Администрирование репликации
Для управления репликацией в домене Эллес с помощью утилиты samba-tool используется группа подкоманд drs.
Получение информации о состоянии репликации на контроллере домена
Для получения информации о состоянии входящей и исходящей репликации для контроллера в домене Эллес используется следующий формат вызова:
samba-tool drs showrepl [<DC>] [options]Вывод команды содержит информацию о состоянии входящей и исходящей репликации в рамках соглашений между контроллерами домена в лесу AD с точки зрения контроллера домена, на котором выполняется команда, либо указанного удаленного контроллера домена (<DC>).
В случае успешного выполнения репликации в каждом из блоков в разделах INBOUND NEIGHBORS и OUTBOUND NEIGHBORS отображается состояние репликации для следующих контейнеров:
-
DC=Forest_Root_Domain; -
CN=Configuration,DC=Forest_Root_Domain; -
CN=Schema,CN=Configuration,DC=Forest_Root_Domain; -
DC=ForestDnsZones,DC=Forest_Root_Domain; -
DC=DomainDnsZones,DC=Forest_Root_Domain.
| После присоединения контроллера к домену службам синхронизации данных (KCC) требуется до 15 минут для создания требуемых объектов и запуска входящей и исходящей репликации для всех контейнеров. |
Информация группируется в четырех разделах:
-
заголовок с GUID локального агента службы каталогов (DSA);
-
раздел
INBOUND NEIGHBORS— статус репликации объектов по каждому разделу каталога на текущий или указанный контроллер домена с других контроллеров; -
раздел
OUTBOUND NEIGHBORS— статус репликации объектов по каждому разделу каталога с текущего или указанного контроллера домена на другие контроллеры; -
раздел
KCC CONNECTION OBJECTS— информация о контроллерах домена, службы синхронизации данных (KCC) которых установили соглашения о репликации с текущим или указанным контроллером домена.В конце раздела выводится сообщение
No NC replicated for Connection!, которое можно игнорировать.
Параметры
Параметры вызова:
-
--json— вывод информации о репликации в формате JSON; -
--summary— вывод сводной информации о состоянии входящей и исходящей репликации; -
--pull-summary— вывод сводной информации о состоянии входящей репликации; -
--notify-summary— вывод сводной информации о состоянии исходящей репликации; -
--classic— вывод информации о состоянии репликации в стандартном формате; -
-v|--verbose— вывод детальной информации.
Примеры
Пример получения информации о состоянии входящей и исходящей репликации в стандартном формате:
samba-tool drs showrepl
Default-First-Site-Name\DC2
DSA Options: 0x00000001
DSA object GUID: c14a774f-9732-4ec2-b9fa-2156c95c4e48
DSA invocationId: 7bdb135c-6868-4dd9-9460-33dea4b6b87b
==== INBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
DC=DomainDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
DC=ForestDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
==== OUTBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=DomainDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=ForestDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
==== KCC CONNECTION OBJECTS ====
Connection --
Connection name: fb03f58b-1654-4a02-8e11-f0ea120b60cc
Enabled : TRUE
Server DNS name : DC1.samdom.example.com
Server DN name : CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
Запуск службы синхронизации данных (KCC)
Для запуска службы Knowledge Consistency Checker (KCC) на текущем или удаленном контроллере домене Эллес используется следующий формат вызова:
samba-tool drs kcc [<DC>] [options]Подкоманда позволяет обновить информацию о подключениях к другим контроллерам домена в рамках соглашений о репликации.
Может использоваться для создания соединений с целью репликации в том случае, если в выводе команды samba-tool drs showrepl отсутствует информация о других контроллерах домена.
Выполнение репликации
Для выполнения репликации разделов каталога между двумя контроллерами домена Эллес используется следующий формат вызова:
samba-tool drs replicate <destinationDC> <sourceDC> <NC> [options]Подкоманда выполняет репликацию указанного раздела каталога (<NC>) на указанный контроллер-приемник (<destinationDC>) с указанного контроллера-источника (<sourceDC>).
| Если при вызове подкоманды указываются контроллеры домена, между которыми отсутствует соглашение о репликации, данные реплицируются, однако соглашение не создается. |
По умолчанию подкоманда реплицирует только операции над объектами, которые не выполнялись на контроллере-приемнике. К таким операциям относятся:
-
создание новых объектов каталога;
-
изменение объектов каталога;
-
удаление объектов каталога.
