Articles

Replikation zwischen zwei Domänencontrollern in Active Directory erzwingen

März 3, 2021 /

Stellen Sie sich vor, Sie haben nur eine Tür zu Ihrem Haus. Keine Fenster, keine Terrassentür, nur eine Tür. Was passiert, wenn Sie diese Tür nicht öffnen können? Das Haus und alles, was sich darin befindet, ist für Sie nutzlos.

Ein Domänencontroller ist in gewisser Weise wie eine Tür. Eine mit einem Türsteher an der Tür. Er ist das Tor, um hineinzukommen zu den Dingen, die Sie wollen. Active Directory (AD) ist der Türsteher an der Tür. Es prüft Ihre Anmeldedaten, bestimmt, ob Sie durch die Tür gehen dürfen und auf welche Ressourcen Sie zugreifen können, sobald Sie drinnen sind.

Wenn Sie ein Netzwerk irgendeiner Art betreiben und nur einen Domänencontroller haben, leben Sie in einem Haus mit einer Tür. Wenn diesem Domain-Controller etwas zustößt, fällt Ihr ganzes System von Servern auseinander. Sie sollten immer mehr als einen Domänencontroller (DC) haben.

Aber wie stellen Sie sicher, dass beide Domänencontroller die gleichen Informationen haben? Nehmen wir an, Sie haben eine sicherheitsrelevante Änderung auf einem DC vorgenommen. Sie möchten sicherstellen, dass diese Änderung sofort auf Ihren anderen DCs repliziert wird. Warum sollten Sie 15 Minuten oder mehr warten, bis dies planmäßig geschieht? Sie müssen die Replikation der Domänencontroller im Active Directory erzwingen.

Es gibt drei Möglichkeiten, dies zu tun: über die grafische Benutzeroberfläche (GUI), über die Befehlszeilenschnittstelle (CLI) oder über die PowerShell.

Erzwingen Sie die Replikation von Domänencontrollern über die GUI

Windows-Server verwenden häufig GUIs, was für unerfahrene Systemadministratoren gut ist. Es ist einfacher zu erlernen und hilft manchmal, zu visualisieren, was wirklich passiert.

  1. Melden Sie sich bei einem Ihrer DCs an und öffnen Sie Active Directory Sites and Services.
  1. Navigieren Sie zu der Site, für die Sie die Domänencontroller replizieren möchten. Erweitern Sie sie, indem Sie auf die Pfeilspitze neben dem Site-Namen klicken. Erweitern Sie die Server. Erweitern Sie den DC, den Sie replizieren möchten. Klicken Sie auf NTDS-Einstellungen.
  1. Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf den Server und wählen Sie Jetzt replizieren.
  1. Abhängig davon, wie viele DCs es gibt, kann dies weniger als eine Sekunde bis zu ein paar Minuten dauern. Wenn er abgeschlossen ist, sehen Sie die Meldung „Active Directory Domain Services hat die Verbindungen repliziert.“. Klicken Sie auf OK, um den Vorgang abzuschließen.

Replikation von Domänencontrollern über CLI-Befehl erzwingen

Wenn Sie mit der guten alten Windows CMD vertraut sind, dann ist der Befehl repadmin genau das Richtige für Sie. Dies ist der schnellste einmalige Weg, um die DC-Duplizierung zu erzwingen. Wenn Sie nicht damit vertraut sind, dann ist dies ein guter Zeitpunkt, um sich mit Windows CMD vertraut zu machen.

  1. Melden Sie sich an einem Ihrer DCs an und öffnen Sie die Eingabeaufforderung.
  1. Geben Sie den folgenden Befehl ein und drücken Sie dann die Eingabetaste.
repadmin /syncall /AdeP
  1. Eine Litanei von Informationen wird auf dem Bildschirm angezeigt. Wenn Sie sehen, dass die letzte Zeile „SyncAll terminated with no errors.“ lautet und darunter die Eingabeaufforderung, sind Ihre DCs erfolgreich repliziert.

