AD-Troubleshooting

Active-Directory-Probleme in 7 Schritten lösen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Ein strukturiertes Vorgehen bei Problemen mit dem Active Directory hilft, schnell zu Lösungen zu kommen.
Ein strukturiertes Vorgehen bei Problemen mit dem Active Directory hilft, schnell zu Lösungen zu kommen. (Bild: © AliFuat - stock.adobe.com)

Wenn es im „Active Directory“ zu Problemen kommt, hilft eine strukturierte Vorgehensweise dabei, herauszufinden, wo das Problem verursacht wird. Denn wenn erst die Quelle des Problems gefunden ist, dann findet sich meist auch schnell eine Lösung.

Wenn es zu Problemen in Active Directory kommt, äußern sich diese meistens darin, dass sich Benutzer nicht mehr anmelden können, Domänen und andere Objekte nicht hinzugefügt werden können, Daten nicht zugreifbar sind oder Systemdienste abstürzen. Hier gilt es, die Probleme einzugrenzen und dann zu lösen. Dabei hilft folgende Vorgehensweise.

Schritt 1: Namensauflösung testen

Wenn Probleme in Active Directory auftreten, liegt das oft daran, dass die Namensauflösung zwischen verschiedenen Komponenten nicht funktioniert. Dabei kann es sich um Probleme zwischen Domänen-Controller handeln, aber auch um Probleme bei der Namensauflösung zwischen Servern, Arbeitsstationen und Domänen-Controller. Um das auszuschließen sollte daher zunächst zwischen den beteiligten Servern die Namensauflösung getestet werden.

Mit „nslookup“ kann schnell überprüft werden, ob der Name von Servern aufgelöst werden kann, und sich auch die Domänen-Controller untereinander auflösen lassen. Dazu wird nslookup <Servername> eingegeben. Durch diese Tests wird schnell herausgefunden, wo es Probleme bei der Namensauflösung gibt.

Manchmal kann es passieren, dass die Einträge von Active Directory nicht mehr korrekt funktionieren. Hier kann mit Bordmitteln Abhilfe geschaffen werden. Mit „net stop netlogon“ und „net start netlogon“ kann zum Beispiel der Anmeldedienst auf Domänen-Controller neu gestartet werden. Dabei versucht der Dienst die Daten der Datei „netlogon.dns“ aus dem Ordner „\Windows\System32\config\netlogon.dns“ erneut in DNS zu registrieren. Gibt es hierbei Probleme, finden sich im Ereignisprotokoll unter „System“ Einträge des Diensts, die bei der Problemlösung weiterhelfen.

Auch der Befehl „nltest /dsregdns“ hilft oft bei Problemen in der DNS-Registrierung. Funktioniert die erneute Registrierung durch Neustart des Anmeldediensts nicht, kann testweise die DNS-Zone „_msdcs“ und die erstellte Delegierung gelöscht werden. Das sollte allerdings nur die letzte Maßnahme sein. Beim nächsten Start des Anmeldediensts liest dieser die Daten von „netlogon.dns“ ein, erstellt die Zone „_msdcs“ neu und schreibt die Einträge wieder in die Zone.

Schritt 2: Verbindung mit Ping testen

Funktioniert die Namensauflösung zwischen den Computern, sollte als Nächstes mit „Ping“ überprüft werden, ob eine Netzwerkverbindung zwischen den beteiligten Servern und den Domänen-Controller hergestellt werden kann. Auch zwischen den Domänen-Controller muss die Verbindung funktionieren.

Normalerweise wird der ICMP-Verkehr zwischen den Computern in Domänen erlaubt. Wenn eine Ping-Antwort nicht funktioniert, sollte zunächst getestet werden, ob an irgendeiner Stelle des Netzwerks der ICMP-Datenverkehr blockiert wird.

Schritt 3: Diagnose der Domänen-Controller

Funktionieren Namensauflösung und Ping zwischen den beteiligten Servern und Domänen-Controller, besteht der nächste Schritt darin, lokal auf dem Server mit „dcdiag /v“ eine Diagnose durchzuführen. Zeigen Domänen-Controller hier Fehler an, kann im Internet recherchiert werden, wodurch die Fehler verursacht werden. Idealerweise sollte auf jedem Domänen-Controller lokal mit „dcdiag“ gearbeitet werden, um Fehler einzugrenzen.

Schritt 4: Replikation testen

Mit „repadmin /showreps“ lassen sich die Replikationsverbindungen zwischen den verschiedenen Domänen-Controller testen. Durch Eingabe des Befehls ist schnell erkennbar welche Probleme bei der Replikation untereinander haben. Bei dieser Diagnose sollten alle Domänen-Controller überprüft werden, die als Replikationsverbindung im Snap-In Active Directory und Dienste enthalten sind.

Mit „nltest /dsgetsite“ kann wiederum überprüft werden, ob Domänen-Controller am richtigen Standort platziert sind, und diesen Standort auch erkennen. Nltest kann auch dabei helfen eine Liste aller Domänen-Controller anzuzeigen: „nltest /dclist:<NetBIOS-DOMÄNENNAME>“. Die Liste sollte auf Vollständigkeit hin überprüft werden.

Schritt 5: Ereignisanzeige prüfen

In der Ereignisanzeige von Windows-Servern sind vor allem im Protokoll „System“ Fehler zu finden, die auch Active Directory betreffen. Über das Kontextmenü des Protokolls lassen sich die Einträge nach Fehlern filtern, so dass nur die relevanten Fehler angezeigt werden.

Dadurch wird schnell ein Überblick gewonnen, auf welchen Servern Fehler auftreten. Parallel können auch die anderen Ereignisanzeigen überprüft werden, ob dort ebenfalls Fehler aufgetreten sind. Das kann oft Aufschluss darüber geben, wo Probleme verursacht werden.

Schritt 6: Berechtigungen prüfen

Bei Fehlern in Active Directory kann es auch zu Problemen bei Berechtigungen kommen. In diesem Fall sollte überprüft werden, ob der entsprechende Benutzer auch Mitglied in den richtigen Gruppen ist. Auch Mitgliedschaften von Administratoren sollten überprüft werden.

Hier gibt es verschiedene Admingruppen in Active Directory. Übergreifende Rechte in der Domäne haben nur Benutzer, die in der Gruppe „Domänen-Admins“ sind, Änderungen am Schema dürfen nur durch „Schema-Admins“ vorgenommen werden, und Anpassungen an übergeordneten Bereichen in Active Directory dürfen nur von „Organisations-Admins“ vorgenommen werden.

Schritt 7: FSMO-Rollen testen

Wenn Fehler in Active Directory auftreten, kann es passieren, dass die FSMO-Rollen nicht mehr funktionieren, oder nicht korrekt zugeordnet sind. Hier sollte für jeden Betriebsmaster überprüft werden, auf welchem Domänen-Controller dieser positioniert ist, und ob der entsprechende Domänen-Controller im Netzwerk erreicht werden kann.

Wenn zum Beispiel der PDC-Master nicht funktioniert, kommt es zu Problemen bei der Anwendung von Gruppenrichtlinien, der RID-Master ist dafür verantwortlich, dass neue Objekte in Active Directory erstellt werden können. Der DNS-Master sorgt für die Aufnahme neuer Domänen in Active Directory und der Schema-Master ermöglicht das Erweitern des Schemas. Der Infrastruktur-Master sorgt für Gruppenmitgliedschaften zwischen Domänen in Active Directory.

Die FSMO-Rolleninhaber lassen Sie sich gebündelt mit „netdom query fsmo“ anzeigen, oder einzeln über die Befehle:

dsquery server -hasfsmo pdc (PDC-Master)
dsquery server -hasfsmo rid (RID-Master)
dsquery server -hasfsmo infr (Infrastrukturmaster)
dsquery server -hasfsmo schema (Schemamaster)
dsquery server -hasfsmo name (Domänennamenmaster)

*Thomas Joos ist freier Autor und Berater. Auf DataCenter-Insider schreibt er in seinem eigenen Blog Tipps und Tricks für Administratoren: „Toms Admin-Blog

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46164988 / Software)