ID d'événement Windows 4928 – Microsoft-Windows-Security-Auditing : Contexte de nommage de la source de réplique Active Directory établi

Commencez par examiner les détails complets de l'événement pour comprendre le contexte de réplication et les contrôleurs de domaine impliqués.

1. Ouvrez Observateur d'événements → Journaux Windows → Sécurité
2. Filtrez pour l'ID d'événement 4928 en utilisant l'option de filtre
3. Double-cliquez sur l'entrée la plus récente de l'ID d'événement 4928
4. Examinez l'onglet Général pour les détails du DC source, du DC de destination et du contexte de nommage
5. Vérifiez l'onglet Détails pour des données XML supplémentaires incluant les identifiants de sécurité
6. Notez l'horodatage pour le corréler avec d'autres événements de réplication

Utilisez PowerShell pour interroger plusieurs événements efficacement :

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4928} -MaxEvents 20 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

Vérifiez que l'établissement de la réplication indiqué par l'ID d'événement 4928 a abouti à une synchronisation réussie du répertoire.

1. Ouvrez Invite de commandes en tant qu'administrateur
2. Exécutez repadmin pour vérifier l'état de la réplication :

repadmin /showrepl
repadmin /replsummary

3. Utilisez PowerShell pour obtenir des informations détaillées sur la réplication :

Get-ADReplicationConnection -Filter * | Format-Table Name, ReplicateFromDirectoryServer, ReplicateToDirectoryServer
Get-ADReplicationFailure -Target (Get-ADDomainController).Name

4. Vérifiez la connectivité du contrôleur de domaine :

Test-ComputerSecureChannel -Verbose
Get-ADDomainController -Filter * | Test-NetConnection -Port 389

Établir une surveillance continue pour suivre les performances de réplication et identifier les modèles dans les occurrences de l'ID d'événement 4928.

1. Créer un script PowerShell pour surveiller les événements de réplication :

# Surveiller les événements de réplication AD
$Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4928,4929; StartTime=(Get-Date).AddHours(-24)}
$Events | Group-Object Id | Select-Object Name, Count
$Events | Format-Table TimeCreated, Id, @{Name='SourceDC';Expression={($_.Message -split '\n')[1]}}

2. Configurer les compteurs de Performance Monitor pour la réplication AD :
3. Ouvrir Performance Monitor → Data Collector Sets → User Defined
4. Créer un nouveau Data Collector Set avec ces compteurs :
5. NTDS\DRA Inbound Values (DNs only)/sec
6. NTDS\DRA Inbound Properties Applied/sec
7. NTDS\DRA Pending Replication Synchronizations

6. Configurer des alertes automatisées à l'aide du Planificateur de tâches Windows :

$Action = New-ScheduledTaskAction -Execute 'PowerShell.exe' -Argument '-File C:\Scripts\ADReplicationMonitor.ps1'
$Trigger = New-ScheduledTaskTrigger -Daily -At 6:00AM
Register-ScheduledTask -TaskName 'AD Replication Monitor' -Action $Action -Trigger $Trigger

Examinez la topologie du site Active Directory pour comprendre pourquoi l'ID d'événement 4928 s'est produit et vérifiez la conception correcte de la réplication.

1. Ouvrez la console Sites et services Active Directory
2. Accédez à Sites → [Votre site] → Serveurs
3. Examinez les objets de connexion sous les Paramètres NTDS de chaque contrôleur de domaine
4. Utilisez PowerShell pour analyser la topologie du site de manière programmatique :

# Obtenir des informations sur le site
Get-ADReplicationSite -Filter * | Format-Table Name, Description

# Analyser les liens de site
Get-ADReplicationSiteLink -Filter * | Format-Table Name, Cost, ReplicationFrequencyInMinutes, SitesIncluded

# Vérifier les objets de connexion
Get-ADReplicationConnection -Filter * | Where-Object {$_.AutoGenerated -eq $false} | Format-Table Name, ReplicateFromDirectoryServer

5. Vérifiez les opérations du Knowledge Consistency Checker (KCC) :

repadmin /kcc
repadmin /showconn

6. Vérifiez les erreurs de réplication dans les journaux du service d'annuaire :

Get-WinEvent -FilterHashtable @{LogName='Directory Service'; Level=2,3} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message

Effectuez des diagnostics de réplication complets lorsque les modèles d'ID d'événement 4928 indiquent des problèmes potentiels ou lors du dépannage de problèmes de réplication complexes.

1. Activez la journalisation diagnostique détaillée d'Active Directory :

# Activer la journalisation des événements de réplication
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics' -Name '5 Replication Events' -Value 3
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics' -Name '9 Internal Processing' -Value 1

2. Capturez les traces réseau pendant la réplication :

netsh trace start capture=yes provider=Microsoft-Windows-LDAP-Client provider=Microsoft-Windows-ActiveDirectory_DomainService maxsize=500MB
# Déclencher la réplication
repadmin /syncall /AdeP
# Arrêter la trace après la fin de la réplication
netsh trace stop

3. Utilisez dcdiag pour une analyse complète de la santé du contrôleur de domaine :

dcdiag /v /c /d /e /s:%COMPUTERNAME%
dcdiag /test:replications /v

4. Analysez les métadonnées de réplication pour des objets spécifiques :

repadmin /showobjmeta %COMPUTERNAME% "CN=Configuration,DC=domain,DC=com"
repadmin /showattr %COMPUTERNAME% "DC=domain,DC=com" /subtree /filter:"(objectClass=*)" /atts:whenChanged,uSNChanged

5. Générez des rapports de réplication complets :

# Générer un rapport de santé de la réplication
$Report = @()
Get-ADDomainController -Filter * | ForEach-Object {
    $DC = $_.Name
    $ReplStatus = repadmin /showrepl $DC /csv | ConvertFrom-Csv
    $Report += $ReplStatus | Select-Object 'Source DSA', 'Naming Context', 'Last Success Time', 'Last Failure Time'
}
$Report | Export-Csv -Path "C:\Reports\ADReplication_$(Get-Date -Format 'yyyyMMdd').csv" -NoTypeInformation