Domain-Controller-Replikation mit PowerShell erzwingen

Wenn Sie PowerShell nicht in Ihrem täglichen Leben verwenden, verpassen Sie etwas. Sie sind es sich wirklich schuldig, PowerShell zu lernen. Es wird Ihr Leben einfacher machen, und wenn Sie ein Junior-Systemadministrator sind, wird es Ihnen massiv dabei helfen, Ihre Karriere auf den nächsten Schritt zu bringen.

Diese Schritte können in der normalen PowerShell CLI durchgeführt werden, aber wir haben es in der PowerShell ISE gemacht, um die Befehle und ihre Ergebnisse besser zu zeigen. Wir werden ein Skript erstellen, das Sie speichern oder sogar in ein Cmdlet umwandeln können, das Sie über die PowerShell-Befehlszeile aufrufen können.

  1. Melden Sie sich bei einem Ihrer DCs an und öffnen Sie PowerShell oder PowerShell ISE.
  1. Bevor Sie ein Skript schreiben, speichern Sie dieses unter einem aussagekräftigen Namen wie force-DCReplication.ps1, damit Sie es leichter wieder verwenden können. Geben Sie den folgenden Code ein und führen Sie ihn aus, um zu sehen, wie er die Namen aller Ihrer DCs ermittelt.
(Get-ADDomainController -Filter *).Name

Sehen Sie, wie er die Namen der DCs zurückgibt? Nun können Sie dieses Ergebnis über die Pipe in das nächste Cmdlet leiten. Eine Pipe ist das vertikale Strichzeichen ( | ), das Sie normalerweise auf der Tastatur direkt über der Eingabetaste finden.

  1. Am Ende des vorherigen Befehls geben Sie den folgenden Code ein:
| Foreach-Object { repadmin /syncall $_ (Get-ADDomain).DistinguishedName /AdeP }

Der Befehl sollte wie im Bild unten aussehen. Führen Sie ihn aus. Er sollte eine Meldung zurückgeben, die der im Abschnitt „Erzwingen der Domänencontroller-Replikation über die GUI“ weiter oben entspricht. Wenn sie mit „SyncAll terminated with no errors.“ endet, hat es funktioniert.

Haben Sie gesehen, dass auch der Befehl repadmin verwendet wird?

  1. Lassen Sie uns noch eine weitere Zeile hinzufügen, um sicherzugehen, dass die Replikation wirklich abgeschlossen wurde. Der folgende Code gibt das Datum und die Uhrzeit zurück, wann jeder Ihrer DCs zuletzt repliziert wurde. Dieser Befehl kann auch zu einem anderen Zeitpunkt verwendet werden, wenn Sie einfach nur wissen möchten, wann Ihre DCs zuletzt repliziert wurden. Geben Sie den Code ein und führen Sie ihn aus.
Get-ADReplicationPartnerMetadata -Target "$env:userdnsdomain" -Scope Domain | Select-Object Server, LastReplicationSuccess

Das Ergebnis sollte dem untenstehenden Bild ähneln. Unten sehen Sie das genaue Datum und die Uhrzeit der letzten Replikation.

  1. Um diesem Skript den letzten Schliff zu geben, sollten wir die Ausgabe etwas weniger ausführlich gestalten. Geben Sie am Ende der ersten Zeile zwischen dem /AdeP und der Schlussklammer | Out-Null ein. Dadurch wird das Skript angewiesen, die Ergebnisse dieses Cmdlets nicht auszugeben. Das Endergebnis sieht wie das folgende Bild aus.

Keep’em Replicated

Nun kennen Sie 3 Möglichkeiten, die Replikation von Domänencontrollern im AD zu erzwingen. Außerdem haben Sie ein wiederverwendbares PowerShell-Skript zusammengestellt, das Sie jederzeit über die PowerShell-Befehlszeile aufrufen können. Es gibt keine Ausrede mehr dafür, dass Ihre neuesten DC-Änderungen auf die nächste geplante Replikation warten müssen, wann auch immer das sein mag.

Eine Antwort schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.