Suchen

Active Directory Workshop, Teil 5 Administration von Domänen und AD-Strukturen

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänen-Controller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänen-Controller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps.

Firma zum Thema

Ein Active Directory ist ein lebendes Gebilde und muss daher ständig auf fehlerfreie Funktion überprüft werden.
Ein Active Directory ist ein lebendes Gebilde und muss daher ständig auf fehlerfreie Funktion überprüft werden.
(Bild: Joos)

Beim produktiven Einsatz von Active-Directory-Domänen sollten mehrere Controller zum Einsatz kommen. Die Domänen-Controller müssen sich darüber hinaus miteinander replizieren können.

Steuern der Replikation

Das Active Directory verwendet einen integrierten Dienst, der die Replikation innerhalb und zwischen Standorten automatisch steuert. Dieser Dienst, Konsistenzprüfung (Knowledge Consistency Checker, KCC) genannt, verbindet die Domänen-Controller der verschiedenen Standorte, und erstellt automatisch eine Replikationstopologie auf Basis der definierten Zeitpläne und Standortverknüpfungen.

Bildergalerie

Bildergalerie mit 5 Bildern

Die Replikation zwischen verschiedenen Standorten in Active Directory läuft weitgehend automatisiert ab. Das wichtigste Verwaltungswerkzeug, um Standorte in Active Directory zu verwalten, ist das Snap-In „Active Directory-Standorte und -Dienste“ (siehe: Abbildung 1). Um neue Standorte zu erstellen, müssen Administratoren Mitglied der Gruppe „Organisations-Administratoren“ sein.

Nachdem die Routing-Topologie erstellt ist, werden neu installierte Domänen-Controller durch ihre IP-Adresse automatisch dem richtigen Standort zugewiesen. Bereits installierte Domänen-Controller müssen jedoch manuell an den richtigen Standort verschoben werden.

Die Replikationsverbindungen richtet „Windows Server 2016“ automatisch ein. Diese sind im Snap-In „Active Directory-Standorte und -Dienste“ über „Sites/<Standort>/<Servers>/<Servername>/NTDS-Settings“ zu sehen.

Fehler bei der Active-Directory-Replikation

Bei der Fehlersuche bezüglich der Replikation sollten zunächst die beteiligten Domänen-Controller überprüft und getestet werden. Der nächste Schritt sollte der Blick in die Ereignisanzeige und in das Verzeichnisdienst-Protokoll sein. Hier muss vor allem auf Fehler der Quellen NTDS KCC, NTDS Replication und NTDS General geachtet werden.

Bei Problemen mit der Active-Directory-Replikation sollte einer Fehlersuche immer eine vollständige Diagnose der Domänen-Controller vorausgehen. Eine Skizze der Replikationsverbindungen der Domänen-Controller kann hier ebenfalls helfen. So kann festgestellt werden, welche sich nicht mit anderen Domänen-Controllern replizieren können (siehe: Abbildung 2).

In der Eingabe-Aufforderung wird dazu der Befehl „nltest /dsgetsite“ eingegeben. In der Anzeige ist daraufhin zu sehen, welchem Standort der Domänen-Controller zugewiesen ist, und ob er seinen Standort erkennt.

Ausschließen der häufigsten Fehlerursachen

Bevor mit Tools die Replikation genauer untersucht wird, sollten die häufigsten Fehlerursachen ausgeschlossen werden:

  • Liegt auf dem Domänen-Controller, der sich nicht mehr replizieren kann, ein generelles Problem vor, welches sich mit „Dcdiag“ in der Befehlszeile herausfinden lässt?
  • Wurde auf dem Domänen-Controller eine Software installiert, welche die Replikation stören kann, zum Beispiel Sicherheitssoftware, Virenscanner oder Firewall?
  • Ist auf dem Domänen-Controller Hardware ausgefallen?
  • Liegt ein Leitungs-, Router- oder Firewall-Problem vor?
  • Lassen sich der Domänen-Controller `anpingen` und der DNS-Name des Servers auflösen?
  • Gibt es Probleme mit der Authentifizierung zwischen den Domänen-Controllern, die durch „Zugriff verweigert“-Meldungen in Erscheinung treten? Die Version von Dcdiag, die mit Windows Server 2016 ausgeliefert wird, enthält einen Test, mit dem sich Replikationsprobleme anzeigen lassen, die von Kerberos-Problemen verursacht werden: „dcdiag /test:CheckSecurityError /s:<Name des Domänen-Controllers, der Probleme hat>
  • Wurden Änderungen an der Routing-Topologie vorgenommen, die eine Replikation verhindern können?

Das wichtigste Tool, um die Replikation in Active Directory zu überprüfen ist „Repadmin“. In der Eingabe-Aufforderung muss dazu der Befehl „repadmin /showreps“ eingegeben werden.

