0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как запустить синхронизацию контроллеров домена

Как запустить синхронизацию контроллеров домена

В этой статье я расскажу о:

    синхронизации времени среди участников Active Directory
  • оптимальной с моей точки зрения конфигурации сервера времени корневого PDC
  • полезных командах для настройки и диагностики синхронизации времени , которые нужно учитывать для виртуализированных контроллеров домена

Топология синхронизации времени среди участников Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит роль PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «Type»=»NTP»
  • w32tm /config /syncfromflags:manual

Подробности — в библиотеке TechNet.

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
    «AnnounceFlags»=dword:0000000a
  • w32tm /config /reliable:yes

Подробности — в библиотеке TechNet.

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
    «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
  • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
    «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений
    w32tm /config /update
  • Принудительная синхронизация от источника
    w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
    w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
    w32tm /query /peers

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

Режим синхронизации — Active Directory / Open Directory / LDAP

Чтобы создать серверную задачу, выберите Задачи > Создать > alt=»add_new_default» width=»16″ height=»16″ />Серверная задача или выберите нужный тип задачи слева и щелкните Создать > alt=»add_new_default» width=»16″ height=»16″ />Серверная задача .

Читайте так же:
Регулировка замка браслета часов

Основная информация

В разделе Основное введите основную информацию о задаче, например имя и описание (необязательно). Щелкните Выбрать теги , чтобы назначить теги.
В раскрывающемся меню Задача выберите тип задачи, который требуется создать и настроить. Если вы задали конкретный тип задачи перед созданием задачи, в меню Задача будет установлен тип на основе предыдущего выбора. Задача (см. список всех задач) определяет параметры и поведение для задачи.

Можно также выбрать следующие параметры триггера задачи.

• Запустить задачу сразу после завершения. Выберите этот параметр, чтобы задача запускалась автоматически после нажатия кнопки «Готово».

• Настроить триггер. Выберите этот параметр, чтобы включить раздел Триггер , где можно настроить параметры триггера.

Чтобы задать триггер позже, оставьте эти флажки неустановленными.

Параметры

Общие параметры

Щелкните Выбрать в разделе Имя статической группы . По умолчанию для синхронизированных компьютеров будет использоваться домашняя группа исполняющего пользователя. Или же можно создать статическую группу .

• Объекты для синхронизации : либо Компьютеры и группы , либо Только компьютеры .

• Обработка конфликтов создания компьютеров . Если при синхронизации добавляются компьютеры, которые уже являются членами статической группы, можно выбрать один из следующих способов разрешения конфликта:

o Пропустить (синхронизированные компьютеры не добавляются).

o Переместить (новые компьютеры перемещаются в подгруппу).

o Дублировать (новый компьютер создается с измененным именем).

• Обработка устаревания компьютеров . Если компьютер больше не существует, его можно либо удалить , либо пропустить .

• Действия при устаревании группы . Если группа больше не существует, ее можно либо удалить , либо пропустить .

Если для параметра Действия при устаревании группы задать значение Пропустить и удалить группу (подразделение) из Active Directory, то компьютеры, принадлежащие к группе в ESET PROTECT, не будут удалены, даже если вы задали для их параметра Действия при устаревании группы значение Удалить .

• Режим синхронизации — Active Directory / Open Directory / LDAP

Прочтите также нашу статью в базе знаний по управлению компьютерами с помощью использования синхронизации Active Directory в ESET PROTECT 8.

Параметры подключения к серверу

• Сервер — Введите имя сервера или IP-адрес контроллера домена.

• Данные для входа – Введите имя пользователя для контроллера домена в следующем формате:

o DOMAINusername (сервер ESET PROTECT запущен на компьютере под управлением Windows);

o username@FULL.DOMAIN.NAME или username (сервер ESET PROTECT запущен на компьютере под управлением Linux).

Обязательно вводите имя домена заглавными буквами; данное форматирование необходимо для надлежащей аутентификации запросов к серверу Active Directory.

• Пароль : введите пароль для входа на контроллер домена.

Сервер ESET PROTECT 8.0 в Windows по умолчанию использует зашифрованный протокол LDAPS (LDAP поверх SSL) для всех соединений с Active Directory (AD). Вы также можете сконфигурировать LDAPS на виртуальном устройстве ESET PROTECT.

