Active Directory reparieren

Domänencontroller kann nicht gefunden werden

| Autor: Thomas Joos

Thomas Joos
Thomas Joos (Thomas Joos)

Erhalten Clients oder Server die Meldung, dass der Domänencontroller nicht erreicht werden kann, sollten Sie auf den beteiligten Computer zunächst per Ping testen, ob eine Verbindung zur IP-Adresse des Servers funktioniert. Klappt das, stellen Sie sicher, dass in den Netzwerkeinstellungen der Server die IP-Adresse eines DNS-Servers eingetragen ist, welcher den Domänencontroller auflösen kann. Auch auf den Domänencontrollern selbst müssen in den Netzwerkeinstellungen die DNS-Server so gesetzt sein, dass die Auflösung funktioniert.

Haben Sie diese Grundlagentests durchgeführt, aber die Auflösung funktioniert noch immer nicht, fehlen unter Umständen DNS-Einträge der Domänencontroller in den DNS-Zonen. Diese Einstellungen finden Sie unter _msdcs auf den DNS-Servern. Auf den Domänencontrollern finden Sie solche Fehler am schnellsten wenn Sie dcdiag in der Eingabeaufforderung eingeben. Überprüfen Sie auch mit nltest /dsgetsite, ob der Domänencontroller dem richtigen Active Directory-Standort zugewiesen ist. Mit nltest /dclist:<NetBIOS-Name der Domäne> lassen Sie sich eine Liste aller Domänencontroller einer entsprechenden Domäne anzeigen.

Die Einträge sollten als FQDN aufgelistet sein. Ebenfalls ein wichtiger Befehl ist nltest /dsgetdc:<NetBIOS-Name der Domäne>. Dieser Befehl listet Name, IP-Adresse, GUID, FQDN von Active Directory und weitere Informationen auf. Alle Informationen sollten ohne Fehler angezeigt werden.

Starten Sie mit net stop netlogon und dann net start netlogon den Anmeldedienst auf dem Domänencontroller neu. Beim Starten versucht der Dienst die Daten der Datei netlogon.dns erneut in DNS zu registrieren. Gibt es hierbei Probleme, finden Sie im Ereignisprotokoll unter System einen Eintrag des Diensts, der bei der Problemlösung weiterhilft.

Auch der Befehl nltest /dsregdns hilft oft bei Problemen in der DNS-Registrierung. Funktioniert die erneute Registrierung durch Neustart des Anmeldediensts nicht, löschen Sie die DNS-Zone _msdcs und die erstellte Delegierung ebenfalls. Starten Sie dann den Anmeldedienst neu, liest dieser die Daten von netlogon.dns ein, erstellt die Zone _msdcs neu und schreibt die Einträge wieder in die Zone. Testen Sie anschließend wieder mit Dcdiag, ob die Probleme behoben sind. Einen ausführlichen Test führen Sie mit dcdiag /v durch