Для повторной синхронизации данных по всем объектам в разделе каталога при запуске подкоманды используйте параметр --full-sync.
Параметры
Параметры вызова:
-
--add-ref— использоватьADD_REFдля добавления кrepsToна источнике; -
--sync-forced— использоватьSYNC_FORCEDдля принудительного выполнения входящей репликации; -
--sync-all— использоватьSYNC_ALLдля выполнения репликации со всех контроллеров; -
--full-sync— выполнить повторную синхронизацию данных по всем объектам; -
--local— загрузить изменения напрямую в локальную базу данных (контроллер-приемник игнорируется); -
--local-online— загрузить изменения в локальную базу данных (контроллер-приемник игнорируется) так, как это происходит в рамках стандартной процедуры репликации; -
--async-op— использовать для репликацииASYNC_OP; -
--single-object— реплицировать только данные по указанному объекту вместо репликации всего раздела каталога (используется только вместе с параметром--local).
Примеры
Пример выполнения репликации всех разделов каталога AD между контроллерами DC1 и DC2:
samba-tool drs replicate DC2 DC1 dc=samdom,dc=example,dc=com Replicate from DC1 to DC2 was successful. samba-tool drs replicate DC2 DC1 DC=ForestDnsZones,DC=samdom,DC=example,DC=com Replicate from DC1 to DC2 was successful. samba-tool drs replicate DC2 DC1 CN=Configuration,DC=samdom,DC=example,DC=com Replicate from DC1 to DC2 was successful. samba-tool drs replicate DC2 DC1 DC=DomainDnsZones,DC=samdom,DC=example,DC=com Replicate from DC1 to DC2 was successful. samba-tool drs replicate DC2 DC1 CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com Replicate from DC1 to DC2 was successful.
Управление флагами агента службы каталогов (DSA)
Для запроса или изменения флагов объекта NTDS Settings на контроллере домена Эллес используется следующий формат вызова:
samba-tool drs options [<DC>] [options]Подкоманда позволяет просмотреть или изменить (при использовании параметра --dsa-option) флаги объекта NTDS Settings на текущем или удаленном контроллере домена (<DC>).
Выполнение первоначальной репликации без присоединения к домену
Для выполнения первоначальной репликации без присоединения сервера к домену Эллес используется следующий формат вызова:
samba-tool drs clone-dc-database <dnsdomain> [options]Подкоманда позволяет эмулировать процесс репликации для указанного домена (<dnsdomain>) без присоединения к нему и внесения каких-либо изменений. Может использоваться для целей тестирования и отладки.
Параметры
Параметры вызова:
-
--server=SERVER— полное доменное имя или IP-адрес контроллер домена AD для присоединения; -
--targetdir=TARGETDIR— каталог для сохранения данных, получаемых при присоединении; -
-q|--quiet— тихий режим (отключает вывод диагностических сообщений во время работы подкоманды); -
--include-secrets— также реплицировать секретные данные домена; -
--backend-store=BACKENDSTORE— тип базы данных каталога; возможные значения:tdb | mdb; значение по умолчанию —tdb; -
--backend-store-size=SIZE— максимальный размер файлов базы данных каталога; поддерживается только для баз данных LMDB (--backend-store=mdb); значение по умолчанию — 8 ГБ.
Получение информации о задержках при репликации
Для получения информации о задержках при репликации в домене Эллес используется следующий формат вызова:
samba-tool drs uptodateness [options]Подкоманда выводит максимальное и медианное значения задержки при репликации, а также количество неудачных попыток репликации на уровне домена и для каждого раздела каталога в отдельности.
Параметры
Параметры вызова:
-
-H URL|--URL=URL— URI LDAP-сервера; может содержать указание на протокол, имя хоста и номер порта; -
-p PARTITION|--partition=PARTITION— раздел каталога, для которого требуется вывести значения задержки при репликации; -
--json— вывод данных в формате JSON; -
--maximum— вывод только максимальных значений задержки при репликации; -
--median— вывод только медианных значений задержки при репликации; -
--full— вывод полных данных о задержках при репликации.