Если на компьютере Windows произведено обновление с версий 6.5–7.1 до ESET PROTECT 8.0 и выполнена синхронизация Active Directory, в ESET PROTECT 8.0 перестанут работать задачи синхронизации.

Для успешного подключения к Active Directory по протоколу LDAPS необходимо выполнить перечисленные ниже действия по настройке.

1. На контроллере домена должен быть установлен сертификат компьютера. Чтобы выпустить сертификат для контроллера домена, выполните указанные ниже действия.

a) Откройте Диспетчер сервера , последовательно выберите пункты Управление > Добавить роли и компоненты и установите центр сертификации служб сертификации Active Directory . В разделе Доверенные корневые центры сертификации будет создан новый центр сертификации.

b) Щелкните Пуск , введите certmgr.msc и нажмите клавишу ВВОД , чтобы запустить оснастку MMC Сертификаты , выберите Сертификаты — локальный компьютер > Личные , щелкните правой кнопкой мыши пустую панель и выберите Все задачи > Запросить новый сертификат > Зарегистрировать роль контроллера домена .

Читайте так же:
Как отрегулировать ход настенных часов с маятником

c) Убедитесь, что выпущенный сертификат содержит FQDN контроллера домена.

d) На сервере ESMC импортируйте ЦС, созданный для хранилища сертификатов (с помощью средства certmgr.msc ), в папку доверенных центров сертификации.

2. При указании параметров подключения к серверу Active Directory введите FQDN контроллера домена (как оно указано в сертификате контроллера домена) в поле Сервер или Хост . IP-адрес более не является достаточным для LDAPS.

Чтобы включить откат к протоколу LDAP, установите флажок Использовать LDAP вместо Active Directory и введите атрибуты своего сервера. Можно также выбрать Предустановки , нажав кнопку Выбрать , после чего атрибуты будут заполнены автоматически.

• Mac OS X Server Open Directory (имена хостов компьютеров)

• Mac OS X Server Open Directory (IP-адреса компьютеров)

• Записи компьютеров OpenLDAP с Samba. Настройка параметров DNS-имя в Active Directory.

Если выбрать Вместо Active Directory использовать LDAP и предустановку Active Directory , вы можете заполнить сведения о компьютере атрибутами из вашей структуры Active Directory. Можно использовать только атрибуты типа DirectoryString . Вы можете использовать служебную программу (например, ADExplorer ) для проверки атрибутов на контроллере домена. См. соответствующие поля в таблице ниже.

Поля сведений о компьютере

Поля задачи синхронизации

Атрибут имени хоста компьютера

Атрибут описания компьютера

Параметры синхронизации

• Различающееся имя — Путь (различающееся имя) к узлу в дереве Active Directory. Если оставить этот параметр пустым, будет выполнена синхронизация всего дерева AD. Нажмите кнопку Обзор рядом с различающимся именем . Отобразится ваше дерево Active Directory. Выберите верхнюю запись, чтобы синхронизировать все группы с ESET PROTECT, или добавьте только группы, которые вы хотите добавить. Выполняется синхронизация только компьютеров и подразделений. Когда закончите, нажмите кнопку ОК .

• Исключенные различающиеся имена . Определенные узлы в дереве Active Directory можно исключить (игнорировать).

• Игнорировать отключенные компьютеры (только в Active Directory). Компьютеры, отключенные в Active Directory, можно игнорировать.

Если после нажатия кнопки Обзор возникает ошибка Server not find in Kerberos database , используйте полное доменное имя Active Directory вместо IP-адреса.

Сервер ESET PROTECT, запущенный на машине под управлением Linux, выполняет синхронизацию не так, как сервер на компьютере под управлением Windows. Процесс имеет следующий вид:

1. Необходимо ввести имя хоста и учетные данные контроллера домена.

2. Сервер проверяет учетные данные и преобразует их в билет Kerberos.

3. Сервер обнаруживает различающееся имя домена, если оно не введено.

4. А. Если снят флажок Вместо Active Directory использовать LDAP :
Несколько вызовов ldapsearch определяют иерархическую структуру. Упрощенный пример процесса получения записей от компьютера:

kinit <username>
(Это одна команда, разделенная на две строки.)
ldapsearch -LLL -Y GSSAPI -h ad.domain.com -b ‘DC=domain,DC=com’
‘(&(objectCategory=computer))’ ‘distinguishedName’ ‘dNSHostName’

Б. Если снят флажок Вместо Active Directory использовать LDAP :
Вызывается тот же процесс, что и в опции 4А, однако пользователь имеет возможность настроить параметры.

