Adresse
8 rue de la Garenne, 41000 Blois
Email
contact@computasys.com
Téléphone
(+33) 9 72 57 08 46
ComputaSYS

Vérifier la réplication Active Directory avec repadmin

tuto repadmin replication active directory
  • 21 janvier 2026
  • ComputaSYS
  • Blog
  • 0


Pour consulter l’état de santé de la réplication Active Directory, il existe un outil intégré à Windows Server capable de fournir des informations précieuses : repadmin. Si vous disposez d’un annuaire Active Directory, il est essentiel de savoir comment manipuler cet outil. Cet article explique justement comment utiliser repadmin pour vérifier l’état de santé de la réplication AD.

L’importance de la réplication Active Directory

Avant d’évoquer l’utilisation de l’outil repadmin, parlons de la réplication Active Directory en elle-même. Elle entre en jeu à partir du moment où vous disposez d’au moins 2 contrôleurs de domaine Active Directory. En principe, c’est le cas, puisqu’il s’agit d’une bonne pratique élémentaire que vous devez respecter pour péreniser votre annuaire.

La réplication est un mécanisme destiné à maintenir à jour les données de l’annuaire Active Directory sur l’ensemble des contrôleurs de domaine. Autrement dit, cela permet de s’assurer que chaque contrôleur de domaine dispose des mêmes données, et surtout, de données à jour. La réplication intègre dans son périmètre plusieurs éléments comme la base d’annuaire AD en elle-même, les stratégies de groupe ou encore les enregistrements DNS.

Ce mécanisme se base notamment sur les USN (Update Sequence Number), c’est-à-dire des numéros de séquence de mise à jour, présents sur chaque objet et attribut.

Ce concept a été plus largement présenté dans cet article :

Le rôle de repadmin

Si tout roule pour votre domaine Active Directory, vous n’aurez pas besoin de dégainer repadmin. Cet outil présente un intérêt particulier lorsqu’il y a besoin de diagnostiquer un problème de réplication Active Directory. Cela est aussi vrai pour vérifier l’état de santé de la réplication Active Directory avant d’effectuer une opération sensible, telle qu’une migration, afin d’avoir la garantie d’agir sur un environnement sain.

Lorsque le mécanisme de réplication Active Directory rencontre des erreurs, les conséquences peuvent être visibles au niveau de votre infrastructure. À titre d’exemple, on peut citer des échecs d’authentification et des incohérences dans la base d’annuaire (un utilisateur visible sur un contrôleur de domaine, mais pas sur un autre).

Prise en main de repadmin

L’outil repadmin est accessible directement depuis la ligne de commande, via une console PowerShell ou une Invite de commande. Il est disponible sur une machine Windows Server à partir du moment où le rôle AD DS a été installé (ou le rôle AD LDS). Il fait partie des outils d’administration, donc vous pouvez en bénéficier sur un contrôleur de domaine.

L’idée étant d’appeler la commande avec une ou plusieurs options.

repadmin

Voici plusieurs exemples d’utilisation de repadmin.

L’état global de la réplication avec /replsummary

La première option à connaître, c’est /replsummary. Elle offre une vue d’ensemble de haut niveau sur l’état de la réplication Active Directory entre tous les contrôleurs de domaine de votre environnement. Pour déterminer si tout est OK ou s’il y a un problème de réplication, elle est très pratique.

Ce qui donne :

repadmin /replsummary

Comment interpréter la sortie de cette commande ?

DSA Source : le nom du contrôleur de domaine qui envoie les informations, soit un flux de synchronisation en sortie.

Différence max (Largest delta) : depuis combien de temps un lien de réplication associé à ce contrôleur de domaine est resté inutilisé. Puisque la réplication est effectuée à différents intervalles, il n’est pas surprenant de voir ici 27m: 48s. Si vous voyez un delta de plusieurs heures sur une réplication entre deux DC sur le même site, cela mérite une attention particulière.

Nb échecs : le nombre de tentatives de réplication échouée en comparaison du nombre de tentatives globale. Ici, 0 erreur sur 5 tentatives, ce qui est un bon signe.

