Forcer la réplication entre deux contrôleurs de domaine dans Active Directory
Imaginez que vous n’ayez qu’une seule porte à votre maison. Pas de fenêtres, pas de porte patio, juste une porte. Que se passe-t-il si vous ne pouvez pas ouvrir cette porte ? La maison, et tout ce qu’elle contient, vous est inutile.
Un contrôleur de domaine est comme une porte, en un sens. Une avec un videur à l’intérieur. C’est la porte d’entrée pour accéder à l’intérieur aux choses que vous voulez. Active Directory (AD) est le videur de la porte. Il vérifie vos informations d’identification, détermine si vous êtes autorisé à passer la porte et à quelles ressources vous pouvez accéder une fois à l’intérieur.
Si vous gérez un réseau quelconque et que vous n’avez qu’un seul contrôleur de domaine, vous vivez dans une maison avec une seule porte. Si quelque chose arrive à ce contrôleur de domaine, tout votre système de serveurs s’écroule. Il faut toujours avoir plus d’un contrôleur de domaine (DC).
Mais comment s’assurer que les deux contrôleurs de domaine disposent des mêmes informations ? Disons que vous avez effectué une modification liée à la sécurité sur un DC. Vous voulez vous assurer que cette modification est répliquée sur vos autres DCs immédiatement. Pourquoi attendre 15 minutes ou plus pour que cela se produise selon le programme ? Vous devez forcer la réplication des contrôleurs de domaine dans Active Directory.
Il y a 3 façons d’aborder cela ; via l’interface utilisateur graphique (GUI), via l’interface en ligne de commande (CLI) ou via PowerShell.
Forcer la réplication d’un contrôleur de domaine via l’interface graphique
Les serveurs Windows utilisent beaucoup les interfaces graphiques, ce qui est une bonne chose pour les administrateurs système novices. C’est plus facile à apprendre et cela vous aide parfois à visualiser ce qui se passe réellement.
- Connectez-vous à l’un de vos DC et ouvrez Active Directory Sites and Services.
- Naviguez vers le site pour lequel vous souhaitez répliquer les contrôleurs de domaine. Développez-le en cliquant sur la tête de flèche à côté du nom du site. Développez les serveurs. Développez le DC que vous souhaitez répliquer. Cliquez sur NTDS Settings.
- Dans le volet de droite, cliquez avec le bouton droit sur le serveur et sélectionnez Replicate Now.
- Selon le nombre de DC, cela peut prendre moins d’une seconde à quelques minutes. Lorsqu’il est terminé, vous verrez la notification, « Les services de domaine Active Directory ont répliqué les connexions. ». Cliquez sur OK pour terminer.
Forcer la réplication des contrôleurs de domaine par la commande CLI
Si vous êtes familier avec le bon vieux CMD de Windows, alors la commande repadmin est faite pour vous. C’est le moyen ponctuel le plus rapide de forcer la duplication des contrôleurs de domaine. Si vous n’êtes pas familier, alors c’est le bon moment pour apprendre à connaître Windows CMD.
- Connectez-vous à l’un de vos DC et ouvrez l’invite de commande.
- Entrez la commande suivante, puis appuyez sur la touche Entrée.
repadmin /syncall /AdeP
- Une litanie d’informations défilera à l’écran. Si vous voyez que la dernière ligne indique « SyncAll terminated with no errors. », puis l’invite de commande en dessous, vos DCs sont répliqués avec succès.
Forcer la réplication des contrôleurs de domaine avec PowerShell
Si vous n’utilisez pas PowerShell dans votre vie quotidienne, vous ratez quelque chose. Vous vous devez vraiment d’apprendre PowerShell. Il vous facilitera la vie, et si vous êtes un administrateur système junior, il vous aidera massivement à faire passer votre carrière à l’étape suivante.
Ces étapes peuvent être effectuées dans la CLI PowerShell ordinaire, mais nous l’avons fait dans l’ISE PowerShell pour mieux montrer les commandes et leurs résultats. Nous allons construire un script que vous pouvez enregistrer ou même transformer en cmdlet que vous pouvez appeler depuis la ligne de commande PowerShell.
- Connectez-vous à l’un de vos DC et ouvrez PowerShell ou PowerShell ISE.
- Avant d’écrire tout script, enregistrez-le avec un nom descriptif comme force-DCReplication.ps1 pour pouvoir le réutiliser plus facilement. Entrez le code suivant et exécutez-le pour voir comment il obtiendra les noms de tous vos DCs.
(Get-ADDomainController -Filter *).Name
Vous voyez comment il renvoie les noms des DCs ? Maintenant, vous pouvez pipe ce résultat dans le cmdlet suivant. Un pipe est le caractère de ligne verticale ( | ), que l’on trouve généralement sur le clavier juste au-dessus de la touche Entrée.
- À la fin de la commande précédente, saisissez le code suivant :
| Foreach-Object { repadmin /syncall $_ (Get-ADDomain).DistinguishedName /AdeP }
La commande doit ressembler à celle de l’image ci-dessous. Exécutez-la. Elle devrait renvoyer un message comme celui de retour dans la section Force Domain Controller Replication Through GUI ci-dessus. S’il se termine par » SyncAll terminated with no errors. « , alors cela a fonctionné.
Vous avez vu comment il utilise également la commande repadmin?
- Ajoutons une autre ligne pour vous aider à vous assurer que la réplication s’est vraiment terminée. Le code suivant renverra la date et l’heure de la dernière réplication de chacun de vos DCs. Cette commande pourrait être utilisée seule à un autre moment si vous êtes juste curieux de savoir quand vos DCs ont été répliqués pour la dernière fois. Entrez le code et exécutez-le.
Get-ADReplicationPartnerMetadata -Target "$env:userdnsdomain" -Scope Domain | Select-Object Server, LastReplicationSuccess
Le résultat devrait ressembler à l’image ci-dessous. Vous verrez en bas la date et l’heure exactes de la dernière réplication.
- Pour peaufiner ce script, rendons sa sortie un peu moins verbeuse. Vers la fin de la première ligne, entrez | Out-Null entre le /AdeP et la parenthèse finale. Cela lui indique de ne pas afficher les résultats de cette cmdlet. Le résultat final ressemblera à l’image suivante.
Keep’em Replicated
Vous connaissez maintenant 3 façons de forcer la réplication des contrôleurs de domaine dans AD. Vous avez également mis en place un script PowerShell réutilisable que vous pouvez appeler depuis la ligne de commande PowerShell quand vous le souhaitez. Il n’y a plus d’excuse pour que vos dernières modifications de DC restent assises et attendent la prochaine réplication planifiée, quel que soit le moment où elle se produira.