5. Kerberos использует механизм подтверждения для аутентификации пользователя и создания билета, который будет впоследствии использован другими службами для авторизации без отправки пароля в открытом виде (в отличие от варианта Использовать простую проверку подлинности ).

6. Затем утилита ldapsearch использует GSSAPI для аутентификации в Active Directory с помощью полученного билета Kerberos.

7. Результаты поиска возвращаются по незашифрованному каналу.

Триггер

Раздел Триггер содержит сведения о триггерах, запускающих задачу. Для каждой серверной задачи можно задать не более одного триггера. Каждый триггер может запустить только одну серверную задачу. Если параметр Настроить триггер не выбран в разделе Основная информация , триггер не будет создан. Задачу можно создать без триггера. Такую задачу можно впоследствии запустить вручную или добавить триггер позже.

Читайте так же:
Монитор viewsonic регулировка высоты

Дополнительные параметры — регулирование

Параметр Регулирование позволяет задать дополнительные правила для созданного триггера. Настраивать регулирование не обязательно.

Сводка

Все настраиваемые параметры отображаются здесь. Проверьте настройки и нажмите кнопку Завершить .

В задачах отображаются индикатор хода выполнения, значок состояния и сведения о каждой созданной задаче.

Настройка модуля ADSync

Модуль ADSync используется для синхронизации учетных записей и атрибутов пользователей между лесами Active Directory (облачное AD и AD клиента). Синхронизация выполняется в одностороннем режиме и позволяет поддерживать аккаунты, находящиеся в облаке в актуальном состоянии.

С помощью модуля ADSуnc возможно синхронизировать следующие типы объектов Active Directory:

  1. Учетные записи пользователей
  2. Атрибуты пользователей, синхронизируемые модулем ADSync:
  • Address
  • BusinessPhone
  • City
  • Company
  • Country
  • Department
  • Description
  • DirectManager
  • DisplayName
  • Fax
  • Email
  • FirstName
  • HomePhone
  • Initials
  • JobTitle
  • LastName
  • MobilePhone
  • Notes
  • OfficeLocation
  • Pager
  • proxyAddresses ‘[EUM addresses Only]’
  • sAMAccountName
  • State
  • UserPrincipalName
  • wWWHomePage
  • ZipCode
  • Password

Синхронизация происходит в одностороннем порядке из AD клиента в облачное AD.

Обратная синхронизация не выполняется. В связи с этим для облачных пользователей с включенной синхронизацией отключено редактирование атрибутов через веб-интерфейс панели управления.

Ограничения при использовании модуля ADSync

Модуль для синхронизации каталога Active Directory Заказчика с облачным каталогом имеет следующие ограничения:

  • Агент ADSync устанавливается только на локальные контроллеры домена Заказчика.
  • Для работы синхронизации агент ADSync необходимо установить на все контроллеры домена
  • После установки агента необходима перезагрузка контроллера домена
  • Синхронизация происходит в одностороннем порядке из каталога Заказчика в Облако Softline
  • После включения синхронизации для выбранных пользователей, редактирование атрибутов возможно только из каталога Заказчика, с помощью стандартной оснастки “Active Directory – пользователи и компьютеры”. В панели управление Machsol, после включения синхронизации, изменение атрибутов пользователей становится не доступно.
  • Перед началом синхронизации необходимо сбросить все пароли пользователей (пользователи должны заново ввести пароли)
  • Для работы ADSync необходимо установленное программное обеспечение «Microsoft Visual C++ 2010»
  • Не поддерживается создание пользователей с помощью копирования в локальном (клиентском) каталоге Active Directory

Установка модуля ADSync

  1. Установить на все контроллеры домена программное обеспечение «Microsoft Visual C++ 2010» в зависимости от разрядности системы (x64;x86)
    https://www.microsoft.com/en-US/Download/confirmation.aspx?id=14632

  • При установке на первый контроллер домена необходимо выбрать пункт «Installation for Primary Domain Controller». При этом будет установлена служба ADSync.
  • При установке на остальные контроллеры домена необходимо выбрать пункт «Installation for Additional Domain Controller».

Выбрать путь для установки:

Проверить настройки введеные на прошлых шагах:

Подтвердить завершение установки:

Конфигурация модуля ADSync

После установки, на контролере домена (Installation for Primary Domain Controller) появится ярлык AD Sync Configuration Studio. Необходимо запустить ее и заполнить поля согласно следующей инструкции:

Заполните предложенные поля:

Web Service Url: Адрес для подключения к панели управления https://panel.slcloud.ru/webservices/adsyncsvc.asmx

Admin Login: Административная учетная запись в локальном каталоге Active Directory

Для работы ADSync должна обладать следующими правами. Administrators, Domain Admins, Domain Users, Enterprise Admins, Organization Management.

Admin Password: Пароль администратора

Domain Netbios Name: Netbios имя локального каталоге Active Directory

Sync Interval: Промежуток между синхронизациями данных

Log Folder: Путь к папке для хранения логов ADSync

Enable Logging: Включение/Отключение логирования событий

Service User Name: Логин пользователя для доступа к панели управления

Service Password: Пароль пользователя

Select Hosted Organization: Название организации

Local OU LDAP: Путь к синхронизируемой OU в локальном каталоге Active Directory

Читайте так же:
К 22г устройство и регулировка

Enable Auto Mapping: Включение/Отключение возможности автоматического прикрепления локальных пользователей к облачным

Auto create new Users: Включение/Отключение возможности автоматического создания пользователей в облаке провайдера. На основании UPN или Display Name локального пользователя

Add Profile: Сохранение текущей конфигурации

После сохранения изменений необходимо скопировать файл C:Program FilesADSyncSyncConfigurations.xml в папку $WindirSystem32 на все контролеры домена.

Далее необходимо убедиться, что политики паролей в локальном Active Directory соответствует политики в облачном AD

Требования к паролю в облачном AD:

  • Длина пароля должна быть не меньше 7 символов
  • Пароль должен содержать минимум одну заглавную буквы и одну маленькую букву
  • Пароль должен содержать минимум одну цифру

После завершения настроек необходимо перезагрузить все контроллеры домена.

Выбор пользователей для синхронизации

Для настройки синхронизации пользователей с облаком провайдера необходимо перейти во вкладку «Configure Mapping»

Далее для включения синхронизации с облаком провайдера необходимо установить галку «Enable Sync», напротив необходимого пользователя. И сделать сопоставление между пользователем из Active Directory провайдера и Active Directory клиента.

Заполните предложенные поля:

Local User: Пользователь для синхронизации в локальном Active Directory

Hosted User: Пользователь для синхронизации в облаке провайдера

Enable Sync: Включение/Отключение синхронизации для выбранного пользователя с облаком провайдера

После изменения настроек необходимо выполнить следующие действия: Все пользователи, выбранные для синхронизации с облаком провайдера, должны обязательно изменить пароль. Рекомендуется перед перезагрузкой контроллеров домена установить галку «User must change password at next logon»

Поиск и устранение возможных проблем

В случае неработоспособности синхронизации, необходимо, что выполнены следующие пункты:

Принудительная репликация между двумя контроллерами домена в Active Directory

Представьте, что в вашем доме всего одна дверь. Нет окон, нет двери патио, только одна дверь. Что произойдет, если вы не сможете открыть эту дверь? Дом и все в нем бесполезно для вас.

Контроллер домена, в некотором смысле, похож на дверь. Один с вышибалой на это. Это ворота, чтобы попасть внутрь к вещам, которые вы хотите. Active Directory (AD) — это вышибала у двери. Он проверяет ваши учетные данные, определяет, разрешено ли вам проходить через дверь, и к каким ресурсам вы можете получить доступ один раз внутри.

Если вы используете какую-либо сеть и имеете только один контроллер домена, вы живете в доме с одной дверью. Если что-то случится с этим контроллером домена, вся ваша система серверов развалится. Всегда иметь более одного контроллера домена (DC).

Но как убедиться, что оба контроллера домена имеют одинаковую информацию? Допустим, вы внесли изменения, связанные с безопасностью, на одном DC. Вы хотите, чтобы изменения немедленно реплицировались на другие контроллеры домена. Зачем ждать 15 минут или больше, чтобы это произошло по расписанию? Вам нужно форсировать репликацию контроллеров домена в Active Directory,

Есть 3 способа приблизиться к этому; через графический интерфейс пользователя (GUI), через интерфейс командной строки (CLI) или через PowerShell.

Принудительная репликация контроллера домена через графический интерфейс

Windows-серверы часто используют GUI, что хорошо для начинающих системных администраторов. Его легче учить, а иногда помогает визуализировать, что на самом деле происходит.

  1. Войдите в один из своих контроллеров домена и откройте сайты и службы Active Directory.

  1. Перейдите на сайт, для которого вы хотите скопировать контроллеры домена. Разверните его, нажав стрелку рядом с именем сайта. Разверните Серверы. Разверните DC, который вы хотели бы скопировать. Нажмите на настройки NTDS.

  1. На правой панели щелкните правой кнопкой мыши сервер и выберите «Реплицировать сейчас».

  1. В зависимости от количества контроллеров домена это может занять от секунды до нескольких минут. По завершении вы увидите уведомление: «Доменные службы Active Directory реплицировали соединения». Нажмите OK, чтобы закончить.
Читайте так же:
Доводчик blum регулировка для кухонного шкафа

Принудительная репликация контроллеров домена с помощью командной строки

Если вы знакомы со старым добрым Windows CMD, то команда repadmin для вас. Это самый быстрый одноразовый способ принудительного дублирования DC. Если вы не знакомы, то сейчас самое время узнать о Windows CMD.

  1. Войдите в один из ваших контроллеров домена и откройте командную строку.

  1. Введите следующую команду, а затем нажмите клавишу Enter.

repadmin / syncall / AdeP

  1. Список информации будет прокручиваться вверх по экрану. Если вы видите, что в последней строке указано «SyncAll завершен без ошибок», а затем в командной строке под ним ваши DC успешно реплицированы.

Принудительная репликация контроллера домена с помощью PowerShell

Если вы не используете PowerShell в своей повседневной жизни, вы пропустите. Вы действительно обязаны изучать PowerShell. Это облегчит вашу жизнь, а если вы являетесь младшим системным администратором, это поможет вам сделать карьеру следующим шагом.

Эти шаги можно выполнить в обычном интерфейсе командной строки PowerShell, но мы сделали это в PowerShell ISE, чтобы лучше показать команды и их результаты. Мы собираемся создать сценарий, который вы можете сохранить или даже превратить в командлет, который можно вызывать из командной строки PowerShell.

  1. Войдите в один из ваших DC и откройте PowerShell или PowerShell ISE.

  1. Перед написанием любого сценария сохраните его с описательным именем, например force-DCReplication.ps1, чтобы его было проще использовать повторно. Введите следующий код и запустите его, чтобы увидеть, как он получит имена всех ваших контроллеров домена.

(Get-ADDomainController -Filter *). Имя

Видите как он возвращает имена ДК? Теперь вы можете передать этот результат в следующий командлет. Канал — это символ вертикальной линии (|), который обычно находится на клавиатуре чуть выше клавиши Enter.

  1. В конце предыдущей команды введите следующий код:

Команда должна выглядеть так, как показано на рисунке ниже. Запустить его. Он должен вернуть сообщение, подобное тому, которое было в разделе «Принудительная репликация контроллера домена через графический интерфейс выше». Если это заканчивается на «SyncAll завершен без ошибок». тогда это сработало.

Вы видели, как он также использует команду repadmin?

  1. Давайте добавим еще одну строку, чтобы убедиться, что репликация действительно завершена. Следующий код возвратит дату и время последней репликации каждого из ваших контроллеров домена. Эта команда может быть использована сама по себе в другое время, если вам просто любопытно, когда ваши DC контролировались в последний раз. Введите код и запустите его.

Get-ADReplicationPartnerMetadata -Target «$ env: userdnsdomain» -Scope Domain | Сервер выбора объектов, LastReplicationSuccess

Результат должен напоминать изображение ниже. Внизу вы увидите точную дату и время последней репликации.

  1. Чтобы немного улучшить этот сценарий, давайте сделаем его вывод немного менее подробным. В конце первой строки введите | Out-Null между / AdeP и конечной скобкой. Это говорит о том, что не нужно выводить результаты этого командлета. Конечный результат будет выглядеть следующим образом.

Keep’em Replicated

Теперь вы знаете 3 способа форсирования репликации контроллеров домена в AD. Вы также собрали повторно используемый сценарий PowerShell, который можно вызывать из командной строки PowerShell в любое время. Нет никаких оправданий для ваших последних изменений DC, чтобы сидеть и ждать следующей запланированной репликации, когда бы это ни было.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector