Replikacja Active Directory – kontrola
Co to właściwie znaczy „replikacja”
W firmie nie ma jednego kontrolera domeny. Są co najmniej dwa. Każdy przechowuje kopię bazy AD.
Jeśli zmienisz hasło na DC1 → po chwili musi o tym wiedzieć DC2. To właśnie jest replikacja.
Jeśli przestanie działać → zaczynają się „magiczne” problemy: na jednym komputerze hasło działa, na drugim nie; GPO raz działa raz nie; konto blokuje się samo; logowanie trwa długo.
To nie są losowe błędy. To rozjechana domena.
Objawy uszkodzonej replikacji (z życia admina)
Najbardziej typowe:
- użytkownik zmienia hasło i nadal nie może się zalogować
- komputer loguje się tylko w jednym biurze
- „trust relationship failed”
- GPO nie stosuje się na części komputerów
- nowe konto działa tylko czasami
- DC widzą się w ping ale domena nie działa
👉 80% „dziwnych” problemów AD = replikacja.
Jak sprawdzić replikację (3 komendy które zna admin)
1️⃣ Stan ogólny
repadmin /replsummary. Najważniejsze pole: Fails > 0 = problem.
2️⃣ Szczegóły
repadmin /showrepl. Szukasz: last attempt failed, access denied, RPC unavailable.
3️⃣ Diagnostyka DC
dcdiag /v. Najważniejsze sekcje: Advertising, Replications, Services, Netlogons.
Najczęstsze przyczyny
| Przyczyna | Objaw |
|---|---|
| DNS | DC się nie odnajdują |
| Firewall | RPC error |
| Czas (NTP) | Kerberos przestaje działać |
| Wyłączony DC | zaległa replikacja |
| Snapshot VM | USN rollback (katastrofa) |
Najgroźniejszy błąd – snapshot kontrolera domeny
Jeśli ktoś przywróci snapshot DC: 👉 domena zaczyna się „rozmnażać”, 👉 konta znikają, 👉 hasła cofają się w czasie.
To najczęstsza katastrofa w małych firmach. DC ≠ zwykła maszyna wirtualna.
Co robi administrator gdy replikacja nie działa
Kolejność (zawsze taka sama): 1) sprawdzam DNS, 2) sprawdzam czas, 3) ping po nazwie FQDN, 4) repadmin, 5) event viewer (Directory Service). Nigdy odwrotnie.
Kiedy trzeba panikować
Natychmiast reagujesz gdy: backlog rośnie, last replication > 24h, error 2042, error 1311. Bo za chwilę przestanie działać logowanie.
Zapamiętaj (praktyka)
Replikacja to zdrowie domeny. Jeśli AD zachowuje się losowo → to nie jest losowe. Najpierw sprawdzamy replikację, dopiero potem użytkownika.