Come confrontare Active Directory su 2 controller di dominio

Il nostro dominio di Windows dispone di 3 DC. Uno dei DCs sta replicando le modifiche apportte alle altre DC, ma non replica le modifiche apportte a se stesso.

Non abbiamo alcuna idea che abbia l'AD più aggiornato, quindi vogliamo confrontare l'altro 2 con quello 1 che non funziona.

È ansible esportre le properties; su each object (OU, CN, Utente, Gruppo ecc.) In modo da poterli confrontare? Forse a un file xml?

Forse c'è un PowerShell o un vbScript che farà questo?

  • Procedura guidata di servizio di dominio ActiveDirectory: controlli prerequisiti per l'aggiornamento del controller di dominio non riesce
  • Domain controller di Windows ARPing per gli indirizzi 169.254.0.0/16
  • Qual è il limite di inattività di un controller di dominio (DC)?
  • Quali sono gli svantaggi di fare tutti i controller di dominio server di Windows?
  • Come riedificare il catalogo globale?
  • incapace di unire il server al dominio esistente in azure all'interno della networking virtuale
  • Clienti Windows: Windows o Linux Domain Controller?
  • Cambiare la password di dominio in DC non riesce a prescindere dalla complessità
  • 3 Solutions collect form web for “Come confrontare Active Directory su 2 controller di dominio”

    Sembra che il tuo piano è quello di determinare ciò che DC ha le ultime modifiche e poi farli su un altro DC?

    No no no no no no.

    Questo torna indietro. AD non replica con quali modifiche sono coerenti l'una con l'altra, replica per ultimo numero di serie. Quello che devi fare è la replica fissa. A seconda della versione di Windows (non ci hai detto, sarebbe utile), è ansible utilizzare REPLMON o REPADMIN per determinare ciò che è fallito e probabilmente perché. Edit- cheekaleak è corretto: DCDIAG è utile anche per trovare repliche e altri errori nei tuoi DC.

    Esegue dcdiag sul server che non replica le modifiche apportte su di esso e controlla il registro dei servizi di replica file per errori. Questo dovrebbe aiutare a puntare nella direzione di come risolvere la replica.

    Il sintomo è un indicatore classico degli oggetti persistenti. Se la replica rigorosa è abilitata in un controller di dominio e rileva un object persistente da un vicino di replica, blocca le modifiche in entrata da quel vicino finché non viene rimosso l'object offensivo.

    La replica rigorosa è impostata per impostazione predefinita nei nuovi domini SP1 di Windows Server 2003 e successivi.

    Quando viene rilevato un object persistente, un evento id 1988 o 1388 viene registrato nel registro events del servizio directory. Se il dominio / foresta è piccolo (al massimo alcuni controller di dominio e less di 50.000 oggetti), è ansible utilizzare il repadmin per rimuovere oggetti persistenti. L'utilizzo di repadmin per questo scopo non è fattibile su grandi implementazioni AD.

    Il seguente command confronterà la partizione specificata su tutti i controller di dominio quando * è sostituito per ServerName e registra eventuali oggetti persistenti per la rimozione:

     repadmin /removelingeringobjects <ServerName> <ServerGUID> <DirectoryPartition> /advisory_mode 

    Se sei soddisfatto del rapporto, esegui il command senza l'interruttore advisory_mode per eseguire l'azione.

    Risoluzione dei problemi relativi alla replica di Active Directory
    http://technet.microsoft.com/en-us/library/cc738415%28v=ws.10%29.aspx

    ID evento 1388 o 1988: viene rilevato un object persistente
    http://technet.microsoft.com/en-us/library/cc949134%28v=ws.10%29.aspx

    Utilizzare Repadmin per rimuovere oggetti persistenti
    http://technet.microsoft.com/en-us/library/cc949134%28v=ws.10%29.aspx#BKMK_RemoveLingeringObjects

    Un simile strumento è GCChk da JoeWare, anche se non l'ho usata:

    http://www.joeware.net/freetools/tools/gcchk/index.htm

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.