Active Directory

DNS-Einträge in Active Directory reparieren

| Autor: Thomas Joos

Tom's Admin Blog
Tom's Admin Blog (Bild: Tom Joos)

Active Directory baut stark auf diese SRV-Records auf. Aus diesem Grund ist eine Diagnose dieser Einträge mit Nslookup durchaus sinnvoll.

Jeder Domänencontroller in Active Directory hat neben seinem Host-A-Namen, zum Beispiel dc01.contoso.com, noch einen zugehörigen CNAME, der das so genannte DSA (Directory System Agent) -Objekt seiner NTDS-Settings darstellt. Dieses DSA-Objekt ist als SRV-Record im DNS unterhalb der Zone der Domäne unter dem Knoten _msdcs zu finden.

Der CNAME ist die GUID dieses DSA-Objektes. Domänencontroller versuchen Ihren Replikationspartner nicht mit dem herkömmlichen Host-A-Eintrag aufzulösen, sondern mit dem hinterlegten CNAME. Ein Domänencontroller versucht nach der erfolglosen Namensauflösung des CNAME eines Domänencontrollers, einen Host-A-Eintrag zu finden. Schlägt auch das fehl, versucht der Domänencontroller den Namen mit NetBIOS aufzulösen, entweder über Broadcast oder einen WINS-Server. Jeder Domänencontroller braucht einen eindeutigen CNAME, der wiederum auf seinen Host-A-Eintrag verweist. Überprüfen Sie bei Replikationsproblemen, ob diese Einträge vorhanden sind.

Alle SRV-Records von Active Directory befinden sich parallel in der Datei \%WinDir%\System32\config\netlogon.dns. Die Datei lässt sich mit einem Editor auch anzeigen. Fehlen Einträge in den DNS-Zonen, die Active Directory benötigt, ist es meist hilfreich, wenn Sie den Befehl dcdiag /fix ausführen. Dabei versucht das Tool, auch fehlende Einträge aus der Datei netlogon.dns einzubauen. Danach sollte die Namensauflösung wieder funktionieren.

Nach der Eingabe des Befehls, sollten die Einträge recht schnell auf dem DNS aktualisiert sein. Sollte das dynamische Aktualisieren noch immer nicht funktionieren, überprüfen Sie in den Eigenschaften der Zone, ob die dynamische Aktualisierung aktiviert ist. Wenn sich an der Zone auch Arbeitsstationen und Server dynamisch registrieren sollen, die nicht Mitglied der Gesamtstruktur sind, können Sie auch die Option Nicht sichere und sichere aktivieren.