Hoy vamos a hablar de una “nueva” herramienta “Active Directory Replication Status” (en si esta hace un tiempo) para ayudarnos a resolver y monitorear temas de replicación en nuestro Active Directory. Como ya hemos visto en notas anteriores, el tema de la replicación es complejo y siempre utilizamos nuestra querida línea de comandos RepAdmin, que tiene 69 comandos diferentes, agrupados en tres niveles de complejidad distintos; y si a esto le sumamos el DCDiag al momento de hacer un troubleshooting se complica mas aun. Debemos tener conocimiento de un montón de conceptos (USNs, High-watermark-vector, Invocation-IDs, y demás); con lo cual es bastante engorroso.
Esta nueva herramienta, Active Directory Replication Status (ADReplStatus) analiza el estado de la replicación de los controladores de dominio en un dominio de Active Directory o del bosque.
ADREPLSTATUS muestra los datos en un formato que es similar a REPADMIN /showrepl * /CSV importado en Excel, pero con mejoras significativas.
Las funcionalidades específicas para esta herramienta son:
-
Exponer los errores de replicación de Active Directory que se producen en un dominio o bosque
-
Dar prioridad a los errores que deben ser resueltos con el fin de evitar la creación de objetos persistentes en los bosques de Active Directory
-
Ayuda a los administradores y a quienes dan soporte a resolver los errores de replicación mediante la vinculación de los errores de la replicación con el contenido publicado en Microsoft TechNet
-
Nos permite exportar los datos de la replicacion a otros medios o destinos para poder analizarlos posteriormente sin necesidad de estar conectados.
Los requisitos del sistema son los siguientes:
Sistemas operativos compatibles: Windows 7, Windows 8, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Vista, Windows XP
-
ADREPLSTATUS no se instala en servidores Core de Windows
-
Windows 2000 no se admite debido a que no soporta .NET Framework 4.0
-
Debe estar unido al dominio de Active Directory o bosque el cual vamos a monitorear.
Requisitos. NET Framework:
-
. NET Framework 4.0 (nos pedirá para instalar. NET Framework 3.5.1 por primera vez en Windows Server 2008)
Requieren credenciales de usuarios:
-
Target forest/domain user account
Versiones compatibles DC OS que pueden ser monitoreados por ADREPLSTATUS:
-
Windows Server 2003
-
Windows Server 2003 R2
-
Windows Server 2008
-
Windows Server 2008 R2
-
Windows Server 2012 Release Preview
-
Windows 2000 no han sido evaluados, por lo que no es compatible.
Otros requisitos:
ADREPLSTATUS no funcionará cuando la siguiente opción de seguridad está habilitada en el sistema operativo
-
Criptografía de sistema: usar FIPS 140 algoritmos criptográficos que cumplen, incluido el cifrado, algoritmos hash y firma
Ahora, después de ver algunos detalles de que hace y sus requerimientos, veremos puntualmente la herramienta en funcionamiento. La primera vez que la iniciamos, ADREPLSTATUS comprobara el estado de replicación en todo el bosque, un único dominio en el bosque, o un conjunto específico de DC de un dominio (incluyendo un solo DC).
Por ejemplo, yo estoy corriendo ADREPLSTATUS en mi dominio principal, que cuenta con un solo sitio y dos DCs.
Si ejecutamos la línea comando del RepAdmin vemos que todo esta bien:
La instalación de la herramienta es muy simple, doble clic y se instala, no muestra ningún menú ni nada. Vamos a inicio y la ejecutamos.
La consola principal es la siguiente. En nuestro caso seleccionamos verificar el dominio:
Vemos que todo funciono bien y es igual que el comando RepAdmin, pero con algunos datos extra. Si seleccionamos la solapa Replication Status Viewer podremos ver mayores detalles de la replicación:
Como quiero mostrar algún error, lo que voy a hacer es desconectar de la red mi DC11 y forzar una replicación. Esto dará un error el cual veremos en nuestra herramienta:
Vemos el resultado con el RepAdmin:
Ahora ejecutamos nuevamente Active Directory Replication Status.
Aquí podemos ver el error, si tuviéramos varios errores se ven en rojo, acá como esta seleccionado se ven en gris. Luego podemos ver que también nos ofrece ir directamente al sitio de MS a la pagina en donde habla del error y su posible solución; ahorrándonos un montón de tiempo.
Al reconectar el servidor y hacer un refresh con nuestras herramientas, veremos que esta todo de forma correcta:
Para cerrar la nota, podemos decir que con esta herramienta se nos facilita la forma de entender y realizar el troubleshooting de nuestra replicación. Cuyo proceso no es sencillo, y siempre resulta engorroso hacer el seguimiento de los errores.
Espero que les sea de interés. Saludos, Roberto Di Lello.
Mas Información:
- DOWNLOAD: Active Directory Replication Status Tool
- EventID 2042, error de Replicacion. Que hacer cuando un DC que ha excedido TombStone Lifetime y falla su replicacion {HowTo}
Una consulta, tengo un problema con un RDP que solo funciona como administrador, aun si creo otro usuario con los mismos permisos no me acepta y me sale un mensaje; El programa no se inicio en el equipo remoto, pongase en contacto con su administrador de sistema, a qué se debe esto , y como puedo solucionarlo, Muchas gracias.Espero su pronta respuesta,
gracias muy buena la explicacion
Genius… thks
debes ingresarlos en los grupos de terminal, para que tengan permisos.
Ante todo gracias Roberto, me presento mi nombre es Daniel Palomar, me dedico al
sector IT, y me surgió una duda que aplica a 2003/8 y 12….
el tema es el siguiente:
tengo en una empresa 2 DC (w2003) replicando su ADS, perfectamente, pero es
obvio que los 5 MAESTRO de OPERACION, los tengo corriendo en solo uno, pongamos
que es el DC01, (OK!)
Ahora bien se me manca el DC01, y tengo que pasar el FSMO, al mi otro DC ,osea
DC02, ….Pero aqui viene el problema, el DC01 Está tan destruido que no puedo
traspasarlo ni con NTDSUTIL, y mucho menos con GUI. que puedo hacer, y de que me
tengo que agarrar, antes de ser eyectado de la empresa…? jejeje
te mando un Abrazo y celebro gente como vos que haga tan buenos Blogs!
adelante y exitos!!!
Daniel Palomar
Ituzaingó Bs As. Arg.
Daniel Palomar, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.
Respecto a tu pregunta, el tema no es tan grave, ya que de ultimas lo forzas y lo regenera. Ahora el tema es porque esta detonado el DC01?, la replicacion como esta? el resto de los roles los puedes mover? La primera recomendacion seria: (mejor dicho serian); hacer backup de todo, para quedarte tranquilo. Despues instalarte otro DC, y dejar que replique. Verificar la replicacion de los servers, probablemente falle el dc01, pero que los otros dos queden ok. Despues ver de traspasar los roles a los demas equipos, en el peor de los casos forzarlo. Luego hay que ver como quedo la replicacion, y realizar el demote del DC01; si no se borra de la db del active directory, realizar una limpieza de la metadata. El DC03 a implementar podria ser virtual, y luego reinstalas el servidor del dc01.
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
Buena tarde Roberto, el presente es para solicitarte una asesoria para iniciar con una configuracion algo compleja y que no me queda clara, la cual me estan solicitando en el lugar en el cual laboro, te comento:
De momento no contamos con DHCP, y se esta planteando la solucion de integrar nuestro AD con el DHCP que estamos por liberar, aqui el tema es que no logro entender como se vinculan el uno con el otro, y es en este tema sobre el cual te pido un consejo. Si me pudieras indicar en donde me puedo documentar para lograr esta configuracion y antes que nada como funciona esta configuracion y que beneficios obtengo con ella.
Quedo a la espera de tus comentarios y agradezco de antemano la antecion brindada al presente.
Atte.
Alberto Piña Cedillo
Albert Cedillo, disculpa mi demora en contestar pero estoy poniendome al dia con todos los mails y consultas via Web que tengo pendientes.
Respecto a tu pregunta, justamente mañana estoy publicando una nota sobre el tema, espero que te sea de utilidad. Cualquier cosa vuelve a escribirme: Windows Server, Que es? Como Funciona? y Como se implementa el rol de DHCP en Windows Server 2008 {ScreenCast}http://tinyurl.com/lqlsrv6
Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo! Te pido que difundas la direccion del mismo asi podeos llegar a mas gente. Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.
Saludos y gracias!
[…] Replicacion Directory Services: Active Directory Replication Status {Tool} […]