Jeder Domänen-Controller in Active Directory hat neben seinem Host-A-Namen, zum Beispiel „dc01.contoso.int“, noch einen zugehörigen CNAME, der das so genannte DSA-Objekt (Directory System Agent) seiner NTDS-Settings darstellt. Sollte die Replikation nicht funktionieren, weil unterhalb der Active-Directory-DNS-Domäne _msdcs-Einträge fehlen, können Administratoren in der Eingabe-Aufforderung durch Eingabe des Befehls „dcdiag /fix“ die Einträge wiederherzustellen.

Bildergalerie

Bildergalerie mit 5 Bildern

Fehlerbehebung und Namensauflösung

Für die Namensauflösung kann „Nslookup“ in der Befehlszeile verwendet werden, oder die Cmdlets in der Powershell, zur Verwaltung von DNS, zum Beispiel „Resolve-DNSName“. Das wichtigste Tool für die Diagnose von Domänen-Controllern ist jedoch „dcdiag“. Eine ausführliche Diagnose wird mit der Syntax „dcdiag /v“ durchgeführt.

Mit „dcdiag /a“ werden alle Domänen-Controller am gleichen Active-Directory-Standort überprüft, mit „dcdiag /e“ werden alle Server in der Gesamtstruktur getestet. Um sich nur die Fehler und keine Informationen anzeigen zu lassen, wird „dcdiag /q“ verwendet. Die Option „dcdiag /s:<Domänen-Controller>“ ermöglicht den Test eines Servers über das Netzwerk.

Die Namensauflösung ist einer der wichtigsten Bereiche für die Diagnose von Active-Directory- und Windows-Netzwerken. Ein wichtiger Test in Active Directory besteht darin, in der Eingabeaufforderung „nslookup“ einzutippen. An dieser Stelle sollte kein Fehler auftreten. Sollte der Server noch nicht registriert sein, kann mit „ipconfig /registerdns“ in der Eingabe-Aufforderung eine erneute automatische Registrierung beim DNS-Server durchgeführt werden.

Wenn ein Server-Name nicht aufgelöst werden kann, hilft eine strukturierte Vorgehensweise:

  • Ist in den IP-Einstellungen des Rechners, auf dem die Namensauflösung getestet wird der richtige DNS-Server eingetragen?
  • Verwaltet der bevorzugte DNS-Server die Zone, in der eine Namensauflösung durchgeführt wird?
  • Wenn der Server diese Zone nicht verwaltet, ist dann auf der Registerkarte „Weiterleitungen“ in den Eigenschaften des Servers ein Server eingetragen, der die Zone auflösen kann?
  • Wenn eine Weiterleitung eingetragen ist, kann dann der Server, zu dem weitergeleitet wird, die Zone auflösen?
  • Wenn dieser Server erneut nicht für die Zone verantwortlich ist, leitet er dann wiederum die Anfrage weiter?

Überprüfen der Domänen-Controller-Liste

In der Eingabe-Aufforderung wird mit dem Befehl „nltest /dclist:<NetBIOS-DOMÄNENNAME>“ die Liste der Domänen-Controller abgefragt (siehe: Abbildung 3), zum Beispiel „nltest /dclist:Joos“. Alle Domänen-Controller sollten mit ihren vollständigen Domänennamen ausgegeben werden.

Werden einzelne Domänen-Controller nur mit ihrem NetBIOS-Namen angezeigt, sollte deren DNS-Registrierung auf den DNS-Servern überprüft werden. Auch der Befehl „nltest /dsregdns“ hilft oft bei Problemen in der DNS-Registrierung.

Verwaltung von Benutzerkonten

Im Kontextmenü eines angelegten Benutzers (siehe: Abbildung 4) in „Active Directory-Benutzer und -Computer“ stehen eine Reihe von Konfigurationsmöglichkeiten zur Verfügung (siehe: Abbildung 5). Mit dem Befehl „Kopieren“ lassen sich die meisten Einstellungen eines Benutzerkontos in ein neues Konto übernehmen.

Der Befehl „Konto deaktivieren“ kann verwendet werden, um die zeitweilige Deaktivierung eines Kontos durchzuführen. Das Konto bleibt mit allen Einstellungen erhalten, kann aber nicht zur Anmeldung genutzt werden.

Zusätzlich gibt es die beiden Befehle „Löschen“ und „Umbenennen“. Mit diesen kann ein Benutzerkonto gelöscht oder der vollständige Name des Benutzers verändert werden.

*Thomas Joos ist freier Autor, schreibt IT-Fachbücher und -Artikel sowie seinen eigenen Blog auf Datacenter-Insider „Toms Admin-Blog“.

(ID:45302328)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist