Active Directory — это распределенная база данных, и ее целостность напрямую зависит от своевременной и безошибочной репликации данных между всеми контроллерами домена (DC). Любой сбой в этом процессе, известный как проблемы репликации AD, может привести к серьезным последствиям: пользователи не могут войти в систему, групповые политики не применяются, а изменения паролей теряются. К счастью, в Windows Server встроены мощные инструменты для диагностики этих проблем.
В этой статье мы подробно разберем две главные утилиты, которые должен знать каждый администратор AD: dcdiag и repadmin. Мы рассмотрим, как их использовать для комплексной проверки здоровья контроллеров домена и для «хирургической» диагностики конкретных проблем с репликацией, чтобы быстро вернуть вашу инфраструктуру в рабочее состояние.
DCDIAG: Общий медосмотр вашего контроллера домена
Прежде чем сразу бросаться в дебри анализа репликации с помощью repadmin всегда стоит начать с общей картины. Утилита dcdiag (Domain Controller Diagnosis) — это ваш «главный врач», который проводит комплексное обследование контроллера домена.
Почему это важно? Потому что репликация AD почти никогда не ломается «сама по себе». Чаще всего ошибки репликации являются симптомом других, более глубоких проблем: неправильно настроенного DNS, проблем с сетевой связностью, сбоев в работе служб или проблем с аутентификацией Kerberos. dcdiag проверяет все эти критические зависимости.
Базовый запуск DCDIAG
Просто открыть командную строку от имени администратора на контроллере домена и выполнить команду:
dcdiag
Утилита запустит десятки тестов, проверяя все: от служб (KDC, Netlogon) и сетевых адаптеров до состояния базы NTDS и репликации.
На что обращать внимание: В конце отчета ищите строки «failed» (сбой). Ваша цель — добиться, чтобы все тесты (Tests) проходили со статусом «passed» (пройдено).
Ключевые тесты DCDIAG для репликации
Хотя запуск по умолчанию уже включает тесты репликации, вы можете сфокусироваться на них:
1. dcdiag /test:Replications
Эта команда запускает только ту часть тестов, которая напрямую связана с репликацией. Она проверяет:
— Наличие ошибок репликации за последнее время.
— Создание и доступность топологии репликации (KCC).
— Наличие «зависших» (lingering) объектов.
2. dcdiag /e (Enterprise)
Это одна из самых полезных команд. Она запускает dcdiag не только на локальном DC, но и на всех контроллерах домена в лесу. Это дает вам мгновенную сводку о здоровье всей вашей инфраструктуры AD.
dcdiag /e /c
Флаг /c (Comprehensive) делает проверку еще более детальной, включая, например, проверку DNS. Ошибки в тесте DNS (DnsBasic, DnsForwarders, DnsDelegation) — это первое, что нужно исправлять, так как 90% проблем с AD — это проблемы с DNS.
Чтение вывода DCDIAG
Вывод dcdiag может быть огромным. Ваша задача — найти строки, начинающиеся с «Starting test:». Если тест провален, утилита предоставит детальное описание ошибки и часто даже рекомендации по ее устранению. Всегда начинайте устранение неполадок с исправления ошибок, найденных dcdiag, особенно если они касаются DNS или службы Netlogon.
REPADMIN: Хирургический инструмент для репликации
Если dcdiag — это терапевт, то repadmin — это хирург-нейролог, специализирующийся исключительно на репликации. Эта утилита командной строки дает вам полный контроль и видимость всех аспектов процесса репликации.
repadmin /replsummary (Сводка репликации)
Это первая команда repadmin которую стоит выполнить. Она дает вам высокоуровневую картину состояния репликации во всем лесу.
repadmin /replsummary
Команда связывается с каждым DC и предоставляет компактную таблицу, показывающую:
— Source DSA (Исходный DC): Контроллер, который отправляет изменения.
— Destination DSA (Целевой DC): Контроллер, который получает изменения.
— Fails (Сбои): Количество неудачных попыток репликации.
— Total (Всего): Общее количество попыток.
— Error (Ошибка): Код последней ошибки.
— Largest Delta (Наибольшая дельта): Как долго этот DC не реплицировался (самый важный столбец!).
Если вы видите в «Largest Delta» значения в несколько часов или дней, а в столбце «Fails» — ненулевые значения, у вас проблемы с репликацией.
repadmin /showrepl (Показать состояние репликации)
Это «рабочая лошадка» repadmin. Она показывает детальный статус входящей репликации для указанного контроллера домена.
repadmin /showrepl
Вывод этой команды делится на секции, по одной для каждого «контекста именования» (Naming Context) или раздела AD (Схема, Конфигурация, Домен, разделы DNS).
Что искать в выводе:
— ==== INBOUND NEIGHBORS ====: Это список партнеров, от которых этот DC получает обновления.
— via RPC: Тип репликации.
— DSA object GUID: Уникальный идентификатор партнера.
— Last attempt @ [Дата] was successful.: Это то, что вы хотите видеть.
— Last attempt @ [Дата] failed, result [Код ошибки]: Это ваша проблема.
Команда немедленно покажет вам, с каким партнером и по какому разделу происходит сбой, и, что самое важное, предоставит код ошибки. Этот код — ваш ключ к решению проблемы.
repadmin /queue (Проверка очереди)
Если репликация не работает, изменения начинают накапливаться в очереди.
repadmin /queue
Если эта команда показывает, что в очереди «currently [X] items» (сейчас X элементов) и это число велико (сотни или тысячи) и не уменьшается, это означает, что DC не может обработать или отправить накопившиеся изменения.
repadmin /syncall (Принудительная репликация)
После того как вы нашли и устранили причину сбоя (например, исправили DNS или открыли порт файрвола), вы можете не ждать, пока репликация «проснется» по расписанию. Вы можете ее форсировать.
repadmin /syncall DC_NAME /APeD
— DC_NAME: Имя вашего контроллера домена.
— /A (All partitions): Синхронизировать все разделы.
— /P (Push): «Протолкнуть» изменения другим DC.
— /e (Enterprise): Синхронизировать со всеми партнерами в лесу.
— /D (Distinguished Names): Идентифицировать партнеров по DN (рекомендуется).
Внимание: Не используйте repadmin /syncall как «серебряную пулю». Если есть базовая проблема (например, RPC-сервер недоступен), эта команда просто снова провалится. Сначала чиним, потом синхронизируем.
Популярные коды ошибок репликации и их значение
dcdiag и repadmin дадут вам коды ошибок. Вот что означают самые частые из них:
Ошибка 5: Отказано в доступе (Access is denied)
Причина: Чаще всего это проблема с учетной записью компьютера DC. Возможно, нарушились отношения доверия (secure channel) или есть проблемы с разрешениями в AD. Также может быть вызвано несовпадением времени (Kerberos) более чем на 5 минут.
Ошибка 1722: Сервер RPC недоступен (The RPC server is unavailable)
Причина: Классическая сетевая проблема.
— Между контроллерами домена закрыты необходимые порты (особенно порт 135 и динамический диапазон RPC).
— Физический разрыв сети.
— Служба «Удаленный вызов процедур (RPC)» не запущена на одном из серверов.
Ошибка 8524: Операция DSA не может быть продолжена… (The DSA operation is unable to proceed…)
Причина: Почти всегда — это DNS. Контроллер домена не может разрешить (resolve) CNAME-запись своего партнера по репликации в его IP-адрес. Используйте nslookup для проверки, что DC могут правильно найти друг друга.
Ошибка 8606: Недостаточно атрибутов… (Insufficient attributes…)
Причина: Это опасная ошибка, указывающая на наличие «зависших объектов» (Lingering Objects). Это происходит, когда DC был в офлайне дольше, чем «срок жизни» удаленного объекта (Tombstone Lifetime — по умолчанию 60 или 180 дней), а затем его вернули в сеть. Он содержит объекты, которые на самом деле уже удалены во всем остальном лесу. Требует немедленной очистки.
Пошаговый план действий
Столкнувшись с проблемами репликации AD, не паникуйте. Действуйте методично:
1. Начните с dcdiag: Запустите dcdiag /e /c на всех DC. Исправьте все ошибки, которые он найдет, особенно DNS, Netlogon и KDC.
2. Оцените масштаб с repadmin /replsummary: Поймите, это проблема одного DC или «горит» весь лес? Сосредоточьтесь на DC с наибольшей «дельтой».
3. Получите детали с repadmin /showrepl: На проблемном DC выполните эту команду, чтобы найти конкретного партнера, раздел и код ошибки.
4. Устраните причину: Используйте код ошибки (1722, 8524 и т.д.) для целенаправленного поиска неисправности (сеть, DNS, файрвол, службы).
5. Проверьте снова: После исправления запустите repadmin /replsummary еще раз. Вы должны увидеть, что «дельта» начала уменьшаться, а сбои прекратились.
Регулярный мониторинг с помощью этих двух утилит поможет вам обнаружить проблемы репликации Active Directory до того, как они превратятся в катастрофу для бизнеса.
