (désormais abrégé en "DC") mettent leurs partenaires de réplication au courant de tout changement toutes les trois secondes.

Il faut bien comprendre que, même si le DC "A" avertit le DC "B" qu'un changement vient de se faire, c'est toujours (dans ce cas) le DC "B" qui "tire" les données vers lui depuis le DC "A". En version anglaise originale, c'est la différence entre PULL et PUSH.

De plus, certains changements font l'objet d'une "réplication urgente" :
  • Verrouillage de compte
  • Changement de stratégie de verrouillage de compte ou de stratégie de mot de passe.
  • Changement de mot de passe d'un contrôleur de domaine (oui, les ordinateurs ont aussi un mot de passe).

Dans ces cas, la réplication n'attend pas 15 secondes mais se fait immédiatement.

***

Concernant le GUID de l'objet DSA et l'ID de l'Invocation, ils sont les mêmes au premier contrôleur de domaine de la forêt.

Voici un exemple pris d'un autre réseau d'essai avec un seul DC :

C:\>repadmin /showrepl

Repadmin: running command /showrepl against full DC localhost
Default-First-Site-Name\DC10
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 573bb700-73c0-4510-bb1e-027338b567f1
DSA invocationID: 573bb700-73c0-4510-bb1e-027338b567f1



repadmin /showutdvec

Si nous voulons voir si deux contrôleurs de domaine sont synchronisés l'un avec l'autre, nous pouvons exécuter cette commande et comparer...

  • l'USN (Update Sequence Number) le plus élevé de DC3 (dans notre exemple)
  • Ce que DC4 croit être l'USN le plus élevé de DC3.

En fait, il semble qu'il y ait toujours quelque chose qui fait l'objet d'une réplication et il n'est pas toujours facile, même après avoir forcé une réplication manuelle, d'en arriver à des USN identiques partout.

Dans l'exemple ci-dessous, DC4 croit que l'USN le plus élévé de DC3 est 41115 et DC3 le confirme : 41115 = 41115

Par contre, DC4 croit que son USN le plus élévé est 37075 alors que DC3 croit que c'est toujours 37060.

Je force la réplication, l'USN pour DC3 change mais reste identique aux deux contrôleurs de domaine. L'USN pour DC4 change aussi mais c'est un numéro différent:


C:\>repadmin /showutdvec DC4 dc=machlinkit,dc=biz
Mise en cache des GUID.
..
Site-1\DC3                           @ USN     41115 @ Heure 2015-11-14 15:58:40
Site-1\DC4                           @ USN     37075 @ Heure 2015-11-14 15:59:58


C:\>repadmin /showutdvec DC3 dc=machlinkit,dc=biz
Mise en cache des GUID.
..
Site-1\DC3                           @ USN     41115 @ Heure 2015-11-14 16:00:05
Site-1\DC4                           @ USN     37060 @ Heure 2015-11-14 15:58:37


C:\>repadmin /replicate DC3 DC4 dc=machlinkit,dc=biz
La synchronisation entre DC4 et DC3 a réussi.

C:\>repadmin /replicate DC4 DC3 dc=machlinkit,dc=biz
La synchronisation entre DC3 et DC4 a réussi.


C:\>repadmin /showutdvec DC3 dc=machlinkit,dc=biz
Mise en cache des GUID.
..
Site-1\DC3                           @ USN     41119 @ Heure 2015-11-14 16:03:23
Site-1\DC4                           @ USN     37075 @ Heure 2015-11-14 16:03:11


C:\>repadmin /showutdvec DC4 dc=machlinkit,dc=biz
Mise en cache des GUID.
..
Site-1\DC3                           @ USN     41119 @ Heure 2015-11-14 16:03:25
Site-1\DC4                           @ USN     37081 @ Heure 2015-11-14 16:03:33





repadmin /showchanges

Les commandes ci-dessous sont censées montrer les différences entre deux contrôleurs de domaine. Dans mon cas, et même avec seulement deux partenaires (et après une réplication bidirectionnelle manuelle), le rendu était pléthorique.

C:\>repadmin /showchanges DC3 dc=machlinkit,dc=biz
C:\>repadmin /showchanges DC4 dc=machlinkit,dc=biz

Ajouter le paramètre /statistics en offre un affichage un peu moins abondant.




repadmin /showsig

La commande repadmin /showrepl nous montre de nombreux détails sur les partenaires de réplication dont l'ID de l'Invocation DSA (Invocation ID). Si nous ne voulons voir que cela, nous pouvons exécuter la commande suivante :

C:\>repadmin /showsig

Repadmin : exécution de la commande /showsig sur le contrôleur de domaine complet localhost
Site-1\DC4

Actuel : ID de l'invocation DSA : d6e3c414-ab12-4d71-a3bc-135aba5ac84c

Aucune signature retirée.

No comments:

Post a Comment