Windows Server 2016-管理Active Directory复制任务

青野

　　Repadmin.exe可帮助管理员诊断运行Microsoft Windows操作系统的域控制器之间的Active Directory复制问题。
　　Repadmin.exe内置于Windows Server 2008&08R2及以上版本中。如果安装了AD DS或AD LDS服务器角色，则可用。如果您安装属于远程服务器管理工具（RSAT）的Active Directory域服务工具，也可以使用它。
　　要使用Repadmin.exe，您必须从提升的命令提示符处运行ntdsutil命令。要打开提升的命令提示符，请单击开始，右键单击命令提示符，然后单击以管理员身份运行。
　　从每个域控制器的角度看，您可以使用Repadmin.exe查看复制拓扑。另外，您可以使用Repadmin.exe手动创建复制拓扑，强制在域控制器之间进行复制事件，并查看复制元数据和最新向量（UTDVEC）。您还可以使用Repadmin.exe来监视Active Directory域服务（AD DS）林的相对运行状况。
　　注：在正常的操作过程中，不需要手动创建复制拓扑。不正确使用Repadmin可能会对复制拓扑产生负面影响。Repadmin的主要用途是监控复制，以便识别问题，如脱机服务器或不可用的局域网（LAN）或广域网（WAN）连接。
　　Repadmin还需要该命令针对的每个域控制器上的管理凭据。Domain Admins组的成员具有足够的权限在该域中的域控制器上运行repadmin。默认情况下，Enterprise Admins组的成员授予林中每个域中的Domain Admins组的成员身份。您还可以委派查看和管理复制状态所需的特定权限。
　　1.查看当前域控制器的复制状态：repadmin /showrepl

　　2.查看名称为"major"域控制器活动目录复制状态：repadmin /showrepl major

　　3.查看名称为"Major"域控制器复制队列：repadmin /queue major

　　4.查看域复制状态报告：repadmin /replsummary

　　5.验证当前域控制器和其他域控制器之间是否成功创建复制链接：repadmin /showconn

6.强制在域控制器之间启用复制：repadmin /replicate major Bdc dc=azureyun,dc=local /force

7.显示当前域控制器的拓扑方式：repadmin /siteoptions

8.显示站点内已启用自动生成拓扑功能相关信息：dcdiag /test:topology

　　补充：
　　有关repadmin语法：
repadmin <cmd> <args> [/u:{domain\user}] [/pw:{password | *}] [/retry[:<retries>][:<delay>]] [/csv]

　　有关repadmin命令：
Repadmin /kcc强制目标域控制器上的知识一致性检查器（KCC）立即重新计算入站复制拓扑。　　
Repadmin /prp指定只读域控制器（RODC）的密码复制策略（PRP）。
　　
Repadmin /queue显示域控制器必须发出的入站复制请求才能与其源复制伙伴保持一致。
　　
Repadmin /replicate触发指定目录分区从源域控制器立即复制到目标域控制器。
　　
Repadmin /replsingleobj在具有公共目录分区的任何两个域控制器之间复制单个对象。
　　
Repadmin /replsummary标识失败入站复制或出站复制的域控制器，并在报告中汇总结果。
　　
Repadmin /rodcpwdrepl触发将指定用户的密码从源域控制器复制到一个或多个只读域控制器。（源域控制器通常是中心站点域控制器。）
　　
Repadmin /showattr显示对象的属性。
　　
Repadmin /showobjmeta显示存储在AD DS中的指定对象的复制元数据，例如属性ID，版本号，始发和本地更新序号（USN），始发服务器的全局唯一标识符（GUID）以及日期和时间戳。
　　
Repadmin /showrepl当指定的域控制器上次尝试在Active Directory分区上执行入站复制时，显示复制状态。
　　
Repadmin /showutdvec显示AD DS在目标域控制器上显示承诺给自己及其传递伙伴的最高承诺USN。
　　
Repadmin /syncall使指定的域控制器与所有复制伙伴同步。
　　
/u指定具有在AD DS中执行操作的权限的域和用户名。（域和用户名由反斜线分隔，例如domain \ user。）此参数不支持使用用户主体名称（UPN）登录到域。
　　
/PW指定使用/u参数输入的用户名的密码。
　　
/retry如果第一次尝试失败，并且出现以下错误之一，则会导致Repadmin重试尝试绑定到目标域控制器：
　　
/CSV以逗号分隔值（CSV）格式显示/ showrepl参数的结果。
　　Repadmin语法使用以下术语：
　　命名上下文：AD DS林中目录分区的可分辨名称。命名上下文包括三个读/写命名上下文 - 域，模式和配置 - 以及作为全局编录服务器的域控制器上存在的可选只读命名上下文。命名上下文也可以是应用程序目录分区。指定命名上下文作为可分辨名称，该名称指示其与林根域的层次关系，例如DC = MyDomain，DC = Contoso，DC = Com。
　　全球唯一标识符（GUID）：用于唯一标识存储在目录中的对象的128位数字，例如fa1a9e6e-2e14-11d2-aa9b-bbfc0a30094c。GUID在语法中有时被称为通用唯一标识符（UUID）。为了Repadmin的目的，这两个术语是同义词。
　　专有名称：X.500可分辨名称，例如CN = Server1，CN = Servers，CN = Default-First-Site-Name，CN = Sites，CN = Configuration，DC = Contoso，DC = Com。
　　在包含在每个命令主题中的Repadmin示例中，某些命令（如/ showrepl命令）返回的域控制器对象GUID和域控制器调用ID 最初显示相同的十六进制值（直到系统状态恢复）。但是，这两个值标识不同的对象。域控制器对象GUID是NTDS设置的唯一标识符对象在域控制器上。域控制器对象GUID的值不会更改，除非您从域控制器中删除AD DS，然后重新安装它。域控制器调用ID标识域控制器上的目录数据库。从备份还原域控制器时，此值会更改。当您第一次安装域控制器时，这两个标识符的值是相同的; 但是，每当从备份还原域控制器时，调用ID值都会更改。
　　大多数Repadmin命令按照以下顺序采用其参数：
　　&quot;目标或目标DSA_LIST&quot;
　　&quot;源DSA_NAME&quot;，如果需要的话
　　<命名上下文>或对象可分辨名称（如果需要）
　　对于AD DS，此字符串是网络标签。对于域控制器，网络标签包括域名系统（DNS），NetBIOS和IP地址。
　　对于Active Directory轻型目录服务（AD LDS），此字符串必须是AD LDS服务器的网络标签，后跟冒号，然后是AD LDS实例的轻量级目录访问协议（LDAP）端口。
　　<命名上下文>是命名上下文根的可分辨名称。如果您在运行Repadmin的计算机上安装适当的字体和语言支持，则带有国际或Unicode字符的文本将正确显示。