%% (pourcentage) : un pourcentage correspondant au champ précédent, ce qui revient à faire le calcul 0 / 5 * 100 dans cet exemple. Cela signifie que la valeur idéale est 0 dans un environnement où la réplication AD est saine.

erreur : retourne un éventuel code d’erreur, qui peut justement mettre en lumière un problème de réplication AD.

C’est l’utilisation la plus simple de repadmin, mais c’est généralement avec cette option que l’analyse commence.

Note : l’intervalle de réplication est personnalisable et il n’est pas le même selon s’il s’agit d’une réplication inter-site (180 minutes par défaut) ou intra-site. Tenez compte de cela dans votre analyse.

Obtenir des détails supplémentaires avec /showrepl

Suite à l’exécution de la précédente commande, je vous encourage à lancer la commande repadmin avec /showrepl pour obtenir des précisions supplémentaires. Comme vous pourrez le constater ci-dessous, repadmin se montre plus bavard. En réalité, il donne des informations sur la réplication avec les partenaires de réplication pour un contrôleur de domaine spécifique (local, par défaut).

repadmin /showrepl

L’en-tête du résultat donne des informations sur l’environnement local vis-à-vis du contrôleur de domaine sur lequel on se situe, ici SRV-ADDS-01. Il y a notamment le site auquel appartient le contrôleur de domaine (ici, le site par défaut : Default-First-Site-Name) et il est précisé que c’est un catalogue global (Options DSA : IS_GC). Le GUID correspondant à ce contrôleur de domaine est aussi spécifié (GUID de l’objet DSA).

Ensuite, sous la section === INSTANCES VOISINES ENTRANTES ===, il y a le résultat des dernières synchronisations avec le second contrôleur de domaine (cet environnement n’a que 2 DC), à savoir avec SRV-ADDS-02 et le protocole utilisé (RPC). Il convient de vérifier le résultat de la synchronisation pour chaque partition, l’idéal étant d’avoir un résultat comme celui-ci : La dernière tentative, le 2026-01-19 12:47:26, a réussi..

Pour changer le contexte de cette commande, par exemple en consultant les résultats en tant que SRV-ADDS-02, vous devez spécifier le nom du contrôleur de domaine :

repadmin /showrepl SRV-ADDS-02

Inspecter la réplication des attributs d’un objet

Si vous souhaitez en savoir plus sur la réplication d’un objet en particulier, vous devez utiliser l’option /showobjmeta de la commande repadmin. Elle permet de consulter les métadonnées de réplication de façon détaillée sur un contrôleur de domaine.

Voici un exemple pour analyser le compte de “Florian Burnel” (ciblé via son DistinguishedName) sur le contrôleur de domaine SRV-ADDS-01.

repadmin /showobjmeta SRV-ADDS-01 “CN=Florian Burnel,OU=Utilisateurs,OU=IT-Connect,DC=it-connect,DC=local”

Cette commande retourne un ensemble de lignes, où chaque ligne correspond à un attribut spécifique de l’objet ciblé. Il y a plusieurs colonnes intéressantes :

USN loc (USN local) : c’est le numéro USN que le contrôleur de domaine sur lequel vous tapez la commande a généré au moment où il a reçu et enregistré cette modification dans sa propre base.

DSA source : c’est la réponse à la question “Qui a modifié ?”. Ce champ désigne le contrôleur de domaine où la modification a été effectuée, donc c’est la source originelle de l’information.

USN org. : le numéro d’USN attribué par le contrôleur de domaine à l’origine de la modification (écriture dans la base).

Heure/date org. : date et heure de la modification.

Attribut : l’attribut AD modifié au niveau de cet objet (attention, il y a une inversion dans le résultat de la commande).

Ver : la version de cet attribut, sachant qu’à chaque fois qu’il est modifié, ce numéro est incrémenté.

Cette commande permet de suivre précisément l’évolution des objets. J’ai ajouté des initiales sur l’objet “Florian Burnel” et j’ai modifié le nom d’affichage. Résultat, une nouvelle ligne pour l’attribut initials (vide jusqu’ici) est apparue, et pour l’attribut displayName, le numéro de version a été incrémenté et l’USN local a été changé.

Forcer une réplication Active Directory avec repadmin

Pour déclencher une synchronisation immédiate et forcée depuis un contrôleur de domaine vers les autres contrôleurs de domaine, vous pouvez aussi utiliser repadmin. Cette action peut être utile dans plusieurs cas, notamment :

Vous venez de faire une modification et souhaitez répliquer le changement immédiatement.