Примеры
Пример получения информации о задержках при репликации:
samba-tool drs uptodateness DOMAIN maximum: 207 median: 18.0 failure: 10 CONFIGURATION maximum: 468 median: 29.0 failure: 10 SCHEMA maximum: 318 median: 27.0 failure: 10 DNSDOMAIN maximum: 56 median: 3.0 failure: 10 DNSFOREST maximum: 378 median: 36.0 failure: 10
Получение информации о поддерживаемых расширениях DRS
Для получения информации о расширениях протокола Directory Replication Service (DRS) Remote Protocol, поддерживаемых контроллером в домене Эллес, используется следующий формат вызова:
samba-tool drs bind [<DC>] [options]Подкоманда выводит список расширений в соответствии со спецификацией протокола Directory Replication Service (DRS) Remote Protocol с указанием статуса поддержки (Yes/No) на текущем или указанном удаленном (<DC>) контроллере домена.
Параметры
Для получения информации для удаленного контроллера домена его полное доменное имя может быть передано в качестве параметра при запуске подкоманды.
Примеры
Пример получения информации о расширениях протокола Directory Replication Service (DRS) Remote Protocol, поддерживаемых контроллером домена:
samba-tool drs bind Bind to DC1.samdom.example.com succeeded. Extensions supported: DRSUAPI_SUPPORTED_EXTENSION_BASE : Yes (DRS_EXT_BASE) DRSUAPI_SUPPORTED_EXTENSION_ASYNC_REPLICATION : Yes (DRS_EXT_ASYNCREPL) DRSUAPI_SUPPORTED_EXTENSION_REMOVEAPI : Yes (DRS_EXT_REMOVEAPI) DRSUAPI_SUPPORTED_EXTENSION_MOVEREQ_V2 : Yes (DRS_EXT_MOVEREQ_V2) DRSUAPI_SUPPORTED_EXTENSION_GETCHG_COMPRESS : No (DRS_EXT_GETCHG_DEFLATE) DRSUAPI_SUPPORTED_EXTENSION_DCINFO_V1 : Yes (DRS_EXT_DCINFO_V1) DRSUAPI_SUPPORTED_EXTENSION_RESTORE_USN_OPTIMIZATION : Yes (DRS_EXT_RESTORE_USN_OPTIMIZATION) DRSUAPI_SUPPORTED_EXTENSION_ADDENTRY : No (DRS_EXT_ADDENTRY) DRSUAPI_SUPPORTED_EXTENSION_KCC_EXECUTE : Yes (DRS_EXT_KCC_EXECUTE) DRSUAPI_SUPPORTED_EXTENSION_ADDENTRY_V2 : Yes (DRS_EXT_ADDENTRY_V2) DRSUAPI_SUPPORTED_EXTENSION_LINKED_VALUE_REPLICATION : Yes (DRS_EXT_LINKED_VALUE_REPLICATION) DRSUAPI_SUPPORTED_EXTENSION_DCINFO_V2 : Yes (DRS_EXT_DCINFO_V2) DRSUAPI_SUPPORTED_EXTENSION_INSTANCE_TYPE_NOT_REQ_ON_MOD : Yes (DRS_EXT_INSTANCE_TYPE_NOT_REQ_ON_MOD) DRSUAPI_SUPPORTED_EXTENSION_CRYPTO_BIND : Yes (DRS_EXT_CRYPTO_BIND) DRSUAPI_SUPPORTED_EXTENSION_GET_REPL_INFO : Yes (DRS_EXT_GET_REPL_INFO) DRSUAPI_SUPPORTED_EXTENSION_STRONG_ENCRYPTION : Yes (DRS_EXT_STRONG_ENCRYPTION) DRSUAPI_SUPPORTED_EXTENSION_DCINFO_V01 : Yes (DRS_EXT_DCINFO_VFFFFFFFF) DRSUAPI_SUPPORTED_EXTENSION_TRANSITIVE_MEMBERSHIP : Yes (DRS_EXT_TRANSITIVE_MEMBERSHIP) DRSUAPI_SUPPORTED_EXTENSION_ADD_SID_HISTORY : Yes (DRS_EXT_ADD_SID_HISTORY) DRSUAPI_SUPPORTED_EXTENSION_POST_BETA3 : Yes (DRS_EXT_POST_BETA3) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREQ_V5 : Yes (DRS_EXT_GETCHGREQ_V5) DRSUAPI_SUPPORTED_EXTENSION_GET_MEMBERSHIPS2 : Yes (DRS_EXT_GETMEMBERSHIPS2) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREQ_V6 : Yes (DRS_EXT_GETCHGREQ_V6) DRSUAPI_SUPPORTED_EXTENSION_NONDOMAIN_NCS : Yes (DRS_EXT_NONDOMAIN_NCS) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREQ_V8 : Yes (DRS_EXT_GETCHGREQ_V8) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREPLY_V5 : Yes (DRS_EXT_GETCHGREPLY_V5) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREPLY_V6 : Yes (DRS_EXT_GETCHGREPLY_V6) DRSUAPI_SUPPORTED_EXTENSION_ADDENTRYREPLY_V3 : Yes (DRS_EXT_WHISTLER_BETA3) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREPLY_V7 : Yes (DRS_EXT_WHISTLER_BETA3) DRSUAPI_SUPPORTED_EXTENSION_VERIFY_OBJECT : Yes (DRS_EXT_WHISTLER_BETA3) DRSUAPI_SUPPORTED_EXTENSION_XPRESS_COMPRESS : No (DRS_EXT_W2K3_DEFLATE) DRSUAPI_SUPPORTED_EXTENSION_GETCHGREQ_V10 : Yes (DRS_EXT_GETCHGREQ_V10) DRSUAPI_SUPPORTED_EXTENSION_RESERVED_PART2 : No (DRS_EXT_RESERVED_FOR_WIN2K_OR_DOTNET_PART2) DRSUAPI_SUPPORTED_EXTENSION_RESERVED_PART3 : No (DRS_EXT_RESERVED_FOR_WIN2K_OR_DOTNET_PART3)
Синхронизация контроллера домена со всеми партнерами по репликации (syncall)
Для синхронизации данных каталога на контроллере домена со всеми его партнерами по репликации используется следующий формат вызова:
samba-tool drs syncall [<DSA>] [<NC>] [options]
По умолчанию без дополнительных аргументов и параметров подкоманда запускает на локальном контроллере домена процесс запроса данных конфигурационного раздела каталога (CN=Configuration,DC=domain,DC=name) с других контроллеров домена, являющихся его партнерами по репликации (режим pull), в пределах текущего сайта.
Подкоманда ожидает следующие необязательные аргументы:
-
NetBIOS- или DNS-имя хоста контроллера домена, для которого необходимо выполнить синхронизацию данных каталога в рамках операции (
<DSA>); -
DN-имя раздела каталога, который должен быть синхронизирован в рамках операции (
<NC>).
Результаты работы подкоманды направляются в стандартный поток вывода. По умолчанию для идентификации партнеров по репликации в выводе используются DNS-записи с глобальными уникальными идентификаторами (GUID) агентов службы каталогов (DSA).
Параметры
Параметры вызова:
-
-a|--sync-all— синхронизация всех разделов каталога, доступных на локальном или указанном контроллере домена; -
-b|--abort— принудительная остановка синхронизации при недоступности любого из партнеров по репликации; -
-D|--dn— использование в выводе DN-имен объектовNTDS Settingsсерверов, представляющих партнеров по репликации в рамках сайта; -
-e|--all-sites— синхронизация данных с контроллерами домена во всех сайтах; -
-p|--push— выполнение синхронизации в режиме push с локального или указанного контроллера домена на контроллеры домена, являющиеся его партнерами по репликации; -
-i|--iterate— бесконечное повторение синхронизации данных каталога в соответствии с переданными параметрами;При запуске в этом режиме итерации синхронизации в выводе нумеруются по порядку.
Чтобы прервать процесс синхронизации, введите в терминале Q и нажмите Enter или используйте стандартное сочетание клавиш Ctrl+C. -
-I|--showrepl— вывод для каждого партнера по репликации блока атрибутов, аналогичного выводу подкомандыshowrepl, вместо синхронизации; -
-j|--adjacent— синхронизация данных только с партнерами, являющимися непосредственными соседями локального или указанного контроллера домена в соответствии с топологией репликации; -
-z|--pause— приостановка операции после завершения синхронизации с каждым партнером по репликации с запросом подтверждения от пользователя;Чтобы прервать процесс синхронизации, введите в терминале любую другую команду, в том числе пустую, и нажмите Enter. Для перехода к синхронизации со следующим партнером по репликации нажмите любую другую кнопку.
-
-n|--no-sync— синхронизация без фактического выполнения репликации;При запуске в этом режиме блоки пар партнеров по репликации в выводе предваряются строкой: "Replication suppressed by user request".
-
-S|--no-ping— отказ от предварительной проверки доступности партнера по репликации;По умолчанию перед синхронизацией выполняется проверка доступности хостов всех участвующих в ней агентов DSA. Если какой-либо из хостов недоступен, в начале вывода подкоманды появляется сообщение об ошибке и соответствующий агент DSA исключается из маршрута репликации.
При использовании данного параметра проверка не выполняется, что может уменьшить общее время синхронизации. Однако в этом случае при недоступности любого агента DSA соответствующая ошибка будет выводиться в каждом блоке сообщений о синхронизации разделов каталога и повторяться несколько раз в отчете в конце вывода. -
-q|--quiet— отключение вывода сообщений о ходе выполнения операции, кроме сообщений об ошибках.
Примеры
Пример запуска синхронизации на локальном контроллере домена без указания дополнительных аргументов и параметров, кроме параметров авторизации:
samba-tool drs syncall -U Administrator
Password for [SAMDOM\Administrator]:
Syncing partition: CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: 0ba4f92e-b2c6-4323-975d-59ea1a04503b._msdcs.samdom.example.com
To : a3fbc4e8-c217-4711-9173-dee9fbca9e46._msdcs.samdom.example.com
The following replication completed successfully:
From: 350efbad-9994-418d-94bd-f67ebc2f093a._msdcs.samdom.example.com
To : a3fbc4e8-c217-4711-9173-dee9fbca9e46._msdcs.samdom.example.com
В примере:
-
выполняется синхронизация в режиме pull только данных конфигурационного раздела каталога;
-
в синхронизации участвуют партнеры по репликации в текущем сайте;
-
в выводе указываются DNS-записи с глобальными уникальными идентификаторами (GUID) агентов DSA.
Пример запуска синхронизации конфигурационного раздела каталога на указанном контроллере домена для всех сайтов:
samba-tool drs syncall -eD DC01 -U Administrator
Password for [SAMDOM\Administrator]:
Syncing partition: CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC03,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC04,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
В примере:
-
выполняется синхронизация в режиме pull только данных конфигурационного раздела каталога;
-
в синхронизации участвуют партнеры по репликации во всех сайтах;
-
в выводе указываются DN-имена объектов
NTDS Settingsучаствующих в синхронизации агентов DSA.
Пример запуска синхронизации данных определенного раздела каталога на указанном контроллере домена:
samba-tool drs syncall -D DC01 CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com -U Administrator
Password for [SAMDOM\Administrator]:
Syncing partition: CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC04,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
В примере:
-
выполняется синхронизация в режиме pull только данных указанного в аргументах раздела каталога;
-
в синхронизации участвуют партнеры по репликации в том же сайте, в котором находится указанный контроллер домена;
-
в выводе указываются DN-имена объектов
NTDS Settingsучаствующих в синхронизации агентов DSA.
Пример запуска синхронизации всех разделов каталога, доступных на указанном контроллере домена, в режиме push для текущего сайта:
samba-tool drs syncall -apD DC01 -U Administrator
Password for [SAMDOM\Administrator]:
Syncing all NC's held on dc01.
Error contacting server CN=NTDS Settings,CN=DC04,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com: drsException: DRS connection to dc04.subdom.samdom.example.com failed: (3221225653, '{Device Timeout} The specified I/O operation on %hs was not completed before the time-out period expired.')
Syncing partition: CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Syncing partition: DC=DomainDnsZones,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Syncing partition: DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Syncing partition: DC=subdom,DC=samdom,DC=example,DC=com
*** Error: CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com -> CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
*** drsException: DsReplicaSync failed (8453, 'WERR_DS_DRA_ACCESS_DENIED')
Syncing partition: DC=ForestDnsZones,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Syncing partition: CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
syncall reported the following errors:
drsException: DsReplicaSync failed (8453, 'WERR_DS_DRA_ACCESS_DENIED')
From: CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
В примере:
-
выполняется синхронизация в режиме push данных всех разделов каталога;
-
в синхронизации участвуют партнеры по репликации в том же сайте, в котором находится указанный контроллер домена;
-
в выводе указываются DN-имена объектов
NTDS Settingsучаствующих в синхронизации агентов DSA; -
в конце приводится отчет об ошибках, возникших в процессе синхронизации.
Пример прерывания синхронизации при возникновении первой ошибки:
samba-tool drs syncall -aepDb DC01 -U Administrator
Password for [SAMDOM\Administrator]:
Syncing all NC's held on dc01.
Syncing partition: DC=DomainDnsZones,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC03,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Syncing partition: DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC01,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
The following replication completed successfully:
From: CN=NTDS Settings,CN=DC02,CN=Servers,CN=Site1,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
To : CN=NTDS Settings,CN=DC03,CN=Servers,CN=Site2,CN=Sites,CN=Configuration,DC=samdom,DC=example,DC=com
Syncing partition: DC=ForestDnsZones,DC=samdom,DC=example,DC=com
ERROR: drsException: DsReplicaSync failed (8453, 'WERR_DS_DRA_ACCESS_DENIED')
В примере:
-
выполняется синхронизация в режиме push данных всех разделов каталога;
-
в синхронизации участвуют партнеры по репликации во всех сайтах;
-
в выводе указываются DN-имена объектов
NTDS Settingsучаствующих в синхронизации агентов DSA; -
синхронизация принудительно завершается при возникновении ошибки, текст которой включается в вывод.
Пример получения вывода подкоманды showrepl для участвующих в синхронизации контроллеров домена:
samba-tool drs syncall -aeDI DC01 -U Administrator
Password for [SAMDOM\Administrator]:
Syncing all NC's held on dc01.
Syncing partition: DC=DomainDnsZones,DC=samdom,DC=example,DC=com
Site1\DC02
DSA object GUID: 350efbad-9994-418d-94bd-f67ebc2f093a
DSA invocationID: 5d6827b5-7383-4e63-a95c-bfceb2a27bab
DSA Options: IS_GC
Site1\DC03 via RPC
DSA object GUID: 7737e10c-03aa-40fe-9fd8-f3c9b3cf598d
Last attempt @ Mon Jan 27 18:56:06 2025 MSK was successful
0 consecutive failure(s)
Last success @ Mon Jan 27 18:56:06 2025 MSK
Site1\DC01
DSA object GUID: 62430164-702b-4673-b09a-50e1c3416d14
DSA invocationID: 62430164-702b-4673-b09a-50e1c3416d14
DSA Options: IS_GC
Site1\DC02 via RPC
DSA object GUID: 350efbad-9994-418d-94bd-f67ebc2f093a
Last attempt @ Mon Jan 27 18:47:58 2025 MSK was successful
0 consecutive failure(s)
Last success @ Mon Jan 27 18:47:58 2025 MSK
...
В примере:
-
выполняется синхронизация в режиме pull данных всех разделов каталога;
-
в синхронизации участвуют партнеры по репликации во всех сайтах;
-
в выводе для каждого участника операции синхронизации указываются:
-
имя сайта и NetBIOS-имя хоста контроллера домена;
-
глобальный уникальный идентификатор агента DSA;
-
значение
invoicationIDагента DSA; -
установленные флаги агента DSA (
IS_GC,DISABLE_INBOUND_REPL,DISABLE_OUTBOUND_REPL,DISABLE_NTDSCONN_XLATE); -
информация о статусе репликации.
-