Hãy tưởng tượng chỉ có một cánh cửa dẫn đến ngôi nhà của bạn. Không có cửa sổ, không có cửa hiên, chỉ có một cửa ra vào. Điều gì xảy ra nếu bạn không thể mở cánh cửa đó? Ngôi nhà và mọi thứ trong đó đều vô dụng đối với bạn.
Bộ điều khiển miền giống như một cánh cửa, theo một nghĩa nào đó. Một với một người bảo vệ nó. Đó là cửa ngõ để vào bên trong những thứ bạn muốn. Active Directory (AD) là công cụ hỗ trợ trước cửa. Nó kiểm tra thông tin đăng nhập của bạn, xác định xem bạn có được phép đi qua cửa hay không và những tài nguyên nào bạn có thể truy cập khi vào bên trong.
Nếu bạn đang chạy bất kỳ loại mạng nào và chỉ có một bộ điều khiển miền, bạn đang sống trong một ngôi nhà có một cửa. Nếu điều gì đó xảy ra với bộ điều khiển miền đó, toàn bộ hệ thống máy chủ của bạn sẽ tan rã. Luôn có nhiều hơn một bộ điều khiển miền (DC).
Nhưng làm thế nào để bạn đảm bảo rằng cả hai bộ điều khiển miền có cùng thông tin? Giả sử bạn đã thực hiện một thay đổi liên quan đến bảo mật trên một DC. Bạn muốn đảm bảo thay đổi đó được lặp lại trên các DC khác của mình ngay lập tức. Tại sao phải đợi 15 phút hoặc hơn để nó xảy ra theo lịch trình? Bạn cần buộc sao chép bộ điều khiển miền trong Active Directory.
Có 3 cách để tiếp cận điều này; thông qua giao diện người dùng đồ họa (GUI), thông qua giao diện dòng lệnh (CLI) hoặc qua PowerShell.
Nội dung bài viết
Buộc sao chép bộ điều khiển miền thông qua GUI
Máy chủ Windows sử dụng GUI rất nhiều, điều này rất tốt cho các Quản trị viên Hệ thống mới làm quen. Nó dễ học hơn và đôi khi giúp bạn hình dung những gì đang thực sự xảy ra.
- Đăng nhập vào một trong các DC của bạn và mở Các trang web và dịch vụ Active Directory.
- Điều hướng đến trang web mà bạn muốn sao chép bộ điều khiển miền. Mở rộng nó bằng cách nhấp vào đầu mũi tên bên cạnh tên trang web. Mở rộng May chủ. Mở rộng DC mà bạn muốn tái tạo. Bấm vào Cài đặt NTDS.
- Trong ngăn bên phải, nhấp chuột phải vào máy chủ và chọn Nhân rộng ngay.
- Tùy thuộc vào số lượng DC có, quá trình này có thể mất ít hơn một giây đến vài phút. Khi hoàn tất, bạn sẽ thấy thông báo “Dịch vụ miền Active Directory đã sao chép các kết nối.”. Nhấp chuột đồng ý kêt thuc.
Buộc sao chép bộ điều khiển miền thông qua lệnh CLI
Nếu bạn quen thuộc với Windows CMD cũ tốt, thì repadmin lệnh dành cho bạn. Đây là cách nhanh nhất một lần để buộc sao chép DC. Nếu bạn chưa quen thì đây là thời điểm tốt để tìm hiểu về Windows CMD.
- Đăng nhập vào một trong các DC của bạn và mở Dấu nhắc lệnh.
- Nhập lệnh sau, rồi nhấn Đi vào Chìa khóa.
repadmin /syncall /AdeP
- Một loạt thông tin sẽ cuộn lên màn hình. Nếu bạn thấy dòng cuối cùng ghi, “SyncAll đã kết thúc mà không có lỗi.”, Và sau đó dấu nhắc lệnh bên dưới nó, các DC của bạn đã được sao chép thành công.
Buộc sao chép bộ điều khiển miền với PowerShell
Nếu bạn không sử dụng PowerShell trong cuộc sống hàng ngày của mình, bạn đang bỏ lỡ. Bạn thực sự mắc nợ chính mình khi học PowerShell. Nó sẽ làm cho cuộc sống của bạn dễ dàng hơn, và nếu bạn là Quản trị viên Hệ thống Cơ sở, nó sẽ giúp đưa sự nghiệp của bạn lên một bước tiếp theo.
Các bước này có thể được thực hiện trong PowerShell CLI thông thường, nhưng chúng tôi đã thực hiện nó trong PowerShell ISE để hiển thị tốt hơn các lệnh và kết quả của chúng. Chúng tôi sẽ xây dựng một tập lệnh mà bạn có thể lưu hoặc thậm chí biến thành một lệnh ghép ngắn mà bạn có thể gọi từ dòng lệnh PowerShell.
- Đăng nhập vào một trong các DC của bạn và mở PowerShell hoặc là PowerShell ISE.
- Trước khi viết bất kỳ tập lệnh nào, hãy lưu tập lệnh này với một tên mô tả như force-DCReplication.ps1 để bạn có thể sử dụng lại nó dễ dàng hơn. Nhập mã sau và chạy nó để xem nó sẽ lấy tên của tất cả các DC của bạn như thế nào.
(Get-ADDomainController -Filter *).Name
Xem cách nó trả về tên của các DC? Bây giờ bạn có thể chuyển kết quả đó vào lệnh ghép ngắn tiếp theo. Dấu ống là ký tự đường thẳng đứng ( | ), thường được tìm thấy trên bàn phím ngay trên Đi vào Chìa khóa.
- Ở cuối lệnh trước, nhập mã sau:
| Foreach-Object { repadmin /syncall $_ (Get-ADDomain).DistinguishedName /AdeP }
Lệnh sẽ giống như trong hình dưới đây. Chạy nó. Nó sẽ trả về một thông báo giống như thông báo trong phần Force Domain Controller Replication Through GUI ở trên. Nếu nó kết thúc bằng “SyncAll đã kết thúc mà không có lỗi.” sau đó nó hoạt động.
Bạn có thấy cách nó cũng sử dụng repadmin chỉ huy?
- Hãy thêm một dòng khác để giúp bạn đảm bảo rằng quá trình sao chép thực sự đã hoàn thành. Đoạn mã sau sẽ trả về ngày và giờ khi mỗi DC của bạn được sao chép lần cuối. Lệnh này có thể được sử dụng riêng vào lúc khác nếu bạn chỉ tò mò khi các DC của bạn được sao chép lần cuối. Nhập mã và chạy nó.
Get-ADReplicationPartnerMetadata -Target "$env:userdnsdomain" -Scope Domain | Select-Object Server, LastReplicationSuccess
Kết quả sẽ giống như hình ảnh bên dưới. Bạn sẽ thấy ở phía dưới cùng ngày và thời gian chính xác lần cuối cùng diễn ra.
- Để đánh bóng tập lệnh này, hãy làm cho đầu ra của nó ít dài dòng hơn một chút. Gần cuối dòng đầu tiên, nhập | Hết giưa / AdeP và dấu ngoặc cuối. Điều đó cho biết nó không đưa ra kết quả của lệnh ghép ngắn đó. Kết quả cuối cùng sẽ giống như hình sau.
Keep’em Replicated
Bây giờ bạn đã biết 3 cách để buộc sao chép bộ điều khiển miền trong AD. Bạn cũng đã tập hợp một tập lệnh PowerShell có thể tái sử dụng mà bạn có thể gọi từ dòng lệnh PowerShell bất cứ khi nào bạn muốn. Không có lý do gì để những thay đổi DC mới nhất của bạn phải ngồi và chờ đợi lần nhân rộng theo lịch trình tiếp theo, bất cứ khi nào có thể.