Vous venez de dépanner la réplication AD et souhaitez vérifier le bon fonctionnement de la réplication.

Attention, la syntaxe de repadmin est sensible à la casse, vous devez donc respecter les majuscules et minuscules indiquées dans la commande ci-dessous.

repadmin /syncall /AdeP

Voici les explications nécessaires pour bien comprendre ce que fait cette commande :

/syncall : lance le processus de synchronisation entre le contrôleur de domaine local et l’ensemble de ses partenaires de réplication.

/A : force la réplication de tous les contextes de nommage (partitions de Configuration, Schéma, Domaine et zones DNS), et non seulement la partition de domaine par défaut.

/d : modifie la sortie console pour identifier les serveurs par leur nom distinctif (DN), car c’est plus parlant.

/e : étend la réplication à tous les sites de la forêt. Sans cette option, la synchronisation se limite aux contrôleurs du site local (Intra-site).

/P : C’est l’option qui change tout, car par défaut, l’AD fonctionne en mode “Pull” (un DC tire les changements depuis ses partenaires). L’option /P force le DC local à pousser ses modifications vers tous ses partenaires (mode Push). C’est idéal pour propager un changement sans attendre la prochaine synchronisation.

L’exécution de cette commande génère un trafic réseau immédiat vers l’ensemble des contrôleurs de domaine de l’entreprise. La durée de l’opération dépend donc du nombre de DC, du nombre de sites et de la bande passante.

Recalculer la topologie de réplication avec repadmin

Dans un domaine Active Directory, la topologie de réplication est définie par un mécanisme nommé Knowledge Consistency Checker (KCC). Il joue un rôle essentiel dans les environnements multi-sites, car il détermine la meilleure topologie de réplication pour votre annuaire AD en tenant compte des sites, des contrôleurs de domaine de chaque site et des liens.

Si vous souhaitez forcer le mécanisme KCC à recalculer la topologie de réplication (suite à un changement important, par exemple), vous pouvez le faire à l’aide de la commande repadmin. Cela présente un intérêt s’il y a plusieurs sites.

repadmin /kcc
repadmin /kcc srv-adds-01

# Résultat
Default-First-Site-Name
Actuel : Options de site : (none)
La vérification de cohérence de srv-adds-01 a réussi.

Conclusion

Repadmin, au même titre que d’autres outils comme DCDiag, est indispensable pour les administrateurs de domaine Active Directory. En complément, sachez que PowerShell dispose aussi de cmdlets prêtes à l’emploi pour vous permettre de diagnostiquer un problème de réplication AD.

En cas de problème avec la réplication AD, je vous invite aussi à consulter les journaux de l’Observateur d’événements. Si le problème de réplication se concentre sur les fichiers du partage SYSVOL, regardez du côté de DFSR, car c’est ce mécanisme qui effectue la synchronisation de ces données. Même si c’est de plus en plus rare aujourd’hui, FRS peut être utilisé à la place de DFSR, en fonction de l’ancienneté de votre domaine et si la mise à niveau n’a pas été effectuée.

FAQ – Repadmin

Qu’est-ce que l’erreur “RPC Server Unavailable” (Erreur 1722) souvent remontée par repadmin ?

Cette erreur est généralement le signe d’un problème de communication entre vos contrôleurs de domaine. Plusieurs explications possibles :

Cause 1 : le pare-feu bloque les ports RPC

Cause 2 : un problème DNS (le DC ne peut pas résoudre le nom du partenaire).

Vérifiez d’abord la communication entre vos DC avec des tests classiques, comme un ping .

Comment exporter les résultats de repadmin ?

L’option /csv permet de réaliser un export CSV du résultat de la commande Repadmin. Ce format peut être ouvert avec d’autres applications, y compris Excel. Voici un exemple : repadmin /showrepl /csv > c:\temp\replication_report.csv.

Comment afficher l’aide de repadmin ?

La commande repadmin dispose de nombreuses options, et toutes n’ont pas été abordées dans cet article. Vous pouvez consulter l’aide sur le site de Microsoft ou simplement dans la console via cette commande : repadmin /?.

Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *