Die Active Directory-Replikation ist ein komplexes Feld – sowohl in Sachen Verständnis als auch technologisch. Erschwerend kommt hinzu, dass eine fehlerhafte oder schlecht administrierte Replikation so gut wie immer dramatische Konsequenzen für die Infrastruktur hat. Somit ist der Administrator gut beraten, den Datenaustausch zwischen den Domänencontrollern jederzeit im Blick und unter Kontrolle zu haben. Hilfe kann er dabei auch von der PowerShell erwarten. Dieser Artikel zeigt Cmdlets für Administration und Troubleshooting der AD-Replikation. Im zweiten Teil des Workshops erklären wir, wie Sie mit der PowerShell einzelne Objekte synchronisieren und wie Sie mit geringem Aufwand gelöschte Objekte finden.

Wer hat ein Objekt gelöscht? Mit den Replikationsmetadaten erfährt der Administrator schnell,

auf welchem Domänencontroller er nach den Sicherheitslogs suchen muss.

Get-ADObject -Filter { givenname -eq "Ulf" -and sn

-eq "Simon-Weidner"} –IncludeDeletedObjects

Get-ADObject -Filter { name -like "Ulf Simon-Weidner*" }

–IncludeDeletedObjects

Get-ADObject -Filter { name -like "Ulf Simon-Weidner*" }

-IncludeDeletedObjects | Get-ADReplicationAttributeMetadata

-Server ITA-DC1 –IncludeDeletedObjects

Get-ADObject -Filter { name -like "Ulf Simon-Weidner*" }

-IncludeDeletedObjects | Get-ADReplicationAttributeMetadata

-Server ITA-DC1 -IncludeDeletedObjects | Where-Object {$_.AttributeName

-eq name }

Wenn Objekte gelöscht wurden, ist dies recht aufwendig zu recherchieren, da weitere Informationen dazu nur im Eventlog des Domänencontrollers zu finden sind, auf dem die Löschung vollzogen wurde. Dies gestaltet sich auch deswegen schwierig, weil die Events normalerweise im Security-Log zu finden sind, das sehr viele Einträge umfasst. Und bei vielen DCs wird es sehr schwierig, zuerst den richtigen Eintrag zu finden, der durchsucht werden muss. Microsoft bietet zwar ein Tools für die Suche in vielen Eventlogs (EventCombMT), allerdings kommt dieses nicht mit großen Datenmengen zurecht.Das Active Directory und die PowerShellCmdlets bieten hier eine gute Lösung. Über die Metadaten eines Objektes finden Sie so heraus, wo das Objekt gelöscht wurde. Hierzu muss der AD-Papierkorb verfügbar sein, da die Cmdlets nur dann auf gelöschte Objekte zugreifen können.Als Erstes müssen Sie das gelöschte Objekt finden. Hierzu verwenden Sie das GetADObject-Cmdlet mit dem Parameter "-IncludeDeletedObjects". Dabei müssen Sie aber darauf achten, den korrekten Filter zu nutzen. Zum Beispiel kann der Filter nach Vorname und Nachname gehen, da diese nicht geändert werden:Filtern Sie nach "Name", müssen Sie beachten, dass der Name beim Löschen geändert wird, indem "\0ADEL:" und die "ObjektGuid" hinzugefügt werden. Mit dem Platzhalter "*" und dem "-like"-Vergleichsoperator können Sie aber auch danach suchen:Wenn das Objekt gefunden ist, kann dieses an Get-ADReplicationAttributeMetadata weitergeleitet werden. Auch hier wird nochmals der Parameter "-IncludeDeletedObjects" und diesmal auch der Server benötigt:Dieser Befehl gibt eine Objektsammlung sämtlicher Attribute mit deren Metadaten zurück. Hier erkennen Sie zum Beispiel, wann das Attribut zuletzt geändert wurde, und auch auf welchem Domänencontroller dies erfolgte.Über einen weiteren Filter mittels des Where-Objekts können Sie dann nach einem Attribut suchen, das während des Lösch-Prozesses auf alle Fälle geändert wurde. Hier eignet sich das zuvor erwähnte "Name"-Attribut, das beim Löschen ergänzt wird.So lässt sich ermitteln, dass die Löschung auf dem unter "LastOriginatingChangeDirectoryServerIdentity" angegebenen Domänencontroller erfolgte und die Suche, wer das Objekt gelöscht hat, kann auf das Security-Eventlog dieses Domänencontrollers eingeschränkt werden.Die ersten Versionen des Active DirectoryModuls für die Windows PowerShell haben sich weitestgehend auf die Datenadministration konzentriert. Mit den Cmdlets zur Replikation lässt sich schon vieles mehr erledigen: Sie sind in der Lage, Ihre Replikationsstruktur zu verstehen, Replikationsfehler systemübergreifend festzustellen und Bereinigungen zu automatisieren. Auch um einzelne Objekte zu synchronisieren oder sogar über die Metadaten der Attributreplikation festzustellen, wo Änderungen oder Löschungen durchgeführt wurden, gibt es Befehle.Allerdings fehlen auch einige Möglichkeiten, zum Beispiel um ganze Partitionen zu synchronisieren oder erweitertes Troubleshooting durchzuführen. Jeder AD-Administrator sollte sich mit den neuen Möglichkeiten der PowerShell-Cmdlets auseinandersetzen, aber es schadet auch nicht, wenn er seine bisherigen Tools wie Repadmin noch weiterhin in Erinnerung behält.